HOTP Technology
Soluzioni Software per:
Strong Authentication,
Transaction Data Signing,
Mobile Secure Apps
Le richieste del Mercato
Il mercato italiano ha acquistato negli scorsi anni più di 10M
di token hardware a supporto della Autenticazione Forte
degli utenti tramite One Time Password (OTP);
La richiesta sta oggi evolvendo, indirizzandosi verso
dispositivi che:
 Siano dematerializzati, strumenti software disponibili in
particolar modo sugli smart-phone più diffusi;
 Siano più evoluti rispetto alla semplice generazione OTP,
in grado di contrastare le nuove minacce informatiche
alla sicurezza della operatività via rete;
HOTP Security Token
2
HOTP Value Proposition
Nexsun è l’unica azienda italiana che ha realizzato un prodotto
completo, confrontabile con le soluzioni offerte dai maggiori vendors
internazionali.
Gli elementi distintivi della tecnologia Hotp sono:
 Sicurezza conforme alle nuove disposizioni della SEPA;
 Sicurezza del Token integrata nelle Mobile Apps: una sola App per
operare in mobilità, meno limitazioni tecniche ai nuovi servizi;
 Processo di installazione ed attivazione estremamente semplice;
 Facile personalizzazione delle componenti, sia server che client, per
adeguarsi ad esigenze specifiche dei Commitenti.
HOTP Security Token
3
HOTP: Componenti vs Aree Applicative
HOTP® Token
Strong Authentication
Secure ID to access
Corporate and Banking
services
Fund transfer & Payments
Transaction Data
Signing
E-Commerce
HOTP®MSP
Remote Signature
NeNE
Mobile Secure App’s
Reserved communications
HOTP Security Token
4
HOTP®Token:App di generazione codici OTP e TDS
 Operativo sugli smart phone più diffusi:
Android, Iphone, altri on-demand;
 Compatibile con l’ambiente J2ME (circa 85%
telefonini oggi utilizzati) e con l’ambiente PC
desktop;
 Generatore di password di autenticazione OTP
off-line, senza connessione radio;
 Transaction Data Signing in modalità off-line
oppure on-line: validatore di qualsiasi
transazione, contrasto agli attacchi MitM e MitB;
Livello di sicurezza elevato, adeguato alle
esigenze bancarie
HOTP Security Token
5
Transaction Data Signing (TDS)
Il TDS è una modalità operativa che consente di validare
operazioni di qualsiasi tipo mediante delle password legate
non soltanto alla identità (tipo OTP), ma anche a dati specifici
dell’operazione stessa.
Contrasta efficacemente gli attacchi tipo MitM/MitB che ormai
affliggono l’operatività via Internet, specie quella bancaria.
E’ una modalità operativa raccomandata dai maggiori
specialisti di sicurezza (p.es. Schneier)
E’ una modalità per la conferma delle disposizioni
raccomandata da BCE a tutte le Banche dell’area euro nel suo
VII Rapporto sulla SEPA (vedi par.4.2)
HOTP Security Token
6
HOTP: Standard internazionali di riferimento
 Gli algoritmi di base di Hotp (OTP su HMAC) sono
pubblici, standard industriali gestiti da
OpenAuthentication (OATH):
•
•
•
RFC4226, OTP Event Based
RFC6238, OTP Time Based
RFC6287, OATH Challenge/Response Algorithm
OATH è una collaborazione tra i leaders industriali del settore
per definire e sviluppare standard non proprietari per la strong
authentication: http://www.openauthentication.org
HOTP Security Token
7
Sicurezza di HOTP: Caratteristiche Principali
 I dati sensibili (usati per autenticazione, data signing,
crittografia delle comunicazioni) memorizzati nello smartphone sono protetti con cifratura AES256 e controllo
integrità;
 Protezione dell’utilizzo tramite PIN conosciuto
soltanto dall’utente;
 Il PIN utente non è memorizzato nel telefonino;
 Gestione dei casi di furto/smarrimento del telefonino;
 L’applicazione HOTP è firmata digitalmente: lo smartphone verifica l’integrità del software e l’identità del
fornitore del token.
HOTP Security Token
8
Le Funzioni del Token HOTP
Il Token è un dispositivo multifunzionale, le modalità
operative sono completamente configurabili.
Le funzioni sono:
Attivazione del Token;
Generazione della password OTP;
Generazione codice TDS;
Cambio PIN.
HOTP Security Token
9
HOTP: Processo Deployment & Attivazione
Via Web: Register Part
Number, get Unlock PUK
(via SMS/e-mail)
Download APP
2
PIN
3
ENROLL
Link all’App Store
ACTIVATE
1
DOWNLOAD
4
Unlock Hotp token.
Supply OTP to Enroll
function to complete
Activation
OTP
5
TOKEN ATTIVO
HOTP Security Token
10
Architettura Sistema HOTP
(Serial, Seed,
PUK)
HSM/Crypto
DB
Handset
Features
Sistema
HOTP
Authentication
Server
Delivery
Server
Web Services
OTA Download,
accesso Mobile
Front end di provisioning ed autenticazione della Banca
Servizi Mobile
Web Applications
Servizi Token
HOTP Security Token
11
Server HOTP
 Soluzione entry-point basata su Linux e software di
base open source (MySql, Tomcat Apache, …)
 Scalabilità in ambiente Linux con clusterizzazione
dei server
 Portabilità su altre piattaforme Unix / Oracle
HOTP Security Token
12
HOTP®MSP: Un’unica Tecnologia Oltre il Token
Nexsun offre al mercato la piattaforma MSP (Mobile Secure
Platform per realizzare le tipiche Apps sicure, utilizzabili via
smart-phone.
L’infrastruttura è basata sul sistema Hotp, identiche modalità
operative del token per offrire agli utenti un ambiente operativo
congruente.
I servizi di autenticazione OTP e TDS sono integrati nelle Mobile
Applications, trasparenti agli utenti senza necessità di ulteriori
dispositivi.
HOTP Security Token
13
MSP, Mobile Secure Platform: Key Features




Ha le stesse procedure e meccanismi di delivery di Hotp:
Condivide lo schema di sicurezza di Hotp:
• Gestione PUK di sblocco e PIN utente;
• Crittografia della memoria dei dati sensibili;
• Connessione cifrata https con i server di autenticazione
• Servizi di autenticazione OTP e TDS integrati nella Mobile App
Mutua Autentica della App al sistema in modo automatico, senza
digitazione di credenziali di accesso (nessuna digitazione di Url,
Login, Password);
Si interfaccia con gli stessi applicativi di back-end utilizzati per il
servizio Web.
In definitiva, il token software Hotp e le Mobile Apps sicure
condividono la stessa infrastruttura e le stesse modalità operative.
HOTP Security Token
14
Riusabilità della piattaforma HOTP per le applicazioni MSP
Sistema HOTP
Algoritmi
OATH
Gestione
PIN/PUK
Gestione
Integrità e
Autenticità del
software
Protezione
dei dati
memorizzati
OTA
Delivery
& Activation
Handset
Features
Recognition
Sistema MSP di Mobile Banking
Sistema HOTP
Client
Connessione
Server
http
Mutua
sicura
Autenticazione
Logica
Applicativa
Client
Server
Application
Gateway
Componenti
base
Componenti
aggiuntive
HOTP Security Token
15
Tipici casi d’uso in architettura MSP
Il Framework MSP consente di realizzare Mobile Apps sicure nelle
seguenti aree applicative:
 Disposizioni Bancarie:
• Bonifici;
• Trasferimento fondi da account di C/C a carta ricaricabile
• Trasferimento fondi da carta a carta (C2C)
• Ricariche telefoniche
• Altre…
Comunicazioni sicure:
• Sistemi di Istant Messaging sicuri
 Firma Elettronica Avanzata (FEA):
• Firma remota di documenti via Web o Mobile
 Accessi per Amministratori di Sistema:
• Sistemi di Single Sign On
HOTP Security Token
16
HOTP Demo Web Site
Ask Nexsun for Security
Codes and try
Demo Web Site
Thanks for your
attention!
HOTP Security Token
17