Джакарта ЕГАИС обзор ключа jacarta SE 2.0

Введение

Традиционно под токенами понимаются портативные устройства, которые содержат во внутренней памяти «секрет» (криптографические ключи, сертификаты, пароли). Это могут быть смарт-карты, SIM-карты, USB-устройства на основе смарт-карт и др. Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр.

Обычно токен оснащен защищенным микропроцессором, операционной системой, ядром для исполнения криптографических алгоритмов, защищенным хранилищем чувствительных данных («секрета»), одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.

Токены используются в качестве элементов подсистемы обеспечения информационной безопасности в коммерческих и государственных учреждениях, банках, телекоммуникационных системах. Токены, в которых реализованы криптографические алгоритмы преобразования информации (главным образом, в этом контексте уместно вести речь об электронной подписи), относятся к числу средств криптографической защиты информации (СКЗИ).

Законодательство Российской Федерации и сложившаяся практика в сфере обеспечения информационной безопасности в ряде случаев предусматривают обязательное использование СКЗИ, которые имеют сертификат ФСБ России. Так, для использования усиленной квалифицированной электронной подписи подходят только токены, для которых подтверждено соответствие требованиям, установленным Федеральным законом от 06.04.

2021 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27 декабря 2021 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Это соответствие подтверждается наличием сертификата соответствия, выданного ФСБ России, в котором соответствующая информация приводится в явном виде.

В зависимости от нужд потребителя токены в качестве СКЗИ могут быть сертифицированы на различные классы защиты. В нашем сравнении в таблице ниже на соответствие этим требованиям указывает параметр «Класс» раздела «Сертификат ФСБ». В соответствии со статьей 20 Приказа ФСБ № 796 при разработке средств электронной подписи должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований.

С использованием токенов в зависимости от их функциональных особенностей может быть реализовано множество функций безопасности:

• Защита ключей: в токене могут защищенным образом храниться секретные ключи, пароли, маркеры доступа.
• Электронная подпись: в токене могут храниться секретные ключи и выполняться операции создания и проверки подписи.
• Шифрование данных: в токене по запросу со стороны приложения могут генерироваться ключи шифрования, выполняться операции симметричного и асимметричного шифрования, производиться процедуры экспорта ключа в открытом или зашифрованном виде.
• Хеширование: в токене по запросу со стороны приложения могут вычисляться значения хеш-функции для блоков данных.

Даже из приведенного краткого описания видно, что за понятием «токен» кроется обширное множество решений. Они могут различаться почти во всех отношениях, начиная от форм-фактора изделия и заканчивая ограничениями на среду его функционирования. Оборотная сторона разнообразия — трудный выбор.

Как показывает опыт, разночтения есть даже в самом понимании сущности токена. Иногда потребитель рассчитывает на наличие несвойственных токену функций — например, возможности защищенного хранения пользовательских данных. Или может не принимать во внимание имеющиеся ограничения (поддерживаемые интерфейсы встраивания; операционные системы, в которых может работать токен; поддерживаемые криптографические алгоритмы и др.).

Далее, если сертификат имеется, потребитель не всегда старается разобраться в нюансах, а удовлетворяется фактом его наличия. Например, есть риск упустить из виду, что в соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.2021 «О порядке перехода к использованию новых стандартов ЭЦП и функции хеширования», использование ГОСТ Р 34.

10-2001 для формирования подписи после 31 декабря 2021 года не допускается. Вместо этого должен быть выполнен переход к использованию национального стандарта ГОСТ Р 34.10-2021. Обратите внимание, что в таблице ниже приведены реализованные в токенах в настоящее время национальные стандарты.

Наконец, производитель порой выбирает настолько сложную схему сертификации изделия, что неискушенному человеку трудно разобраться в ней. Список факторов, влияющих на выбор, широк.

При существующем положении вещей полезно иметь компактный справочник с указанием основных характеристик, функциональных возможностей и ограничений токенов. Особенно наглядна такая информация в виде сравнительной таблицы — она представляет сведения о каждом токене в удобной форме и позволяет сравнить токены разных производителей между собой.

Какие бывают виды криптоключа джакарта

Для торговли алкоголесодержащей продукции требуется Джакарта ЕГАИС формата ГОСТ. Эта модель поддерживает работу с российскими криптографическими алгоритмами. На сегодня эта модификация Джакарта считается устаревшей, так как с января 2021 года выведены новые алгоритмы. для аппаратной реализации разработана новая версия — JaCarta-2 ГОСТ. Именно такая модель нужна в данный момент.

Кроме того, существуют и другие разработки Джакарта, выполняющие другие или дополнительные функции:

• Джакарта PKI — аналогичен вышеуказанному формату, только с реализацией в зарубежных алгоритмах;
• PKI/BIO — с двух- или трехфакторной аутентификацией владельца, дополненный биометрическими данными отпечатков пальца. Такая идентификация является дополнительной защитой от взлома и подделок;
• Джакарта PRO — работает с eToken Java, выпускается в форме usb или смарт-карты;
• LT — флеш-носитель без криптоалгоритмов, предусматривает хранение реквизитов, лицензий и похожих данных в небольшом объеме;
• WebPass — оснащен кнопкой для формирования одноразового и хранения многоразовых паролей, с автоматическим вводом в окне браузера;
• Джакарта U2F — оборудован такой же кнопкой, срабатывающей от нажатия, работает с FIDO U2F, позволяет безопасно входить в различные социальные сети и другие ресурсы.

Методология сравнения токенов

Сведения, представленные в рамках сравнения, включают:

• реестр токенов;
• перечень параметров, по которым они могут быть сопоставлены;
• оценка токенов по представленным параметрам.

Номенклатура токенов, имеющих действующий сертификат ФСБ России, составлена преимущественно на основе данных «Перечня средств защиты информации, сертифицированных ФСБ России». Этот перечень регулярно обновляется, и разумно рассматривать его в качестве достоверного источника информации с поправкой на некоторую задержку в части обновления сведений.

Параметры сравнения выбирались таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывалось как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:

• PKCS #15 v1.1: Cryptographic Token Information Syntax Standard; RSA Laboratories; June 6, 2000;
• Department of Defense Public Key Infrastructure and Key Management Infrastructure Token Protection Profile (Medium Robustness), Version 3.0, 22 March 2002, Common Criteria for Information Technology Security Evaluation, Prepared by Booz Allen Hamilton Prepared for National Security Agency (NSA);
• Серия европейских стандартов Protection profiles for Secure signature creation device;
• GlobalPlatform Device Technology. Secure Element Access Control, Version 1.0, Public Release, May 2021;
• NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management, June 2021», введенный в действие в июне 2021 года и заменяющий значимые для поставленной цели разделы документа «NIST Special Publication (SP) 800-63-2. Electronic Authentication Guideline, August 2021.

Оценка токенов согласно выбранным параметрам производилась на основании сведений из открытых источников, уточненных производителями решений по нашей просьбе. Авторы сравнения старались, чтобы сведения были максимально полными и достоверными. Но реалии таковы, что полностью исключить возможность ошибки нельзя. Поэтому мы готовы внести в материал коррективы, которые помогут повысить его качество.

При использовании сравнительной таблицы следует принять в расчет ряд оговорок частного характера:

• «РУТОКЕН ЭЦП» в исполнениях «РУТОКЕН ЭЦП», «РУТОКЕН ЭЦП micro» и «РУТОКЕН ЭЦП Flash» снят с продаж (при этом соответствующие сертификаты действуют до конца 2021 года).
• С начала 2021 года прекращены процедуры продажи, поддержки и сопровождения USB-токенов семейства eToken PRO (Java), eToken и СКЗИ «Криптотокен» в составе изделий eToken ГОСТ. По этой причине eToken ГОСТ исключен из рассмотрения в рамках настоящего сравнительного анализа.
• В сертификате на «Криптотокен ЭП» (JaCarta ГОСТ и соответствующие комбинированные модели) не указаны отечественные стандарты в области криптографической защиты информации.
• На отечественном рынке есть решения, оценка которых с учетом нюансов сертификации может быть затруднительна для потребителя. Примером является функциональный ключевой носитель (ФКН) vdToken производства компании «Валидата». ФКН vdToken не сертифицирован как самостоятельное изделие, но поддержка его заявлена в сертификатах соответствия аппаратно-программных комплексов производства компании «Валидата». Это обстоятельство отражено в значении параметра «Объект сертификации» в таблице сравнения токенов.
• Имеются решения, сертификация которых на момент написания статьи еще не закончена, но проходит завершающую стадию. Одно из таких решений, «Токен », с оговоркой включено в таблицу сравнения сертифицированных решений.
• Имеется решение, сведения о котором получены уже после подготовки данного материала. Речь идет об изделии Рутокен ЭЦП 2.0 исполнение А, регистрационный номер сертификата СФ / 121-3241 от 21 ноября 2021 года, действительный до 31 декабря 2021. Данное изделие соответствует требованиям к СКЗИ классов КС1, КС2; Требованиям Приказа ФСБ № 796 для классов КС1, КС2 и может использоваться в том числе для реализации функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2021 г. № 63 ФЗ «Об электронной подписи». Информация об этом решении не включена в сравнительную таблицу, читатель может ознакомиться с его возможностями самостоятельно на сайте производителя.

Настройка клиента

Установите ПО «Единый Клиент JaCarta» и «JaCarta SecurLogon» с официального сайта компании «Аладдин Р.Д.».

«JaCarta SecurLogon» — программное решение, обеспечивающее простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft Windows и доступе к сетевым ресурсам по токену JaCarta.

Выберете вкладку «PKI» и проинициализируйте токен.

Инициализация ключа приведет к удалению всех данных на нем. Если на ключе есть необходимая вам информация, в том числе ключи и сертификаты для других систем, не проводите инициализацию ключа.

С помощью ПК «Единый Клиент JaCarta» импортируйте на токен файл PKCS#12, ранее сгенерированный для клиента. На токене появятся ключи и сертификат, их можно увидеть в окне «Единый Клиент JaCarta». Установите сертификат с токена в личное хранилище компьютера.

Скопируйте sha1 отпечаток личного сертификата, он потребуется для дальнейшей настройки.

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.# See the server config file for more# description. It’s best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»ca C:ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРАca.crt

Настройка сервера

Для возможности аутентификации в

OpenVPN

по цифровому сертификату необходимо, чтобы клиент и сервер имели цифровые сертификаты, выданные доверенным центром сертификации. Клиент должен доверять сертификату сервера, а сервер – сертификату клиента.

Нарушение доверия к сертификату сервера или клиента приведет к невозможности установки VPN-соединения.

Рассмотрим процесс выпуска ключей и сертификатов с использованием средств, предлагаемых самим OpenVPN.

Перейдите в каталог easy-rsa, который находится в установочной директории OpenVPN и запустите init-config.bat. В результате работы создастся файл vars.bat, который необходимо отредактировать для адаптации к вашему окружению:

set HOME=%ProgramFiles%OpenVPNeasy-rsa – задайте рабочий каталогset KEY_CONFIG=openssl-1.0.0.cnf – задайте конфигурационный файл Opensslset KEY_DIR=keys – задайте каталог для хранения ключейset KEY_SIZE=1024 – установите размер ключаset KEY_COUNTRY=US – укажите странуset KEY_PROVINCE=CA – укажите областьset KEY_CITY=SanFrancisco – укажите городset KEY_ORG=OpenVPN – укажите название организацииset [email protected] – укажите e-mailset KEY_CN=changeme – укажите общее имя (common name) set KEY_NAME=changeme – укажите имяset KEY_OU=changeme – укажите подразделение организации

Следующие секции оставьте без изменений:

set PKCS11_MODULE_PATH=changeme – путь к модулю pkcs#11set PKCS11_PIN=1234 – ПИН-код к смарт-карте

Необходимо сгенерировать ключи для TLS. Создайте пустые файлы для хранения индексов и серийных номеров. Для этого запустите (выполняется один раз):

Сгенерируйте ключ Удостоверяющего центра (выполняется один раз). Запустите:

В диалоге укажите имя желаемого Удостоверяющего центра.

Сгенерируйте файл для ключей Диффи-Хэллмана (только для сервера, выполняется один раз).

Запустите:

Сгенерируйте приватный ключ и сертификат сервера.

Запустите:

В результате будут сгенерированы ключ и сертификат с именем машины (сервера).

Теперь необходимо создать ключи и сертификаты для клиентских машин. Сгенерируйте файл PKCS#12 для каждой клиентской машины.

Для этого запустите:

В результате будет сгенерирован файл PKCS#12 с именем клиентской машины. Это нужно будет сгенерировать для каждой машины.

Отредактируйте ваш файл конфигурации сервера, задайте правильные сетевые настройки.

Обратите внимание на то, что необходимо правильно указать пути к файлам ключей и сертификатов. Выдержка из конфигурационного файла:

# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see «pkcs12» directive in man page).ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtcert C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.crtkey C:ПУТЬ_К_КЛЮЧУ_СЕРВЕРАserver.key

# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh2048.pem 2048dh C:ПУТ_К_ФАЙЛУ_ДИФФИ-ХЭЛЛМАНАdh1024.pem

Системные требования jcr721

Считыватель JCR721 является универсальным устройством, которое работает с любыми типами контактных микропроцессорных смарт-карт (стандарты ISO 7816 Part 1-3 Class A, B, C (5V, 3V, 1.8V)). Таким образом, если в компании уже применяются смарт-карты от компании «Аладдин Р.Д.

Рисунок 4. Фотография JCR721 с разных ракурсов

«Ридер» JCR721 может использоваться с отечественными процессорами «Эльбрус» и «Байкал», а также практически с любой операционной системой:

• Windows XP SP3, Vista SP2, 7 SP1, 8, 8.1, 10.
• Microsoſt Windows Server 2003 SP2, 2008 SP2, 2008 R2 SP1, 2021, 2021 R2.
• GNU/Linux x32/x64, в том числе Astra Linux 1.5 x64, Astra Linux 1.6 x64, Альт Линукс СПТ 7.0 (x32 и x64), KTL (Kraſtway Terminal Linux), МСВС 3.0 х32, МСВС 5.0 х64, ОС «Эльбрус».
• Apple macOS 10.13 High Sierra (x64), mac OS 10.14 Mojave.
• Android 8 (Oreo).
• Российская защищенная мобильная операционная система Sailfish Mobile OS Rus (Отечественная мобильная ОС «Аврора»).

Также поддерживается работа в различных средах виртуализации:

• Citrix XenApp 7.5 (ICA, RDP).
• Microsoft Hyper-V (RDP).
• VMware WorkStation 15 (64 бит), VMware Horizon 7.3.1 (BLAST), VMware ESXi (PCoIP, RDP).
• OpenStack, российские сборки Linux — KVM (Spice, freerdp, rdesktop).
• KTL (Kraftway Terminal Linux).

Особенностью считывателя JCR721 является отсутствие потребности в установке специальных драйверов или других прикладных программ. При этом обеспечивается автоматический выбор протокола и параметров PPS. Для JCR721 доступны программные интерфейсы PC/SC и CCID.

Сравнение токенов с действующим сертификатом фсб россии

В сравнении мы намеренно не делаем выводов, не выделяем продукты и производителей. Этот материал следует расценивать как сводку информации о токенах, без замалчиваний и преувеличений. Окончательный выбор всегда остается за потребителем, поскольку только он способен адекватно оценить значимость каждого показателя в выборе токена в своем, частном случае.

Благодарим за активное участие в создании статьи:

Владимира Иванова, директора по развитию компании «Актив»

Антона Кузнецова, ведущего менеджера по развитию продуктов компании «Аладдин Р.Д.»

Максима Садовского, ведущего специалиста компании «Валидата»

Илью Моргасова, генерального директора компании «Инфокрипт»

Функциональные возможности и особенности jcr721

Можно выделить следующие основные функциональные возможности JCR721.

• Поддержка современных смарт-карт с тактовой частотой до 16 МГц (см. системные требования).
• Поддержка скорости обмена данными со смарт-картой до 323 Кбит/с.
• Поддержка скорости обмена с хостом (ПК) по интерфейсу USB 2.0 (Full Speed) до 12 Мбит/с.
• Оповещение о скором исчерпании ресурса контактной группы (количества подключений) — в данном случае на устройстве загорится красный индикатор. При этом ресурс составляет более 200 000 циклов подключения смарт-карты.

Считыватель JCR721 имеет неотсоединяемый USB-кабель с защитой от перегибания и перетирания (разъем USB 2.0 Type-A поставляется по умолчанию, USB 3.1 Type-C — на заказ). В «ридер» встроена подсистема безопасного обновления прошивки, благодаря чему у администраторов не возникнет сложностей в случае добавления новых функций либо поддержки протоколов и спецификаций.

Рисунок 1. Считыватель смарт-карт JCR721 может поставляться в двух цветах — светло-серый и черный (дополнительный)

К особенностям JCR721 можно отнести следующие его характеристики.

1. Специальный контактный механизм с технологией «Микролифт», который используется в дорогих промышленных устройствах, благодаря чему контакты не скользят по поверхности в процессе подключения и отключения, царапая ее, а опускаются на контактную площадку только после полной фиксации карты в считывателе. За счет этого увеличивается срок службы смарт-карт.
2. Защита от пробоя статическим электричеством и короткого замыкания: 5В / GND на любую линию.
3. Вместе с устройством JCR721 заказчику могут быть предоставлены SDK для интеграции с прикладным и встраиваемым программным обеспечением, а также электронные замки типа модулей доверенной загрузки (АПМДЗ).
4. По желанию заказчика на считыватель JCR721 может быть нанесен цветной или монохромный логотип. При этом используется тампопечать или лазерная гравировка.
5. Разработчики уделили внимание эргономичности — устройство оборудовано силиконовыми ножками, что не позволяет ему скользить по столу при подключении и отключении карты.

Рисунок 2. JCR721 может быть представлен в бескорпусном (встраиваемом), малогабаритном и вертикальном исполнении

Выводы

Использование смарт-карт прочно встроилось в процесс обеспечения безопасности систем разного уровня, включая объекты критической информационной инфраструктуры, банковские системы, системы электронных торгов, персональных данных и управления технологическими процессами.

«Ридер» JCR721 в данный момент проходит испытания для получения сертификата о соответствии новым «Требованиям к уровням доверия» ФСТЭК России, что означает возможность его использования в работе с гостайной до степени «совершенно секретно» включительно.

JCR721 может поставляться в двух цветах, при этом по желанию заказчика на считыватель может быть нанесен логотип организации. Тем компаниям, которые хотели бы получить встраиваемое решение, «Аладдин Р.Д.» предлагает SDK для разработчиков.

Преимущества

• Обеспечивается поддержка разъемов USB Type-A и USB Type-C, при этом устройство поддерживает версии USB 1.1, 2.0, 3.0 и 3.1.
• Высокий ресурс контактной группы (более 200 000 циклов подключения смарт-карты).
• Отсутствие потребности в установке дополнительных прикладных программ (для сертифицированных версий поддерживается возможность аутентификации устройства в приложениях).
• Устройство JCR721 зарегистрировано в «Едином реестре отечественного программного обеспечения» (регистрационный номер 4318).
• Поддержка отечественного аппаратного обеспечения (процессоры «Эльбрус» и «Байкал»).
• После получения сертификата соответствия считыватель JCR721 можно будет применять в системах обработки сведений, составляющих государственную тайну, до уровня «совершенно секретно».

Недостатки

• На момент написания обзора ожидается получение сертификата соответствия новым «Требованиям к уровням доверия» ФСТЭК России.
• Не поддерживаются выходящие из обращения карты памяти, работающие по протоколам I²C (S=8), 3-wire (S=9), 2-wire (S=10), например карты с защищенной памятью и аутентификацией по паролю или PIN-коду, смарт-карты с защитой Security Logic, а также Free memory card.