Обзор решений Рутокен для электронной подписи / Публикации / Пресс-центр / Компания «Актив»

Bluetooth

Для электронной подписи на мобильных устройствах компании Apple — iPhone и iPad — используют Рутокен ЭЦП Bluetooth, который работает по беспроводному протоколу Bluetooth, получая от мобильного устройства электронный документ и возвращая электронную подпись.

Рутокен Bluetooth интегрирован в ЭДО Directum Solo и в информационную систему «Защищенная мобильность» как средство подключения и взаимодействия сотрудников коммерческих организаций и государственных учреждений при помощи мобильных устройств. Также мобильную электронную подпись можно использовать в продуктах компании ЭОС и в мобильных приложениях «КриптоАРМ» и «Трансфер Подпись».

Автоматическая настройка сертификата электронной подписи и рабочего места

Ао «актив-софт»

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация – процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя – данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:

  • Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
  • Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
  • Для ответов на запросы Пользователя в службу поддержки;
  • Для выполнения обязательств по договорам.

Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.

ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ

Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ

АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.

АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.

АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.

АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.

С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.

Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.

АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».

БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.

АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.

АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.

ХРАНЕНИЕ ДАННЫХ

АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.

Атака на драйвер usb-шины

Создание такого эмулятора потребовало изучение протокола обмена между драйвером электронного ключа и драйвером USB-шины. Как это ни парадоксально звучит, но в такой ситуации более надёжными оказались LPT-ключи, т.к. драйвер электронного ключа напрямую взаимодействует с LPT-ключом через порты ввода/вывода компьютера, минуя промежуточный драйвер.

К сожалению, полностью избавиться от программных эмуляторов на уровне USB-шины, используя ключи с симметричной криптографией, невозможно. Тем не менее, хорошая защита, построенная на постоянном обмене с электронным ключом, может потребовать не один день для записи всех возможных посылок и ответов к ключу и сработать у нелегального пользователя в самый неподходящий момент. Взломанные программы, перестающие работать по непонятным причинам, лишь тому подтверждение.

Отдельно хочется упомянуть о защитах, когда разработчики ограничиваются простой проверкой наличия электронного ключа. Это грубая ошибка. Используя дизассемблер, “независимость” такой программе можно подарить за 15 минут.

В электронных ключах с асимметричной криптографией обмен данными между защищённой программой и электронным ключом шифруется на сеансовых ключах. По этой причине единственно возможным является третий вариант атаки.

Атака на драйвер электронного ключа

Данный вид атаки является наиболее простым. Оригинальный драйвер электронного ключа заменяется на драйвер-эмулятор. Данные, передаваемые в ключ и возвращаемые обратно, перехватываются и сохраняются в файле на диске. Затем оригинальный ключ извлекается из компьютера и программа начинает взаимодействовать с эмулятором, продолжая искренне верить в то, что общается с ключом.

Переходя к частностям, хотелось бы остановиться подробнее на защите от программных эмуляторов в электронных ключах Guardant. Драйверы электронных ключей Guardant содержат электронную подпись (ЭП). При вызове функций Guardant API защищенное приложение автоматически проверяет подпись драйвера в оперативной памяти.

Поскольку закрытый ключ не известен, создать драйвер-эмулятор с правильной подписью невозможно. Убрать проверку мешает виртуальная машина (псевдокод), с помощью которой защищены исполняемые файлы драйверов и библиотеки Guardant API. Схема проверки изображена на рис.2.

После внедрения такой защиты на практике, программные эмуляторы сместились на уровень USB-шины (2-й вариант атаки).

Атака на перехват вызовов статической библиотеки api


Данная атака является наиболее логичной для ключей с асимметричной криптографией. Она целесообразна только в случае, если производитель электронных ключей позаботился о защите своих библиотек, иначе гораздо проще атаковать саму библиотеку.

С помощью современного дизассемблера можно быстро распознать функции API в программе. А раз так, то все вызовы функций легко перехватить. Это означает, что коды доступа, запросы и ответы по-прежнему остаются уязвимы. И если сам разработчик программы не защитил вызовы функций API, то это наилучшее место для атаки.

Для исключения возможности перехвата вызовов статической библиотеки API в защищённой программе, необходимо ключевые функции приложения и функции API объединить в единое целое. Только тогда анализировать параметры, перехватывать вызовы или модифицировать запросы и ответы к функциям API будет действительно сложно.

На практике разработкой защиты начинают заниматься уже после того как написан основной код приложения. Очень часто на глубокую интеграцию взаимодействия программы и электронных ключей не хватает времени, а возможно, и желания. Наименее трудоёмкий способ повысить качество защиты, это дополнительно использовать программные средства, усложняющие анализ кода. В этом случае, взаимодействие функций программы и функций статической библиотеки API становится трудным для понимания.

Читайте также:  Примеры выписки из ЕГРН Росреестра на квартиру, дом, земельный участок | Образец выписки

Возвращаясь к электронным ключам Guardant, скажем, что все библиотеки Guardant API защищены от анализа и модификации с помощью виртуальной машины. Под виртуальной машиной подразумевается псевдокод, полученный из оригинального бинарного кода программы, и соответствующий ему интерпретатор.

Инструкции псевдокода могут быть выполнены только на том интерпретаторе, для которого он был сгенерирован. Интерпретатор отвечает за защиту инструкций псевдокода и самого себя от модификации при помощи множественного контроля целостности. Все параметры инструкций, константы, адреса переходов расшифровываются на хэшах фрагментов псевдокода и самого интерпретатора.

Технология защиты псевдокодом доступна всем желающим с помощью сервиса Guardant Armor. У такого подхода есть ряд преимуществ: инструмент защиты постоянно обновляется и недоступен для изучения. При этом особую выгоду получают разработчики, использующие электронные ключи Guardant.

Сервис позволяет защищать функции программы одновременно с функциями статической библиотеки Guardant API (технология Guardant Monolith). Наличие библиотеки Guardant API внутри приложения определяется автоматически, поэтому никаких дополнительных перекомпиляций приложения не требуется.

В результате, при каждой защите приложения создаётся уникальная копия виртуальной машины со своими инструкциями, константами, обфускацией, в которой логика работы программы тесно связана с библиотекой электронного ключа. Теперь для перехвата вызовов статической библиотеки или атаки на саму библиотеку придётся разбираться с каждой защитой индивидуально.

Рассмотрим это на примере небольшого тестового приложения, фрагмент которого приведён на рис.4. Данный пример очень ярко характеризует уязвимость вызовов любой статической библиотеки внутри приложения. Проблема касается всех производителей электронных ключей.

Предположим, что функция приложения MyLogicAndVerifyDongle содержит некоторые программные вычисления с использованием электронного ключа. Работа без данной функции невозможна, т.к. она содержит часть ключевой логики приложения. При этом вызов функции осуществляется из менее важного участка кода программы.

Для обращения к электронному ключу используются вызовы статической библиотеки Guardant API. В данном примере это вызовы функций GrdRead и GrdCrypt. В начале каждой функции находится лишь переход в защищённую область VM_Start. Тем не менее, сама функция MyLogicAndVerifyDongle остаётся незащищённой и может быть подвержена атаке.

Теперь проведём защиту функций API и ключевых функций приложения с помощью сервиса Guardant Online. Фрагмент защищённого приложения приведён на рис. 5.

После защиты функция MyLogicAndVerifyDongle содержит лишь переход в защищённую область Guardant_VirtualMachine. По адресам, где ранее располагался исполняемый код функции, оказываются мусорные инструкции. Сама функция транслируется в псевдокод и исполняется на той же самой виртуальной машине, что и функции Guardant API.

Больше нет возможности ставить точки останова на вызовы функций API, т.к. переходы спрятаны внутри виртуальной машины. Это означает, что для взлома программы придётся раскручивать всю логику работы виртуальной машины, а это на порядок сложнее, чем простой перехват функций API.

Для чего нужен код активации офд

Электронный ключ помогает начать пользоваться услугами оператора. Онлайн-кассы работают с фискальным накопителем — специальным чипом, на котором в зашифрованном виде хранятся данные с каждого выбитого чека. 

По 54 ФЗ данные о продажах должны быть доступны налоговой в режиме реального времени. Чтобы ККТ передавала данные, нужно заключить договор с ОФД— посредником между кассой и налоговой. Электронный ключ активирует тариф и аппарат передает сведения о продажах.

Для чего нужен guardant code

Электронный ключ Guardant Code представляет собой доверенную аппаратную платформу, позволяющую выполнять произвольный пользовательский код вне центрального процессора и оперативной памяти компьютера, на котором работает защищенное приложение. Ключ обладает 128 КБ памяти для загружаемого в него кода, 20 КБ оперативной памяти и представляет собой миниатюрный компьютер на основе 32-битного ARM-микроконтроллера архитектуры Cortex-M3.

Защитный механизм загружаемого кода основан на том, что алгоритм, запрограммированный в ключ самим разработчиком, обрабатывает полезные данные, получаемые в процессе работы приложения. Обработанные данные можно использовать в приложении напрямую, исключая проверки валидности, которые, как правило, сводятся к одной-двум ассемблерным командам.

Использование в егаис

Продукты Рутокен считаются наиболее надежным инструментом для Единой государственной автоматизированная информационной системы (ЕГАИС), предназначенной для государственного контроля над объемом производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции.

Как активировать код офд

У каждого оператора личный кабинет выглядит по-разному, но принцип активации одинаковый для всех. Рассмотрим на примере Первого ОФД:  

  • зарегистрировать кассу в налоговой. Для незарегистрированного аппарата активировать тариф не получится; 
  • в личном кабинете перейти в раздел «управление кассами»;
  • выделить свой аппарат и нажать на кнопку «выбрать тариф» — квартальный, годовой или трехгодовой. После этого система возвращает в окно выбора, где нужно снова выделить кассу и нажать на кнопку «активировать»;
  • ввести номер ключа активации в появившемся окне. 

После этого аппарат готов к работе. Код можно использовать только один раз. 

Как купить код активации офд

Код можно купить в Модульбанке, для этого напишите в чат нашему консультанту на сайте.

С услугой «Касса под ключ» мы сами готовим ККТ к работе: 

  • создаем цифровую электронную подпись; 
  • подключаем ККТ к оператору фискальных данных;
  • регистрируем в налоговой;
  • создаем торговые точки в личном кабинете МодульКассы. 

Онлайн-кассу, фискальный накопитель и пакеты услуг можно взять в рассрочку на полгода без первого взноса, штрафов и комиссий.

Мы постоянно улучшаем кассу, чтобы сделать ее быстрее и удобнее. Поэтому цена и количество моделей могут меняться. Актуальная информация — на нашем сайте.

купить офд кодыкупить коды офдактивация кассы в офдкод активации оператора фискальных данныхкак активировать офдкак активировать ключ офдофд активировать кассупин код активации кассы в офд что этобудут ли обязательны кассовые аппараты для ип в 2020 годуштраф за отсутствие кассового аппарата у ооо в 2020 годуонлайн кассы для ип на енвд в 2020 году законотсрочка от онлайн касс для ип на усн последние новостионлайн кассы для ип на усн отсрочка до 2021 годаонлайн кассы для ип на усн отсрочка до 2020 годанужен ли ккм для ип на усн при оказании услугкассовый аппарат для ооо на усн закон до 2021 годаобязательно ли ккм для ип на усн в 2020 годукассовые аппараты для ип в 2020 году на енвд законкассовые аппараты с 2020 года для ип на енвд зачемккт для ип на енвд с 2020 года кому ставитькассовые аппараты для ип в 2020 году на енвд отзывывведут ли кассовые аппараты для ип в 2020 на енвдкассовый аппарат для ип на усн в 2020 году ценабудут ли отменены онлайн кассы для ип в 2020 годузаключить договор с офд для подключения и регистрации кктрегистрация ккт в фнс и офд стоимостьофд я настройки кктподключение ккт к офдэксплуатация ккт тб и техническое обслуживание ккттест драйвера ккт проверка связи с офдрегистрация кассы в фнс и офд астралподключение кассы к офд для кассовых аппаратоврегистрация кассы в офд и в фнссколько стоит код маркировки на сигаретыкак выглядит код маркировки обувикод маркировки обувиперерегистрация офд без замены фнможно ли сменить офд без замены фнсмена офд без замены фн порядок действийможно ли поменять офд без замены фнсмена офд без замены фн что этопродление офд надо ли менять фноператоры фискальных данных в россии список фнсреестр операторов фискальных данных фнс россииоператор фискальных данных список фнссбис регистрация честный знакчестный знак в сбисесли оплата по терминалу нужно ли пробивать кассовый чекоплата по терминалу нужен ли кассовый чекоплата через терминал нужен ли кассовый чекфнс меры поддержки бизнеса коронавирус по иннмеры поддержки бизнеса коронавирус по иннкак узнать свой офд по иннкак узнать оператора офд по иннчестный знак не удалось создать подписьчестный знак не видит электронную подписьэлектронная подпись для честного знакачестный знак какая нужна подписьподключение терминала для оплаты банковскими картамиподключение к офд на 12 месяцев стоимостьсканер штрих кода для честного знакапример кода маркировки обувистоимость кода маркировкионлайн кассы фискальный накопитель срок эксплуатацииесли ип работает без кассового аппарата какие документынормативные документы регулирующие эксплуатацию кктчестный знак мдлп документыкак работать в личном кабинете честный знакчестный знак регистрация в личном кабинетесниженные тарифы страховых взносов в 2020 годукому положены сниженные тарифы по страховым взносамсниженные тарифы страховых взносов в 2020обслуживание ккм тарифытарифы офд сравнениекак получить коды маркировки на обувькак заказать коды маркировки обувикоды маркировки товаровприменение онлайн касс для ип на усн услугиприменение онлайн касс для усн услугикассовые аппараты для ип в 2020 году бытовые услугинужен ли кассовый аппарат для ип услуги 2020кассовый аппарат для ип на усн услугиможно ли оказывать услуги без кассового аппаратакакие услуги можно оказывать без кассового аппаратанужен ли кассовый аппарат для ип услугиип услуги населению кассовый аппарат для ипип на енвд без кассового аппарата услугириэлторские услуги нужен ли кассовый аппаратэдо честный знаксниженный тариф страховых взносовграфик работы касс оплаты жкхотсрочка онлайн касс для ип на енвд до 2021 годаотсрочка онлайн касс для ип на усн последние новостиотмена онлайн касс для ип в 2020 году патентконтур регистрация в честном знакеконтур честный знакплатформа офд спбофд мультикарта настройкиэкватор офд настройкинастройки ккм офд

Как работает guardant code

Благодаря высокоскоростной аппаратной платформе электронные ключи Guardant Code позволяют выполнять произвольный код в своей памяти (в памяти микроконтроллера), тем самым надежно защищая интеллектуальную собственность от изучения, а приложение от нелегального копирования.

  1. Произвольный код подбирается и подготавливается таким образом, чтобы его можно было перенести в электронный ключ.
  2. Алгоритм портируется на язык С и преобразуется для использования в электронном ключе. На этом этапе можно использовать любые возможности Guardant Code: управление светодиодом, вызов аппаратных алгоритмов, осуществление лицензирования по времени для ключей Time и другие возможности.
  3. При помощи компилятора GCC и утилит Guardant SDK скомпилированный алгоритм помещается в специальную защищенную ячейку в ключ.
  4. После этого загруженный код можно использовать из защищенного приложения простым вызовом функций Guardant API. Код программы и ключ становятся по сути одним целым.

Ключевые носители рутокен

Как уже говорилось, под брендом Рутокен выпускаются USB-токены и смарт-карты. По своему устройству и функциональности оба вида продукции очень похожи, отличаясь в основном форм-фактором и интерфейсом подключения к компьютеру, который у USB-токенов уже впаян в устройство, а у смарт-карт является отдельным внешним элементом. Поэтому в дальнейшем продукцию в этих двух форм-факторах мы будем называть просто токенами.

Читайте также:  Открытый и закрытый ключ электронной подписи

Рутокен может состоять из трех частей:

  • интерфейс взаимодействия с ПК или считывателем смарт-карт;
  • защищенная память для хранения ключей шифрования, сертификатов, паролей и прочей критически важной информации;
  • криптографическое ядро, реализующее алгоритмы электронной подписи, симметричного и асимметричного шифрования, хэширования и генерации ключевых пар.

В смарт-карты можно интегрировать дополнительные беспроводные интерфейсы — NFC и RFID. Благодаря этому они, помимо своего основного назначения, могут быть использованы для беспроводного обмена данными и в системах контроля и управления доступом (СКУД).

Смарт-карты можно использовать для большего количества задач. Например, одна и та же карта может быть использована в качестве пропуска с фотографией, устройства для подписания электронных документов и устройства для двухфакторной аутентификации с помощью интерфейса NFC.

USB-токены могут выпускаться в корпусах стандартного или уменьшенного размера.

Поскольку компания «Актив» является разработчиком полного цикла и самостоятельно создает все программное обеспечение — от карточной операционной системы до веб-сервисов, то обладает возможностью предоставлять регуляторам ФСТЭК и ФСБ гораздо больше информации, которая требуется для сертификации по высоким классам.

Продукты Рутокен сертифицированы ФСТЭК России на соответствие требованиям НДВ3 и НДВ4, а также ФСБ на соответствие требованиям КС1 и КС2.

Надежность продукции Рутокен косвенно подтверждается тем, что несколько сотен партнеров активно используют токены и смарт-карты при внедрении своих решений. В настоящий момент в эксплуатации находятся миллионы устройств. При этом по статистике, предоставленной компанией «Актив», гарантийный выход из строя устройств Рутокен за последние 10 лет не превышает 0,017%.

Обмен данными между программой и электронным ключом


Основным способом построения надёжной защиты является использование библиотеки API для работы с электронным ключом. Как правило, API поставляется в виде статической и динамической библиотеки.

Статические библиотеки, в отличие от динамических, присоединяются (линкуются) к исполняемой программе в процессе сборки. Их использование наиболее предпочтительно, т.к. исключает возможность простой подмены файла. Далее будем рассматривать защиту приложений, использующих именно статическую библиотеку.

Программа обменивается данными с электронным ключом через библиотеку API, которая напрямую взаимодействует с драйвером электронного ключа. Типовая схема обмена между защищённой программой и электронным ключом изображена на рис.1.

Атаки в такой схеме нацелены на взаимодействие между различными модулями защиты. Перехват запросов к электронному ключу на уровне драйвера электронного ключа (1) или драйвера USB-шины (2) не требует повторной модификации каждой новой версии приложения, в отличие от варианта с перехватом вызовов статической библиотеки API (3).

Общие сведения / о компании / компания «актив»

Компания «Актив» — российский разработчик средств информационной безопасности, крупнейший в России производитель электронных идентификаторов, электронных ключей и решений для защиты программного обеспечения. Компания была основана в 1994 году и сегодня объединяет бренды Рутокен и Guardant.

Продуктовый портфель компании содержит эффективные решения, направленные на повышение уровня информационной безопасности предприятий. У «Актива» накоплен обширный опыт реализации значимых проектов в ИКТ, корпоративном, финансовом и государственном секторах. Для этого у компании есть все необходимые лицензии ФСБ и ФСТЭК России на разработку и производство средств защиты информации.

Guardant — это стандарт де-факто на российском рынке защиты и лицензирования ПО. Данная линейка решений различных форматов для защиты и лицензирования программного обеспечения позволяет разработчикам софта построить надежные и эффективные продажи их программного продукта.

Решения Guardant включают в себя программные средства лицензирования, аппаратные ключи, сервисы для управления заказами на ПО, инструменты для защиты программного кода и т. д. Продукты обладают достаточной гибкостью и в совокупности позволяют решить практически любую задачу по монетизации программного обеспечения.

Рутокен — первая в России полностью отечественная линейка аппаратных продуктов и решений для аутентификации и создания электронной подписи. Ключевые носители Рутокен используются везде, где требуется безопасное хранение и использование паролей, цифровых сертификатов, ключей шифрования и ключей электронной подписи. Электронные идентификаторы Рутокен представлены в различных форм-факторах: от стандартного USB-токена или смарт-карты до Bluetooth-устройств.

Ежегодно компания производит более 1 миллиона токенов и смарт-карт и является лидирующим поставщиком средств аутентификации и электронной подписи в нашей стране. «Актив» — самый крупный производитель токенов для массового рынка в России. Компания закрывает потребности в ключевых носителях всех значимых аккредитованных удостоверяющих центров. Три четверти федеральных структур страны используют решения Рутокен. Большая часть российских коммерческих банков используют криптографические решения Рутокен в своих системах дистанционного обслуживания.

Более 25 лет компания последовательно развивает собственное производство, которое не имеет аналогов в стране. Программный код всех устройств полностью создан разработчиками «Актива». Решения Рутокен и Guardant включены в единый реестр отечественного ПО.

«Актив» постоянно сотрудничает более чем с 300 производителями оборудования и ПО. Так регулярно пополняется и совершенствуется портфель технологий, ведется планомерная работа по расширению партнерской сети. Это позволяет создавать комплексные решения, сочетающие инфраструктурную часть с автоматизацией бизнес-процессов. Вместе с технологическими и бизнес-партнерами ежегодно реализовывается более 1000 проектов.

Компания ежегодно увеличивает продажи своих продуктов и занимает существенную долю на российском рынке средств аутентификации и электронной подписи. «Актив» — член Ассоциации предприятий компьютерных и информационных технологий, Ассоциации Защиты Информации, Ассоциации РОСЭУ, ISDEF, РусКрипто, АБИСС, ТК26, ТК362. Компания является авторизованным участником программы Apple MFi, действующим партнером Microsoft (Gold Certified Partner в компетенции Gold Application Development), VMWare (Technology Alliance Partner уровня Elite).

Программное обеспечение рутокен

Компания «Актив» самостоятельно создает не только аппаратные токены, но и программное обеспечение для них. Создана и поддерживается карточная операционная система, полный набор драйверов, криптопровайдер, минидрайвер, система управления токенами и сертификатами Рутокен KeyBox, комплект разработчика (SDK) и плагин для браузера Рутокен Плагин.

Рутокен для двухфакторной аутентификации

Кажется невероятным, но восемь символов пароля — это все, что защищает информационные системы организации от кражи данных и уничтожения. А если пароль написан прямо на мониторе, подсмотрен через плечо или перехвачен вредоносной программой, то доступ для злоумышленника полностью открыт. Поэтому для надежной защиты необходимо обязательно использовать двухфакторную аутентификацию.

Читайте также:  Проверка ЭЦП на портале госуслуг

Работает она следующим образом. Каждому сотруднику выдается аппаратное устройство — USB-токен или смарт-карта. Факт обладания этим устройством является первым фактором аутентификации. Если токен будет утерян или украден, то его владелец сразу же это заметит и токен будет заблокирован для дальнейшего использования.

Есть два способа организации двухфакторной аутентификации. Если в компании развернута инфраструктура открытых ключей (PKI), например на базе Microsoft Certification Server, то можно использовать встроенные возможности Microsoft Windows и обойтись без закупки и установки дополнительного программного обеспечения.

А для случаев, когда PKI отсутствует или в организации есть компьютеры, не подключенные к общей сети, компания «Актив» создала собственный продукт Рутокен Логон. Он устанавливается на каждый защищаемый компьютер и реализует на нем возможность двухфакторной аутентификации.

Также двухфакторная аутентификация может быть реализована с помощью прикладных систем или систем единого входа (Single Sign-On). Так, по результатам проведенных компанией SAP испытаний, было признано, что продукты Рутокен полностью совместимы с флагманским продуктом SAP HANA.

Рутокен для защиты удаленного доступа

Если сотрудник отправляется в командировку, в офис заказчика или работает из дома, то есть пользуется общедоступными каналами, то помимо двухфакторной аутентификации в сеть организации необходимо шифрование и подписание передаваемой информации, чтобы предотвратить кражу или изменение данных при передаче.

Эту задачу успешно решает продукт Рутокен VPN. Его серверная часть реализована в виде небольшого аппаратного модуля или виртуальной машины, а клиентская может быть установлена на компьютер или мобильное устройство. Для реализации криптографических операций и двухфакторной аутентификации на клиенте используются токены и смарт-карты Рутокен.

Если в организации уже установлен сервер OpenVPN, то компания «Актив» предлагает использовать собственный клиент для операционной системы Android, реализующий двухфакторную аутентификацию.

Также Рутокен ЭЦП 2.0 и Рутокен ЭЦП PKI позволяют защитить подключения к удаленным рабочим столам, устанавливаемые с помощью технологий Citrix, Microsoft и VMWare.

Рутокен для мобильной электронной подписи

В последнее время растет количество мобильных устройств, которые используются в работе. В командировке или в отпуске руководителю гораздо удобнее оперативно подписать электронный документ, используя смартфон или планшет.

Есть два способа обеспечения такой мобильности. Можно передать ключи электронной подписи на сервер и на нем же подписывать документы, используя мобильное устройство лишь как элемент управления. А можно хранить ключи на мобильных токенах, совместимых со смартфонами и планшетами, полностью сохраняя контроль над ключами, исключающий их использование злоумышленниками. Ключевые носители Рутокен реализуют второй вариант.

Существуют три способа подключения Рутокена к мобильному устройству.

Рутокен для систем дбо

Продукция компании «Актив» занимает лидирующие позиции в системах дистанционного банковского обслуживания (ДБО). Сотни банков внедрили поддержку Рутокен ЭЦП 2.0 в свои системы ДБО и ежедневно совершают с его помощью тысячи транзакций.

В этом им помогает Рутокен Плагин — программное обеспечение, предоставляющее web-приложениям интерфейс для работы с токенами, генерации ключевых пар, хэширования, шифрования и электронной подписи. Простой и понятный, он позволяет в короткое время интегрировать ДБО с продуктами Рутокен с использованием практически любых браузеров для ПК и Mac.

Специально для рынка ДБО компания «Актив» разработала продукт Рутокен PINPad. Он представляет собой USB-токен, дополненный экраном, который позволяет отображать детали финансовых транзакций не на мониторе компьютера, а на собственном. Подпись происходит после подтверждения оператором в виде нажатия на экран устройства.

Важным достоинством Рутокен PINPad является то, что он представляет собой полностью готовое к работе устройство, а не конструктор в виде экрана с разъемами, к которым нужно подключать токены или смарт-карты. Рутокен PINPad сертифицирован ФСБ России как СКЗИ и средство неавтоматической электронной подписи с визуализацией подписываемых данных.

Рутокен для электронной подписи

Пожалуй, в России скоро не останется ни одной организации, которая не пользовалась бы электронной подписью. Юридически значимый электронный документооборот, взаимодействие с государственными органами, внутренний документооборот, электронная почта, подписание транзакций в системе дистанционного банковского обслуживания — во всех этих случаях только электронная подпись может гарантировать авторство отправителя и неизменяемость содержимого документа.

Сейчас партнерами компании «Актив» являются более 80% аккредитованных удостоверяющих центров Российской Федерации. Миллионы клиентов удостоверяющих центров используют продукты Рутокен.

Чтобы подписать электронный документ, необходим ключ электронной подписи. И тут перед каждым владельцем ключа встает важный вопрос, где его хранить. Федеральный закон ФЗ-63 «Об электронной подписи» не регламентирует способ хранения ключей: их можно хранить на жестком диске компьютера — в реестре или файле, на флешке, или даже на листе бумаги.

Но закон требует обеспечивать конфиденциальность ключей электронной подписи. В частности, не допускать использования ключей без согласия их владельцев, а также уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа и не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.

Обратимся к истории. Изначально все криптографические вычисления на компьютерах реализовывались исключительно с помощью программных криптопровайдеров, потому что в те времена производительность процессоров компактных размеров при выполнении криптографических вычислений была слишком низкой, а более мощные процессоры обладали слишком большими габаритами и стоимостью.

Программные криптопровайдеры хранили ключи электронной подписи на жестком диске компьютера в реестре или файловой системе, на дискетах и флешках. Но быстро выяснилось, что когда злоумышленник получал доступ к компьютеру, то мог скопировать ключи и подписывать документы от имени и без ведома владельца. Но самое главное — владелец никогда не мог быть уверен, скомпрометированы его ключи или нет.

Чтобы защититься от подобных угроз, были придуманы ключевые носители, которые умели хранить ключи электронной подписи, но еще не умели самостоятельно подписывать электронные документы. Типичным примером такого ключевого носителя является Рутокен Lite.

Перед началом работы пользователь подключает Рутокен Lite к компьютеру и вводит секретный PIN-код, который разблокирует доступ к защищенной памяти устройства. После этого программный криптопровайдер может загрузить из токена ключи электронной подписи и вычислить саму подпись. Без знания PIN-кода доступ к ключам невозможен. При неоднократном вводе неверного PIN-кода устройство блокируется.

Прошло время, и миниатюрные защищенные контроллеры стали намного мощнее, дешевле и меньше в размерах. Это позволило создать токены со встроенным криптографическим ядром (например, Рутокен ЭЦП 2.0, Рутокен 2151, Рутокен ЭЦП PKI и другие). В этих токенах ключи электронной подписи создаются внутри токена и никогда не покидают защищенной памяти.

Документ, который должен быть подписан, передается в токен, а возвращается вычисленная электронная подпись. Все Рутокены, имеющие криптографическое ядро, поддерживают российские и международные алгоритмы электронной подписи, но одни токены оптимизированы для использования алгоритмов ГОСТ (Рутокен ЭЦП 2.

Токены с криптографическим ядром позволяют обойтись без установки программного криптопровайдера, а также защититься от вредоносных программ, крадущих ключи электронной подписи из памяти компьютера.

Для пользователей, которые оставляют свои токены постоянно подключенными к компьютеру, в качестве дополнительной меры безопасности рекомендуется использовать Рутокен ЭЦП 2.0 Touch. Они полностью идентичны базовым моделям, но дополнительно оснащены кнопкой.

Управление токенами и сертификатами

Чтобы создать ключи электронной подписи для нового сотрудника и выдать подписанный сертификат на токене, необходимо выполнить множество последовательных действий. Когда сертификаты устаревают, их необходимо обновлять. Когда сотрудники теряют свои токены, им необходимо выдавать новые и заново создавать ключи и сертификаты.

У увольняющихся сотрудников необходимо забрать токены и поместить их сертификаты в список отозванных. Если в компании достаточно большое количество сотрудников, то высококвалифицированным системным администраторам придется тратить много времени только на управление сертификатами и токенами. А поскольку токены и смарт-карты могут являться СКЗИ, то, в соответствии с законодательством, придется вести журнал учета.

Чтобы решать эти проблемы, и был создан Рутокен KeyBox. Он позволяет администраторам эффективно управлять жизненным циклом ключевых носителей удобным и безопасным способом. А также вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации.

Разработчики Рутокен KeyBox уделили особое внимание вопросу удобства для конечных пользователей, в том числе при работе с web-порталом самообслуживания, сотрудники могут самостоятельно, без участия администратора, выписать себе сертификат (в соответствии с политиками организации) и поместить его на токен.

Возможно использование Рутокен KeyBox совместно с удостоверяющими центрами и с криптопровайдерами, поддерживающими российские криптографические стандарты. Рутокен KeyBox в первую очередь ориентирован на поддержку линейки продуктов Рутокен. В нем реализована поддержка практически всех популярных ключевых носителей.

Выводы

Ряд рекомендаций для построения надёжной защиты.

1. Необходимо использовать статические библиотеки API в программе. Вызовы библиотеки API должны быть тесно интегрированы с логикой защищаемой программы – это гарантия создания стойкой защиты. 2. Лучше использовать ключи с асимметричной криптографией, т.к. для них не существует простого способа создания табличных эмуляторов.3.

Код приложения и статическую библиотеку API необходимо защитить от анализа с помощью программных средств защиты, где отсутствует простая возможность перехвата вызовов функций API в программе. Для разработчиков, использующих технологии Guardant, идеальным решением будет Guardant Monolith.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector