Рутокен, eToken и JaCarta. В чем разница? – e-Notary

Рутокен, eToken и JaCarta. В чем разница? - e-Notary Электронная цифровая подпись
На чтение 17 мин. Просмотров 121 Опубликовано
Содержание
  1. Что представляет собой криптоключ
  2. Etoken
  3. Шипка
  4. Сравнительные характеристики устройств rutoken, etoken и шипка
  5. Etoken и rutoken – в чем разница? | club60
  6. Rutoken
  7. Аппаратная криптография
  8. Возможности устройств
  9. Возможность
  10. Устройство
  11. Возможные проблемы с криптоключами
  12. Дополнительные опции
  13. Етокен
  14. Защищаемый объем памяти
  15. Необходимое программное обеспечение
  16. Отличия рутокена и етокена
  17. Поддержка ос
  18. Подробнее про jacarta
  19. Производитель и внешний вид
  20. Рутокен
  21. Стоимость токенов

Что представляет собой криптоключ

Реализация и производство алкоголя очень конкурентный и доходный бизнес, который жестко контролируется. К контролирующим органам должна поступать верная информация, не исправленная или похищенная конкурентами. Чтобы безопасно предоставлять отчеты и документы при помощи интернета были сформированы специальные ключи шифрования, а именно подпись либо уникальный отпечаток физ. лица в информационной сети. Т.е. получается единственная электронная подпись, и можно таким образом подписать, завизировав электронный документ.

Чтобы получить доступ к работе на рынке алкоголя и допуск к системе ЕГАИС, нужно получить «свидетельство» – ключ джакарта. Приобрести его можно только в организациях, которые лицензированы ФСБ Российской Федерации. Предоставив личные данные (паспорт, СНИЛ и др.) возможно заказать подпись. Также нужно будет выбрать хранилище сертификата.

Etoken

Такая архитектура имеет просто несравнимые с руТокен возможности. Архитектура ядра 8051 хоть и не идеальна для реализации криптографических алгоритмов, но все же имеет на порядок большие возможности. Наличие достаточно большой памяти для программ позволяет создавать резидентное ПО достаточно большого размера, в том числе и на языках высокого уровня. Огромным преимуществом является наличие встроенной в чип памяти EEPROM достаточно большого объема. 

Таким образом, чип SLE66CX160S можно охарактеризовать как удачный пример законченной криптосистемы, имеющей приемлемые характеристики для реализации типичного набора функций, присущего смарткартам. 

Единственным недостатком является отсутствие возможности реализации российских криптоалгоритмов, причем обусловленное не техническими, а, скорее всего, лицензионными ограничениями (техническая возможность создавать пользовательские программные расширения имеется). 

Шипка

Рассмотрим теперь архитектуру USB-брелока «Шипка». 

ШИПКА – это USB-устройство, в котором аппаратно реализованы: 

  • все стандартные российские криптографические алгоритмы: 
    • шифрование (ГОСТ 28147-89), 
    • вычисление хэш-функции (ГОСТ Р 34.11-94), 
    • вычисление и проверка ЭЦП (ГОСТ Р 34.10-94; ГОСТ Р 34.10-2001), 
    • вычисление ЗКА. 
  • ряд зарубежных алгоритмов: 
    • шифрование RC2, RC4 и RC5, DES, 3DES, RSA 
    • хэш-функции MD5 и SHA-1, 
    • ЭЦП (RSA, DSA). 
  • два изолированных энергонезависимых блока памяти: 
    • для хранения критичной ключевой информации – память объемом 4 Кбайт, размещенная непосредственно в вычислителе, 
    • для хранения разнообразной ключевой информации, паролей, сертификатов и т.п. – память объемом до 2 Мбайт, часть которой может быть выделена для организации защищенного диска небольшого объема. 
  • аппаратный генератор случайных чисел. 

Все это значит, что с помощью устройства ШИПКА можно решать самые разные задачи защиты информации как персонального, так и корпоративного уровня. 

Это, например, 

  • шифрование и/или подпись файлов; 
  • защищенное хранилище паролей для различных web-сервисов; 
  • аппаратная идентификация пользователя в бездисковых решениях типа “тонкий клиент”; 
  • аппаратная идентификация пользователя для ПАК “Аккорд-NT/2000”, установленного на ноутбуках; 
  • аппаратная авторизация при загрузке ОС Windows на ПК; 
  • хранилище ключей и аппаратный датчик случайных чисел для криптографических приложений; 
  • “смарт-карта” в типовых решениях – таких, как, например, авторизация при входе в домен Windows, шифрование и/или подпись сообщений в почтовых программах, например, Outlook Express; для получения сертификатов Удостоверяющего Центра для пар “имя пользователя открытый ключ”, если необходимо, чтобы открытый ключ считался легальным в PKI, 
  • для защиты информационных технологий с помощью ЗКА. 

Аппаратная реализация вычислений – без привлечения ресурсов компьютера – это важное отличие устройства ШИПКА от других известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован в них программно. В ШИПКА программно реализуются только не влияющие на безопасность транспортные процедуры и процедуры согласования форматов данных, все остальные функции выполняются аппаратно. 

Это значит, что никто не сможет вмешаться в протекание процессов аутентификации, шифрования или ЭЦП и фальсифицировать их. Также это значит, что после отключения ШИПКА в памяти компьютера не остается никаких следов секретных ключей, и никто другой ими не воспользуется. При этом можно применять все эти возможности на любом компьютере, поскольку вся ключевая информация хранится в ШИПКА. Это совершенно естественно – ведь это секретные ключи человека, а не его компьютера. 

Однако это не значит, что любой, кто завладеет ШИПКА автоматически завладеет и всей хранящейся в ней информацией – доступ к ней защищен PIN-кодом и в случае превышения допустимого числа неверных введений устройство блокируется и вся информация на нем уничтожается.

Возможность хранения в ШИПКА паролей позволит не выбирать между надежностью пароля и простотой его запоминания, и при этом избежать таких распространенных ошибок, как хранение паролей записанными в блокнот или на листочках, а также использование одного и того же пароля в разных случаях. ШИПКА не забудет и не перепутает пароли. 

Кроме того, устройство ШИПКА является полностью программируемым. Это дает возможность легко расширять его функциональность. 

Микроконтроллер ATMEGA128 имеет значительно большие вычислительные возможности, чем вышеперечисленные устройства. Кроме того, его архитектура намного более пригодна для реализации криптографических алгоритмов, чем архитектуры как типа 8051, так и CY7C63613. Он функционирует на частоте 16 МГц, причем большинство команд выполняется за 1 такт. ATMEGA128 имеет 32 регистра общего назначения и до трех регистров указателей, причем может эффективно работать с данными, расположенными как в памяти данных, так и в памяти для программ. 

Читайте также:  "Электронная" регистрация сделки в Сбербанке - употреблять с осторожностью! - блоги риэлторов | ЦИАН

Для иллюстрации этих возможностей приведем цифры – реализация шифрования по ГОСТ 28147-89 превышает скорость руТокен примерно в 200-500 раз при сравнимой стоимости. 

Кроме того, микроконтроллер ATMEGA128 имеет быстрый аппаратный умножитель. Именно это делает возможным реализацию за приемлемое время таких алгоритмов, как модулярная экспонента. 

Память программ имеет весьма значительный объем (128 Кбайт), что позволяет с успехом писать встроенное ПО на языках высокого уровня. Встроенное ПО может иметь весьма высокий уровень сложности, например – полноценная реализация функций файловой системы, интерпретатора пользовательского байт-кода, протокола USB mass storage и т.п. Возможность выделения части памяти программ для загрузчика позволяет легко организовать процесс обновления firmware без дополнительного оборудования непосредственно у пользователя. 

Очень важно, что микроконтроллер ATMEGA128 имеет достаточно большой объем оперативной памяти – 4 Кбайт. Это дает возможность для реализации весьма критичных к количеству памяти криптоалгоритмов, например вычисления ЭЦП по ГОСТ 34.10-2001 (ЭЦП на эллиптических кривых). 

Кроме того, микроконтроллер имеет 4 Кбайт встроенной защищенной энергонезависимой памяти типа EEPROM для хранения критичных ключевых данных. 

Внешняя энергонезависимая память типа DataFlash имеет значительно большую скорость обмена, чем примененная в руТокен, кроме того – микроконтроллер ATMEGA128 имеет аппаратный контроллер интерфейса SPI, позволяющий иметь скорость чтения флэш-памяти до 500 КБайт/с без накладных расходов. 

Примененный в устройстве USB-контроллер поддерживает режим работы full-speed, что позволяет получить скорости обмена, недостижимые как в ruToken, так и в eToken PRO. На практике удается получить скорости примерно 200 Кбайт/с для однонаправленных алгоритмов и 100 Кбайт/с для двунаправленных. 

Наконец, может быть самое главное преимущество подхода, примененного при проектировании устройства Шипка – полная программируемость и верифицируемость. 

Очевидно, что без особых проблем можно расширить функциональность устройства без снижения надежности, что весьма затруднительно при применении eToken PRO и принципиально невозможно для ruToken. Кроме того, встроенное ПО устройства Шипка всегда может быть проверено на наличие НДВ, что вряд ли возможно в случае применения eToken PRO (и других подобных устройств на базе чипов для смарткарт). 

Сравнительные характеристики устройств rutoken, etoken и шипка

Etoken и rutoken – в чем разница? | club60

Когда возникает необходимость подобрать носитель для хранения электронных записей, то, как правило, выбор устройства происходит между двумя носителями с похожими функциональными качествами – eToken и ruToken.

Итак, давайте определим разницу между этими двумя носителями:

Носитель для хранения электронных записей eToken представлен в синем цвете, ruToken – в красном цвете. Даже неопытный пользователь, сможет отличить носители. Как правило, eToken выпускается в двух форматах: смарт-карта и USB ключ. Как правило, в конструкции карты и ключа предусматривается наличие процессора и определенного объема памяти.

Данный токен выполняет следующие функции:

  1. Усовершенствование защиты доступа к определенным приложениям.
  2. Шифровка данных на рабочих платформах.
  3. Абсолютная защита персональных данных.
  4. Безопасность собственного сайта в сети.
  5. Безопасность паролей.
  6. Безопасность финансовых операций в различных системах банковского обслуживания.
  7. Безопасность документации, размещенной в системе электронной отчетности.

Особенности функциональных характеристик носителя eToken позволяют использовать его в системах дистанционного обслуживания.

Что касается носителя ruToken, то он имеет следующие особенности:

  1. Отсутствие необходимости копирования. Процесс копирования документов не происходит, так как все криптографические вычисления происходят непосредственно в самом токене.
  2. Гарантия сохранности вычислений. Данный носитель позволяет обеспечение корректных вычислений, а также сохранность ключевой информации.
  3. Необходимость в программном обеспечении. Для выполнения всех функциональных особенностей данного токена, на ОС необходимо наличие соответствующего интерфейса, а также определенных интернет браузеров.
  4. Отсутствие поддержки мобильных устройств. Как правило, большое количество пользователей предпочитают использовать токены для мобильных устройств, но токен не поддерживает работу с мобильными устройствами.

Еще один токен JaToken был разработан для защиты информации, однако данное устройство работает с ошибками. Не видит jacarta токен.

На сегодняшний день, токены активно используются специальными службами, но в приоритете остается eToken. Это проверенное устройство, которое в полной мере выполняет все свои функциональные характеристики и поэтому активно используется соответствующими  службами безопасности!

Rutoken

Микроконтроллер CY7C63613 основан на 8-битном RISC ядре, имеется однократно программируемая память команд емкостью 8 Кбайт, 256 байт оперативной памяти и периферийные устройства, такие как контроллер USB-интерфейса, 12-битный таймер и порты ввода/вывода.

Можно отметить, что примененный контроллер USB-интерфейса поддерживает лишь стандарт low-speed (поддерживаются только запросы типа control и interrupt). Из этого следует, что предельное значение скорости обмена с таким контроллером составляет 8 Кбайт/с для однонаправленных функций (таких, как вычисление хэш-функции) или 4 Кбайт/с для двунаправленных (таких, как шифрование).

Ядро микроконтроллера имеет очень слабые вычислительные возможности. Тактовая частота ядра составляет 12 МГц, при этом одна команда выполняется от 4 до 14 тактов (среднее значение – 6 тактов). Таким образом, частота исполнения команд составляет примерно 2 МГц. Имеется всего два 8-битных регистра (аккумулятор и индексный регистр).

Читайте также:  Электронная подпись для маркировки товаров (ЭП, ранее ЭЦП) | Такском

Микроконтроллер не имеет встроенного контроллера SPI, что вынуждает реализовывать временную диаграмму обмена с энергонезависимой памятью программно (при помощи команд управления портами ввода/вывода). 

Вычислительных возможностей, предоставляемых данной архитектурой, вполне достаточно для организации пересылок небольших объемов данных по интерфейсу USB (реализации устройств типа мышь, джойстик и т.п.). Однако такая архитектура малопригодна для реализации алгоритмов шифрования, в частности шифрования по ГОСТ 28147-89.

Данный алгоритм имеет ярко выраженный 32-битный характер. Выполнение же 32-битных операций на используемом микроконтроллере крайне неэффективно из-за наличия всего одного регистра с функцией аккумулятора. Кроме того, из-за наличия всего одного индексного регистра резко снижается эффективность работы с операндами, лежащими в оперативной памяти.

По той же причине крайне неэффективна организация циклов. Реализация функции прохождения 32-битного операнда через узел замены также не может быть решена эффективно из-за чрезвычайно неудобного и медленного способа обращения к операндам, размещаемым в памяти программ.

Трудно представить себе более неудачный выбор вычислительной платформы для реализации алгоритма шифрования по ГОСТ 28147-89, чем примененный в ruToken. 

Результат вполне закономерен – скорость шифрования не будет превышать 200-300 байт/с. 

Если же говорить о реализации файловой системы по ISO 7816, то, без сомнения, имеется в виду реализация файловой системы на программном уровне при помощи ПО, исполняемого процессором компьютера. Реализация же функций файловой системы при помощи микроконтроллера просто невозможна из-за ограниченного объема памяти программ.

Также нельзя рассматривать руТокен в качестве надежного генератора случайных чисел. РуТокен не имеет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется некоторый алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера.

Аппаратная криптография

При хранении ваших сертификатов на токене с наличием аппаратной поддержки электронных подписей и шифрования, то при работе, ключ закрытого типа не покинет токен. Подобные токены представляются в двух фирмах сериями продукции Рутокен ЭЦП, eToken ГОСТ. и JaCarta ГОСТ. Наиболее расширенная информация о плюсах применения токенов с наличием криптографии аппаратного типа, доступна в статье.

Возможности устройств

Возможность

Устройство

ЕТокен PRO

руТокен

ШИПКА

Аппаратная реализация российских криптографических алгоритмов

нет

ГОСТ 28147-89

Скорость 200-300 байт/с

ГОСТ 28147-89

ГОСТ Р 34.11-94

ГОСТ Р 34.10-94

1/4.5 с – 512 бит, 3.9/16.9 – 1024 бит)

ГОСТ Р 34.10-2001

4.7/15 с

Аппаратная реализация зарубежных криптографических алгоритмов

RSA,

DES, TripleDES, SHA-1,

MAC, iMAC

(DSAи MD5 – по запросу)

(«дополнительные возможности» – RSA,

DES (TripleDES), RC2, RC4, MD4, MD5, SHA-1)

RSA, DSA,

DES, TripleDES,

MD5, SHA-1,

RC2, RC4, RC5,

Обмен данными по USB-интерфейсу с РС, скорость

не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных

не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных

200 Кбайт/с для однонаправленных функций, 100 Кбайт/с для двунаправленных

Обмен данными с собственной внешней памятью

Нет, поскольку нет внешней памяти

Программно, с использованием вычислительных ресурсов и памяти программ

Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с

С помощью аппаратного контроллера SPI-интерфейса.

Предельная скорость 1 Мбайт/с, реальная – 500 Кбайт/с без накладных расходов

Хранение ключевой информации внутри вычислителя

Есть встроенная память EEPROM 16 КБайт

нет

Есть встроенная память EEPROM 4 КБайта

Генерация случайных чисел

С помощью аппаратного ГСЧ

Нет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется какой-то алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера.

С помощью аппаратного ГСЧ

Создание резидентного ПО

Возможно достаточно большого размера даже на языках высокого уровня

невозможно

Возможно даже на языках высокого уровня, при этом встроенное ПО может иметь весьма высокий уровень сложности, например – полноценная реализация функций файловой системы, интерпретатора пользовательского байт-кода, протокола USBmassstorageи т.п.

Возможность обновления firmwareбез дополнительного оборудования у пользователя

нет

нет

есть

Возможные проблемы с криптоключами

Проблема jakarta состоит в том, что возможны технические затруднения, среди которых выделяются такие:

  • Ошибка обнаружения ключа
  • Трудности с обновлением
  • Ошибка 610
  • Невозможна синхронизация с УТМ
  • Затруднение с формированием сертификата RSA.

Указанные ошибки могут до некоторой степени затруднить работу с криптоключем.

Дополнительные опции

Отдельные виды токенов имеют Flash-память, используемую в процессе автопуска приложений в результате подсоединения токена, доверенной загрузки ОС и в качестве обычного флеш-накопителя, который хранит дистрибутивы и индивидуальную информацию. Также Flash-память можно разбить на разделы, защищенные PIN-кодом.

Виды токенов с содержанием дополнительной флеш-памяти и RFID-меткой у Рутокенов на данный момент содержатся в отдельных позициях, так что Вы можете их “добавить в корзину” и вам придет счет на них, а вот токены Token и Jacarta с дополнительным функционалом должны быть согласованы в индивидуальном порядке согласованы с менеджером.

Етокен

Представляет собой средство аутентификации, которое разработано израильской фирмой Aladdin Knowledge Systems. В теории он обеспечивает более лучшую безопасность, отличаясь улучшенным алгоритмом шифрования.

Защищаемый объем памяти

В основном все eToken-ы имеют стандартное число защищенного объема памяти: 72 килобайт, из этого числа, 47 килобайт отведены пользователю. Различные варианты Рутокена обладают защищенным объемом памяти, варъируемой от 32 до 128 килобайт. Но тут нужно оговориться – токен нуждается в некотором объеме свободной памяти, чтобы работать с находящимися внутри него контейнерами электронной подписи.

Читайте также:  Аутентификация на сайтах с помощью Rutoken WEB / Хабр

Необходимое программное обеспечение

Фирмой Аладдин Р.Д. разработан продукции единый PKI клиент, в котором есть все нужное программное обеспечение, утилиты и модули поддержки для функционирования с ключами разнообразного функционала. Для Рутокена драйвера и плагины нужно будет скачивать и инсталлировать по отдельности.

Отличия рутокена и етокена

И рутокен, и етокен представляют из себя набор средств для аутентификации. Их различие состоит в следующем:

  • Страна-производитель: Россия и Израиль.
  • Алгоритмы шифрования у зарубежного аналога более развиты.
  • Цвет корпуса: красный у рутокена, синий и фиолетовый у етокена.

Вывод: в действительности разницы между рутокеном и етокеном почти нет никакой. Настоятельно рекомендуется покупать только сертифицированные токены, в организациях, которые имеют лицензию от ФСБ.

Поддержка ос

Большинство моделей Рутокенов и eToken совместимы с операционными системами Windows версии 2000 и выше, вне зависимости от разрядности системы, а также поддерживают работу с Mac OS X и GNU/Linux.

JaCarta поддерживает работу с Windows XP SP3/Vista SP2/7 SP1/8. Работает устройство и с вычислительными машинами под управлением Mac OS X, GNU и Linux.

Существующая между Рутокен, Token и JaCarta разница не принципиальна, а само оборудование имеет высокий уровень качества.

Подробнее про jacarta

Всем известно, что в Джакарта токене нуждаются те, у кого есть желание подключения к ЕГАИС. Многим также известно где ее купить и ее стоимость. Однако не все имеют понимание того, как выглядит JaCarta и какое ее назначение в данной системе. Статья поможет подробнее разобрать этот необходимый элемент системы и обосновать ее необходимость в применении.

Чем же является JaCarta? JaCarta – новейшее поколение smart-карт, USB-, MicroUSB- и Secure MicroSD-токенов, благодаря которым можно проводить строгую аутентификацию, делать ЭП и в безопасности держать ключи, сертификаты. Называется JaCarta благодаря Java Card, т.е. в их основе положена Java.

Вследствие этого, JaCarta подразделяются на два главных вида JaCarta PKI и JaCarta ГОСТ.PKI апплет дает возможность использования зарубежных криптографических технологий на токене, с хранением сертификатов ЭП и применять токены со smart-картами JaCarta PKI, чтобы усилить процесс авторизации в Windows  и других системах.

Апплет ГОСТ осуществляет формирование ключей JaCarta, которые соответствуют 63-ФЗ и сохраняют с помощью токена ЭП квалифицированного типа с не удаляемым ключом подписи.

Важные особенности JaCarta:

1) Наличие аутентификации.

2) Наличие ЭП.

3) Можно безопасно хранить важные данные.

63-ФЗ «Об электронной подписи» от 6 апреля 2022 года, установлено три типа ЭП с учетом задач которые они решают и сфер использования:

  • Электронная подпись простого типа. Имеет минимум защиты, к ней не предъявляют серьезных ограничений и требований в безопасности. Благодаря незамысловатости и удобству в основном используется в результате подтверждения финансовой транзакции.
  • ЭП усиленная неквалифицированного типа. В ней применяются надежные криптографические алгоритмы, она может определять лицо, которое поставило подпись на документе, и обнаруживать корректировки в подписанном документе. Применяется в системах внутреннего типа, объединенных с PKI.
  • ЭП усиленная квалифицированного типа. Эту подпись создают и проверяют сертифицированными средствами электронной подписи.

Как говорилось выше – существует несколько видов JaCarta, чтобы защищать персональную информацию и верифицировать электронную документацию. Однако чтобы работать в ЕГАИС требуется одна версия JaCarta SE. JaCarta PKI/ГОСТ/SE – PKI-токен для создания квалифицированных ЭП усиленного типа и двухфакторной аутентификации в процессе доступа к защищаемой информации, безопасности хранимых ключей.

С ее помощью оберегается передающаяся Вами информация о поступившем или проданном алкогольном товаре в ФСРАР. Ключ защищает вашу информацию от злоумышленников, которые могут продавать собственный контрафактный товар при помощи информации о Вашем оригинальном товаре.

Вывод — JaCarta требуется для ЕГАИС – это чуть ли не ключевой элемент, разработанный и созданный с целью охраны доступа к информации ЕГАИС. Отсутствие данного элемента привело бы к оголенности всей системы, и внедрять ее бы не было смысла.

Производитель и внешний вид

Рутокен относится к продукции производителя «Актив». eToken и JaCarta на рынке России двигает компания «Аладдин Р.Д.». eToken имеет обыкновенную синюю расцветку корпуса, JaCarta — черный, а Рутокен – красный. Благодаря этому, даже неопытному пользователю не удастся спутать их.

Рутокен

Безопасное универсальное современное хранилище для личных сертификатов, произведенное российской компанией. Совместим с большей частью программного обеспечения; возможна работа как на ПК, так и на мобильных телефонах и планшетах. Это – самое массовое аппаратное и программное решение в этой области.

Как показывает практика, при эксплуатации и етокена и рутокена могут возникнуть затруднения технического характера, поэтому какого-либо преимущества использования одного, или другого хранилища нет.

Стоимость токенов

Наиболее привлекательные по стоимости это Рутокены. Фирма “Актив” ведет демократичную ценовую политику, и их токены имеют среднюю на 300-400 рублей ниже, по сравнению с товарами конкурирующих компаний. JaCarta и eToken приблизительно равны по стоимости. Сравнивать стоимость на разнообразные токены Вы можете воспользовавшись нашим каталогом.

блог информационная безопасности уязвимости эксплоиты
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2024 ЭЦП Эксперт