Рутокен ЭЦП 2.0 3000, серт. ФСБ

Введение

Сегодня часто можно услышать о необходимости применения средств для аутентификации и электронной подписи (ЭП). В первую очередь, это обосновано требованиями российского законодательства — для того чтобы иметь возможность работать с некоторыми системами персональных данных или в государственных информационных системах, использование этих средств является обязательным.

Указанные меры необходимы для безопасного доступа к информации, хранящейся и обрабатываемой в таких системах, подтверждения авторства документов и гарантирования их неизменяемости, а также для обеспечения неотказуемости действий пользователей. Кроме того, одним из требований регуляторов является возможность применения российских криптоалгоритмов, для чего необходимо использовать отечественные средства аутентификации и ЭП.

Если ничего не изменится, уже в 2021 году будут отменены ГОСТы на старые криптографические алгоритмы (ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001) и правомерным станет использование новых (ГОСТ Р 34.11-2021 и ГОСТ Р 34.10-2021). В связи с этим многие разработчики уже сейчас обновляют свои продукты с учетом перехода на новые стандарты хэширования и ЭП.

Среди них — российская компания «Аладдин Р.Д.», выпустившая на рынок новое семейство средств аутентификации и ЭП — JaCarta-2 ГОСТ, реализованных в виде USB-токенов и смарт-карт. Также возможна поставка JaCarta-2 ГОСТ в виде модулей смарт-карт и модулей безопасности (SIM, MicroSD-карта или чипы для монтажа на печатную плату), актуальных для производителей оборудования.

Usb-токены и смарт-карты

Наиболее распространенными программно-аппаратными средствами для обеспечения строгой двухфакторной аутентификации пользователей и формирования и проверки ЭП являются именно USB-токены и смарт-карты. В первую очередь, это обусловлено их защищенностью — программные СКЗИ, используемые для работы с ЭП, значительно легче скомпрометировать, поэтому их ключевые контейнеры часто записывают в защищенную память USB-токена и смарт-карты или используют встроенные в них СКЗИ.

Для своих технологических партнеров «Аладдин Р.Д.» также может поставлять модули для производства смарт-карт, которые могут быть использованы для создания многофункциональных смарт-карт, обладающих дополнительными функциями. Например, возможностями зарплатной карты (поддерживаются платежные системы МИР, VISA или MasterCard) или транспортной карты «Тройка».

Рисунок 1. USB-токены и смарт-карты JaCarta-2 ГОСТ

Виды токенов

Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.

В таблице — сравниваем основные характеристики токенов.

Расскажем подробнее о каждом носителе.

Дополнительные возможности

Помимо самих устройств, производитель JaCarta-2 ГОСТ предлагает пользователям широкий набор программных и аппаратно-программных продуктов для упрощения работы с JaCarta-2 ГОСТ или решения специфических задач.

Читайте также:  Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ / Блог компании Ростелеком-Солар / Хабр

Единый Клиент JaCarta

Комбинированные модели

Комбинированные модели на базе JaCarta-2 ГОСТ обладают возможностями других устройств семейства JaCarta (JaCarta PKI, JaCarta PKI/BIO, JaCarta PRO). В JaCarta-2 PKI/ГОСТ дополнительно реализована зарубежная криптография, в JaCarta-2 PKI/BIO/ГОСТ — поддержка биометрической аутентификации пользователей по отпечаткам пальцев, а JaCarta-2 PRO/ГОСТ может работать в инфраструктуре для устройств eToken PRO (Java).

Модули безопасности (secure element)

JaCarta-2 ГОСТ в виде модуля безопасности предназначена для разработчиков навигационного и телематического оборудования, IoT-устройств, автоматизированных систем управления технологическими процессами (АСУ ТП) или устройств межмашинного взаимодействия (M2M).

Рисунок 2. Модули безопасности (Secure Element)

Особенности jacarta-2 гост

По сравнению с предыдущим поколением средств ЭП от «Аладдин Р.Д.» (JaCarta ГОСТ) в JaCarta-2 ГОСТ были реализованы несколько новых возможностей, повышающих безопасность и удобство использования этих устройств в качестве средства аутентификации и ЭП. Одно из главных новшеств — использование СКЗИ, сертифицированного по новым требованиям ФСБ России.

Это означает, что команды для встраивания криптографических функций в прикладное программное обесепчение описаны, проверены и включены в разрешенный белый список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании.

В результате встраивание JaCarta-2 ГОСТ в прикладное ПО при использовании функций из белого списка максимально упрощено, а обязательная в таких случаях проверка оценки влияния (корректности встраивания СКЗИ) становится простой формальной процедурой.

Конкурирующие продукты сертифицированы как функционально законченные программно-аппаратные автоматизированные рабочие места (АРМы), не имеющие белых списков для встраивания в стороннее программное обеспечение. Поэтому встраивание таких СКЗИ нарушает правила пользования сертифицированного СКЗИ, при этом фактически создается новое СКЗИ, а это требует наличия лицензии ФСБ России на разработку шифросредств.

Другой важной особенностью является возможность построения защищенного канала между СКЗИ внутри JaCarta-2 ГОСТ и интерфейсной криптобиблиотекой (ИКБ), являющейся частью сертифицированного СКЗИ, но работающей на хосте (персональном компьютере, сервере, смартфоне или терминальным оборудовании).

Это позволяет безопасно передавать информацию между JaCarta‑2 ГОСТ и хостом (например, PIN-коды, данные и управляющие команды), а также быстро вычислять хэш документа с помощью гораздо более производительного процессора хоста, благодаря чему скорость подписания документов значительно увеличивается.

Применение jacarta-2 гост

Устройства JaCarta-2 ГОСТ сертифицированы ФСБ России как средство ЭП класса КС1 и КС2, а также как средство криптографической защиты информации (СКЗИ) класса КС1 и КС2. Это позволяет применять их для формирования и проверки ЭП, строгой двухфакторной аутентификации в электронных системах и сервисах, а также шифрования данных.

Читайте также:  Как подключить сертификат эцп

Дополнительно JaCarta-2 ГОСТ можно использовать для хранения ключевых контейнеров популярных программных СКЗИ, например КриптоПро CSP или ViPNet CSP, цифровых сертификатов, паролей и лицензий — для этого предусмотрена защищенная энергонезависимая память (EEPROM), доступная только после ввода PIN-кода.

USB-токены и смарт-карты JaCarta-2 ГОСТ могут использоваться для работы со многими электронными сервисами, такими как портал Государственных услуг, различные торговые площадки, системы дистанционного банковского обслуживания, системы таможенного декларирования, системы для сдачи отчетности (Пенсионный фонд России, Федеральная налоговая служба, ЕГАИС и т. д.), а также с различными веб-приложениями, корпоративными порталами и облачными сервисами.

Еще одна крупная сфера использования устройств JaCarta-2 ГОСТ — системы электронного документооборота и почтовые клиенты. Применение JaCarta-2 ГОСТ в качестве средства квалифицированной ЭП подразумевает, что у пользователя устройства есть сертификат открытого ключа, выданного в аккредитованном удостоверяющем центре.

Сфера применения модулей безопасности JaCarta-2 ГОСТ также обширна. Например, они используются для подписи кадров с камер видеонаблюдения, что позволяет гарантировать их подлинность в суде, или в промышленных контроллерах света и тепла, обеспечивая некорректируемость управляющих команд и поступающих данных.

Системные требования

Устройства JaCarta-2 ГОСТ сертифицированы для работы со следующими операционными системами:

Microsoft Windows — Microsoft Windows 10, Microsoft Windows 8.1, Microsoft Windows 8, Microsoft Windows 7, Microsoft Windows Vista SP2, Microsoft Windows XP SP3 (32-бит), Microsoft Windows XP SP2 (64-бит), Microsoft Windows Server 2021, Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008, Microsoft Windows Server 2003 SP2.

Linux — Astra Linux Common и Special Edition, CentOS 7, Debian 8.4, Mandriva Enterprise Server 5, openSUSE 13.2, Leap 42.1, Oracle Linux 5 Update 5&6, Oracle Linux 6, Red Hat Enterprise Linux 5.6, 6.0, 7.0, 7.2, ROSA Enterprise Desktop X1 (Marathon)

macOS — OS X Yosemite (версия 10.10), OS X El Capitan (версия 10.11).

Токены без скзи

Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, токены не подойдут для работы с алкоголем в ЕГАИС.

Токены с скзи

Обладают высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. В них уже встроено средство криптографической защиты информации, поэтому для использования не нужно устанавливать программу на ПК.

Читайте также:  ЭЦП для росреестра для физических лиц - как получить и настроить

Главное различие таких носителей — в наличии дополнительного пин-кода и возможности восстановления при блокировке.

Если пользователь несколько раз ввел неправильный код, количество попыток аннулируется. Верный пароль можно будет ввести через определенное время — этот промежуток устанавливается заранее. Не нужно обращаться в УЦ, чтобы разблокировать носитель.

Выводы

Средства аутентификации и ЭП JaCarta-2 ГОСТ от компании «Аладдин Р.Д.» отличаются как от своих предшественников (устройств JaCarta ГОСТ), так и от многих конкурирующих продуктов. Они хорошо защищены, работают с широким списком операционных систем, способны быстро формировать ЭП и доступны в большом количестве форм-факторов.

Для заказчиков доступны разные форм-факторы: USB-токены (в нескольких корпусах разного размера), смарт-карты, модули смарт-карт, а также модули безопасности (SIM, MicroSD-карта, чипы для монтажа на печатную плату). USB-токены и смарт-карты могут применяться в различных системах электронного документооборота и электронных сервисах, а модули безопасности — в промышленных и М2М-устройствах.

Обеспечена поддержка новых ГОСТов для формирования и проверки ЭП, что позволяет плавно перейти на них в течение 2021 года. Наличие «белого» списка криптографических функций позволяет встраивать JaCarta-2 ГОСТ в прикладное и системное программное обеспечение без прохождения длительной процедуры сертификации в ФСБ России.

Еще одной особенностью является возможность построения защищенного канала между JaCarta-2 ГОСТ и хостом, что позволяет безопасно передавать данные, а также значительно быстрее формировать ЭП. Новые механизмы разблокирования, такие как использование PUK-кода, одноразового кода разблокировки и возможность повторного введения PIN-кода после временной блокировки значительно повышают удобство и безопасность эксплуатации JaCarta-2 ГОСТ.

Возможность назначения отдельного PIN-кода для операций формирования ЭП позволяет гарантировать дополнительную защиту при подписании важных документов или совершении транзакций. Также стоит отметить использование защищенных микроконтроллеров, имеющих международные сертификаты и гарантирующие повышенный уровень защиты от возможных атак злоумышленников.

Дополнительные программные и аппаратно-программные продукты, разрабатываемые компанией «Аладдин Р.Д.», позволяют значительно повысить удобство применения JaCarta-2 ГОСТ, например, централизованно управлять всем парком устройств JaCarta-2 ГОСТ и цифровыми сертификатами на них, а также решать специфические задачи, например, шифровать диски или обеспечивать защищенный доступ к данным, хранящимся в СУБД.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector