Встраивание устройств Рутокен через PKCS#11 — Портал документации Рутокен

Возможности Рутокен PINPad

Рутокен PINPad — это устройство, предоставляющее доверенную среду для выполнения наиболее критичных операций, требующих визуального контроля пользователем. Вынесение подобных операций из среды рабочей станции позволяет успешно противостоять вредоносному ПО (вирусы, трояны, руткиты и т. п. ), которое может находиться на компьютере пользователя и заниматься копированием ключей или модификацией документов, подписываемых электронной подписью.

Устройство Рутокен PINPad обеспечивает защищенную двухфакторную аутентификацию: для работы пользователю необходимо как физическое наличие устройства, так и знание PIN-кода. При этом ввод PIN-кода происходит на экране устройства в доверенной среде, что обеспечивает дополнительную защиту от мошенничества.

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

Рутокен PINPad используется для подтверждения одиночных или массовых платежей и электронной подписи, так как по своей сути представляет собой Рутокен ЭЦП 2.0 с экраном. Имеет возможность подписывать данные как с визуализацией, так и без нее, что позволяет организовать удобную работу с «белыми списками».

Управление памятью Рутокен ЭЦП Flash

Важной особенностью электронного идентификатора Рутокен ЭЦП 2.0 Flash является наличие управляемой Flash-памяти. Она может быть поделена на разделы, доступ к которым разграничивается с помощью PIN-кодов. Предусмотрена возможность создания скрытых и CD-ROM разделов.

Встраивание устройств Рутокен через PKCS#11 - Портал документации Рутокен

Доступ и управление доступом к Flash-памяти осуществляется непосредственно через микропроцессор токена без использования каких-либо дополнительных электронных компонентов (хабов, контроллеров и т. п. ). Для каждого раздела Flash-диска определяются индивидуальные права доступа на чтение и запись, которые могут быть изменены «на лету» прямо во время работы устройства.

Встроенную Flash-память можно использовать для надежного хранения конфиденциальной информации, дистрибутивов программного обеспечения, автоматического запуска приложений при подключении токена, а также доверенной загрузки операционной системы.

Рутокен ЭЦП 2.0 Flash сочетает в себе всю функциональность сертифицированного средства криптографической защиты информации Рутокен ЭЦП 2.0 с интегрированной управляемой Flash-памятью.

  • Безопасность Рутокен ЭЦП 2.0 Flash базируется на сертифицированном ФСБ СКЗИ Рутокен ЭЦП 2.0. Управление разделами Flash-памяти производится при помощи защищенного контроллера Рутокен ЭЦП 2.0 и основано на его внутренних политиках безопасности. Каждый отдельный раздел может быть защищен своим собственным PIN-кодом. Верификация PIN-кодов для доступа к разделам производится сертифицированными алгоритмами, встроенными в Рутокен ЭЦП 2.0.
  • Удобство Сочетание двух типов устройств в одном корпусе позволяет пользователю не заботиться о физическом разделении информации. Пользовательские данные, необходимое для работы программное обеспечение, персональная информация и криптографические ключи всегда будут находиться в одном месте, удобном и безопасном.
  • УнификацияРутокен ЭЦП 2.0 Flash базируется на Рутокен ЭЦП 2.0 и может использоваться во всех информационных системах, рассчитанных на применение электронных идентификаторов Рутокен ЭЦП 2.0. Дополнительная функциональность никак не сказывается на типовом применении электронного идентификатора, но добавляет дополнительные полезные функции.
  • БыстродействиеРутокен ЭЦП 2.0 Flash обладает непревзойденными скоростными характеристиками, позволяющими «на лету» шифровать, расшифровывать, хешировать и подписывать большие объемы данных. Объем EEPROM-памяти для сертификатов и ключей увеличен до 128 Кб, а быстрый 32-разрядный процессор позволяет достичь скорости проходного симметричного шифрования до 320 Кб/с и хеширования до 230 КБ/с.
Читайте также:  Рутокен эцп ubuntu

Модель угроз

Представлены основные атаки и методы противодействия им при помощи Рутокен PINPad.

Подмена неподписанных данных
Аппаратная подпись данных ГОСТ Р 34.10-2012ГОСТ Р 34.10-2001
Компрометация незашифрованных данных
Аппаратное шифрование данных ГОСТ 28147-89
Кража ключа электронной подписи
Неизвлекаемость ключей. Все операции производятся на чипе устройства, без обращения к ОЗУ недоверенного компьютера. Использование ключей электронной подписи доступно только при знании пользователем PIN-кода, вводимого на экране устройства
Подмена данных при отправке на подпись (MitM)
Визуализация и проверка подписываемых данных на экране устройства
Несанкционированный доступ (USB-over-IP, кража PIN-кода, удаленный доступ)
Ввод PIN-кода на экране, проверка и подтверждение корректности данных происходит непосредственно на устройстве
Подмена устройства по злому умыслу пользователя
Устройство может содержать неудаляемые специальные данные и ключи, однозначно и надежно идентифицирующие конкретный экземпляр устройства
Злонамеренное изменение (нарушение) цепочки подписей (платежей)
Устройство содержит неубывающий счетчик подписей, значение которого инкрементируется при каждой операции электронной подписи. Значение счетчика может быть прочитано из устройства и подтверждено внутренней специальной подписью

Установка ПО «в один клик»

Для обеспечения работы с электронными торговыми площадками и государственными информационными ресурсами, как правило, требуется установка специального программного обеспечения: криптопровайдера, ActiveX-компонентов и других дополнительных компонентов операционной системы. Также зачастую есть необходимость в настройке браузера, регистрации сертификата и других административных действиях.

На Flash-памяти электронного идентификатора Рутокен ЭЦП 2.0 Flash может быть размещен неизменяемый CD-ROM раздел с комплектом программного обеспечения и установщиком с технологией автозапуска. Это предоставляет возможность настройки рабочего места «в один клик». При первом подключении устройства к компьютеру нужно всего лишь нажать кнопку «установить» во всплывающем окне, все остальное происходит автоматически. Кроме того, на Flash-памяти можно разместить дополнительное программное обеспечение, документацию и обучающие материалы.

Удобство использования

Кроссплатформенное специальное программное обеспечение: библиотека стандартного интерфейса PKCS#11 и кроссбраузерный Рутокен Плагин, позволяют легко интегрировать Рутокен PINPad с системами дистанционного банковского обслуживания и электронного документооборота.

Для начала работы c Рутокен PINPad достаточно подключить его к USB-порту компьютера. Устройство не требует установки драйверов на современных операционных системах, так как работает через стандартный CCID-драйвер. Рутокен PINPad прост и удобен в использовании. При работе с ним платежная информация отображается на сенсорном экране в необходимом объеме и может быть пролистана для полного просмотра.

Устройство доверенной загрузки

Форматирование токена возможно двумя функциями: функцией расширения C_EX_InitToken(), которая полностью очищает память токена и сбрасывает все настройки и PIN-коды, и стандартной функцией C_InitToken(), которая удаляет только объекты PKCS#11.

Читайте также:  Как получить электронную подпись на Госуслугах и где купить ЭЦП

Встраивание устройств Рутокен через PKCS#11 - Портал документации Рутокен

Все параметры форматирования задаются структурой типа CK_RUTOKEN_INIT_PARAM, указатель на которую вместе с PIN-кодом Администратора передаются функции C_EX_InitToken(). 

Электронный идентификатор Рутокен ЭЦП 2.0 Flash может быть использован в качестве загрузочного устройства типа live-CD, совмещенного с электронным идентификатором и хранящим персональную ключевую информацию. На разделе, эмулирующем CD-ROM, размещается неизменяемый образ операционной системы.

Важными отличиями от традиционных носителей являются интегрированность с электронным идентификатором Рутокен ЭЦП 2.0, возможность временного получения прав на запись на read-only разделах для обновления ПО, а также создание специальных разделов для хранения конфигураций, лицензий и т. п.

Ключевые пары Рутокен PINPad

Рутокен PINPad позволяет генерировать и использовать криптографические ключевые пары со специальными атрибутами:

  1. Требование визуализации
    Любая ЭП на закрытом ключе, выпущенном с этим атрибутом, требует визуального просмотра содержимого документа на экране доверенного устройства и подтверждения операции путем нажатия (касания) кнопки на сенсорном экране.
  2. Требование подтверждения операции вводом пин-кода
    Любая ЭП на закрытом ключе, выпущенном с этим атрибутом, требует ввода PIN-кода пользователя.
 Визуализация
документа
Подтверждение
PIN-кодом
Режим совместимости или множественная подпись по «белому списку»
Подпись критичных данных, защита от фишинга
Подпись критичных данных, защита от удаленного управления
Максимальная безопасность

Все поддерживаемые устройствами Рутокен атрибуты объектов представлены в разделе Объекты PKCS #11.

Сценарии применения

В дистанционном банковском обслуживании наиболее применимы схемы с разделением платежей на «черные» и «белые». Обычно для платежей по «белым спискам» не требуется просматривать и подтверждать каждый отдельный платеж. Однако, для небезопасных операций, таких как: платеж контрагенту вне «белого списка» или добавление контрагента в «белый список» клиента, необходимо предоставить беспрецедентный уровень безопасности и надежности.

Рутокен PINPad совмещает удобство и безопасность в одном устройстве. Для массовых платежей может использоваться ключевая пара без специальных атрибутов, а для критичных операций — другая ключевая пара с одним или обоими атрибутами.

https://www.youtube.com/watch?v=ytabout

Оператор системы всегда уверен в том, что документ, требующий просмотра или подтверждения операции, был действительно подтвержден или просмотрен. Дополнительную безопасность и контроль обеспечивает использование журнала операций. При этом гибкость настроек безопасности находится в руках оператора системы. Конечный пользователь при всем желании не сможет умышленно или неумышленно понизить уровень безопасности, требуемый системой.

Читайте также:  Импорт сертификата эцп

Форматы отображаемых данных

  • в JSON-подобном формате «параметр — значение»
  • в ограниченном строгими правилами XML подобном формате
  • в формате «простой текст»
Встраивание устройств Рутокен через PKCS#11 - Портал документации Рутокен

{amp}lt;!PINPADFILE RU{amp}gt;
{amp}lt;N{amp}gt;Отправитель:{amp}lt;V{amp}gt;Ильин Илья Ильич
{amp}lt;N{amp}gt;Адрес:{amp}lt;V{amp}gt;Москва, Ильинка, д. 3, кв. 72
{amp}lt;N{amp}gt;Счет:{amp}lt;V{amp}gt;42301810001000075212
{amp}lt;N{amp}gt;КПП:{amp}lt;V{amp}gt;075212
{amp}lt;N{amp}gt;БИК:{amp}lt;V{amp}gt;234532324
{amp}lt;N{amp}gt;ИНН:{amp}lt;V{amp}gt;3243454324
{amp}lt;N{amp}gt;Сумма:{amp}lt;V{amp}gt;150000
Встраивание устройств Рутокен через PKCS#11 - Портал документации Рутокен

ФИО: Ильин Илья Ильич
Адрес: Москва, Ильинка, 3, 72
Счет: 42301810001000075212
ИНН: 6456464
КПП: 343242342
БИК: 08989023423
Сумма: 150000
Встраивание устройств Рутокен через PKCS#11 - Портал документации Рутокен

{amp}lt;?xml version=«1.0» encoding=«utf-8»?{amp}gt;
{amp}lt;Файл{amp}gt;
    {amp}lt;ИмяФайла{amp}gt;Name-00001.XML{amp}lt;/ИмяФайла{amp}gt;
    {amp}lt;ЗаголовокФайла{amp}gt;
        {amp}lt;ВерсияФормата{amp}gt;01.00{amp}lt;/ВерсияФормата{amp}gt;
        {amp}lt;ТипФайла{amp}gt;ВНЕШНИЙ{amp}lt;/ТипФайла{amp}gt;
    {amp}lt;/ЗаголовокФайла{amp}gt;
    {amp}lt;ФИО{amp}gt;
        {amp}lt;Фамилия{amp}gt;Ильин{amp}lt;/Фамилия{amp}gt;
        {amp}lt;Имя{amp}gt;Илья{amp}lt;/Имя{amp}gt;
        {amp}lt;Отчество{amp}gt;Ильич{amp}lt;/Отчество{amp}gt;
      {amp}lt;/ФИО{amp}gt;
{amp}lt;/Файл{amp}gt;

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector