Сравнение токенов с аппаратной поддержкой алгоритмов гост и сертификатом фсб

Введение

Традиционно под токенами понимаются портативные устройства, которые содержат во внутренней памяти «секрет» (криптографические ключи, сертификаты, пароли). Это могут быть смарт-карты, SIM-карты, USB-устройства на основе смарт-карт и др. Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр.

Обычно токен оснащен защищенным микропроцессором, операционной системой, ядром для исполнения криптографических алгоритмов, защищенным хранилищем чувствительных данных («секрета»), одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.

Токены используются в качестве элементов подсистемы обеспечения информационной безопасности в коммерческих и государственных учреждениях, банках, телекоммуникационных системах.

Токены, в которых реализованы криптографические алгоритмы преобразования информации (главным образом, в этом контексте уместно вести речь об электронной подписи), относятся к числу средств криптографической защиты информации (СКЗИ).

Законодательство Российской Федерации и сложившаяся практика в сфере обеспечения информационной безопасности в ряде случаев предусматривают обязательное использование СКЗИ, которые имеют сертификат ФСБ России.

Так, для использования усиленной квалифицированной электронной подписи подходят только токены, для которых подтверждено соответствие требованиям, установленным Федеральным законом от 06.04.2021 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27 декабря 2021 г.

№ 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Это соответствие подтверждается наличием сертификата соответствия, выданного ФСБ России, в котором соответствующая информация приводится в явном виде.

В зависимости от нужд потребителя токены в качестве СКЗИ могут быть сертифицированы на различные классы защиты. В нашем сравнении в таблице ниже на соответствие этим требованиям указывает параметр «Класс» раздела «Сертификат ФСБ». В соответствии со статьей 20 Приказа ФСБ № 796 при разработке средств электронной подписи должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований.

С использованием токенов в зависимости от их функциональных особенностей может быть реализовано множество функций безопасности:

• Защита ключей: в токене могут защищенным образом храниться секретные ключи, пароли, маркеры доступа.
• Электронная подпись: в токене могут храниться секретные ключи и выполняться операции создания и проверки подписи.
• Шифрование данных: в токене по запросу со стороны приложения могут генерироваться ключи шифрования, выполняться операции симметричного и асимметричного шифрования, производиться процедуры экспорта ключа в открытом или зашифрованном виде.
• Хеширование: в токене по запросу со стороны приложения могут вычисляться значения хеш-функции для блоков данных.

Даже из приведенного краткого описания видно, что за понятием «токен» кроется обширное множество решений. Они могут различаться почти во всех отношениях, начиная от форм-фактора изделия и заканчивая ограничениями на среду его функционирования. Оборотная сторона разнообразия — трудный выбор.

Как показывает опыт, разночтения есть даже в самом понимании сущности токена. Иногда потребитель рассчитывает на наличие несвойственных токену функций — например, возможности защищенного хранения пользовательских данных.

Или может не принимать во внимание имеющиеся ограничения (поддерживаемые интерфейсы встраивания; операционные системы, в которых может работать токен; поддерживаемые криптографические алгоритмы и др.).

Зачастую игнорируются упомянутые выше требования российского законодательства, предписывающие применение только сертифицированных средств защиты информации.

Далее, если сертификат имеется, потребитель не всегда старается разобраться в нюансах, а удовлетворяется фактом его наличия. Например, есть риск упустить из виду, что в соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.

2021 «О порядке перехода к использованию новых стандартов ЭЦП и функции хеширования», использование ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2021 года не допускается. Вместо этого должен быть выполнен переход к использованию национального стандарта ГОСТ Р 34.10-2021.

Обратите внимание, что в таблице ниже приведены реализованные в токенах в настоящее время национальные стандарты.

Наконец, производитель порой выбирает настолько сложную схему сертификации изделия, что неискушенному человеку трудно разобраться в ней. Список факторов, влияющих на выбор, широк.

При существующем положении вещей полезно иметь компактный справочник с указанием основных характеристик, функциональных возможностей и ограничений токенов. Особенно наглядна такая информация в виде сравнительной таблицы — она представляет сведения о каждом токене в удобной форме и позволяет сравнить токены разных производителей между собой.

Лицензирование

Методология сравнения средств доверенной загрузки и модулей доверенной загрузки

В основе любого сравнения лежит набор критериев. Их количество определяет глубину исследования. В то же время стоит учитывать, что избыток параметров может только запутать и сделать материал малопригодным с практической точки зрения.

Мы попытаемся выделить только основные и наиболее значимые критерии, которые будут самыми информативными и полезными, смогут сыграть решающую роль при выборе продукта конечным пользователем.

При разработке критериев были учтены требования нормативно-правовых документов ФСТЭК России:

• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (РД НДВ).
• Информационное сообщение ФСТЭК России от 06.02.2021 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки».
• Методический документ «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвёртого класса защиты ИТ.СДЗ.УБ4.ПЗ», утверждён ФСТЭК России 30.12.2021 г.
• Методический документ «Профиль защиты средства доверенной загрузки уровня платы расширения четвёртого класса защиты ИТ.СДЗ.ПР4.ПЗ», утверждён ФСТЭК России 30.12.2021 г.
• Методический документ «Профиль защиты средства доверенной загрузки уровня загрузочной записи шестого класса защиты ИТ.СДЗ.336.ПЗ», утверждён ФСТЭК России 30.12.2021 г.
• Методический документ «Профиль защиты средства доверенной загрузки уровня загрузочной записи шестого класса защиты ИТ.СДЗ.335.ПЗ», утверждён ФСТЭК России 30.12.2021 г.
• Приказ ФСТЭК России от 14.03.2021 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально важных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 23.03.2021 г. № 49 и от 09.08.2021 г. № 138).
• Приказ ФСТЭК России от 18.02.2021 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (в ред. Приказа ФСТЭК России от 23.03.017 г. № 49).
• Приказ ФСТЭК России от 25.12.2021 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (в ред. Приказа ФСТЭК России от 26.03.2021 г. № 60).
• Приказ ФСТЭК России от 11.02.2021 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в ред. Приказов ФСТЭК России от 15.02.2021 г. № 27 и от 28.05.2021 г. № 106).

Для удобства все сравнительные критерии были разделены на следующие категории.

1. Общие сведения о компании и продукте.
2. Системные требования.
3. Функциональный набор СДЗ и МДЗ.
4. Лицензирование.

Для участия в сравнении мы выбрали следующие компании и их средства и модули доверенной загрузки:

• «Аладдин Р.Д.» (Aladdin TSM);
• АНКАД («Криптон-замок»);
• «АльтЭль» (ALTELL TRUST);
• «Газинформсервис» (Safe Node System Loader);
• «ИнфоТеКС» (ViPNet SafeBoot);
• «Конфидент» (Dallas Lock);
• «Код Безопасности» («Соболь»);
• «Крафтвей» («Витязь»);
• НПО «РусБИТех» («Максим-М1»);
• НПО «Эшелон» («МДЗ-Эшелон»);
• ОКБ САПР («Аккорд-АМДЗ», «Аккорд-МКТ», «Инаф»);
• ЦНИИ ЭИСУ («Центурион»).

Можно отметить, что все средства и модули доверенной загрузки, представленные в сравнении, на момент выхода этого материала серийно производятся, а их изготовители осуществляют техническую поддержку своих продуктов. Исключением является «Максим-М1» от НПО «РусБИТех», изготовление которого с конца 2021 года прекращено.

Однако, по заявлению разработчиков, это средство доверенной загрузки всё ещё активно реализуется из складских остатков, а техническое обслуживание и поддержка уже проданных экземпляров будут осуществляться вплоть до истечения сроков действия сертификатов соответствия, выданных регуляторами. В связи с этим «Максим-М1» решено оставить в сравнительном анализе.

Общие сведения о компании и продукте

Применение продукта

Системные требования

Снятие с продаж продуктов линейки etoken

Извещение о планах прекращения продажи, поддержки и сопровождения USB-токенов и смарт-карт семейства eToken PRO (Java), eToken и СКЗИ “Криптотокен” в составе изделий eToken ГОСТ .

Продукты линейки eToken сняты с продаж с начала 2021 года. Условия завершения продаж и жизненного цикла изделий линейки eToken PRO (Java) , указанные в приведённой ниже таблице, распространяются на все существующие форм-факторы (USB -токен, смарт-карта и пр.).

Модель

• последняя дата продажи 31 марта 2021 г., дата окончания поддержки 1 декабря 2020 г.
• eToken PRO (Java) , eToken NG-FLASH (Java), eToken NG-OTP (Java), eToken PRO Anywhere

• последняя дата продажи 31 января 2021 г., дата окончания поддержки 1 декабря 2020 г.
• eToken 4100 Smartcard, eToken 5100/5105, eToken 5200/5205

• последняя дата продажи 31 августа 2021 г., дата окончания поддержки 1 декабря 2021 г.
• Изделия, содержащие СКЗИ “Криптотокен” (eToken ГОСТ)

Техническая поддержка приобретённых ранее продуктов будет осуществляться до завершения оплаченного периода технической поддержки.

Вместо электронных ключей eToken PRO (Java) и eToken компания “Аладдин Р.Д.” предлагает новые отечественные USB -токены, смарт-карты, встраиваемые модули безопасности (чипы), ОТР-токены JaCarta PRO, JaCarta PKI, JaCarta WebPass , разработанные и производимые ею в Российской Федерации.

Замещаемая модель

• eToken, eToken PRO (Java), SafeNet eToken
  • JaCarta PRO – Совместимая модель
  • JaCarta PKI – Функциональный аналог
• eToken PRO Anywhere – нет
• eToken NG-FLASH (Java) – В 2021 году планируется представить аналогичное изделие в линейке JaCarta
• eToken NG-OTP (Java) – Функциональный аналог, формирующий значение ОТР и передающий его по USB-порту

Технические характеристики

Функциональный набор средств доверенной загрузки и модулей доверенной загрузки