Введение
Традиционно под токенами понимаются портативные устройства, которые содержат во внутренней памяти «секрет» (криптографические ключи, сертификаты, пароли). Это могут быть смарт-карты, SIM-карты, USB-устройства на основе смарт-карт и др. Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр.
Обычно токен оснащен защищенным микропроцессором, операционной системой, ядром для исполнения криптографических алгоритмов, защищенным хранилищем чувствительных данных («секрета»), одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.
Токены используются в качестве элементов подсистемы обеспечения информационной безопасности в коммерческих и государственных учреждениях, банках, телекоммуникационных системах. Токены, в которых реализованы криптографические алгоритмы преобразования информации (главным образом, в этом контексте уместно вести речь об электронной подписи), относятся к числу средств криптографической защиты информации (СКЗИ).
Законодательство Российской Федерации и сложившаяся практика в сфере обеспечения информационной безопасности в ряде случаев предусматривают обязательное использование СКЗИ, которые имеют сертификат ФСБ России. Так, для использования усиленной квалифицированной электронной подписи подходят только токены, для которых подтверждено соответствие требованиям, установленным Федеральным законом от 06.04.
2011 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Это соответствие подтверждается наличием сертификата соответствия, выданного ФСБ России, в котором соответствующая информация приводится в явном виде.
В зависимости от нужд потребителя токены в качестве СКЗИ могут быть сертифицированы на различные классы защиты. В нашем сравнении в таблице ниже на соответствие этим требованиям указывает параметр «Класс» раздела «Сертификат ФСБ». В соответствии со статьей 20 Приказа ФСБ № 796 при разработке средств электронной подписи должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований. Иными словами, сертификат ФСБ России для токена может быть получен только после реализации в нем отечественных криптографических алгоритмов.
С использованием токенов в зависимости от их функциональных особенностей может быть реализовано множество функций безопасности:
- Защита ключей: в токене могут защищенным образом храниться секретные ключи, пароли, маркеры доступа.
- Электронная подпись: в токене могут храниться секретные ключи и выполняться операции создания и проверки подписи.
- Шифрование данных: в токене по запросу со стороны приложения могут генерироваться ключи шифрования, выполняться операции симметричного и асимметричного шифрования, производиться процедуры экспорта ключа в открытом или зашифрованном виде.
- Хеширование: в токене по запросу со стороны приложения могут вычисляться значения хеш-функции для блоков данных.
Даже из приведенного краткого описания видно, что за понятием «токен» кроется обширное множество решений. Они могут различаться почти во всех отношениях, начиная от форм-фактора изделия и заканчивая ограничениями на среду его функционирования. Оборотная сторона разнообразия — трудный выбор.
Как показывает опыт, разночтения есть даже в самом понимании сущности токена. Иногда потребитель рассчитывает на наличие несвойственных токену функций — например, возможности защищенного хранения пользовательских данных. Или может не принимать во внимание имеющиеся ограничения (поддерживаемые интерфейсы встраивания;
Далее, если сертификат имеется, потребитель не всегда старается разобраться в нюансах, а удовлетворяется фактом его наличия. Например, есть риск упустить из виду, что в соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хеширования», использование ГОСТ Р 34.
Наконец, производитель порой выбирает настолько сложную схему сертификации изделия, что неискушенному человеку трудно разобраться в ней. Список факторов, влияющих на выбор, широк.
При существующем положении вещей полезно иметь компактный справочник с указанием основных характеристик, функциональных возможностей и ограничений токенов. Особенно наглядна такая информация в виде сравнительной таблицы — она представляет сведения о каждом токене в удобной форме и позволяет сравнить токены разных производителей между собой.
Для чего нужен Рутокен ЭЦП 2.0
Рутокен ЭЦП PKI предназначен для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования и ключей электронной подписи, выполнения шифрования и самой ЭП «на борту» устройства, а также хранения цифровых сертификатов и иных данных.
Аппаратная реализация национальных стандартов электронной подписи, шифрования и хэширования позволяет использовать Рутокен ЭЦП PKI в качестве интеллектуального ключевого носителя и средства электронной подписи в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной подписи.
Возможности Рутокен ЭЦП PKI позволяют выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.
Рутокен ЭЦП 2.0 предназначен для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования, ключей электронной подписи, цифровых сертификатов и других данных, а так же для выполнения шифрования и электронной подписи «на борту» устройства.
Аппаратная реализация национальных стандартов электронной подписи, шифрования и хэширования позволяет использовать Рутокен ЭЦП 2.0 в качестве интеллектуального ключевого носителя и средства электронной подписи в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной подписи.
Рутокен ЭЦП 2.0 позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.
Для чего нужен Рутокен ЭЦП 2.0
Рутокен ЭЦП 2.0 обеспечивает двухфакторную аутентификацию в компьютерных системах. Для успешной аутентификации требуется выполнение двух условий: знание пользователем PIN-кода и физическое наличие самого идентификатора. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю.
Основу Рутокен ЭЦП 2.0 составляет современный защищенный микроконтроллер и встроенная защищенная память, в которой безопасно хранятся данные пользователя: пароли, ключи шифрования и подписи, сертификаты и другие данные.
Электронный идентификатор Рутокен ЭЦП 2.0 поддерживает основные российские и международные стандарты в области информационной безопасности. Это позволяет легко, без дополнительных усилий, встраивать его поддержку в существующие информационные системы.
Рутокен ЭЦП PKI обеспечивает двухфакторную аутентификацию в компьютерных системах. Для успешной аутентификации требуется выполнение двух условий: знание пользователем PIN-кода и физическое наличие самого токена. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю.
Электронный идентификатор Рутокен ЭЦП PKI поддерживает основные российские и международные стандарты в области информационной безопасности. Это позволяет легко, без дополнительных усилий, встраивать его поддержку в существующие информационные системы.
Сведения, представленные в рамках сравнения, включают:
- реестр токенов;
- перечень параметров, по которым они могут быть сопоставлены;
- оценка токенов по представленным параметрам.
Номенклатура токенов, имеющих действующий сертификат ФСБ России, составлена преимущественно на основе данных «Перечня средств защиты информации, сертифицированных ФСБ России». Этот перечень регулярно обновляется, и разумно рассматривать его в качестве достоверного источника информации с поправкой на некоторую задержку в части обновления сведений.
Параметры сравнения выбирались таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывалось как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:
- PKCS #15 v1.1: Cryptographic Token Information Syntax Standard; RSA Laboratories; June 6, 2000;
- Department of Defense Public Key Infrastructure and Key Management Infrastructure Token Protection Profile (Medium Robustness), Version 3.0, 22 March 2002, Common Criteria for Information Technology Security Evaluation, Prepared by Booz Allen Hamilton Prepared for National Security Agency (NSA);
- Серия европейских стандартов Protection profiles for Secure signature creation device;
- GlobalPlatform Device Technology. Secure Element Access Control, Version 1.0, Public Release, May 2012;
- NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management, June 2017», введенный в действие в июне 2017 года и заменяющий значимые для поставленной цели разделы документа «NIST Special Publication (SP) 800-63-2. Electronic Authentication Guideline, August 2013.
Оценка токенов согласно выбранным параметрам производилась на основании сведений из открытых источников, уточненных производителями решений по нашей просьбе. Авторы сравнения старались, чтобы сведения были максимально полными и достоверными. Но реалии таковы, что полностью исключить возможность ошибки нельзя. Поэтому мы готовы внести в материал коррективы, которые помогут повысить его качество.
При использовании сравнительной таблицы следует принять в расчет ряд оговорок частного характера:
- «РУТОКЕН ЭЦП» в исполнениях «РУТОКЕН ЭЦП», «РУТОКЕН ЭЦП micro» и «РУТОКЕН ЭЦП Flash» снят с продаж (при этом соответствующие сертификаты действуют до конца 2018 года).
- С начала 2017 года прекращены процедуры продажи, поддержки и сопровождения USB-токенов семейства eToken PRO (Java), eToken и СКЗИ «Криптотокен» в составе изделий eToken ГОСТ. По этой причине eToken ГОСТ исключен из рассмотрения в рамках настоящего сравнительного анализа.
- В сертификате на «Криптотокен ЭП» (JaCarta ГОСТ и соответствующие комбинированные модели) не указаны отечественные стандарты в области криптографической защиты информации.
- На отечественном рынке есть решения, оценка которых с учетом нюансов сертификации может быть затруднительна для потребителя. Примером является функциональный ключевой носитель (ФКН) vdToken производства компании «Валидата». ФКН vdToken не сертифицирован как самостоятельное изделие, но поддержка его заявлена в сертификатах соответствия аппаратно-программных комплексов производства компании «Валидата». Это обстоятельство отражено в значении параметра «Объект сертификации» в таблице сравнения токенов.
- Имеются решения, сертификация которых на момент написания статьи еще не закончена, но проходит завершающую стадию. Одно из таких решений, «Токен », с оговоркой включено в таблицу сравнения сертифицированных решений.
- Имеется решение, сведения о котором получены уже после подготовки данного материала. Речь идет об изделии Рутокен ЭЦП 2.0 исполнение А, регистрационный номер сертификата СФ / 121-3241 от 21 ноября 2017 года, действительный до 31 декабря 2018. Данное изделие соответствует требованиям к СКЗИ классов КС1, КС2; Требованиям Приказа ФСБ № 796 для классов КС1, КС2 и может использоваться в том числе для реализации функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи». Информация об этом решении не включена в сравнительную таблицу, читатель может ознакомиться с его возможностями самостоятельно на сайте производителя.
