Защита систем интернет-банкинга: TLS, электронная подпись, ГОСТы, токены / Хабр

Эп на рутокен для сбис: что это такое

Аппаратные продукты Рутокен применяют для работы в СБИС — что это такое мы расскажем в данном блоке.

СБИС — онлайн-система бухгалтерского и складского учета, а также оператор фискальных данных. Программный продукт предназначен для:

Также система позволяет создать корпоративный портал и организовать внутреннюю социальную сеть: формирование и просмотр мероприятий, репост публикаций, участие в конкурсах и опросах и прочее.

Чтобы использовать возможности СБИС, необходимо создать аккаунт в качестве юрлица, физлица или ИП. Сотрудники имеют возможность присоединиться к ЛК организации по приглашению. При этом личный кабинет физлица тоже будет активным.

Для предоставления отчетов, форм, заявок, обмена документами необходима цифровая подпись. Можно использовать имеющуюся ЦП, записанную на Рутокен. Для этого зарегистрируйте КЭП, как указано здесь.

Защита систем интернет-банкинга: tls, электронная подпись, госты, токены

image

Многие современные системы ДБО предоставляют для обслуживания клиентов Web-интерфейс. Преимущества «тонкого клиента» перед «толстым клиентом» очевидны. В то же время существуют федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО. Как-то их нужно исполнять и обычно применяются криптосредства, реализующие российские криптоалгоритмы (ГОСТы). Эти криптосредства закрывают часть «дыр», но при их внедрении может существенно возрасти сложность пользования системой ДБО для клиента.

В данной статье мы из «кирпичиков» соберем и испытаем на демонстрационном интернет-банке комплексное решение — по сути специальный переносной защищенный браузер, хранящийся на flash-памяти — в котором будут реализованы закрытие канала (TLS), строгая двухфакторная аутентификация на WEB-ресурсе и электронная подпись платежных поручений посредством USB-токена Рутокен ЭЦП или trustscreen-устройства Рутокен PINPad. Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил токен, запустил браузер и сразу же можно начинать тратить деньги.

TLS, аутентификация и подпись реализуются с использованием российской криптографии.

Дальше пойдет мануал с пояснениями.

Итак, «кирпичики» решения (для Windows):

1. Загружаем браузер Mozilla FireFox Portable Edition, распаковываем его на flash-память Рутокен ЭЦП Flash. В качестве стартовой страницы указываем ему demo.rutoken.ru

2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии. Распаковываем на flash-память Рутокен ЭЦП Flash в папку sTunnel. Обратите внимание, что папка sTunnel с файлами должна лежать в корне flash-памяти устройства.

Конфиг:

; проверять сертификат сервера
verify=2
; прокси работает в режиме клиента
client=yes
; версия протокола SSL
sslVersion=TLSv1
; показывать значок в в трее
taskbar=yes
; уровень логирования
DEBUG=7

[https-demobank]
; при загрузке openssl подгружать engine gost
engine=gost
; корневой сертификат, до которого строится цепочка при проверке сертификата сервера
CAFile=ca.crt
; прокси принимает незащищенные соединения на 1443 порту localhost
accept = 127.0.0.1:1443
; прокси устанавливает защищенные соединения с demo.rutoken.ru:443
connect = demo.rutoken.ru:443
; используемый в протоколе TLS  шифрсьют
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 1

sTunnel при запуске будет на 127.0.0.1:1443 принимать незащищенное соединение, устанавливать защищенное соединение с demo.rutoken.ru:443 и передавать по нему принятые на вход данные.

Читайте также:  Проверка электронной подписи (ЭП): криптопро, контур

Если вы работаете в интернете через прокси-сервер (например, корпоративный), то требуется дополнительное конфигурирование sTunnel.

При установке защищенного соединения производится строгая аутентификация сервера и шифрование передаваемых данных.

3. Прописываем в браузер Mozilla FireFox Portable Edition прокси 127.0.0.1:1443, для всех протоколов. Таким образом все данные пойдут через sTunnel. Прокси прописывается так: Настройки->Дополнительные->Сеть->Настроить->Ручная настройка прокси. Установить галочку «Использовать этот прокси-сервер для всех протоколов»

4. Добавляем в браузер Рутокен Плагин. Для этого файлы npCryptoPlugin.dll и rtPKCS11ECP.dll из архива кладем в папку FirefoxPortableDataplugins

5. Пишем скрипт автозапуска на vbscript. Скрипт сначала запускает sTunnel, а затем Mozilla FireFox Portable Edition.

Dim WshShell, oExec
Set WshShell = CreateObject("WScript.Shell")

Set wshSystemEnv = wshShell.Environment( "PROCESS" )
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName)))
wshSystemEnv( "OPENSSL_ENGINES" ) = currentDirectory   "stunnel"

Set oExec = WshShell.Exec("stunnelstunnel.exe")

Do While oExec.Status = 1
     WScript.Sleep 100
Loop

Set oExec = WshShell.Exec( "FirefoxPortableFirefoxPortable.exe")

Сохраняем его в файл DemoBank.vbs и кладем в корень flash-памяти устройства Рутокен ЭЦП Flash.

Все.

Теперь запускаем DemoBank.vbs и попадаем на демо-площадку Рутокен по защищенному соединению. Если произошла ошибка при запуске скрипта, то еще раз обратите внимание на иерархию папок.

Далее производим регистрацию, двухфакторную аутентификацию клиента и подпись платежа с помощью Рутокен Плагина и USB-токена, как это описано в статьях habrahabr.ru/company/aktiv-company/blog/155835 и habrahabr.ru/company/aktiv-company/blog/165887.

Для работы на другом рабочем месте просто подключаем Рутокен ЭЦП Flash и запускаем DemoBank.vbs.

Что мы получили? Переносное и простое для конечного пользователя решение, отвечающее современным представлениям о безопасности cистем с Web-интерфейсом и полностью построенное на использовании российских криптоалгоритмов.

Как установить рутокен плагин

Для нормального функционирования плагина Рутокен не нужны дополнительные программы, платформы. Достаточно на ПК или мобильное устройство установить плагин и браузер: Mozilla Firefox, Apple Safari, Internet Explorer не ниже седьмой версии, Opera и другие.

После чего при посещении пользователем защищенного интернет-ресурса утилита загружается на страницу в автоматическом режиме. При последующих обращениях к площадке функции плагина вызываются из скриптов страницы. Для установки плагина Рутокен необходимо:

Настройка плагина рутокен

После успешной инсталляции модуля нужно включить расширение Рутокен Плагин в используемом веб-обозревателе. Настройку Google Chrome и Mozilla Firefox осуществляют в главном меню — 3 точки или 3 горизонтальные черты в правом верхнем углу браузера.

Процесс выполняют в несколько кликов. Сначала нужно перейти в закладку «Расширения» и активировать «Адаптер Рутокен Плагин» — поставить флажок «Включить» напротив названия (Google Chrome), нажать кнопку включения (Mozilla Firefox). Чтобы включить расширение плагина в Яндекс.Браузере нужно:

  1. Открыть главное меню, нажав на 3 горизонтальные линии в верхней части страницы.
  2. Перейти в раздел «Дополнения».
  3. Кликнуть по иконке «Расширения для Яндекс.Браузера».
  4. В поисковой строке, расположенной в верхней левой части открывшейся страницы, ввести слово rutoken.
  5. Нажать на название «Адаптер Рутокен Плагин», которое появится на экране.
  6. Активировать кнопку «Добавить».
  7. Установить расширение, нажав на одноименную иконку.
  8. Дождаться сообщения об успешной инсталляции, которое высветится на экране.
  9. Перейти в раздел «Дополнения», во вкладку «Из других источников».
  10. Кликнуть по значку «Вкл.».
Читайте также:  Выписка с ЭЦП из ЕГРЮЛ: как получить и проверить

Описание настройки ПО для других браузеров размещено здесь — страницы 16-22.

Рутокен s

Рутокен S — USB-устройство с функцией генерации ЭП для безопасного хранения закрытых ключей электронной подписи, биометрических данных и другой конфиденциальной информации. Сведения записываются на защищенную внутреннюю память токена. Доступ к области хранения информации открывается после ввода секретного кода, известного владельцу устройства.

Криптографические операции выполняются на самом электронном идентификаторе. При работе с хранилищем закрытая информация не выдается наружу, например, не переносится на жесткий диск персонального компьютера (ноутбука). Украсть секретные сведения невозможно.

Производитель Рутокен S — отечественная компания «Актив», предлагает клиентам несколько моделей устройства:

  • micro — компактный токен, подходит для ноутбуков, нетбуков, планшетов;
  • RF — токен с RFID-меткой, используемой для идентификации личности и открытия доступа на охраняемые объекты (офисы, базы);
  • ндв3 и 4 ФСТЭК — базовая или микро-модель, укомплектованная сертификатом Федеральной службы по техническому и экспортному контролю.

Для работы с Рутокен S на сервер, ПК или мобильный гаджет нужно установить специальный комплект драйверов. Программное обеспечение доступно по ссылке во вкладке «Центр Загрузки».

Важно: перед запуском процесса инсталляции ПО рекомендуем закрыть активные приложения и утилиты, извлечь токен из разъема компьютера.

Установка драйвера возможна при наличии у пользователя прав доступа администратора.

Рутокен лайт

Рутокен Лайт — компактное устройство для хранения закрытого ключа, сертификата ЦП. Доступ к информации, записанной на USB-носитель, открывается после прохождения пользователем двухэтапной аутентификации. То есть ему необходимо предъявить два доказательства: секретный шифр и сам токен. Если носитель украден (утерян), злоумышленник не сможет считать с устройства сведения без PIN-кода.

Модель Lite представлена в нескольких исполнениях: карты microSD, стандартного USB-токена или микро-устройства. Устройство работает по CCID. Протокол позволяет подключить токен к компьютеру через стандартный USB-интерфейс и считывать с него информацию без предварительной установки дополнительных утилит (кроме криптографической программы КриптоПро CSP).

Модель Lite подходит коммерческим структурам, которые работают с:

  • электронными документами: счетами-фактурами, актами, отчетами;
  • сообщениями, отправленными, полученными по электронной почте;
  • персональными данными физлиц (медучреждения, социальные службы).
Читайте также:  Решение проблемы отсутствия в контейнере закрытого ключа сертификата ЭЦП

Также токен можно использовать в качестве носителя ключа ЭП для проведения финансовых операций в онлайн-режиме.

Рутокен плагин

Рутокен Плагин — независимый программный модуль (фрагмент), необходимый для связи веб-обозревателя с flash-носителем, на котором пользователь хранит ЭП. Плагин совместим с операционными системами: Linux (для встраиваемых систем, серверов, игровых приставок, нетбуков, суперкомпьютеров и станций)

  • вычисление хэш-функции — определение алгоритма преобразования (хэширования) исходных сведений;
  • аутентификация — проверка «подлинности» пользователя онлайн-ресурса по аппаратному средству защиты КЭП (токену или смарт-карте);
  • шифрование — криптографическое преобразование данных при обмене ими между веб-службой и браузером;
  • визирование формы (отчета, счета-фактуры, заявки и прочего) электронной подписью;
  • разграничение доступа — предоставление пользователю при работе с интернет-ресурсом прав, которые определены и ограничены электронным сертификатом.

При визировании документа ЭП плагин обращается к токену или смарт-карте. Все криптографические процессы выполняются на носителе. То есть закрытый ключ не извлекается из защищенного хранилища и не копируется в оперативную память компьютера. Украсть КЭП, используя интернет, невозможно.

Рутокен эцп 2.0 с пин-кодом

Еще одно устройство линейки Рутокен — ЭЦП 2.0. Основа токена — защищенный микроконтроллер со встроенной памятью. Чтобы воспользоваться секретными сведениями (КЭП, данные владельца, пароли и прочая информация), которые хранятся на устройстве, необходимо в разъем компьютера (ноутбука, планшета) вставить Рутокен ЭЦП 2.0 и ввести пин-код, известный собственнику токена.

Компания-производитель выпускает три варианта средств криптографической защиты информации модели ЭЦП 2.0: стандартный USB-носитель, микро-токен, смарт-карта. Устройство сертифицировано Федеральной службой безопасности России и ФСТЭК.

Некоторые модели USB-токена снабжены особыми функциями:

  • RF оснащен RFID-меткой, которая позволяет идентифицировать владельца и открыть ему доступ в охраняемое помещение;
  • Type-C подходит для работы на современных компьютерных устройствах с USB Type-C — универсальным двухсторонним разъемом и Thunderbolt 3 — интерфейсом, который объединяет в себе PCIe, DP;
  • Touch оснащен кнопкой, при нажатии на которую владелец подтверждает правильность и легальность наложения электронной подписи на цифровой документ.

Модель ЭЦП 2.0 подходит для систем с высокими требованиями к информационной безопасности: Единой государственной информационной системы, цифрового документооборота в госсекторе, удаленного банковского обслуживания.

Рутокен эцп с пином для егаис: сертификат гост, ключ rsa

ЕГАИС — общероссийская система, предназначенная для осуществления федерального контроля за движением спирта и спиртосодержащих товаров с момента производства и до реализации конечному потребителю. Подача отчетности и других документов в ЕГАИС возможна при наличии квалифицированной цифровой подписи, которую чаще всего хранят на защищенном носителе (токене). Для работы в системе необходим Рутокен ЭЦП 2.0 с пином, сертификат ГОСТ, ключ RSA с пин кодом.

Прежде чем приступить к настройке токена, необходимо установить специальный драйвер. Для этого:

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector