Набор средств криптографической защиты информации и электронной подписи JaCarta-2 ГОСТ может использоваться в прикладном и системном программном обеспечении и позволяет подписывать документы с использованием новых российских криптографических алгоритмов ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012, в соответствии с сертификатом по новым требованиям ФСБ № СФ/124-3112, а также производить шифрование согласно ГОСТ 28147-89.
- Введение
- Варианты исполнения
- Применение JaCarta-2 ГОСТ
- Особенности JaCarta-2 ГОСТ
- Дополнительные возможности
- Системные требования
- Выводы
Введение
Сегодня часто можно услышать о необходимости применения средств для аутентификации и электронной подписи (ЭП). В первую очередь, это обосновано требованиями российского законодательства — для того чтобы иметь возможность работать с некоторыми системами персональных данных или в государственных информационных системах, использование этих средств является обязательным. Указанные меры необходимы для безопасного доступа к информации, хранящейся и обрабатываемой в таких системах, подтверждения авторства документов и гарантирования их неизменяемости, а также для обеспечения неотказуемости действий пользователей. Кроме того, одним из требований регуляторов является возможность применения российских криптоалгоритмов, для чего необходимо использовать отечественные средства аутентификации и ЭП.
Если ничего не изменится, уже в 2019 году будут отменены ГОСТы на старые криптографические алгоритмы (ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001) и правомерным станет использование новых (ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012). В связи с этим многие разработчики уже сейчас обновляют свои продукты с учетом перехода на новые стандарты хэширования и ЭП. Среди них — российская компания «Аладдин Р.Д.», выпустившая на рынок новое семейство средств аутентификации и ЭП — JaCarta-2 ГОСТ, реализованных в виде USB-токенов и смарт-карт. Также возможна поставка JaCarta-2 ГОСТ в виде модулей смарт-карт и модулей безопасности (SIM, MicroSD-карта или чипы для монтажа на печатную плату), актуальных для производителей оборудования.
Варианты исполнения
USB-токены и смарт-карты
Наиболее распространенными программно-аппаратными средствами для обеспечения строгой двухфакторной аутентификации пользователей и формирования и проверки ЭП являются именно USB-токены и смарт-карты. В первую очередь, это обусловлено их защищенностью — программные СКЗИ, используемые для работы с ЭП, значительно легче скомпрометировать, поэтому их ключевые контейнеры часто записывают в защищенную память USB-токена и смарт-карты или используют встроенные в них СКЗИ.
Для своих технологических партнеров «Аладдин Р.Д.» также может поставлять модули для производства смарт-карт, которые могут быть использованы для создания многофункциональных смарт-карт, обладающих дополнительными функциями. Например, возможностями зарплатной карты (поддерживаются платежные системы МИР, VISA или MasterCard) или транспортной карты «Тройка».
Рисунок 1. USB-токены и смарт-карты JaCarta-2 ГОСТ
Модули безопасности (Secure Element)
JaCarta-2 ГОСТ в виде модуля безопасности предназначена для разработчиков навигационного и телематического оборудования, IoT-устройств, автоматизированных систем управления технологическими процессами (АСУ ТП) или устройств межмашинного взаимодействия (M2M). Разные исполнения (SIM, MicroSD-карта, чип для монтажа на печатную плату) позволяют подобрать оптимальный способ размещения модуля безопасности для обеспечения конфиденциальности, подлинности и юридической значимости информации и управляющих команд.
Рисунок 2. Модули безопасности (Secure Element)
Комбинированные модели
Комбинированные модели на базе JaCarta-2 ГОСТ обладают возможностями других устройств семейства JaCarta (JaCarta PKI, JaCarta PKI/BIO, JaCarta PRO). В JaCarta-2 PKI/ГОСТ дополнительно реализована зарубежная криптография, в JaCarta-2 PKI/BIO/ГОСТ — поддержка биометрической аутентификации пользователей по отпечаткам пальцев, а JaCarta-2 PRO/ГОСТ может работать в инфраструктуре для устройств eToken PRO (Java).
Применение JaCarta-2 ГОСТ
Устройства JaCarta-2 ГОСТ сертифицированы ФСБ России как средство ЭП класса КС1 и КС2, а также как средство криптографической защиты информации (СКЗИ) класса КС1 и КС2. Это позволяет применять их для формирования и проверки ЭП, строгой двухфакторной аутентификации в электронных системах и сервисах, а также шифрования данных. Дополнительно JaCarta-2 ГОСТ можно использовать для хранения ключевых контейнеров популярных программных СКЗИ, например КриптоПро CSP или ViPNet CSP, цифровых сертификатов, паролей и лицензий — для этого предусмотрена защищенная энергонезависимая память (EEPROM), доступная только после ввода PIN-кода. Для обеспечения совместимости с существующими системами и плавного перехода на новые стандарты ЭП поддерживаются как старые, так и новые российские криптографические алгоритмы.
USB-токены и смарт-карты JaCarta-2 ГОСТ могут использоваться для работы со многими электронными сервисами, такими как портал Государственных услуг, различные торговые площадки, системы дистанционного банковского обслуживания, системы таможенного декларирования, системы для сдачи отчетности (Пенсионный фонд России, Федеральная налоговая служба, ЕГАИС и т. д.), а также с различными веб-приложениями, корпоративными порталами и облачными сервисами. Еще одна крупная сфера использования устройств JaCarta-2 ГОСТ — системы электронного документооборота и почтовые клиенты. Применение JaCarta-2 ГОСТ в качестве средства квалифицированной ЭП подразумевает, что у пользователя устройства есть сертификат открытого ключа, выданного в аккредитованном удостоверяющем центре.
Сфера применения модулей безопасности JaCarta-2 ГОСТ также обширна. Например, они используются для подписи кадров с камер видеонаблюдения, что позволяет гарантировать их подлинность в суде, или в промышленных контроллерах света и тепла, обеспечивая некорректируемость управляющих команд и поступающих данных.
Особенности JaCarta-2 ГОСТ
По сравнению с предыдущим поколением средств ЭП от «Аладдин Р.Д.» (JaCarta ГОСТ) в JaCarta-2 ГОСТ были реализованы несколько новых возможностей, повышающих безопасность и удобство использования этих устройств в качестве средства аутентификации и ЭП. Одно из главных новшеств — использование СКЗИ, сертифицированного по новым требованиям ФСБ России. Это означает, что команды для встраивания криптографических функций в прикладное программное обесепчение описаны, проверены и включены в разрешенный белый список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании. В результате встраивание JaCarta-2 ГОСТ в прикладное ПО при использовании функций из белого списка максимально упрощено, а обязательная в таких случаях проверка оценки влияния (корректности встраивания СКЗИ) становится простой формальной процедурой. Конкурирующие продукты сертифицированы как функционально законченные программно-аппаратные автоматизированные рабочие места (АРМы), не имеющие белых списков для встраивания в стороннее программное обеспечение. Поэтому встраивание таких СКЗИ нарушает правила пользования сертифицированного СКЗИ, при этом фактически создается новое СКЗИ, а это требует наличия лицензии ФСБ России на разработку шифросредств.
Другой важной особенностью является возможность построения защищенного канала между СКЗИ внутри JaCarta-2 ГОСТ и интерфейсной криптобиблиотекой (ИКБ), являющейся частью сертифицированного СКЗИ, но работающей на хосте (персональном компьютере, сервере, смартфоне или терминальным оборудовании). Это позволяет безопасно передавать информацию между JaCarta‑2 ГОСТ и хостом (например, PIN-коды, данные и управляющие команды), а также быстро вычислять хэш документа с помощью гораздо более производительного процессора хоста, благодаря чему скорость подписания документов значительно увеличивается.
Также в JaCarta-2 ГОСТ были реализованы новые механизмы защиты от атак на PIN-код и блокирования устройства — если USB-токен или смарт-карта JaCarta-2 ГОСТ заблокирована, можно попытаться разблокировать их через определенное время, ввести PUK-код, либо использовать одноразовый код, который удаленно сгенерирует администратор безопасности. Также появился отдельный PIN-код для операции формирования ЭП, применение которого позволяет снизить вероятность ошибочных действий пользователя при проведении крупных сумм в системах ДБО и подписании важных документов, а также защищает от атак, связанных с удаленным использованием состояния «залогиненности» устройства для подписи поддельных документов.
Стоит отметить, что во всех устройствах JaCarta-2 ГОСТ используются защищенные микроконтроллеры, имеющие встроенные механизмы от атак на аппаратном и программном уровне, включая физические, логические, переборные, статистические атаки, клонирование и другие. Применяемые микроконтроллеры соответствует профилю защиты для смарт-карт (Smart Card Security User Group — Smart Card Protection Profile — SCSUG-SCPP), что подтверждено результатами сертификации по методике Сommon Criteria. Также JaCarta-2 ГОСТ соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом «Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС № 910/2014»). Это позволяет говорить о значительно более высоком уровне защищенности JaCarta-2 ГОСТ по сравнению с продуктами других российских производителей, создающих свои продукты на основе более дешевых, но гораздо менее защищенных микроконтроллеров общего назначения, которые можно легко взломать или клонировать, создав угрозу всей инфраструктуре аутентификации и ЭП.
Защищенная энергонезависимая память (EEPROM), являющаяся частью микроконтроллера, также была изменена — теперь ее объем может быть увеличен до 144 КБ, что позволяет хранить гораздо большее число цифровых сертификатов и ключевых контейнеров программных СКЗИ.
Дополнительные возможности
Помимо самих устройств, производитель JaCarta-2 ГОСТ предлагает пользователям широкий набор программных и аппаратно-программных продуктов для упрощения работы с JaCarta-2 ГОСТ или решения специфических задач.
Единый Клиент JaCarta
Для настройки PIN-кода, управления цифровыми сертификатами, получения подробной информации о JaCarta-2 ГОСТ, разблокировки устройства, а также ряда других функций используется специальная клиентская программа «Единый Клиент JaCarta», которую можно свободно скачать с сайта «Аладдин Р.Д.». Поддерживается работа с известными криптопровайдерами, такими как КриптоПро CSP, Signal-COM CSP, ViPNet CSP и др.
Рисунок 3. Окно программы «Единый Клиент JaCarta»
АРМ Администратора безопасности
Для инициализации устройств JaCarta-2 ГОСТ, ввода их в эксплуатацию, разблокирования, настроек доступа к журналам и параметров паролей может применяться сертифицированный АРМ администратора безопасности. Помимо описанных функций, АРМ администратора безопасности может применяться для изменения PIN- и PUK-кодов, новой инициализации устройств и работы с доверенными объектами. Покупать АРМ администратора безопасности не обязательно — производитель может инициализировать устройства JaCarta-2 ГОСТ на своем производстве.
JaCarta Management System
Организациям с большим количеством USB-токенов и смарт-карт JaCarta-2 ГОСТ целесообразно использовать корпоративную систему централизованного учета и управления JaCarta Management System (JMS). Она позволяет полностью автоматизировать все операции по выпуску, замене или отзыву устройств и цифровых сертификатов для любого количества пользователей. Так, выпуск тысячи сертификатов для тысячи географически распределенных пользователей с помощью JMS займет около минуты, сэкономив многие часы рабочего времени администраторам безопасности и самим пользователям. Также в системе реализована уникальная функциональность по автоматическому учету СКЗИ и ключевых документов с ведением электронного журнала по требованиям ФСБ.
JMS поддерживает все устройства JaCarta, включая встраиваемые модули безопасности, что позволяет использовать ее для централизованного управления цифровыми сертификатами на IoT-устройствах, а также устройствах других производителей.
JMS зарегистрирована в Едином реестре отечественного ПО (№ 311) Минкомсвязи России и Реестре программ для ЭВМ (№ 2015618931), сертифицирована ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля и соответствие Техническим условиям (сертификат соответствия № 3355 ) и может использоваться для замены иностранного программного обеспечения в рамках исполнения программы импортозамещения и принятых в связи с ней нормативно-правовых актов.
JC-WebClient
JC-WebClient — программное обеспечение, предназначенное для решения задач строгой двухфакторной аутентификации, работы с электронной подписью и шифрования данных пользователей веб-приложений. JC-WebClient позволяет легко встроить в веб-сайты и облачные сервисы функции для работы с USB-токенами и смарт-картами JaCarta-2 ГОСТ. JC-WebClient работает со всеми популярными браузерами на всех платформах (Microsoft Windows, macOS, GNU/Linux) и легко устанавливается за несколько кликов при первом посещении защищаемого веб-ресурса, не требуя перезагрузки компьютера. Для встраивания в веб-приложения предлагается комплект разработки JC-WebClient SDK, который включает в себя JC-WebClient для различных платформ, подробное руководство по встраиванию и исчерпывающий перечень примеров с исходными кодами.
Secret Disk
Продукты линейки Secret Disk предназначены для защиты конфиденциальной информации и персональных данных от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия. Они обеспечиваютзащиту информации на логических дисках, отдельных жестких дисках, дисковых массивах (SAN, программных и аппаратных RAID-массивах), а также на съемных носителях (дискетах, Flash-дисках, CD, DVD, картах памяти).
Защита дисков достигается за счет прозрачного шифрования данных — при записи на защищенный диск информация автоматически зашифровывается, при чтении — расшифровывается. Доступ к зашифрованной информации могут получить только авторизованные пользователи, имеющие USB-ключ или смарт-карту JaCarta и знающие PIN-код. Для остальных зашифрованный диск выглядит как неразмеченная область жесткого диска или файл, содержащий «мусор».
Продукты Secret Disk сертифицированы ФСТЭК России и внесены в Единый реестр отечественного ПО.
«Крипто БД»
JaCarta-2 ГОСТ также может выступать как средство аутентификации в уникальном для отечественного рынка решении — «Крипто БД» — системе предотвращения утечек из систем управления базами данных (СУБД) Oracle, Microsoft SQL Server, Tibero и PostgreSQL. «Крипто БД» сертифицирована ФСБ России как СКЗИ класса КС1 и КС2 (сертификат соответствия № СФ/124-3249), что позволяет использовать ее для защиты информации, не содержащей сведений, составляющих государственную тайну. Система также внесена в Единый реестр отечественного ПО.
Для предотвращения утечек информации в «Крипто БД» используется композитный метод защиты: шифрование таблиц баз данных с применением российских криптографических алгоритмов ГОСТ 28147-89 или ГОСТ Р 34.12-2015 дополняется использованием строгой двухфакторной аутентификации пользователей с помощью USB-токенов или смарт-карт JaCarta. У неавторизованных пользователей защищаемые данные маскируются (представлены в виде произвольных символов), а действия всех авторизованных пользователей персонализируются и протоколируются, что позволяет проводить аудиты и расследовать инциденты безопасности.
Системные требования
Устройства JaCarta-2 ГОСТ сертифицированы для работы со следующими операционными системами:
Microsoft Windows — Microsoft Windows 10, Microsoft Windows 8.1, Microsoft Windows 8, Microsoft Windows 7, Microsoft Windows Vista SP2, Microsoft Windows XP SP3 (32-бит), Microsoft Windows XP SP2 (64-бит), Microsoft Windows Server 2012, Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008, Microsoft Windows Server 2003 SP2.
Linux — Astra Linux Common и Special Edition, CentOS 7, Debian 8.4, Mandriva Enterprise Server 5, openSUSE 13.2, Leap 42.1, Oracle Linux 5 Update 5&6, Oracle Linux 6, Red Hat Enterprise Linux 5.6, 6.0, 7.0, 7.2, ROSA Enterprise Desktop X1 (Marathon), ROSA Enterprise Linux Server, SUSE Linux Enterprise Server 11 SP4, Ubuntu 14.04, МСВС 3.0, 5.0, МСВСфера, Ред ОС, РОСА DX КОБАЛЬТ 1.0, SX КОБАЛЬТ 1.0.
macOS — OS X Yosemite (версия 10.10), OS X El Capitan (версия 10.11).
Выводы
Средства аутентификации и ЭП JaCarta-2 ГОСТ от компании «Аладдин Р.Д.» отличаются как от своих предшественников (устройств JaCarta ГОСТ), так и от многих конкурирующих продуктов. Они хорошо защищены, работают с широким списком операционных систем, способны быстро формировать ЭП и доступны в большом количестве форм-факторов.
Для заказчиков доступны разные форм-факторы: USB-токены (в нескольких корпусах разного размера), смарт-карты, модули смарт-карт, а также модули безопасности (SIM, MicroSD-карта, чипы для монтажа на печатную плату). USB-токены и смарт-карты могут применяться в различных системах электронного документооборота и электронных сервисах, а модули безопасности — в промышленных и М2М-устройствах.
Обеспечена поддержка новых ГОСТов для формирования и проверки ЭП, что позволяет плавно перейти на них в течение 2018 года. Наличие «белого» списка криптографических функций позволяет встраивать JaCarta-2 ГОСТ в прикладное и системное программное обеспечение без прохождения длительной процедуры сертификации в ФСБ России. Еще одной особенностью является возможность построения защищенного канала между JaCarta-2 ГОСТ и хостом, что позволяет безопасно передавать данные, а также значительно быстрее формировать ЭП. Новые механизмы разблокирования, такие как использование PUK-кода, одноразового кода разблокировки и возможность повторного введения PIN-кода после временной блокировки значительно повышают удобство и безопасность эксплуатации JaCarta-2 ГОСТ. Возможность назначения отдельного PIN-кода для операций формирования ЭП позволяет гарантировать дополнительную защиту при подписании важных документов или совершении транзакций. Также стоит отметить использование защищенных микроконтроллеров, имеющих международные сертификаты и гарантирующие повышенный уровень защиты от возможных атак злоумышленников.
Дополнительные программные и аппаратно-программные продукты, разрабатываемые компанией «Аладдин Р.Д.», позволяют значительно повысить удобство применения JaCarta-2 ГОСТ, например, централизованно управлять всем парком устройств JaCarta-2 ГОСТ и цифровыми сертификатами на них, а также решать специфические задачи, например, шифровать диски или обеспечивать защищенный доступ к данным, хранящимся в СУБД.
