Токены JaCarta-2 ГОСТ сертифицированы ФСБ России

Александр Панасенко 02 Мая 2017 - 12:11

Корпорации

Аладдин

JaCarta ГОСТ

Системы аутентификации

Токены и устройства аутентификации

Карты доступа

Уязвимости

Сертификаты ФСБ

...

Токены JaCarta-2 ГОСТ сертифицированы ФСБ России

Компания "Аладдин Р.Д.", сообщает о том, что новая линейка токенов JaCarta-2 ГОСТ, в которой применяется средство криптографической защиты информации (СКЗИ) "Криптотокен 2 ЭП", сертифицирована ФСБ России и скоро станет доступна для заказа.

JaCarta-2 ГОСТ — новая линейка смарт-карт, USB- и MicroUSB-токены (далее — токены) для работы с ЭП, входящая в семейство средств аутентификации и электронной подписи (ЭП) JaCarta. В новых устройствах реализована поддержка современных российских криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 (в соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 "О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования", использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается).

Возможности JaCarta-2 ГОСТ позволяют:

осуществлять строгую двухфакторную аутентификацию пользователя при входе в корпоративные системы, Web-сайты и облачные сервисы;
обеспечивать формирование и проверку усиленной квалифицированной ЭП;
организовывать защищённый канал для обеспечения доверенной аутентификации путём исключения случаев перехвата и подмены аутентификационных данных;
обеспечивать безопасное хранение ключевой информации (ключевых пар и сертификатов) и программных СКЗИ;
надёжно сохранять зашифрованные данные в файловой системе токена или смарт-карты;
вычислять HMAC (hash-based message authentication code) для интеграции с системами, использующими одноразовые пароли (OTP);
работать в качестве отчуждаемого криптомодуля в составе других продуктов.

Токены JaCarta-2 ГОСТ могут применяться в системах дистанционного банковского обслуживания, системах сдачи электронной отчётности, системах электронного документооборота, электронных торговых площадках, корпоративных порталах, порталах государственных услуг, системах электронного таможенного декларирования и Web-сервисах, в которых требуется реализовать защищённый доступ пользователей и обеспечить юридическую значимость действий пользователей.

Основными преимуществами токенов JaCarta-2 ГОСТ по сравнению с аналогами являются:

повышенная безопасность — в JaCarta-2 ГОСТ применяются специализированные защищённые микроконтроллеры с архитектурой Secure-by-Design и улучшенные механизмы защиты (парольные политики, аутентификация с помощью PIN-кода подписи, расширенная ролевая модель, новые режимы разблокирования и т.д.);
удобный графический интерфейс — для работы со всеми моделями смарт-карт и токенов JaCarta-2 ГОСТ доступно универсальное средство администрирования с интуитивно-понятным графическим интерфейсом (программный комплекс "Единый Клиент JaCarta");
оптимальная ценовая политика — при приобретении JaCarta-2 ГОСТ заказчик может выбрать и оплатить только те функции, которые ему действительно нужны. Это позволяет подобрать оптимальное предложение с точки зрения функциональности, стоимости и удобства использования;
совместимость — токены JaCarta-2 ГОСТ работают со всеми популярными операционными системами, такими, как Microsoft Windows (включая Microsoft Windows 10), различными вариациями GNU Linux (в том числе МСВС), а также Apple macOS (10.10 и 10.11);
соответствие международным стандартам — используемые в JaCarta-2 ГОСТ микроконтроллеры и операционная система соответствуют профилю безопасности Smart Card Security User Group — Smart Card Protection Profile (достигнутый уровень доверия — EAL 4+) и Security IC Platform Protection Profile (достигнутый уровень доверия — EAL 5+).

Полученный сертификат ФСБ России № СФ/124-3112 от 25 апреля 2017 года подтверждает, что СКЗИ "Криптотокен 2 ЭП" в составе изделия JaCarta ГОСТ (коммерческое название — JaCarta-2 ГОСТ) в вариантах исполнения 9 и 10 соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, требованиям к СКЗИ, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (вариант исполнения 9) и КС2 (вариант исполнения 10), требованиям к средствам электронной подписи (ЭП), утверждённым приказом ФСБ России от 27 декабря 2011 года № 796, установленным для класса КС1 (вариант исполнения 9) и КС2 (вариант исполнения 10), и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, реализация функций ЭП в соответствии с Федеральным законом от 6 апреля 2011 года № ФЗ-63 "Об электронной подписи": создание ЭП, проверка ЭП, создание ключа ЭП, создание ключа проверки ЭП) информации, не содержащей сведений, составляющих государственную тайну.

Сергей Груздев, генеральный директор "Аладдин Р.Д.": "Своевременная сертификация JaCarta-2 ГОСТ в качестве персонального средства электронной подписи позволяет нашим клиентам и заказчикам плавно перейти на использование новых ГОСТов 2012 года. При этом новое СКЗИ в составе токенов позволяет нам обойти конкурентов по таким параметрам, как скорость вычисление хэш-функции, скорость шифрования данных, наличие криптографически безопасных интерфейсов, возможность добавления новых аппаратно-реализованных функций и ряду других параметров. В совокупности это позволит в полной мере удовлетворить потребности рынка и обеспечит дальнейший рост нашего бизнеса. Новые токены JaCarta-2 ГОСТ с СКЗИ "Криптотокен 2 ЭП" будут доступны для заказа со второй половины мая 2017 года".

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 27 Октября 2025 - 16:28

Уязвимости программ GenAI (генеративный искусственный интеллект) Общее

ИИ пишет коды, как талантливый джуниор, и это подрывает безопасность софта

Как выяснили израильские специалисты, сгенерированные ИИ коды по плотности уязвимостей сравнимы с рукописными творениями, однако содержат структурные изъяны, способные повысить риски для введенных в эксплуатацию систем.

В рамках исследования в OX Security изучили содержимое более 300 репозиториев софта, в том числе 50 проектов, созданных с помощью GitHub Copilot, Cursor или Claude.

Многие сгенерированные ИИ коды выглядели чистыми и функциональными: казалось, умный помощник повел себя как одаренный начинающий программист, к тому же обладающий феноменальным быстродействием.

К сожалению, его участие свело на нет аудит кода, отладку и командный надзор, с которыми современные безопасники и так плохо справляются из-за возросшей нагрузки. Такие корпоративные службы, по данным экспертов, в среднем одновременно обрабатывают по полмиллиона алертов, оценивая степень важности и принимая дополнительные меры защиты.

Применение ИИ ускорило темпы создания софта, однако такие разработчики зачастую развертывают свои программы, не имея представления о защите хранимых данных и доступа, в том числе через интернет. Справедливости ради стоит отметить, что в подобную ловушку может попасть и профессиональный кодер.

«Функциональные приложения теперь можно выкатывать быстрее, но их не успевают тщательно проверять, — комментирует Эяль Пац (Eyal Paz), вице-президент OX Security по исследовательской работе. — Уязвимые системы вводятся в эксплуатацию с беспрецедентной скоростью, однако надлежащий аудит кода невозможно масштабировать до такой степени, чтобы он соответствовал новым темпам».

Суммарно эксперты выявили десять потенциально опасных недостатков, которые часто встречаются в творениях ИИ-помощников программиста:

множественные, излишние комментарии в коде, затрудняющие проверку (в 90-100% случаев);
фиксация на общепринятых правилах программирования, препятствующая созданию более эффективных и новаторских решений (80–90%);
создание одноразовых кодов, без возможности перепрофилирования под иные задачи (80–90%);
исключение рефакторинга (80–90%);
повторяющиеся баги, которые потом приходится многократно фиксить, из-за невозможности многократного использования кода (70-80%);
отсутствие осведомленности о специфике среды развертывания, приводящее к отказу кода, исправно функционирующего на стадии разработки (60-70%);
возврат к монолитным, сильно связанным архитектурам вместо уже привычных, удобных в сопровождении микросервисов (40-50%);
фейковое покрытие тестами всех интересующих значений — вместо оценки реальной логики ИИ выдает бессмысленные метрики, создающие ложное чувство уверенности в результатах (40-50%);
создание кодов с нуля вместо добавления обкатанных библиотек и SDK, что повышает риски привнесения ошибок (40-50%);
добавление логики для порожденных галлюцинациями сценариев, повышающее расход ресурсов и снижающее производительность (20-30%).

Поскольку традиционные методы обеспечения безопасности кодов не работают при использовании ИИ, авторы исследования (доступ к полнотекстовому отчету требует регистрации) рекомендуют в таких случаях принять следующие меры:

отказаться от аудита кодов и вместо этого привнести аспект безопасности в процесс разработки (подход Secure by Design);
перераспределить роли и зоны ответственности — ИИ работает над реализацией, профессионалы концентрируют внимание на архитектуре, контролируют соблюдение требований безопасности, принимают решения по вопросам, требующим опыта и знания контекста;
заставить ИИ блюсти интересы безопасности — вставлять соответствующие инструкции в промпты, вводить архитектурные ограничения, интегрировать автоматически выполняемые правила в рабочие процессы, чтобы не пришлось устранять огрехи пост фактум;
применять ИИ-средства обеспечения безопасности, сравнимые по быстродействию с такими же помощниками по разработке.

По прогнозу «Монк Дидижтал Лаб», расширение использования генеративного ИИ в российских разработках к концу текущего года приведет к увеличению количества сбоев ИТ-инфраструктуры на 15-20% по сравнению с уровнем 2023-го.