Электронный идентификатор usb токен jacarta pki что это
Поможем подобрать оптимальный носитель, настроим программу, ответим на все вопросы.
Популярные варианты
Модели делятся на несколько семейств: JaCarta-2 SE, JaCarta-2 ГОСТ, JaCarta LT. Главное отличие — в наличии средства криптографической защиты информации (СКЗИ) и возможности работать с ЕГАИС. Для использования одних токенов нужно устанавливать программу на ПК, для других — не нужно, так как она уже находится в носителе.
Сравнение моделей
Для наглядности мы подготовили таблицу.
Применение
Для разработчиков, желающих реализовать в своих решениях и продуктах поддержку устройств линейки JaCarta-2 ГОСТ, доступен комплект разработчика JaCarta-2 SDK с подробными примерами встраивания. Для получения комплекта разработчика необходимо обратиться к представителям компании "Аладдин Р.Д.".
Виды токенов
Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.
В таблице — сравниваем основные характеристики токенов.
Расскажем подробнее о каждом носителе.
Рекомендуется
Для работы со смарт-картами со стационарного компьютера рекомендуется использование офисных смарт-карт ридеров ASEDrive IIIe USB, с ноутбуками - компактных ASEDrive III USB Mini.
Для использования MicroUSB-токена на ноутбуке или персональном компьютере рекомендуется приобрести переходник MicroUSB-to-USB.
Нанесение логотипа Заказчика
На токены JaCarta-2 PKI/ГОСТ можно нанести логотип Заказчика. Рекомендуемый способ нанесения логотипа — тампопечать. Альтернативный метод — лазерная гравировка (цвет логотипа на корпусе — серый на чёрном фоне).
Рекомендуемое оборудование
ASEDrive IIIe USB
Рекомедуется для работы со смарт-картами JaCarta-2 PKI/ГОСТ на стационарных компьютерах. Подробнее
ASEDrive III USB Mini
Рекомедуется для работы со смарт-картами JaCarta-2 PKI/ГОСТ на ноутбуках. Подробнее
Специальные ридеры
Рекомедуется для работы со смарт-картами JaCarta-2 PKI/ГОСТ на планшетах и смартфонах. Подробнее
Исполнения
Устройства JaCarta-2 PKI/ГОСТ выпускаются в трёх форм-факторах: USB-токен (в корпусах Nano и XL), MicroUSB-токен и смарт-карта (чёрный пластик, чип с палладиевыми контактами).
Особенности
Сертифицировано по новым требованиям ФСБ России
СКЗИ в составе JaCarta-2 PKI/ГОСТ сертифицировано по новым требованиям ФСБ России и является функционально законченным и криптографически безопасным.
Предназначено для встраивания
Сертифицированное СКЗИ (средство ЭП) предназначено для легитимного и безопасного встраивания в прикладное, системное и встраиваемое ПО и оборудование.
"Белый" список безопасных команд и функций
Обеспечивает построение защищённого канала
В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).
Защита от взлома и клонирования
Secure By Design — устройства JaCarta-2 PKI/ГОСТ сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).
Ключи шифрования не хранятся в памяти устройства - взламывать его бесполезно.
Возможность расширения функциональности устройств
Использование технологии Java Card позволяет добавлять необходимую функциональность в устройства JaCarta-2 PKI/ГОСТ без необходимости повторной сертификации СКЗИ в ФСБ России.
Работа с доверенными объектами
Дополнительный PIN-код на операцию формирования ЭП
JaCarta-2 PKI/ГОСТ позволяет установить два разных PIN-кода: PIN-код пользователя — для аутентификации пользователя и PIN-код подписи — для формирования ЭП (опционально).
Новые механизмы разблокирования устройств
JaCarta-2 PKI/ГОСТ предоставляет новые механизмы восстановления работоспособности: самостоятельное (PUK-код) и удалённое разблокирования устройства с помощью Администратора.
Новые механизмы защиты от атак и блокирования
В новом устройстве JaCarta-2 PKI/ГОСТ реализованы защита от атак на PIN-код и от блокирования устройства, a PIN-код Администратора заменён ключом администратора безопасности.
Безопасное администрирование
Для инициализации новых устройств, работы с доверенными объектами (ключами проверки ЭП) и безопасного администрирования в процессе их жизненного цикла предназначен новый АРМ администратора безопасности.
Больше доступной памяти
В новой линейке JaCarta-2 PKI/ГОСТ появилась модель с увеличенным объёмом защищённой памяти — теперь для безопасного хранения ключей, кодов авторизации, сертификатов и других объектов доступно до 114 КБайт энергонезависимой памяти (EEPROM).
Быстрее
Скорость подписания объёмных документов в устройстве JaCarta-2 PKI/ГОСТ теперь на порядки выше, поскольку вычисление хэш-функции от объёмных документов производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства.
Вычисленное значение хэш-функции для формирования ЭП передаётся в устройство по защищённому каналу.
Повышенный ресурс и живучесть
Устройства JaCarta-2 PKI/ГОСТ проектировались с учётом возможностей применения в различных автоматизированных системах (ЕГАИС, АСУ ТП и пр.), включая М2М, IoT и прочие, и имеют повышенный ресурс по количеству циклов записи в EEPROM-память и выполняемых операций ЭП.
В частности, количество операций формирования ЭП составляет не менее 10 млн.
Надёжность и качество
При проектировании и производстве новых устройств JaCarta-2 PKI/ГОСТ инженеры компании учли весь накопленный 20-ти летний опыт и сделали их ещё лучше и надёжнее.
Команды для встраивания криптографических функций в прикладное программное обеспечение (ПО) описаны, проверены и включены в разрешённый "белый" список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании.
Сертификат ФСБ России № СФ/124-3956
- Выдан на средство ЭП и СКЗИ (СКЗИ "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ * ).
- Действует до 17 ноября 2023 г.
- Классы: КС1, КС2 (автоматически обеспечивается при использовании АПМДЗ).
- Соответствует требованиям 63-ФЗ и Приказа ФСБ России № 796 к средствам ЭП.
- Может использоваться для формирования усиленной квалифицированной подписи.
* — Коммерческое название — JaCarta-2 ГОСТ.
Большинство конкурирующих продуктов не имеет "белых" списков криптографических функций и программных интерфейсов, разрешенных для встраивания в прикладное ПО.
Встраивание таких средств (не имеющих "белых" списков), фактически является созданием нового СКЗИ из компонентов другого (сертифицированного как законченное изделие).
Такая деятельность требует наличия лицензии ФСБ России на разработку шифросредств, а "сертифицированное" СКЗИ при использовании лишь части его компонентов с нарушением правил пользования сертифицированными не являются.
Обязательная в случаях встраивания СКЗИ проверка оценки влияния (корректности встраивания СКЗИ) при использовании разрешённых функций из "белого" списка становится простой формальной процедурой.
Все модели JaCarta-2 PKI/ГОСТ по-прежнему можно использовать для хранения ключевых контейнеров криптопровайдеров и программных СКЗИ (КриптоПро CSP, ViPNet CSP и др.).
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО:
- Генерация ключей (выполняется аппаратно):
- для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы СКЗИ);
- для шифрования;
- для удалённой аутентификации (HMAC);
- для внешних нужд и других СКЗИ.
- ГОСТ Р 34.11-94;
- ГОСТ Р 34.11-2012.
- ГОСТ 28147-89.
- ГОСТ Р 34.10-2001;
- ГОСТ Р 34.10-2012.
- проверка цепочки сертификатов;
- безопасный импорт/экспорт ключей шифрования (на ключевых парах с проверкой всей цепочки сертификатов).
В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).
- набор криптографических алгоритмов и протоколов, включая выработку и согласование сеансовых ключей;
- автоматическое построение защищённого доверенного канала с аппаратным устройством JaCarta-2 PKI/ГОСТ, что позволяет безопасно передавать команды и данные;
- быстрое хэширование и шифрование данных (со скоростью работы основного процессора хоста, более мощного и производительного, чем микроконтроллер устройства).
Конкурирующие продукты канал передачи данных и команд между токеном и хостом не закрывают.
Если требуется защита передаваемых данных, необходимо использовать продукты третьих фирм.
Все устройства JaCarta-2 PKI/ГОСТ
- Выполнены на базе защищённых смарт-карточных чипов, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования, прошедших сертификацию в международных лабораториях по CAST и EMV (по требованиям для платёжных систем).
- Полностью соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС №910/2014").
Многие конкурирующие российские продукты выполнены на базе микроконтроллеров общего назначения, не имеющих специальных средств противодействия взлому и клонированию, поэтому пользователи таких устройств подвержены серьёзным рискам.
Технология Java Card позволяет добавлять необходимую функциональность, загружая в чип соответствующие Java-апплеты.
- PKI (на базе зарубежной криптографии).
- Биометрическая идентификация пользователя по его отпечаткам пальцев (с функцией Match-On-Card). Отпечатки пальцев нигде не хранятся и сразу передаются в апплет, а все вычисления и принятие решения "Свой/Чужой" производятся внутри устройства.
- Платёжные приложения ("Мир", Visa, MasterCard и др.). Платёжное приложение "Мир" в составе продукта прошло сертификацию в НСПК.
- Безопасное хранение криптоконтейнеров программных СКЗИ и пользовательских данных (ключей, паролей, кодов доступа).
Java-апплеты, загруженные в устройство, могут обмениваться между собой командами и данными напрямую через внутренний Shareable-интерфейс.
Доступна широкая линейка комбинированных моделей.
Ключи проверки ЭП и функции зашифрования/расшифрования могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.
Срок жизни доверенных ключей — 15 лет, закрытых ключей — 3 года, что существенно сокращает стоимость владения устройств JaCarta-2 PKI/ГОСТ по сравнению с программными СКЗИ со сроком действия ключей 1 год.
Устройство может быть сконфигурировано так, что при входе в систему (для строгой двухфакторной аутентификации) пользователь должен ввести один PIN-код (пользователя), а при проведении финансовых транзакций или подписании электронных документов — другой PIN-код (подписи), разрешающий формирование ЭП.
Необходимость ввода PIN-кода подписи устанавливается при создании соответствующей ключевой пары.
Такой механизм повышает безопасность, снижает вероятность ошибочных действий пользователей, что крайне важно в системах ДБО при проведении крупных сумм, в системах ЭДО при подписании важных документов, а также защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.
PUK-код
При инициализации устройства администратор может установить и сообщить пользователю специальный PUK-код для разблокирования. С его помощью пользователь сможет самостоятельно (без обращения к администратору) разблокировать своё устройство.
Одноразовый код разблокирования
Если пользователь забыл PIN-код своего устройства, то теперь он может позвонить или написать своему администратору и попросить его сгенерировать одноразовый код разблокирования устройства.
Это новый удобный и безопасный механизм.
Защита от атак на PIN-код
В первом поколении устройств (JaCarta ГОСТ, eToken ГОСТ) если Администратор забывал, не устанавливал или случайно блокировал свой PIN-код, сбросить забытый PIN-код пользователя было нельзя, и такое заблокированное устройство можно было выбрасывать.
В новом поколении устройств (JaCarta-2 PKI/ГОСТ) PIN-код администратора заменён ключом администратора безопасности — случайно или умышленно заблокировать токен теперь нельзя.
Забытый PIN-код пользователя Администратор теперь всегда может сбросить с использованием сертифицированного АРМа администратора безопасности JaCarta-2 PKI/ГОСТ. При этом все данные (объекты, файлы, PIN- и PUK-коды и др.) будут удалены, а устройство JaCarta-2 PKI/ГОСТ можно будет вернуть в эксплуатацию.
Защита от блокирования устройства
Обычно все токены и смарт-карты блокируются после ввода заданного количества неверных значений PIN-кода – это их нормальное поведение для защиты от атак на PIN-код методом перебора.
Для защиты от DoS-атак на PIN-коды в новом устройстве JaCarta-2 PKI/ГОСТ реализован автоматический сброс счётчиков попыток ввода неверного PIN- и PUK-кодов через установленный промежуток времени, после которого пользователю будет достаточно просто ввести правильное значение PIN-кода.
Эти механизмы кардинально решают проблему разблокирования устройств и атак на PIN-коды.
Все конкурирующие аналоги подвержены атаке со сменой PIN-кода на случайное значение, приводящей к блокированию устройства и выводу его из строя.
Новый АРМ администратора безопасности предназначен для инициализации устройств JaCarta-2 PKI/ГОСТ при их вводе в эксплуатацию, разблокирования, изменения парольной политики, доступа к журналу операций (при расследовании инцидентов), к объектам файловой системы (кроме закрытых ключей ЭП), установки, смены PIN- и PUK-кодов, работы с доверенными объектами, вывода устройств из эксплуатации и переинициализации (например, при выдаче их другим пользователям).
АРМ администратора безопасности также предназначен для работы с доверенными объектами — ключами проверки ЭП (чтобы обеспечить срок службы ключей 3 года, без АРМа - только 1 год).
Срок действия доверенных ключей — 15 лет, закрытых ключей ЭП — 3 года.
Ключи проверки ЭП могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.
Приобретение АРМа Администратора безопасности является полезной, но не обязательной опцией.
Токены (как средство ЭП) как и раньше можно заказывать с нужными параметрами инициализации, при этом загрузку нужного профиля и инициализацию устройств может выполнить их производитель или поставщик.
При формировании ЭП значение хэш-функции от подписываемого документа теперь вычисляется с использованием программной библиотеки (ИКБ), являющейся частью сертифицированного СКЗИ и работающей на стороне хоста (персонального компьютера, сервера, терминала), а затем передаётся для подписи в устройство по защищённому каналу.
Это означает, что время подписи, большая часть которого тратится на вычисление хэш-функции для объёмных документов, теперь кардинально сокращается, поскольку хэш вычисляется не на микроконтроллере устройства JaCarta-2 PKI/ГОСТ, а на более производительном процессоре хоста.
Благодаря использованию защищённого канала выполнение операций хэширования на хосте не приводит к снижению уровня безопасности.
Вычисление значения хэш-функции также может производиться и самим устройством (внутри чипа) и сразу же передаваться на формирование ЭП.
Конкурирующие продукты в составе сертифицированного продукта такой возможности не имеют. Вычисления хэш производятся, как правило, на медленном микроконтроллере устройства, поэтому они сильно проигрывают в общей скорости работы, либо для быстрого вычисления хэша требуют использования внешней криптобиблиотеки от другого разработчика. Это приводит к лишним затратам, проблемам совместимости, развития и поддержки такого решения и необходимости проведения в ФСБ России оценки влияния (корректности встраивания).
Менеджмент качества
Система менеджмента качества компании "Аладдин Р.Д." соответствует требованиям стандарта ГОСТ Р ИСО 9001-2015 (ISO 9001:2015) и дополнительным требованиям ГОСТ РВ 0015-002-2012. Система менеджмента качества компании "Аладдин Р.Д." сертифицирована в двух системах: Росаккредитация, сертификат соответствия № RU CMS-RU.ФК14.00263 (срок действия до 20.07.2021); система добровольной сертификации "Военный регистр", сертификат соответствия № ВР 21.1.13537-2019 (срок действия до 24.04.2022).
Разработка и производство осуществляется в соответствии с требованиями российского военного стандарта ГОСТ РВ 15.002-2012, необходимого для участия в реализации гособоронзаказа.
Токен JaCarta — это устройство с защищенной картой памяти, на которой хранится информация об электронной подписи. Это один из безопасных вариантов для хранения ЭП: носитель сертифицирован ФСТЭК/ФСБ, имеет пароль и усиленную защиту данных.
Токены JaCarta выпускаются в виде USB-токенов, отдельных модулей, смарт- и SIM-карт. Расскажем, чем популярные модели JaCarta отличаются друг от друга.
JaCarta-2 ГОСТ
В отличие от предыдущей модели, не подходит для работы с ЕГАИС. Выпускается в нескольких вариантах: USB-токен, смарт-карта, модули смарт-карт, SIM-модули. Главное преимущество в том, что в чип смарт-карты можно загрузить дополнительные компоненты (апплеты). Это расширит возможности токена:
- Биометрическая идентификация. Доступ к устройству настраивается по отпечатку пальца.
- Платежные приложения (Visa, MasterCard, МИР). Можно проводить банковские операции без посещения банка, расплачиваться с помощью смарт-карты.
Смарт-карты поддерживают беспроводную передачу данных NFC, транспортные приложения, корпоративные карты. Например, банковская карта МИР может работать одновременно как карта «Тройка» и носитель ЭП.
Какие цели решают продукты JaCarta:
аутентификация (проверка подлинности) пользователей;
автоматизация типовых операций при работе с токенами;
генерация одноразовых паролей;
обеспечение юридической значимости в связке с электронной подписью;
работа с электронной подписью;
предоставление централизованного доступа к корпоративным сетям;
безопасное хранение сложных паролей;
передачи зашифрованных данных между клиентом и сервером.
Все продукты «Аладдин Р. Д.» выполняют не одну задачу, а несколько. Например, JaCarta-2 ГОСТ — это и полноценное СКЗИ (средства криптографической защиты информации), и средство безопасного хранения пользовательских данных, и средство строгой двухфакторной аутентификации.
Каждый продукт JaCarta выполняет строго определённые функции и применяется в определённых случаях. Чтобы знать, какой продукт приобрести, с каждым из них нужно знакомиться подробно. Этим мы и займёмся в следующем разделе.
Обзор семейства носителей
Три «кита», на которых держится вся линейка JaCarta — это аутентификация пользователей, генерация электронной подписи и безопасное хранение криптографических ключей. Некоторые продукты оборудованы дополнительными функциями, например, возможность биометрической идентификации.
Познакомимся с продуктами ближе. Стоит упомянуть, что некоторые функции повторяются в моделях, и некоторые из них мы опустили, так как их наличие само собой разумеется.
- Токены JaCarta ГОСТ и JaCarta-2 ГОСТ . Работа с электронной подписью по алгоритмам ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 (JaCarta ГОСТ) и ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 (JaCarta-2 ГОСТ). Строгая двухфакторная аутентификация и безопасное хранение пользовательских данных и объектов. JaCarta-2 ГОСТ — это также полноценное средство криптографической защиты информации
- Токен и смарт-карта JaCarta PKI . Аппаратная реализация зарубежных криптоалгоритмов — AES, DES, 3DES, RSA, SHA и др. Предназначен для работы с инфраструктурой открытых ключей (PKI). Подходит для аутентификации пользователей в корпоративных и государственных системах.
- Токен и смарт-карта JaCarta PKI/BIO . Строгая двух- и трёхфакторная аутентификация пользователей. Создан на основе системы PKI, но с поддержкой биометрической идентификации.
- Токен JaCarta . Генерация и защищённое хранение одноразовых и сложных многоразовых паролей. Автоматическая подстановка паролей в поля электронных форм, хранение URL-адресов web-ресурсов и автоматический переход по этим адресам.
- Токен JaCarta U2F . Второй фактор при аутентификации в онлайн-сервисах, поддерживающих стандарт FIDO U2F: почтовые и облачные сервисы, файловые и видеохостинги, социальные сети и платёжные системы.
- Токен JaCarta WebPass . Двухфакторная аутентификация пользователя при доступе к защищённым информационным ресурсам с использованием одноразового пароля. Генерация и защищённое хранение одноразовых и сложных многоразовых паролей, автоматическая подстановка паролей в поля электронных форм.
- Токен и смарт-карта JaCarta PRO . Строгая двухфакторная аутентификация пользователей при работе с инфраструктурой открытых ключей. Обратная совместимость с программными продуктами компании Aladdin Knowledge Systems.
- Токен JaCarta-2 SE . Формирование усиленной квалифицированной электронной подписи для строгой двухфакторной аутентификации пользователей в специализированных системах (в частности, ЕГАИС).
- Токен JaCarta SF/ГОСТ . Безопасное хранение и транспортировка информации ограниченного доступа. Доступ к данным имеют лишь аутентифицированные пользователи на авторизованных компьютерах.
- Токен JaCarta LT . Хранение и управление доступом к ключевой информации программных средств криптографической защиты информации. Двухфакторная аутентификация с использованием этих СКЗИ.
В каком виде представлены продукты JaCarta
Вся линейка JaCarta выпускается в разных форматах носителей. Их можно разделить на три группы: смарт-карты, USB-токены и MicroUSB-токены. Если с подключением USB-токенов вопросов не возникает, то для смарт-карты нужно использовать специальные Bluetooth или проводные считыватели. MicroUSB-токены можно подключить напрямую к мобильному устройству, либо с помощью специального переходника к обычному USB.
Несмотря на то что смарт-карты используются реже, зачастую они являются более удобным вариантом: если в смарт-карте установлена бесконтактная технология NFC, то её достаточно поднести к мобильному устройству, чтобы подписать документ.
Токены можно подключить как по USB, так и по Bluetooth. Это более распространённый и привычный форм-фактор продуктов JaCarta.
Квалифицированная электронная подпись нужна, чтобы придавать электронным документам юридическую значимость. Для этой цели можно использовать «Астрал-ЭТ» — электронная подпись подойдёт также для участия в торгах, работы на государственных порталах и регистрации онлайн-кассы.
Сравнение
Для того чтобы лучше понять отличия продуктов компании «Аладдин Р. Д.» мы подготовили удобную таблицу.
В таблице используются следующие сокращения: MUSB — MicroUSB, SC — смарт-карта.
Базовые функции продукты
Дополнительные функции продукты
Функции продукты, реализуемые в рамках согласованного c компанией «Аладдин Р.Д.» проекта.
Возможности JaCarta PKI JaCarta PKI/BIO JaCarta ГОСТ и JaCarta-2 ГОСТ JaCarta PKI/ГОСТ JaCarta WebPass JaCarta U2F USB MUSB SC USB SC USB MUSB SC USB MUSB SC USB USB Строгая аутентификация Усиленная аутентификация Биометрическая идентификация Персональное средство ЭП Хранение ключевых контейнеров, паролей, сертификатов и ключей Работа с мобильными устройствами Встраивание RFID-Метки Обратная совместимость с продуктами Aladdin Встраивание апплета платёжных систем В таблице представлены самые распространённые решения JaCarta. Однако мы рекомендуем также обратить внимание на модели JaCarta LT (сертифицирован ФСТЭК) и JaCarta SE-2 (сертифицирован ФСБ).
Дополнительные системы
Помимо основных продуктов, «Аладдин Р. Д.» выпускает и дополнительные системы, которые призваны помочь пользователю в тех или иных ситуациях, которые представлены в виде программного обеспечения. Мы рассмотрим две из них.
JaCarta Management System — это система управления жизненным циклом ключевых носителей. Это своего рода сервис самообслуживания для пользователей. В цели Management System входит:
- автоматизация учёта ключевых носителей;
- аудит действий пользователей и администраторов;
- создание различных отчётов;
- централизованное управление политиками информационной безопасности.
JaCarta Authentication Server — это сервер аутентификации, как понятно из названия. Может работать как с аппаратными носителями, так и программными токенами для мобильных устройств. Облегчает процесс аутентификации и даёт доступ к различным ресурсам: облачные сервисы, приложения, корпоративные системы, удалённые рабочие столы и т.д.
Рекомендации и выводы
Усиление государственного регулирования в сфере информационной безопасности способствует развитию средств криптографической защиты информации. Компания «Аладдин Р. Д.» разработала линейку продуктов JaCarta таким образом, что любой клиент — от малых коммерческих организаций до крупных государственных предприятий — сможет найти что-то подходящее.
Чтобы выбрать продукт, нужно опираться на те потребности, которые он должен закрыть. Это, например, могут быть работа с электронной подписью и строгая двухфакторная аутентификация, тогда подойдут JaCarta ГОСТ и JaCarta-2 ГОСТ. Если же важно наличие трёхфакторной аутентификации, которая включает в себя биометрическую идентификацию, то выбор должен пасть на JaCarta PKI/BIO.
Форм-фактор тоже нужно выбирать из потребностей. Смарт-карта подходит не всем, несмотря на своё удобство. MicroUSB подходит тем, кто использует соответствующий разъём, то есть пользователям мобильных устройств. USB самый распространённый вариант, использовать который можно практически везде, где есть соответствующий устройства.
Дополнительные системы нужны для упрощения работы с токенами JaCarta. Особенно они полезны, когда токенов много, — JaCarta Management System упорядочивает взаимодействие с ними.
JaCarta PKI/ГОСТ – PKI-токен для формирования усиленной квалифицированной электронной подписи и строгой двухфакторной аутентификации пользователей при доступе к защищённым информационным ресурсам, безопасного хранения ключей, ключевых контейнеров программных СКЗИ
- Работа с PKI в продуктах мировых вендоров обеспечивается штатными средствами.
- Усиленная квалифицированная электронная подпись с неизвлекаемым ключом ЭП для систем электронного документооборота, Web-порталов и облачных сервисов.
- Хранение ключевых контейнеров практически для всех программных СКЗИ (КриптоПро CSP, VipNet CSP и др.), а также использования в качестве отчуждаемого сертифицированного криптомодуля в составе других продуктов (в т.ч. КриптоПро CSP, VipNet CSP, Lissi CSP в режиме ЭП с неизвлекаемым ключом).
- Сертифицировано ФСБ России и ФСТЭК России.
Прокрутите ниже
и узнайте большеМодель JaCarta PKI/ГОСТ ориентирована на компании, развернувшие инфраструктуру открытых ключей (PKI) и внедряющие систему юридически значимого электронного документооборота.
Выпускается в трёх базовых форм-факторах: USB-токен (в корпусе XL и Nano), MicroUSB-токен и смарт-карта (чёрный пластик, чип с палладиевыми контактами).
Если предполагается использование смарт-карт или токенов JaCarta PKI вместе с продуктами, ранее выпущенными компанией Aladdin, или в уже созданной инфраструктуре с имеющимися в эксплуатации продуктами компании, то при заказе следует выбрать опцию "Обратная совместимость с продуктами Aladdin".
JaCarta
Электронная подпись необходима для ведения бизнеса в современных условиях. Однако её использование подразумевает вполне определённые риски, в частности, подпись могут скомпрометировать. Безопасность обеспечивают с помощью защищённых носителей электронной подписи — токенов и смарт-карт.
В этой статье речь пойдёт о JaCarta — семействе продуктов, которые разрабатываются и выпускаются российской компанией «Аладдин Р. Д.». Мы узнаем, зачем нужны эти продукты, рассмотрим конкретные случаи их использования и дадим рекомендации по выбору подходящего решения.
Что такое JaCarta
JaCarta — это линейка аппаратных и программных продуктов, которые используются для аутентификации, работы с электронной подписью, шифрования передаваемых данных и т.д.
Семейство вышеуказанных продуктов — это токены, смарт-карты и модули безопасности, а также программное обеспечение. Цель каждого — закрыть определённые потребности пользователя, например, JaCarta ГОСТ нужно для формирования усиленной квалифицированной электронной подписи с неизвлекаемым ключом и строгой аутентификации пользователя.
Технические характеристики
Для PKI-функционала:
- AES (длины ключей 128, 192, 256 бит);
- DES (длина ключа 56 бит);
- 3DES (длины ключей 112 и 168 бит);
- RSA (длины ключей 512, 1024, 2048);
- криптография на эллиптических кривых (длины ключей 160, 192 бит);
- аппаратная генерация ключей для RSA и криптографии на эллиптических кривых;
- алгоритмы согласования ключей: алгоритм Диффи-Хеллмана, алгоритм Диффи-Хеллмана на эллиптических кривых;
- функции хэширования: SHA-1, SHA-224 (эллиптические кривые), SHA-256, SHA-384, SHA-512;
- генератор последовательностей случайных чисел.
Для ГОСТ-функционала:
- ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка ЭП);
- ГОСТ Р 34.11-94 (функция хэширования);
- ГОСТ 28147-89 (симметричное шифрование);
- реализовано только для данных, содержащихся в областях оперативной памяти изделия;
- алгоритм Диффи-Хеллмана (выработка ключа парной связи в соответствии с RFC 4357);
- генератор последовательностей случайных чисел.
- Microsoft Windows 10 (32/64-бит)
- Microsoft Windows 8.1 (32/64-бит)
- Microsoft Windows 8 (32/64-бит)
- Microsoft Windows 7 SP1 (32/64-бит)
- Microsoft Windows Vista SP2 (32/64-бит)
- Microsoft Windows XP SP3 (32-бит)
- Microsoft Windows Server 2012 R2 (64-бит)
- Microsoft Windows Server 2012 (64-бит)
- Microsoft Windows Server 2008 R2 SP1 (64-бит)
- Microsoft Windows Server 2008 SP2 (32/64-бит)
- Microsoft Windows Server 2003 SP2 (32/64-бит)
Apple macOS/OS X
Смарт-карты
Это пластиковая карта со встроенной микросхемой. Такой вид носителей используется реже, так как для его использования нужен считыватель карт, — это главное отличие от USB-токенов. Смарт-карты также сертифицированы ФСТЭК и ФСБ.
Однако производители предлагают альтернативный вариант — карты с бесконтактной технологией NFC: в качестве считывателя подойдет любой смартфон или планшет. Чтобы подписать документы, достаточно приложить смарт-карту к мобильному устройству — электронная подпись будет получена, даже если на телефоне или планшете нет интернета.
На рынке защищенных носителей известны смарт-карты Рутокен и электронные удостоверения JaCarta.
Кастомизация
Bluetooth-токены
Такие токены можно подключать:
- по USB к компьютеру;
- по Bluetooth к смартфону или планшету.
Одним из ведущих производителей является Рутокен. Модель Рутокен ЭЦП Bluetooth удобна для «мобильных сотрудников»: пользователь может подписывать электронные документы, не доставая токен из кармана или сумки. Устройство соединяется с телефоном или планшетом по Bluetooth, для начала работы требует код активации. Он защищает токен от случайного подключения к другому устройству.
Интеграция со СКУД
В смарт-карты и USB-токены в корпусе XL JaCarta-2 PKI/ГОСТ могут быть встроены пассивные радиометки (RFID-метки) для контроля физического доступа в помещения, что позволяет использовать их совместно с системами контроля и управления доступом (СКУД), бесконтактными "электронными проходными", системами учёта рабочего времени персонала и другими системами, поддерживающими RFID-метки. Для USB-токенов также можно использовать навесной брелок с RFID-меткой.
Токены с СКЗИ
Обладают высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. В них уже встроено средство криптографической защиты информации, поэтому для использования не нужно устанавливать программу на ПК.
Главное различие таких носителей — в наличии дополнительного пин-кода и возможности восстановления при блокировке.
Рутокен ЭЦП 2.0
Это базовая и самая популярная модель. На токене стоит ограничение по введению неправильного пин-кода. После нескольких попыток носитель заблокируется. Подходит для работы в ЕГАИС.
Рутокен ЭЦП 2.0 Type-c
Та же модель, но с другим разъемом. Подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года). Подходит для работы в ЕГАИС.
JaCarta-2 SE
В отличие от Рутокена, JaCarta-2 SE имеет 2 преимущества:
- На модель можно установить 2 пин-кода. Один пин-код пользователь вводит, когда заходит в систему (стандартно для продвинутых токенов), второй — когда проводит транзакции или подписывает документы. Это снижает риск ошибочных действий и повышает безопасность данных.
- В JaCarta реализован новый механизм защиты от блокировки. Носитель не заблокируется, если несколько раз ввести неверный пин, — такое происходит на моделях Рутокен.
Если пользователь несколько раз ввел неправильный код, количество попыток аннулируется. Верный пароль можно будет ввести через определенное время — этот промежуток устанавливается заранее. Не нужно обращаться в УЦ, чтобы разблокировать носитель.
Сертификаты безопасности
Сертификат соответствия ФСТЭК России № 4446 на Средство аутентификации и безопасного хранения информации пользователей JaCarta
- Действует до 10 сентября 2026 г.
- Соответствует 4 уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
- Может применяться в:
- автоматизированных информационных системах (АИС) до класса защищённости 1Г;
- государственных информационных системах (ГИС) до 1-го класса защищённости включительно;
- информационных системах персональных данных (ИСПДн) до 1-го уровня защищённости персональных данных.
ПК "JaCarta" версии 1.5 предназначен для защиты информации, не содержащей сведений, составляющих государственную тайну, и может применяться в автоматизированных системах до класса защищённости 1Г, в государственных информационных системах до 1 класса защищённости, в информационных системах персональных данных до 1 уровня защищённости.
Сертификат соответствия ФСБ России № СФ/111-2750, подтверждающий, что персональное средство электронной подписи "Криптотокен ЭП", предназначенное для использования совместно со средством криптографической защиты информации "Криптотокен" в составе изделия "JaCarta ГОСТ" ("eToken ГОСТ"), соответствует требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1 и класса КС2, и может использоваться для реализации функций электронной подписи (создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) в соответствии с 63-ФЗ "Об электронной подписи" от 6 апреля 2011 г.
Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ "Криптотокен" в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек "Криптотокен ЭП", поставляемых в электронной форме.
Данные библиотеки входят в состав программных средств, производимых разработчиком электронных ключей - компанией "Аладдин Р.Д.", - либо могут поставляться в составе программных средств других разработчиков, являющихся технологическими партнёрами компании "Аладдин Р.Д.", встроивших эти библиотеки в своё ПО и распространяющие их на основании Лицензионного договора с компанией "Аладдин Р.Д.".
Сертификат соответствия ФСБ России № СФ/111-2750 является продлением сертификата соответствия ФСБ России № СФ/121-2350.
Устройства с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 для формирования усиленной квалифицированной электронной подписи и зарубежными криптоалгоритмами для строгой двухфакторной аутентификации пользователей
- Усиленная квалифицированная ЭП
- Строгая двухфакторная аутентификация
- Шифрование и обеспечение целостности данных
- Безопасное хранение пользовательских данных
Различные цвета корпуса
Для USB-токенов JaCarta-2 PKI/ГОСТ существует возможность изменить основной цвет корпуса и вставки. Рекомендуемые цвета для корпуса токена — тёмные, для вставки — белый (или светлые цвета). Колпачок на разъём рекомендуется делать в цвет корпуса. Минимальный заказ — от 5 000 шт.
Почему обычная флешка не подойдет
Токен напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль, сертификацию ФСТЭК/ФСБ, на продвинутых моделях встроено средство криптографической защиты информации (СКЗИ). Если его нет — нужно установить специальную программу на ПК. Чаще всего используют СКЗИ «КриптоПро». Программа покупается отдельно.
Токены без СКЗИ
Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, токены не подойдут для работы с алкоголем в ЕГАИС.
Рутокен Lite
Это самый бюджетный вариант токена. В нем нет дополнительных функций, но есть все необходимое для работы. Сертифицирован ФСТЭК.
Рутокен Lite micro
Та же модель, но в мини-версии. Удобна для тех, кто работает с ноутбука. СКЗИ приобретается отдельно (для работы в СБИС СКЗИ не требуется).
Как настроить
Для использования моделей, в которых не встроено СКЗИ, нужно установить программное обеспечение «Единый клиент JaCarta». ПО позволяет настраивать и USB-токены, и смарт-карты (при наличии считывателя).
В программе можно установить и изменить PIN-код пользователя, получить информацию об устройстве, разблокировать носитель и т. д. ПО поддерживает устройства с российской и зарубежной криптографией.
Мы предлагаем не устанавливать программу вручную, а скачать мастер настройки рабочего места. Он настроит компьютер для работы с ЭП: установит ПО и необходимые драйверы.
Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.
Выберите вашу электронную подпись.
Носитель ключа ЭП (токен) — это защищенная «флешка» для хранения электронной подписи. Выбор носителя зависит от сферы применения.
Расскажем про виды токенов и их различия.
Эксплуатационные характеристики
Для PKI-функционала:
11111111
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код - 1234567890Для ГОСТ-функционала:
Для PKI-функционала:
00000000
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код не установленДля ГОСТ-функционала:
Необходимое ПО Единый Клиент JaCarta Дополнительные материалы Брошюра "JaCarta ГОСТ. Смарт-карты, USB- и MicroUSB-токены для электронной подписи"
Буклет "JaCarta. Новое поколение токенов и смарт-карт"Что вы узнаете
JaCarta-2 SE
Токен имеет встроенное СКЗИ, сертифицирован ФСТЭК и ФСБ.
Это единственная модель линейки JaCarta, которая позволяет работать с алкоголем в ЕГАИС.
На каждом токене установлен личный PIN-код. Он вводится, когда пользователь заходит в систему. Но на JaCarta-2 SE можно установить еще один ПИН — для дополнительной защиты данных. Код будет вводиться, когда сотрудник подписывает документ или работает с транзакциями.
Если пользователь несколько раз введет неправильный PIN-код, токен не заблокируется. Повторно ввести пароль можно после установленного промежутка времени, например, через час.
JaCarta LT
Отличается от предыдущих вариантов тем, что не включает в себя средство криптографической защиты и не подходит для работы с ЕГАИС. Для использования ЭП понадобится установка СКЗИ на ПК. Например, КриптоПро.
Носитель сертифицирован ФСТЭК.
Что вы узнаете
Назначение
JaCarta-2 PKI/ГОСТ — сертифицированные USB-токены и смарт-карты с одновременной поддержкой зарубежных криптоалгоритмов и отечественных криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Являются кастомизированной моделью, созданной на основе моделей JaCarta PKI и JaCarta-2 ГОСТ.
Формирование и проверка усиленной квалифицированной ЭП с неизвлекаемым ключом для прикладных систем (ЭДО, ДБО, и т.д.), Web-приложений и облачных сервисов
Строгая двухфакторная аутентификация пользователей в защищённых информационных системах (с применением зарубежных криптоалгоритмов)
Обеспечение целостности и конфиденциальности передаваемых данных с помощью шифрования и имитовставки по ГОСТ 28147-89
Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти (EEPROM).
Читайте также: