Сертификат ФСБ России № СФ/124-5060
Согласно полученному сертификату СКЗИ “JaCarta-3”:
-
Соответствует требованиям:
- к СКЗИ по классам КС1/КС2, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну
- к средствам электронной подписи, утверждённым Приказом ФСБ России от 27 декабря 2011 г. № 796, и Федерального закона от 6 апреля 2011 г. №63 «Об электронной подписи»
- может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Для разработчиков предоставляется комплект средств разработки (SDK), включающий библиотеки с высокоуровневыми интерфейсами (включая PKCS #11) под разные аппаратные платформы (x86, ARM, RISC) и операционные системы (ОС), подробные примеры с множеством типовых сценариев использования средства ЭП и СКЗИ.
Все модели JaCarta-2 ГОСТ по-прежнему можно использовать для хранения ключевых контейнеров криптопровайдеров и программных СКЗИ (КриптоПро CSP, ViPNet CSP и др.).
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО:
- Генерация ключей (выполняется аппаратно):
- для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы СКЗИ);
- для шифрования;
- для удалённой аутентификации (HMAC);
- для внешних нужд и других СКЗИ.
- Хэширование:
- ГОСТ Р 34.11-94;
- ГОСТ Р 34.11-2012.
- Шифрование, вычисление имитовставки:
- Формирование ЭП:
- ГОСТ Р 34.10-2001;
- ГОСТ Р 34.10-2012.
- Проверка ЭП.
- Генерация случайных чисел.
- Управление ключами и доверенными объектами:
- проверка цепочки сертификатов;
- безопасный импорт/экспорт ключей шифрования (на ключевых парах с проверкой всей цепочки сертификатов).
- HMAC (для удалённой аутентификации с использованием одноразовых паролей — OTP).
- Работа с папками и файлами данных в памяти устройства (без доступа к ключам).
- Служебные и административные команды, установка и смена PIN- и PUK-кодов.
В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).
ИКБ реализует:
- набор криптографических алгоритмов и протоколов, включая выработку и согласование сеансовых ключей;
- автоматическое построение защищённого доверенного канала с аппаратным устройством JaCarta-2 ГОСТ, что позволяет безопасно передавать команды и данные;
- быстрое хэширование и шифрование данных (со скоростью работы основного процессора хоста, более мощного и производительного, чем микроконтроллер устройства).
ИКБ реализована и сертифицирована для работы в ОС Microsoft Windows, Linux, Apple macOS и входит в состав высокоуровневых библиотек (PKCS #11) для встраивания СКЗИ и средства ЭП в прикладное ПО.
Все устройства JaCarta-2 ГОСТ
- Выполнены на базе защищённых смарт-карточных чипов, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования, прошедших сертификацию в международных лабораториях по CAST и EMV (по требованиям для платёжных систем).
- Полностью соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС №910/2014").
Многие конкурирующие российские продукты выполнены на базе микроконтроллеров общего назначения, не имеющих специальных средств противодействия взлому и клонированию, поэтому пользователи таких устройств подвержены серьёзным рискам.
Ключи проверки ЭП и функции зашифрования/расшифрования могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.
Срок жизни доверенных ключей — 15 лет, закрытых ключей — 3 года, что существенно сокращает стоимость владения устройств JaCarta-2 ГОСТ по сравнению с программными СКЗИ со сроком действия ключей 1 год.
Устройство может быть сконфигурировано так, что при входе в систему (для строгой двухфакторной аутентификации) пользователь должен ввести один PIN-код (пользователя), а при проведении финансовых транзакций или подписании электронных документов — другой PIN-код (подписи), разрешающий формирование ЭП.
Необходимость ввода PIN-кода подписи устанавливается при создании соответствующей ключевой пары.
Такой механизм повышает безопасность, снижает вероятность ошибочных действий пользователей, что крайне важно в системах ДБО при проведении крупных сумм, в системах ЭДО при подписании важных документов, а также защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.
Администратор всегда может сбросить Забытый PIN-код пользователя с использованием сертифицированного АРМа администратора безопасности JaCarta-2 ГОСТ. При этом все данные (объекты, файлы, PIN- коды и др.) будут удалены, а устройство JaCarta-2 ГОСТ можно будет вернуть в эксплуатацию.
Защита от блокирования устройства
Обычно все токены и смарт-карты блокируются после ввода заданного количества неверных значений PIN-кода – это их нормальное поведение для защиты от атак на PIN-код методом перебора.
Для защиты от DoS-атак на PIN-коды в новом устройстве JaCarta-2 ГОСТ реализован автоматический сброс счётчиков попыток ввода неверного PIN- и PUK-кодов через установленный промежуток времени, после которого пользователю будет достаточно просто ввести правильное значение PIN-кода.
Эти механизмы кардинально решают проблему разблокирования устройств и атак на PIN-коды.
АРМ администратора безопасности предназначен для инициализации устройств JaCarta-2 ГОСТ при их вводе в эксплуатацию, разблокирования, изменения парольной политики, доступа к журналу операций (при расследовании инцидентов), к объектам файловой системы (кроме закрытых ключей ЭП), установки, смены PIN-кодов, работы с доверенными объектами, вывода устройств из эксплуатации и переинициализации (например, при выдаче их другим пользователям).
АРМ администратора безопасности также предназначен для работы с доверенными объектами — ключами проверки ЭП (чтобы обеспечить срок службы ключей 3 года, без АРМа - только 1 год).
Доверенные объекты используются для проверки подписи документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.
Срок действия доверенных ключей — 15 лет, закрытых ключей ЭП — 3 года.
Ключи проверки ЭП могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.
Приобретение АРМа Администратора безопасности является полезной, но не обязательной опцией.
Токены (как средство ЭП) как и раньше можно заказывать с нужными параметрами инициализации, при этом загрузку нужного профиля и инициализацию устройств может выполнить их производитель или поставщик.
АРМ администратора безопасности имеет собственный сертификат соответствия ФСБ России №СФ/120-4611 (исполнения 1,2).
При формировании ЭП значение хэш-функции от подписываемого документа вычисляется с использованием программной библиотеки (ИКБ), являющейся частью сертифицированного СКЗИ и работающей на стороне хоста (персонального компьютера, сервера, терминала), а затем передаётся для подписи в устройство по защищённому каналу.
Это означает, что время подписи, большая часть которого тратится на вычисление хэш-функции для объёмных документов, кардинально сокращается, поскольку хэш вычисляется не на микроконтроллере устройства JaCarta-2 ГОСТ, а на более производительном процессоре хоста.
Благодаря использованию защищённого канала выполнение операций хэширования на хосте не приводит к снижению уровня безопасности.
Вычисление значения хэш-функции также может производиться и самим устройством (внутри чипа) и сразу же передаваться на формирование ЭП.
