JaCarta-2 ГОСТ

Новое поколение USB-токенов, смарт-карт и модулей безопасности с аппаратной поддержкой ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012

  • Сертифицированное средство электронной подписи
  • Полноценное СКЗИ с широким набором криптографических функций
  • Средство строгой двухфакторной аутентификации для безопасного доступа в информационные системы, Web-порталы и облачные сервисы
  • Средство безопасного хранения пользовательских данных

Назначение JaCarta-2 ГОСТ

JaCarta-2 ГОСТ — новое поколение USB-токенов, смарт-карт, модулей безопасности с аппаратной реализацией российских криптографических алгоритмов

Средство электронной подписи и полноценное СКЗИ

JaCarta-2 ГОСТ предназначена для использования в качестве сертифицированного средства ЭП (усиленной квалифицированной подписи — УКЭП) и полноценного СКЗИ в системах электронного документооборота (ЭДО), дистанционного банковского обслуживания (ДБО) и др. для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных.

Для обеспечения совместимости с существующими системами и плавного перехода на использование нового российского стандарта ЭП JaCarta-2 ГОСТ поддерживает как старые криптографические алгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, выводимые из использования с 2019 г., так и новые — ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Средство строгой двухфакторной аутентификации

Устройства JaCarta-2 ГОСТ могут применяться для обеспечения безопасного доступа пользователей или терминального оборудования в информационные системы, Web-порталы и облачные сервисы.

Средство безопасного хранения пользовательских данных

Возможности устройств JaCarta-2 ГОСТ позволяют обеспечить безопасное хранение ключевых контейнеров программных СКЗИ (например, КриптоПро CSP и ViPNet CSP), цифровых сертификатов, паролей, пользовательских и прочих данных в защищённой энергонезависимой памяти (EEPROM).


JaCarta-2 ГОСТ — коммерческое название второго поколения устройств JaCarta ГОСТ с загруженным в них СКЗИ "Криптотокен 2 ЭП", имеющем сертификат соответствия ФСБ России № СФ-124/3112.

Различные исполнения

USB-токены и смарт-карты предназначены для использования в качестве средства строгой двухфакторной аутентификации пользователей и средства ЭП в системах ЭДО, ДБО и различных электронных сервисах — порталах госуслуг, торговых площадках, в системе ЕГАИС и т.д.
Модули смарт-карт, в том числе с поддержкой бесконтактного интерфейса NFC, — могут использоваться при выпуске корпоративных, платёжных, социальных, транспортных, кампусных и других видов карт с аппаратной поддержкой сертифицированной российской криптографии "на борту", например, платёжная карта "Мир" с транспортным приложением "Тройка" и средством ЭП.
Модули безопасности — SIM-модули, микросхемы для монтажа на печатную плату — могут использоваться в различном терминальном, навигационном, телематическом и другом встраиваемом оборудовании, включая устройства для Интернета вещей (IoT), межмашинного взаимодействия (M2M), а также в автоматизированных системах управления технологическими процессами (АСУ ТП).

Возможности применения

  • Системы дистанционного банковского обслуживания (ДБО)
  • Системы электронного документооборота (ЭДО)
  • Электронные торговые площадки (ЭТП)
  • Системы сдачи электронной отчётности (ФНС, ЕГАИС, ПФР и др.)
  • Системы таможенного декларирования
  • Порталы государственных услуг
  • Web-приложения, корпоративные порталы и облачные сервисы

Электронное удостоверение сотрудника

В одной карте возможно совмещение нескольких важных и часто используемых функций:

  • пропуск на территорию предприятия, электронный ключ для прохода в помещения (визуальная идентификация и встроенная RFID-метка для интеграции со СКУД);
  • средство аутентификации при доступе к корпоративным (служебным) системам;
  • средство ЭП сотрудника.

Платёжная карта НСПК "Мир"

В одной карте НСПК "Мир" со встроенным NFC-модулем можно совместить функции:

  • платёжной (зарплатной) карты;
  • средства ЭП (для ДБО, для работы с порталами госуслуг и другими электронными сервисами);
  • транспортного приложения, например, "Тройка".

SIM-модули и микросхемы предназначены для встраивания в различное электронное оборудование в качестве сертифицированного модуля безопасности, обеспечивающего конфиденциальность, некорректируемость, юридическую значимость и подтверждение подлинности источников данных и команд.

  • SIM — отчуждаемый модуль для готовых устройств, имеющих свободный слот для SIM-карты.
  • Микросхемы в различных исполнениях и корпусах — для монтажа на печатную плату в новых устройствах.

Кроме того, SIM-модули и микросхемы могут применяться:

  • в различном терминальном, навигационном, телематическом и прочем оборудовании;
  • для Интернета вещей (IoT);
  • для межмашинного взаимодействия (M2M);
  • в автоматизированных системах управления технологическими процессами (АСУ ТП).

Особенности JaCarta-2 ГОСТ

Сертифицировано по новым требованиям ФСБ России

СКЗИ в составе JaCarta-2 ГОСТ сертифицировано по новым требованиям ФСБ России и является функционально законченным и криптографически безопасным.

Подробнее ...

Предназначено для встраивания

Сертифицированное СКЗИ (средство ЭП) предназначено для легитимного и безопасного встраивания в прикладное, системное и встраиваемое ПО и оборудование.

Подробнее ...

"Белый" список безопасных команд и функций

Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО.

Подробнее ...

Обеспечивает построение защищённого канала

В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).

Подробнее ...

Защита от взлома и клонирования

Secure By Design — устройства JaCarta-2 ГОСТ сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).

Ключи шифрования не хранятся в памяти устройства - взламывать его бесполезно.

Подробнее ...

Возможность расширения функциональности устройств

Использование технологии Java Card позволяет добавлять необходимую функциональность в устройства JaCarta-2 ГОСТ без необходимости повторной сертификации СКЗИ в ФСБ России.

Подробнее ...

Работа с доверенными объектами

К доверенным объектам относятся ключи проверки ЭП. С их помощью проверяется подпись документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.

Подробнее ...

Дополнительный PIN-код на операцию формирования ЭП

JaCarta-2 ГОСТ позволяет установить два разных PIN-кода: PIN-1 — для аутентификации пользователя; PIN-2 — для формирования ЭП (опционально).

Подробнее ...

Новые механизмы разблокирования устройств

JaCarta-2 ГОСТ предоставляет новые механизмы восстановления работоспособности: самостоятельное (PUK-код) и удалённое разблокирования устройства с помощью Администратора.

Подробнее ...

Новые механизмы защиты от атак и блокирования

В новом устройстве JaCarta-2 ГОСТ реализованы защита от атак на PIN-код и от блокирования устройства, a PIN-код Администратора заменён ключом администратора безопасности.

Подробнее ...

Безопасное администрирование

Для инициализации новых устройств, работы с доверенными объектами (ключами проверки ЭП) и безопасного администрирования в процессе их жизненного цикла предназначен новый АРМ администратора безопасности.

Подробнее ...

Больше доступной памяти

В новой линейке JaCarta-2 ГОСТ появилась модель с увеличенным объёмом защищённой памяти — теперь для безопасного хранения ключей, кодов авторизации, сертификатов и других объектов доступно до 114 КБайт энергонезависимой памяти (EEPROM).

Быстрее

Скорость подписания объёмных документов в устройстве JaCarta-2 ГОСТ теперь на порядки выше, поскольку вычисление хэш-функции от объёмных документов производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства.

Вычисленное значение хэш-функции для формирования ЭП передаётся в устройство по защищённому каналу.

Подробнее ...

Повышенный ресурс и живучесть

Устройства JaCarta-2 ГОСТ проектировались с учётом возможностей применения в различных автоматизированных системах (ЕГАИС, АСУ ТП и пр.), включая М2М, IoT и прочие, и имеют повышенный ресурс по количеству циклов записи в EEPROM-память и выполняемых операций ЭП.

В частности, количество операций формирования ЭП составляет не менее 10 млн.

Надёжность и качество

При проектировании и производстве новых устройств JaCarta-2 ГОСТ инженеры компании учли весь накопленный 20-ти летний опыт и сделали их ещё лучше и надёжнее.

Подробнее ...

Модельный ряд

Устройства JaCarta-2 ГОСТ выпускаются в различных исполнениях и форм-факторах, с широким набором опций, дополнительных функций и возможностей кастомизации.

На базе моделей JaCarta-2 ГОСТ выпускается линейка комбинированных моделей с поддержкой зарубежной криптографии (PKI), биометрической идентификации пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card) и др.



USB-токены

Смарт-карты и модули для производства смарт-карт

Модули безопасности (Secure Element)


Комбинированные модели

Индивидуальная упаковка и кастомизация

Индивидуальная упаковка

Вам больше не надо думать об упаковке для токенов при их поставке Вашим клиентам.

Мы подготовили два типовых варианта для USB-токенов и смарт-карт:

  • индивидуальная картонная коробка (VIP);
  • индивидуальный конверт (для массовых сервисов).

В комплект любого из типовых вариантов входит Паспорт изделия и краткое руководство пользователя по использованию токена, а также целый набор полезных аксессуаров: кольца для крепления USB-токенов на связке с ключами, цветные брелоки и прочие.

На базе типовой индивидуальной упаковки можно быстро сделать новую в фирменном стиле Заказчика.

Кастомизация

USB-токены JaCarta-2 ГОСТ могут выпускаться с цветной вставкой и пластиковым брелоком в фирменном цвете организации Заказчика. На корпусе устройства или на брелоке предусмотрено место для логотипа.

Базовые цвета корпуса при заказе кастомизированных моделей: оранжевый (основной), белый, чёрный, красный, синий, малиновый, фиолетовый, зелёный.

Для смарт-карт JaCarta-2 ГОСТ можно выбрать цвет пластика и контактов микроконтроллера (золотые или серебряные).

В смарт-карты и USB-токены в корпусе XL могут быть встроены RFID-метки для контроля физического доступа в помещения.


Сопутствующее ПО и решения

АРМ администратора безопасности
Для инициализации токенов, задания, смены PIN- и PUK-кодов, разблокирования, задания парольных политик и пр.
Единая библиотека и SDKОбеспечивает единообразную работу со всеми моделями токенов, API для встраивания, примеры.
Единый Клиент JaCartaПростое и удобное средство администрирования токенов (всех моделей) и подготовки их к работе.
JaCarta SecurLogonПозволяет перейти от использования паролей к надёжной двухфакторной аутентификации без разворачивания PKI.
JC-WebClientСтрогая двухфакторная аутентификация и ЭП для Web-порталов и облачных сервисов, работает с любыми браузерами на Microsoft Windows, Apple macOS, GNU/Linux.
JMS, JASСистема централизованного управления жизненным циклом токенов, сервер аутентификации.

Технические подробности

Поддерживаемые ОС
(для сертифицированного средства ЭП и СКЗИ)

Microsoft Windows*

  • Microsoft Windows 10
  • Microsoft Windows 8.1
  • Microsoft Windows 8
  • Microsoft Windows 7
  • Microsoft Windows Vista SP2
  • Microsoft Windows XP SP3 (32-бит)
  • Microsoft Windows XP SP2 (64-бит)
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2003 SP2

* Поддерживаются 32- и 64-битные версии ОС, если не указано иное

Дистрибутивы Linux

  • Astra Linux Common и Special Edition
  • CentOS 7
  • Debian 8.4
  • Mandriva Enterprise Server 5
  • openSUSE 13.2, Leap 42.1
  • Oracle Linux 5 Update 5&6, Oracle Linux 6
  • Red Hat Enterprise Linux 5.6, 6.0, 7.0, 7.2
  • ROSA Enterprise Desktop X1 (Marathon)
  • ROSA Enterprise Linux Server
  • SUSE Linux Enterprise Server 11 SP4
  • Ubuntu 14.04
  • МСВС 3.0, 5.0
  • МСВСфера
  • Ред ОС
  • РОСА DX "КОБАЛЬТ" 1.0, SX "КОБАЛЬТ" 1.0

Apple OS X

  • OS X 10.10 Yosemite
  • OS X 10.11 El Capitan

Это список ОС, вошедших в сертифицированную версию. Поддерживаемый список ОС и платформ (x86, ARM, RISC) намного шире.


Состав сертифицированного СКЗИ

Апплет "Криптотокен 2 ЭП"

  • Работает на защищённых смарт-карточных микроконтроллерах. Реализован в различных форм-факторах: USB-токены, смарт-карты, модули смарт-карт, микросхемы для монтажа на печатную плату (разные исполнения).
  • Реализует набор криптографических алгоритмов и протоколов.

Интерфейсная криптобиблиотека (ИКБ)

  • Предназначена для работы на стороне хоста (ПК, сервер, терминал). Сертифицирована под Microsoft Windows, GNU/Linux, Apple macOS.
  • Реализует набор криптографических алгоритмов и протоколов, выработку и согласование сессионных ключей, вычисление хэш-функций, шифрование с высокой скоростью.
  • Обеспечивает построение защищённого канала с апплетом "Криптотокен 2 ЭП". Позволяет безопасно передавать по открытым каналам (например, NFC, Bluetooth) команды и данные.
  • Поддерживает только функции и команды из "белого" списка, доступные Пользователю. СКЗИ сделано так, что Пользователю доступны только высокоуровневые функции и криптографически безопасные команды.

Сравнение старой и новой архитектуры СКЗИ


При использовании ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 переделка ПО, ранее использовавшего предыдущую версию JaCarta ГОСТ, не потребуется — новый продукт обратно совместим с предыдущей версией.

Безопасность архитектуры микроконтроллера

Защищенность микроконтроллера обеспечивается на аппаратном и программном уровнях, что позволяет успешно противостоять большинству возможных угроз безопасности:

  • физические и логические атаки;
  • переборные и статистические атаки;
  • стрессовое воздействие (эксплуатация в нештатных ситуациях и внешних условиях);
  • клонирование.

Подробнее

6 главных отличий от конкурирующих продуктов

Сертифицировано
по новым требованиям ФСБ России

JaCarta-2 ГОСТ — функционально законченный и криптографически безопасный продукт:

  • Имеет "белый" список безопасных функций, разрешённых для встраивания в прикладное и системное ПО
  • Оценка влияния (корректность встраивания) при использовании команд из "белого" списка становится простой формальной процедурой.
Большинство конкурирующих продуктов не имеет "белых" списков функций и не допускает легитимного встраивания без сертификации нового СКЗИ, созданного из компонентов другого.

Secure By Design — продукт сделан на базе защищённых смарт-карточных чипов

Используемые в устройстве JaCarta-2 ГОСТ чипы имеют встроенные средства защиты от всех известных атак, методов взлома и клонирования, их безопасность подтверждена сертификацией по международным требованиям.

Большинство конкурирующих продуктов использует недорогие микроконтроллеры без защиты от взлома и клонирования.

Автоматическое построение защищённого канала между СКЗИ и хостом

Работа между токеном JaCarta-2 ГОСТ и хостом производится по защищённому каналу, другое ПО для этого не требуется.

Конкурирующие продукты канал передачи данных и команд между токеном и хостом не закрывают. Если требуется защита передаваемых данных, то для этого надо использовать продукты третьих фирм.

Защита от атак на PIN-код и от блокирования устройства

JaCarta-2 ГОСТ имеет встроенную защиту от атак на PIN-код и механизмы автоматического восстановления заблокированного устройства по времени.

Конкурирующие продукты на имеют такой защиты, заблокированное устройство восстановить нельзя.

Высокая скорость подписания
объёмных документов

Вычисление хэш-функции от документов у JaCarta-2 ГОСТ производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства, хэш для формирования ЭП передаётся в устройство по защищённому каналу.

Конкурирующие продукты считают хэш в "слабом" микроконтроллере намного дольше, либо для его расчёта на стороне хоста используют СКЗИ третьих фирм и передают хэш для формирования подписи в устройство по открытому каналу, что очень небезопасно.

Безопасное администрирование

Инициализация токена JaCarta-2 ГОСТ, ввод в эксплуатацию, вывод из эксплуатации (с гарантированным уничтожением всех пользовательских ключей и данных), работа с доверенными объектами и прочее производится на АРМе администратора безопасности.

При распространении проинизиализированных производителем некоторых конкурирующих продуктов администратор может получить доступ к закрытым ключам ЭП пользователей, нарушая основополагающий принцип PKI — "Ключ ЭП известен только его владельцу".

ЗАПРЕЩАЕТСЯ повторно выдавать ранее использовавшийся токен другому пользователю без полной его перепрошивки у производителя. Уничтожить в устройстве ключи ЭП и журнал проведённых операций на АРМе администратора нельзя.