JaCarta-2 ГОСТ
Строгая аутентификация и электронная подпись с использованием новых российских криптоалгоритмов
Новое поколение USB-токенов, смарт-карт и модулей безопасности с аппаратной поддержкой ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012
- Сертифицированное средство электронной подписи
- Полноценное СКЗИ с широким набором криптографических функций
- Средство строгой двухфакторной аутентификации для безопасного доступа в информационные системы, Web-порталы и облачные сервисы
- Средство безопасного хранения пользовательских данных
Назначение JaCarta-2 ГОСТ
Средство электронной подписи и полноценное СКЗИ
JaCarta-2 ГОСТ предназначена для использования в качестве сертифицированного средства ЭП (усиленной квалифицированной подписи — УКЭП) и полноценного СКЗИ в системах электронного документооборота (ЭДО), дистанционного банковского обслуживания (ДБО) и др. для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных.
Для обеспечения совместимости с существующими системами и плавного перехода на использование нового российского стандарта ЭП JaCarta-2 ГОСТ поддерживает как старые криптографические алгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, выводимые из использования с 2019 г., так и новые — ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Средство строгой двухфакторной аутентификации
Устройства JaCarta-2 ГОСТ могут применяться для обеспечения безопасного доступа пользователей или терминального оборудования в информационные системы, Web-порталы и облачные сервисы.
Средство безопасного хранения пользовательских данных
Возможности устройств JaCarta-2 ГОСТ позволяют обеспечить безопасное хранение ключевых контейнеров программных СКЗИ (например, КриптоПро CSP и ViPNet CSP), цифровых сертификатов, паролей, пользовательских и прочих данных в защищённой энергонезависимой памяти (EEPROM).
Различные исполнения
Модули смарт-карт, в том числе с поддержкой бесконтактного интерфейса NFC, — могут использоваться при выпуске корпоративных, платёжных, социальных, транспортных, кампусных и других видов карт с аппаратной поддержкой сертифицированной российской криптографии "на борту", например, платёжная карта "Мир" с транспортным приложением "Тройка" и средством ЭП.
Модули безопасности — SIM-модули, микросхемы для монтажа на печатную плату — могут использоваться в различном терминальном, навигационном, телематическом и другом встраиваемом оборудовании, включая устройства для Интернета вещей (IoT), межмашинного взаимодействия (M2M), а также в автоматизированных системах управления технологическими процессами (АСУ ТП).
Возможности применения
- Системы дистанционного банковского обслуживания (ДБО)
- Системы электронного документооборота (ЭДО)
- Электронные торговые площадки (ЭТП)
- Системы сдачи электронной отчётности (ФНС, ПФР и др.)
- Системы таможенного декларирования
- Порталы государственных услуг
- Web-приложения, корпоративные порталы и облачные сервисы
Электронное удостоверение сотрудника
В одной карте возможно совмещение нескольких важных и часто используемых функций:
- пропуск на территорию предприятия, электронный ключ для прохода в помещения (визуальная идентификация и встроенная RFID-метка для интеграции со СКУД);
- средство аутентификации при доступе к корпоративным (служебным) системам;
- средство ЭП сотрудника.
Платёжная карта НСПК "Мир"
В одной карте НСПК "Мир" со встроенным NFC-модулем можно совместить функции:
- платёжной (зарплатной) карты;
- средства ЭП (для ДБО, для работы с порталами госуслуг и другими электронными сервисами);
- транспортного приложения, например, "Тройка".
SIM-модули и микросхемы предназначены для встраивания в различное электронное оборудование в качестве сертифицированного модуля безопасности, обеспечивающего конфиденциальность, некорректируемость, юридическую значимость и подтверждение подлинности источников данных и команд.
- SIM — отчуждаемый модуль для готовых устройств, имеющих свободный слот для SIM-карты.
- Микросхемы в различных исполнениях и корпусах — для монтажа на печатную плату в новых устройствах.
Кроме того, SIM-модули и микросхемы могут применяться:
- в различном терминальном, навигационном, телематическом и прочем оборудовании;
- для Интернета вещей (IoT);
- для межмашинного взаимодействия (M2M);
- в автоматизированных системах управления технологическими процессами (АСУ ТП).
Особенности JaCarta-2 ГОСТ
Сертифицировано по новым требованиям ФСБ России
СКЗИ в составе JaCarta-2 ГОСТ сертифицировано по новым требованиям ФСБ России и является функционально законченным и криптографически безопасным.
Предназначено для встраивания
Сертифицированное СКЗИ (средство ЭП) предназначено для легитимного и безопасного встраивания в прикладное, системное и встраиваемое ПО и оборудование.
"Белый" список безопасных команд и функций
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО.
Обеспечивает построение защищённого канала
В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).
Защита от взлома и клонирования
Secure By Design — устройства JaCarta-2 ГОСТ сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).
Ключи шифрования не хранятся в памяти устройства - взламывать его бесполезно.
Возможность расширения функциональности устройств
Использование технологии Java Card позволяет добавлять необходимую функциональность в устройства JaCarta-2 ГОСТ без необходимости повторной сертификации СКЗИ в ФСБ России.
Работа с доверенными объектами
К доверенным объектам относятся ключи проверки ЭП. С их помощью проверяется подпись документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.
Дополнительный PIN-код на операцию формирования ЭП
JaCarta-2 ГОСТ позволяет установить два разных PIN-кода: PIN-код пользователя — для аутентификации пользователя и PIN-код подписи — для формирования ЭП (опционально).
Новые механизмы разблокирования устройств
JaCarta-2 ГОСТ предоставляет новые механизмы восстановления работоспособности: самостоятельное (PUK-код) и удалённое разблокирования устройства с помощью Администратора.
Новые механизмы защиты от атак и блокирования
В новом устройстве JaCarta-2 ГОСТ реализованы защита от атак на PIN-код и от блокирования устройства, a PIN-код Администратора заменён ключом администратора безопасности.
Безопасное администрирование
Для инициализации новых устройств, работы с доверенными объектами (ключами проверки ЭП) и безопасного администрирования в процессе их жизненного цикла предназначен новый АРМ администратора безопасности.
Больше доступной памяти
В новой линейке JaCarta-2 ГОСТ появилась модель с увеличенным объёмом защищённой памяти — теперь для безопасного хранения ключей, кодов авторизации, сертификатов и других объектов доступно до 114 КБайт энергонезависимой памяти (EEPROM).
Быстрее
Скорость подписания объёмных документов в устройстве JaCarta-2 ГОСТ теперь на порядки выше, поскольку вычисление хэш-функции от объёмных документов производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства.
Вычисленное значение хэш-функции для формирования ЭП передаётся в устройство по защищённому каналу.
Повышенный ресурс и живучесть
Устройства JaCarta-2 ГОСТ проектировались с учётом возможностей применения в различных автоматизированных системах (ЕГАИС, АСУ ТП и пр.), включая М2М, IoT и прочие, и имеют повышенный ресурс по количеству циклов записи в EEPROM-память и выполняемых операций ЭП.
В частности, количество операций формирования ЭП составляет не менее 10 млн.
Надёжность и качество
При проектировании и производстве новых устройств JaCarta-2 ГОСТ инженеры компании учли весь накопленный 20-ти летний опыт и сделали их ещё лучше и надёжнее.
Модельный ряд
Устройства JaCarta-2 ГОСТ выпускаются в различных исполнениях и форм-факторах, с широким набором опций, дополнительных функций и возможностей кастомизации.
На базе моделей JaCarta-2 ГОСТ выпускается линейка комбинированных моделей с поддержкой зарубежной криптографии (PKI), биометрической идентификации пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card) и др.
Комбинированные модели
Индивидуальная упаковка и кастомизация
Индивидуальная упаковка
Вам больше не надо думать об упаковке для токенов при их поставке Вашим клиентам.
Мы подготовили два типовых варианта для USB-токенов и смарт-карт:
- индивидуальная картонная коробка (VIP);
- индивидуальный конверт (для массовых сервисов).
В комплект любого из типовых вариантов входит Паспорт изделия и краткое руководство пользователя по использованию токена, а также целый набор полезных аксессуаров: кольца для крепления USB-токенов на связке с ключами, цветные брелоки и прочие.
На базе типовой индивидуальной упаковки можно быстро сделать новую в фирменном стиле Заказчика.
Кастомизация
USB-токены JaCarta-2 ГОСТ могут выпускаться с цветной вставкой и пластиковым брелоком в фирменном цвете организации Заказчика. На корпусе устройства или на брелоке предусмотрено место для логотипа.
Базовые цвета корпуса при заказе кастомизированных моделей: оранжевый (основной), белый, чёрный, красный, синий, малиновый, фиолетовый, зелёный.
Для смарт-карт JaCarta-2 ГОСТ можно выбрать цвет пластика и контактов микроконтроллера (золотые или серебряные).
В смарт-карты и USB-токены в корпусе XL могут быть встроены RFID-метки для контроля физического доступа в помещения.
Сопутствующее ПО и решения
 | АРМ администратора безопасности | Для инициализации токенов, задания, смены PIN- и PUK-кодов, разблокирования, задания парольных политик и пр. |
| Единая библиотека и SDK | Обеспечивает единообразную работу со всеми моделями токенов, API для встраивания, примеры. | |
| Единый Клиент JaCarta | Простое и удобное средство администрирования токенов (всех моделей) и подготовки их к работе. | |
| JaCarta SecurLogon | Позволяет перейти от использования паролей к надёжной двухфакторной аутентификации без разворачивания PKI. | |
| JC-WebClient | Строгая двухфакторная аутентификация и ЭП для Web-порталов и облачных сервисов, работает с любыми браузерами на Microsoft Windows, Apple macOS, GNU/Linux. | |
| JMS, JAS | Система централизованного управления жизненным циклом токенов, сервер аутентификации. |
Технические подробности
- Поддерживаемые
операционные системы - "Белый" список
команд и функций - Эксплуатационные
характеристики - Сертификаты
ФСБ России
Поддерживаемые ОС
(для сертифицированного средства ЭП и СКЗИ)
Microsoft Windows*
- Microsoft Windows 10
- Microsoft Windows 8.1
- Microsoft Windows 8
- Microsoft Windows 7
- Microsoft Windows Vista SP2
- Microsoft Windows XP SP3 (32-бит)
- Microsoft Windows XP SP2 (64-бит)
- Microsoft Windows Server 2012
- Microsoft Windows Server 2008 R2
- Microsoft Windows Server 2008
- Microsoft Windows Server 2003 SP2
* Поддерживаются 32- и 64-битные версии ОС, если не указано иное
Дистрибутивы Linux
- Astra Linux Common и Special Edition
- CentOS 7
- Debian 8.4
- Mandriva Enterprise Server 5
- openSUSE 13.2, Leap 42.1
- Oracle Linux 5 Update 5&6, Oracle Linux 6
- Red Hat Enterprise Linux 5.6, 6.0, 7.0, 7.2
- ROSA Enterprise Desktop X1 (Marathon)
- ROSA Enterprise Linux Server
- SUSE Linux Enterprise Server 11 SP4
- Ubuntu 14.04
- МСВС 3.0, 5.0
- МСВСфера
- Ред ОС
- РОСА DX "КОБАЛЬТ" 1.0, SX "КОБАЛЬТ" 1.0
Apple OS X
- OS X 10.10 Yosemite
- OS X 10.11 El Capitan
Это список ОС, вошедших в сертифицированную версию. Поддерживаемый список ОС и платформ (x86, ARM, RISC) намного шире.
Состав сертифицированного СКЗИ
Апплет "Криптотокен 2 ЭП"
- Работает на защищённых смарт-карточных микроконтроллерах. Реализован в различных форм-факторах: USB-токены, смарт-карты, модули смарт-карт, микросхемы для монтажа на печатную плату (разные исполнения).
- Реализует набор криптографических алгоритмов и протоколов.
Интерфейсная криптобиблиотека (ИКБ)
- Предназначена для работы на стороне хоста (ПК, сервер, терминал). Сертифицирована под Microsoft Windows, GNU/Linux, Apple macOS.
- Реализует набор криптографических алгоритмов и протоколов, выработку и согласование сессионных ключей, вычисление хэш-функций, шифрование с высокой скоростью.
- Обеспечивает построение защищённого канала с апплетом "Криптотокен 2 ЭП". Позволяет безопасно передавать команды и данные, в том числе с использованием технологий беспроводной передачи данных (например, NFC, Bluetooth).
- Поддерживает только функции и команды из "белого" списка, доступные Пользователю. СКЗИ сделано так, что Пользователю доступны только высокоуровневые функции и криптографически безопасные команды.
Сравнение старой и новой архитектуры СКЗИ
Безопасность архитектуры микроконтроллера
Защищенность микроконтроллера обеспечивается на аппаратном и программном уровнях, что позволяет успешно противостоять большинству возможных угроз безопасности:
- физические и логические атаки;
- переборные и статистические атаки;
- стрессовое воздействие (эксплуатация в нештатных ситуациях и внешних условиях);
- клонирование.
6 главных отличий от конкурирующих продуктов
Сертифицировано
по новым требованиям ФСБ России
JaCarta-2 ГОСТ — функционально законченный и криптографически безопасный продукт:
- Имеет "белый" список безопасных функций, разрешённых для встраивания в прикладное и системное ПО
- Оценка влияния (корректность встраивания) при использовании команд из "белого" списка становится простой формальной процедурой.
Secure By Design — продукт сделан на базе защищённых смарт-карточных чипов
Используемые в устройстве JaCarta-2 ГОСТ чипы имеют встроенные средства защиты от всех известных атак, методов взлома и клонирования, их безопасность подтверждена сертификацией по международным требованиям.
Автоматическое построение защищённого канала между СКЗИ и хостом
Работа между токеном JaCarta-2 ГОСТ и хостом производится по защищённому каналу, другое ПО для этого не требуется.
Защита от атак на PIN-код и от блокирования устройства
JaCarta-2 ГОСТ имеет встроенную защиту от атак на PIN-код и механизмы автоматического восстановления заблокированного устройства по времени.
Высокая скорость подписания
объёмных документов
Вычисление хэш-функции от документов у JaCarta-2 ГОСТ производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства, хэш для формирования ЭП передаётся в устройство по защищённому каналу.
Безопасное администрирование
Инициализация токена JaCarta-2 ГОСТ, ввод в эксплуатацию, вывод из эксплуатации (с гарантированным уничтожением всех пользовательских ключей и данных), работа с доверенными объектами и прочее производится на АРМе администратора безопасности.
При распространении проинизиализированных производителем некоторых конкурирующих продуктов администратор может получить доступ к закрытым ключам ЭП пользователей, нарушая основополагающий принцип PKI — "Ключ ЭП известен только его владельцу".
ЗАПРЕЩАЕТСЯ повторно выдавать ранее использовавшийся токен другому пользователю без полной его перепрошивки у производителя. Уничтожить в устройстве ключи ЭП и журнал проведённых операций на АРМе администратора нельзя.
Возможности встраивания JaCarta-2 ГОСТ
С использованием библиотеки PKCS#11
- Рекомендуемый вариант для встраивания JaCarta-2 ГОСТ в системное и прикладное ПО
- Высокоуровневый интерфейс, предоставляющий ТОЛЬКО разрешённые команды из "белого" списка
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом (обеспечивается ИКБ из состава библиотеки PKCS#11)
- Библиотека реализована для различных платформ (Microsoft Windows, Apple macOS, Linux, другие — по требованию)
С прямым использованием ИКБ
- Возможный вариант для встраивания JaCarta-2 ГОСТ во встраиваемое ПО, работающее в ограниченных условиях
- Интерфейс, предоставляющий ТОЛЬКО разрешённые команды из "белого" списка
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом
- Библиотека реализована для различных платформ (Microsoft Windows, Apple macOS, Linux, другие — по требованию)
С прямым использованием APDU-команд
- Возможный вариант для встраивания JaCarta-2 ГОСТ в другие СКЗИ, СЗИ, системное и прикладное ПО с последующей их сертификацией в ФСБ России или проведением тематических исследований по оценке влияния (корректности встраивания)
- Интерфейс, предоставляющий ВСЕ доступные команды СКЗИ "Криптотокен 2 ЭП" и "Криптотокен 2"
- Не зависит от аппаратных и программных платформ
С прямым использованием APDU-команд между СКЗИ и другим Java-апплетом, "общающимся" напрямую с прикладным или системным ПО
- Возможный вариант для использования всех возможных команд JaCarta-2 ГОСТ из Вашего собственного Java-апплета, загруженного в защищённый микроконтроллер
- При таком использовании потребуется проведение тематических исследований по оценке влияния (корректности встраивания)
- СКЗИ "Криптотокен 2 ЭП" предоставляет ВСЕ доступные команды другому Java-апплету по внутреннему Shareable-интерфейсу (команды и данные не выходят за пределы чипа)
- Не зависит от аппаратных и программных платформ
Состав JaCarta-2 SDK
- Программные компоненты
- Библиотека стандарта PKCS #11
- Для Microsoft Windows, GNU/Linux, Apple macOS/OS X
- Поддержка всех моделей устройств в рамках одной библиотеки
- Использование сертифицированного интерфейса ИКБ
- Обеспечение автоматизации контроля целостности СКЗИ
- Компоненты сертифицированного СКЗИ (ИКБ, утилита контроля целостности)
- АРМ разработчика для администрирования JaCarta-2 ГОСТ в процессе разработки и тестирования
- Максимально приближено к сертифицированному АРМу администратора безопасности JaCarta-2 ГОСТ
- Даёт возможность отладиться и подготовиться к реальной эксплуатации
- Библиотека стандарта PKCS #11
- Примеры исходных кодов программ
- Типовые сценарии, новая функциональность, примеры миграции с JaCarta ГОСТ на JaCarta-2 ГОСТ
- Языки программирования С/С++
- Документация по встраиванию
- Описания API для корректного встраивания СКЗИ в прикладное и системное ПО
- Сертификационные материалы
Лучше один раз увидеть
Пора сделать правильный выбор
