Обязательная в случаях встраивания СКЗИ проверка оценки влияния (корректности встраивания СКЗИ) при использовании разрешённых функций из "белого" списка становится простой формальной процедурой.

Для разработчиков предоставляется комплект средств разработки (SDK), включающий библиотеки с высокоуровневыми интерфейсами (включая PKCS #11) под разные аппаратные платформы (x86, ARM, RISC) и операционные системы (ОС), подробные примеры с множеством типовых сценариев использования средства ЭП и СКЗИ.

Все модели JaCarta-2 PKI/ГОСТ по-прежнему можно использовать для хранения ключевых контейнеров криптопровайдеров и программных СКЗИ (КриптоПро CSP, ViPNet CSP и др.).

Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО:

• Генерация ключей (выполняется аппаратно):
  • для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы СКЗИ);
  • для шифрования;
  • для удалённой аутентификации (HMAC);
  • для внешних нужд и других СКЗИ.
• Хэширование:
  • ГОСТ Р 34.11-94;
  • ГОСТ Р 34.11-2012.
• Шифрование, вычисление имитовставки:
  • ГОСТ 28147-89.
• Формирование ЭП:
  • ГОСТ Р 34.10-2001;
  • ГОСТ Р 34.10-2012.
• Проверка ЭП.
• Генерация случайных чисел.
• Управление ключами и доверенными объектами:
  • проверка цепочки сертификатов;
  • безопасный импорт/экспорт ключей шифрования (на ключевых парах с проверкой всей цепочки сертификатов).
• HMAC (для удалённой аутентификации с использованием одноразовых паролей — OTP).
• Работа с папками и файлами данных в памяти устройства (без доступа к ключам).
• Служебные и административные команды, установка и смена PIN- и PUK-кодов.

В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).

ИКБ реализует:

• набор криптографических алгоритмов и протоколов, включая выработку и согласование сеансовых ключей;
• автоматическое построение защищённого доверенного канала с аппаратным устройством JaCarta-2 PKI/ГОСТ, что позволяет безопасно передавать команды и данные;
• быстрое хэширование и шифрование данных (со скоростью работы основного процессора хоста, более мощного и производительного, чем микроконтроллер устройства).

ИКБ реализована и сертифицирована для работы в ОС Microsoft Windows, Linux, Apple macOS и входит в состав высокоуровневых библиотек (PKCS #11) для встраивания СКЗИ и средства ЭП в прикладное ПО.

Все устройства JaCarta-2 PKI/ГОСТ

• Выполнены на базе защищённых смарт-карточных чипов, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования, прошедших сертификацию в международных лабораториях по CAST и EMV (по требованиям для платёжных систем).
• Полностью соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС №910/2014").

Технология Java Card позволяет добавлять необходимую функциональность, загружая в чип соответствующие Java-апплеты.

• PKI (на базе зарубежной криптографии).
• Биометрическая идентификация пользователя по его отпечаткам пальцев (с функцией Match-On-Card). Отпечатки пальцев нигде не хранятся и сразу передаются в апплет, а все вычисления и принятие решения "Свой/Чужой" производятся внутри устройства.
• Платёжные приложения ("Мир", Visa, MasterCard и др.). Платёжное приложение "Мир" в составе продукта прошло сертификацию в НСПК.
• Безопасное хранение криптоконтейнеров программных СКЗИ и пользовательских данных (ключей, паролей, кодов доступа).

Java-апплеты, загруженные в устройство, могут обмениваться между собой командами и данными напрямую через внутренний Shareable-интерфейс.

Доступна широкая линейка комбинированных моделей.

Ключи проверки ЭП и функции зашифрования/расшифрования могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.

Срок жизни доверенных ключей — 15 лет, закрытых ключей — 3 года, что существенно сокращает стоимость владения устройств JaCarta-2 PKI/ГОСТ по сравнению с программными СКЗИ со сроком действия ключей 1 год.

Устройство может быть сконфигурировано так, что при входе в систему (для строгой двухфакторной аутентификации) пользователь должен ввести один PIN-код (пользователя), а при проведении финансовых транзакций или подписании электронных документов — другой PIN-код (подписи), разрешающий формирование ЭП.

Необходимость ввода PIN-кода подписи устанавливается при создании соответствующей ключевой пары.

Такой механизм повышает безопасность, снижает вероятность ошибочных действий пользователей, что крайне важно в системах ДБО при проведении крупных сумм, в системах ЭДО при подписании важных документов, а также защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.

PUK-код

При инициализации устройства администратор может установить и сообщить пользователю специальный PUK-код для разблокирования. С его помощью пользователь сможет самостоятельно (без обращения к администратору) разблокировать своё устройство.

Одноразовый код разблокирования

Если пользователь забыл PIN-код своего устройства, то теперь он может позвонить или написать своему администратору и попросить его сгенерировать одноразовый код разблокирования устройства.

Это новый удобный и безопасный механизм.

Защита от атак на PIN-код

В первом поколении устройств (JaCarta ГОСТ, eToken ГОСТ) если Администратор забывал, не устанавливал или случайно блокировал свой PIN-код, сбросить забытый PIN-код пользователя было нельзя, и такое заблокированное устройство можно было выбрасывать.

В новом поколении устройств (JaCarta-2 PKI/ГОСТ) PIN-код администратора заменён ключом администратора безопасности — случайно или умышленно заблокировать токен теперь нельзя.

Забытый PIN-код пользователя Администратор теперь всегда может сбросить с использованием сертифицированного АРМа администратора безопасности JaCarta-2 PKI/ГОСТ. При этом все данные (объекты, файлы, PIN- и PUK-коды и др.) будут удалены, а устройство JaCarta-2 PKI/ГОСТ можно будет вернуть в эксплуатацию.

Защита от блокирования устройства

Обычно все токены и смарт-карты блокируются после ввода заданного количества неверных значений PIN-кода – это их нормальное поведение для защиты от атак на PIN-код методом перебора.

Для защиты от DoS-атак на PIN-коды в новом устройстве JaCarta-2 PKI/ГОСТ реализован автоматический сброс счётчиков попыток ввода неверного PIN- и PUK-кодов через установленный промежуток времени, после которого пользователю будет достаточно просто ввести правильное значение PIN-кода.

Эти механизмы кардинально решают проблему разблокирования устройств и атак на PIN-коды.

Новый АРМ администратора безопасности предназначен для инициализации устройств JaCarta-2 PKI/ГОСТ при их вводе в эксплуатацию, разблокирования, изменения парольной политики, доступа к журналу операций (при расследовании инцидентов), к объектам файловой системы (кроме закрытых ключей ЭП), установки, смены PIN- и PUK-кодов, работы с доверенными объектами, вывода устройств из эксплуатации и переинициализации (например, при выдаче их другим пользователям).

АРМ администратора безопасности также предназначен для работы с доверенными объектами — ключами проверки ЭП (чтобы обеспечить срок службы ключей 3 года, без АРМа - только 1 год).

Доверенные объекты используются для проверки подписи документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.

Срок действия доверенных ключей — 15 лет, закрытых ключей ЭП — 3 года.

Ключи проверки ЭП могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.

Приобретение АРМа Администратора безопасности является полезной, но не обязательной опцией.

Токены (как средство ЭП) как и раньше можно заказывать с нужными параметрами инициализации, при этом загрузку нужного профиля и инициализацию устройств может выполнить их производитель или поставщик.

АРМ администратора безопасности имеет собственный сертификат соответствия ФСБ России №СФ/124-2964 (исполнение 13).

При формировании ЭП значение хэш-функции от подписываемого документа теперь вычисляется с использованием программной библиотеки (ИКБ), являющейся частью сертифицированного СКЗИ и работающей на стороне хоста (персонального компьютера, сервера, терминала), а затем передаётся для подписи в устройство по защищённому каналу.

Это означает, что время подписи, большая часть которого тратится на вычисление хэш-функции для объёмных документов, теперь кардинально сокращается, поскольку хэш вычисляется не на микроконтроллере устройства JaCarta-2 PKI/ГОСТ, а на более производительном процессоре хоста.

Благодаря использованию защищённого канала выполнение операций хэширования на хосте не приводит к снижению уровня безопасности.

Вычисление значения хэш-функции также может производиться и самим устройством (внутри чипа) и сразу же передаваться на формирование ЭП.

Менеджмент качества

Система управления качеством продукции компании сертифицирована по требованиям российского и международного стандарта менеджмента качества ГОСТ Р ИСО 9001 2011 (ISO 9001:2011) и с 2012 г. имеет соответствующие сертификаты.

Разработка и производство осуществляется в соответствии с требованиями российского военного стандарта ГОСТ РВ 15.002-2012, необходимого для участия в реализации гособоронзаказа.