Компания Аладдин Р.Д. Компания «Аладдин Р.Д.» – ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных.


Обзор платформы JaCarta от "Аладдин Р.Д."

02.12.2016

Интернет-портал anti-malware.ru, декабрь, 2016
Обзор платформы JaCarta от компании "Аладдин Р.Д."

Введение

На сегодняшний день без надёжной системы аутентификации пользователей не обходится ни одна уважающая себя компания. Специалисты по информационной безопасности (ИБ) рекомендуют использовать многофакторную аутентификацию, основанную не только на знании секрета (пароля), но и на владении специальным устройством (токеном). Нередко в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. В этом случае возникает проблема учёта и регистрации всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками в масштабах предприятия.

Ещё одна тенденция в сфере ИБ связана с ростом числа мобильных устройств, с которых сотрудники компаний работают с конфиденциальной корпоративной информацией. Все чаще применяется модель BYOD (Bring Your Own Device), позволяющая сотруднику для выполнения своих профессиональных обязанностей использовать личные мобильные устройства. При этом появляется необходимость в механизме многофакторной аутентификации в отношении владельцев смартфонов или планшетов.

Изменение законодательства в области защиты персональных данных, принятие требований по сертификации средств защиты информации, развитие дистанционного банковского обслуживания (ДБО) и интернет-банкинга требует от участников рынка внедрения отечественных систем аутентификации и электронной подписи (ЭП).

Для эффективного решения поставленных задач российская компания "Аладдин Р.Д." разработала платформу JaCarta — семейство аппаратных и программных продуктов, позволяющих осуществлять аутентификацию пользователей, генерировать ЭП и безопасно хранить криптографические ключи и цифровые сертификаты, а также централизованно управлять ключевыми носителями на протяжении их жизненного цикла.

Состав продуктовой линейки JaCarta

В состав платформы JaCarta входят:

Токены JaCarta выпускаются в нескольких функционально идентичных исполнениях (форм-факторах): смарт-карта, USB-токен в корпусе Nano и XL, MicroUSB-токен, USB-токен с кнопкой (для JaCarta WebPass и JaCarta U2F). Большинство форм-факторов позволяют совмещать в одном устройстве несколько функций, что даёт возможность сократить число ключевых носителей пользователя, реализуя необходимые функции в одном токене (например, двухфакторную аутентификацию и ЭП).

Рисунок 1. Смарт-карта, USB- и MicroUSB-токены JaCarta

Смарт-карта, USB- и MicroUSB-токены JaCarta

MicroUSB-токены и смарт-карты JaCarta позволяют организовать строгую двух- и трёхфакторную аутентификацию и усиленную квалифицированную ЭП на мобильных устройствах, обеспечивая защиту транзакций в условиях недоверенной среды. Для подключения смарт-карт JaCarta к мобильным устройствам можно использовать проводные или Bluetooth-считывателя смарт-карт. MicroUSB-токены JaCarta можно подключить напрямую (если есть порт MicroUSB) или через переходник MicroUSB-to-USB.

На основе смарт-карт JaCarta выпускается решение Электронное удостоверение JaCarta, объединяющее функциональные возможности бесконтактного пропуска (за счёт включения RFID-метки и интеграции со СКУД), средства доступа в информационную систему, средства ЭП, защищённого хранилища пользовательских данных, банковской карты и обычного удостоверения сотрудника.

Компоненты платформы JaCarta имеют следующие сертификаты соответствия:

Токены и смарт-карты JaCarta PKI

Токены и смарт-карты JaCarta PKI

JaCarta PKI — семейство PKI-токенов и смарт-карт для строгой двухфакторной аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.

Токены JaCarta PKI доступны форм-факторах USB-токен (в корпусе Nano или XL), MicroUSB-токен и смарт-карта.

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя [5].

Токены и смарт-карты JaCarta PKI/BIO

Токены и смарт-карты JaCarta PKI/BIO

Токены JaCarta PKI/BIO обладают всеми функциями токенов JaCarta PKI и отличаются от них функцией биометрической идентификации по отпечатку пальца (в качестве третьего фактора аутентификации или вместо PIN-кода). Могут поставляться в форм-факторах USB-токен (в корпусе XL) и смарт-карта.

Рекомендуемым форм-фактором является смарт-карта, так как для USB-токенов необходимо предварительное тестирование на совместимость с используемыми сканерами (например, встроенными в ноутбуки или в клавиатуры).

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя [5].

Токены и смарт-карты JaCarta ГОСТ и JaCarta² ГОСТ

Токены и смарт-карты JaCarta ГОСТ и JaCarta² ГОСТ

Токены JaCarta ГОСТ являются персональным средством ЭП со встроенной сертифицированной российской криптографией для формирования усиленной квалифицированной ЭП с неизвлекаемым ключом, а также хранения ключевых контейнеров программных СКЗИ. JaCarta² ГОСТ отличается применением сертифицированных новых российских криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

JaCarta ГОСТ и JaCarta² ГОСТ производятся в нескольких форм-факторах: USB-токен (в корпусах Nano или XL), MicroUSB-токен, смарт-карта.

И в JaCarta ГОСТ, и в JaCarta² ГОСТ криптоалгоритмы реализованы на уровне микропроцессора, а схема работы с неизвлекаемым закрытым ключом подписи исключает возможность хищения закрытого ключа подписи, при этом формирование ЭП с его использованием выполняется внутри устройства.

Устройства предназначены для обеспечения юридической значимости действий пользователей при использовании различных электронных сервисов:

Смарт-карты JaCarta ГОСТ могут применяться как с обычными считывателями, так и с "Антифрод-терминалом" — снабжённым дисплеем и клавиатурой устройством, предназначенным для формирования с помощью JaCarta ГОСТ ЭП в недоверенной среде.

Подробная информация о линейке продуктов JaCarta ГОСТ и JaCarta² ГОСТ представлена на сайте производителя [7].

Токены JaCarta WebPass

Токены JaCarta WebPass

JaCarta WebPass — USB-токены для генерации OTP, безопасного хранения сложного многоразового пароля и его подстановки в экранные формы по нажатию кнопки, а также запуска браузера и автоматического перехода по сохранённому адресу web-ресурса.

Токены JaCarta WebPass поддерживают установку разных режимов работы в зависимости от характера нажатия кнопки: одинарное, двойное или длительное нажатие. По умолчанию, при одинарном нажатии генерируется OTP, а к остальным типам нажатия действия не назначены.

Токены JaCarta U2F

Токены JaCarta U2F

JaCarta U2F — универсальный USB-токен, предназначенный для осуществления двухфакторной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F. К таким сервисам относятся сервисы Google (Google Cloud Platform, Gmail, Google Drive, YouTube, Google Wallet, Google+), облачный сервис Dropbox, хостинг совместной разработки GitHub.

В отличие от PKI-токенов JaCarta U2F поддерживают самостоятельную регистрацию пользователей — при регистрации токена JaCarta U2F на конкретном web-ресурсе не требуется участия администратора. В процессе регистрации пользователем своего U2F-токена на web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации. В связи с этим один токен может использоваться для доступа к множеству различных web-ресурсов.

Токены JaCarta U2F обеспечивают защиту от фишинговых атак, поскольку закрытый ключ, хранящийся в памяти токена, соответствует URL-адресу определённого web-ресурса.

Основные компоненты типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F представлены ниже.

Рисунок 2. Архитектура типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F

Архитектура типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F

В состав типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F входят следующие компоненты:

Один токен JaCarta U2F можно применять для ПК, ноутбуков и мобильных устройств (при наличии USB-разъёма или MicroUSB-разъёма). При этом поддержка U2F обеспечивается из соответствующего приложения (например, Google Chrome).

Подробная информация о JaCarta U2F и описание принципов работы доступны на сайте производителя [8].

Таблица 1. Сравнение моделей токенов JaCarta

Возможности

JaCarta PKI

JaCarta

PKI/BIO

JaCarta ГОСТ и

JaCarta² ГОСТ

JaCarta

PKI/ГОСТ

JaCarta

WebPass

JaCartaU2F

USB

MUSB

SC

USB

SC

USB

MUSB

SC

USB

MUSB

SC

USB

USB

Строгая аутентификация

Усиленная аутентификация

Биометрическая идентификация

Персональное средство ЭП

Хранение ключевых контейнеров, паролей, сертификатов и ключей

Работа с мобильными устройствами

Встраивание RFID-метки

Обратная совместимость с продуктами "Аладдин Р.Д."

Встраивание апплета платёжных систем MasterCard, VISA или "Мир"

USB — USB-токены в корпусе Nano или XL

MUSB — MicroUSB-токены

SC — токены в форма-факторе смарт-карта

● — Базовая функциональность

○ — Дополнительная функциональность (доступна под заказ)

◊ — Функциональность, реализуемая в рамках согласованного c компанией "Аладдин Р.Д." проекта

Система управления JaCarta Management System

JaCarta Management System (JMS) — корпоративная система управления жизненным циклом токенов JaCarta, eToken и Рутокен. JMS автоматизирует типовые операции при работе с токенами (регистрация, выпуск, назначение, временное отключение, разблокировка, замена), позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и ЭП. JMS дополнительно обеспечивает соблюдение требований российского законодательства в части учёта СКЗИ.

Встроенные средства построения отчётов и печати документов позволяют отслеживать состояние инфраструктуры токенов и автоматизировать документооборот, связанный с их жизненным циклом.

Возможности JMS позволяют:

Благодаря возможностям JMS доступно многократное сокращение времени выполнения ряда стандартных типовых операций:

Сертифицированная версия JMS обеспечивает выполнение требований российского законодательства в области защиты персональных данных и конфиденциальной информации и может использоваться для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных информационных систем до класса защищённости 1Г включительно.

JMS зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 311 (Минкомсвязь России).

Рисунок 3. Архитектура JaСаrta Management System

Архитектура JaСаrta Management System

В состав JMS входят следующие компоненты:

Подробная информация о JMS доступна на сайте разработчика [9].

Сервер аутентификации JaCarta Authentication Server

JaCarta Authenticaton Server (JAS) — автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP) при доступе к корпоративным системам (CRM, порталы, почта и т. д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App, web-сайтам и облачным сервисам, системам ДБО, а также удалённым рабочим столам (VMware Horizon View и Citrix XenApp/XenDesktop).

Применение JAS позволяет обеспечить надёжную защиту доступа к ресурсам и сервисам организации, в том числе с планшетов и смартфонов (поддерживаются Google Authenticator и отправка пароля по SMS), а также повысить лояльность и удовлетворенность пользователей, так как процесс аутентификации заметно упрощается.

Преимуществами JAS являются автономность (для работы не требуется приобретать дополнительное ПО), высокая производительность (более 1000 аутентификаций в секунду на одном сервере), надёжность (с помощью Microsoft Failover Cluster и репликации базы данных средствами Microsoft SQL Server) и масштабируемость.

JAS совместим с токенами JaCarta WebPass [10], eToken PASS [11], eToken NG-OTP (Java) [12], Google Authenticator и поддерживает генерацию OTP по событию. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF и WS-Federation, для интеграции с SMS-шлюзами — протоколы HTTP и SMPP.

Встроенные инструменты управления пользователями и OTP-устройствами, а также смены методов проверки подлинности значительно упрощают работу системных администраторов и офицеров безопасности.

JAS зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 2128 (Минкомсвязь России).

Рисунок 4. Архитектура JaСаrta Authentication Server

Архитектура JaСаrta Authentication Server

В состав сервера JAS входят следующие компоненты:

Решение JC-WebClient

Одной из главных особенностей JC-WebClient является поддержка всех популярных браузеров на платформах Microsoft Windows, Apple macOS и Linux, в том числе браузера Microsoft Edge в Microsoft Windows 10.

JC-WebClient предоставляется бесплатно, при его использовании не требуется приобретать программное СКЗИ, а использование единой технологии для всех популярных браузеров исключает расходы на адаптацию web-приложения под различные версии браузеров.

Для встраивания решения предоставляется комплект разработчика JC-WebClient SDK, который включает в себя подробное руководство по встраиванию и исчерпывающий перечень примеров с исходными кодами.

Рисунок 5. Архитектура JaСаrta JC-WebClient

Архитектура JaСаrta JC-WebClient

Состав JC-WebClient:

Приложение JC-WebClient — реализует технологию локального web-сервера.

Сервис мониторинга — запускает приложение JC-WebClient при загрузке операционной системы (ОС).

USB-токен или смарт-карта JaCarta ГОСТ (eToken ГОСТ)

Опция "Антифрод-терминал" — Trust Screen-устройство для работы с ЭП в недоверенной среде.

Решение JC-Mobile

JC-Mobile — решение, позволяющее организовать безопасный доступ сотрудников, партнёров и клиентов к сервисам организации с мобильных устройств, обеспечить юридическую значимость подписываемых электронных документов и производимых операций, а также гарантировать безопасное хранение ключей и цифровых сертификатов на отчуждаемом модуле безопасности (смарт-карте или MicroUSB-токене JaCarta ГОСТ или JaCarta PKI).

JС-Mobile поддерживает мобильные устройства на базе Apple iOS и Google Android. Кроме этого, токены JaCarta в составе решения можно подключать к компьютерам и ноутбукам на базе Microsoft Windows, Apple macOS или Linux через специальные адаптеры или смарт-карт ридеры.

Apple iOS

Для применения JaCarta с мобильными устройствами на базе Apple iOS необходимо провести работы по интеграции токенов в мобильное приложение с использованием библиотек из состава решения JC-Mobile и приобрести специализированный смарт-карт ридер с разъёмом 30-pin или Lightning (Jailbreak не нужен!) или беспрово­дной смарт-картридер.

Google Android

JaCarta, выполненная в виде MicroUSB-токена, делает возможным аутентификацию и ЭП на мобильных платформах на базе Google Android (если они имеют MicroUSB-разъем). Для этой цели также можно использовать смарт-карты JaCarta (с помощью беспроводного смарт-картридера с подключением по Bluetooth-интерфейсу).

Рисунок 6. Архитектура JaСаrta JC-Mobile

Архитектура JaСаrta JC-Mobile

Решение "Антифрод-терминал"

"Антифрод-терминал" представляет собой TrustScreen-устройство для работы с ЭП в недоверенной среде. Основными областями применения "Антифрод-терминала" являются защита систем ДБО от атак, направленных на кражу денежных средств со счетов клиентов банка, а также защита систем электронного документооборота и электронных сервисов от атак, направленных на подписание поддельных документов на ключах ЭП легального пользователя и последующее навязывание этих поддельных документов системе или сервису.

Если в качестве средства ЭП используется смарт-карта, она может быть подключена непосредственно к "Антифрод-терминалу". Если в качестве средства ЭП используется USB-токен, он подключается к одному USB-порту компьютера, а "Антифрод-терминал" — к другому.

"Антифрод-терминал" позволяет осуществлять безопасную аутентификацию, визуализировать ключевые данные документа перед его подписью, фиксировать в журнале проводимые операции для их последующего анализа, а также осуществлять групповые операции с документами с использованием белых списков.

Для работы "Антифрод-терминала" требуется интеграция защищаемых сервисов с решением JC-WebClient.

Рисунок 7. Схема работы "Антифрод-терминала"

Схема работы

Решение для двухфакторной аутентификации JaCarta SecurLogon

JaCarta SecurLogon — программно-аппаратное решение, позволяющее осуществить простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft или доступе к сетевым ресурсам за счёт использования USB-токенов и смарт-карт JaCarta и eToken. Вместо сертификатов JaCarta SecurLogon генерирует сложные пароли (до 63-х символов), которые неизвестны пользователям и записываются на токен, поэтому для его работы не требуется разворачивать Active Directory или создавать собственный удостоверяющий центр.

Для начала эксплуатации JaCarta SecurLogon достаточно сделать три простых шага: приобрести токены JaCarta и лицензии JaCarta SecurLogon, установить на рабочие места приложение Единый Клиент JaCarta и активировать в нем функциональность JaCarta SecurLogon. При начальной настройке системы пользователь может выбрать предпочтительный сценарий входа: по PIN-коду или отпечатку пальца (если приобретены токены JaCarta PKI/BIO). Так как пользователь не знает настоящий пароль, он не может записать и скомпрометировать его.

Основные преимущества использования JaCarta SecurLogon:

Подробная информация о JaCarta SecurLogon доступна на сайте разработчика [13].

Выводы

Одной из основных тенденций российской ИТ-отрасли является встраивание отечественных СКЗИ в информационные системы и программные средства, разработанные за рубежом. Усиление государственного регулирования в сфере ИБ способствует развитию отечественного рынка средств защиты информации. Платформа JaCarta — семейство продуктов и решений от российской компании "Аладдин Р.Д.", в которых учтены требования законодательства России и отечественных регуляторов. Они подойдут как средним и крупным коммерческим организациям, так и государственным учреждениям и предприятиям.

Токены JaCarta выпускаются в различных исполнениях, которые имеют одинаковую функциональность. Они идеально подходят для использования в системах ДБО, на мобильных платформах, при проведении электронных торгов и осуществлении юридически значимого электронного документооборота.

Дополнительные системы, призванные облегчить работу с токенами JaCarta, такие как JaCarta Management System и JaCarta Authentication Server, позволяют значительно сократить временные и финансовые затраты на поддержание инфраструктуры токенов, одновременно обеспечив более высокий уровень ИБ и удобство пользователей.

Бесплатные решения JC-WebClient и JC-Mobile позволяют быстро реализовать функции аутентификации и обеспечить юридическую значимость осуществляемых операций при работе с сайтами, Web-приложениями, облачными сервисами, а также в мобильных приложениях.

Наличие сертификатов ФСТЭК России и ФСБ России позволяет применять токены JaCarta и решения на их основе в государственных системах и ИСПДн.



Источникhttps://www.anti-malware.ru/reviews/JaCarta



Компания Аладдин Р.Д. © 1995—2017, Компания «Аладдин Р.Д.»
129226, Москва, ул. Докукина, д. 16, корп. 1
Тел.: +7 (495) 2230001
www.aladdin-rd.ru
aladdin@aladdin-rd.ru

Постоянный адрес документа:
http://www.aladdin-rd.ru/company/pressroom/articles/45042/
При полном или частичном использовании материалов ссылка обязательна.