JaCarta-2 ГОСТ
Строгая аутентификация и электронная подпись с использованием новых российских криптоалгоритмов
Новое поколение USB-токенов, смарт-карт и модулей безопасности с аппаратной поддержкой ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012
- Сертифицированное средство электронной подписи
- Полноценное СКЗИ с широким набором криптографических функций
- Средство строгой двухфакторной аутентификации для безопасного доступа в информационные системы, Web-порталы и облачные сервисы
- Средство безопасного хранения пользовательских данных
Назначение
Средство электронной подписи и полноценное СКЗИ
JaCarta-2 ГОСТ предназначена для использования в качестве сертифицированного средства ЭП (усиленной квалифицированной подписи — УКЭП) и полноценного СКЗИ в системах электронного документооборота (ЭДО), дистанционного банковского обслуживания (ДБО) и др. для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных.
Для обеспечения совместимости с существующими системами и плавного перехода на использование нового российского стандарта ЭП JaCarta-2 ГОСТ поддерживает как старые криптографические алгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, выводимые из использования с 2019 г., так и новые — ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Средство строгой двухфакторной аутентификации
Устройства JaCarta-2 ГОСТ могут применяться для обеспечения безопасного доступа пользователей или терминального оборудования в информационные системы, Web-порталы и облачные сервисы.
Средство безопасного хранения пользовательских данных
Возможности устройств JaCarta-2 ГОСТ позволяют обеспечить безопасное хранение ключевых контейнеров программных СКЗИ (например, КриптоПро CSP и ViPNet CSP), цифровых сертификатов, паролей, пользовательских и прочих данных в защищённой энергонезависимой памяти (EEPROM).
Исполнения
Возможности применения
- Системы дистанционного банковского обслуживания (ДБО)
- Системы электронного документооборота (ЭДО)
- Электронные торговые площадки (ЭТП)
- Системы сдачи электронной отчётности (ФНС, ПФР и др.)
- Системы таможенного декларирования
- Порталы государственных услуг
- Web-приложения, корпоративные порталы и облачные сервисы
Электронное удостоверение сотрудника
В одной карте возможно совмещение нескольких важных и часто используемых функций:
- пропуск на территорию предприятия, электронный ключ для прохода в помещения (визуальная идентификация и встроенная RFID-метка для интеграции со СКУД);
- средство аутентификации при доступе к корпоративным (служебным) системам;
- средство ЭП сотрудника.
Платёжная карта НСПК "Мир"
В одной карте НСПК "Мир" со встроенным NFC-модулем можно совместить функции:
- платёжной (зарплатной) карты;
- средства ЭП (для ДБО, для работы с порталами госуслуг и другими электронными сервисами);
- транспортного приложения, например, "Тройка".
SIM-модули и микросхемы предназначены для встраивания в различное электронное оборудование в качестве сертифицированного модуля безопасности, обеспечивающего конфиденциальность, некорректируемость, юридическую значимость и подтверждение подлинности источников данных и команд.
- SIM — отчуждаемый модуль для готовых устройств, имеющих свободный слот для SIM-карты.
- Микросхемы в различных исполнениях и корпусах — для монтажа на печатную плату в новых устройствах.
Кроме того, SIM-модули и микросхемы могут применяться:
- в различном терминальном, навигационном, телематическом и прочем оборудовании;
- для Интернета вещей (IoT);
- для межмашинного взаимодействия (M2M);
- в автоматизированных системах управления технологическими процессами (АСУ ТП).
Информация, необходимая для эксплуатации средства криптографической защиты информации "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ можно найти в документе "СКЗИ "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ.
Особенности
Сертифицировано по новым требованиям ФСБ России
Предназначено для встраивания
"Белый" список безопасных команд и функций
Обеспечивает построение защищённого канала
Защита от взлома и клонирования
Secure By Design — устройства JaCarta-2 ГОСТ сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).
Ключи шифрования не хранятся в памяти устройства - взламывать его бесполезно.
Возможность расширения функциональности устройств
Работа с доверенными объектами
Дополнительный PIN-код на операцию формирования ЭП
Новые механизмы разблокирования устройств
Новые механизмы защиты от атак и блокирования
Безопасное администрирование
Больше доступной памяти
Быстрее
Скорость подписания объёмных документов в устройстве JaCarta-2 ГОСТ теперь на порядки выше, поскольку вычисление хэш-функции от объёмных документов производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства.
Вычисленное значение хэш-функции для формирования ЭП передаётся в устройство по защищённому каналу.
Повышенный ресурс и живучесть
Устройства JaCarta-2 ГОСТ проектировались с учётом возможностей применения в различных автоматизированных системах (ЕГАИС, АСУ ТП и пр.), включая М2М, IoT и прочие, и имеют повышенный ресурс по количеству циклов записи в EEPROM-память и выполняемых операций ЭП.
В частности, количество операций формирования ЭП составляет не менее 10 млн.
Надёжность и качество
Модельный ряд
Устройства JaCarta-2 ГОСТ выпускаются в различных исполнениях и форм-факторах, с широким набором опций, дополнительных функций и возможностей кастомизации.
На базе моделей JaCarta-2 ГОСТ выпускается линейка комбинированных моделей с поддержкой зарубежной криптографии (PKI), биометрической идентификации пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card) и др.
USB-токены
Смарт-карты и модули для производства смарт-карт
Модули безопасности (Secure Element)
Комбинированные модели
Для корпоративных пользователей
- Рассчитан на интенсивное ежедневное использование, привычный многим дизайн, комфортный размер.
- Строгий чёрный дизайн с цветной вставкой:
- на корпусе токена достаточно места для размещения логотипа компании (кастомизации);
- разъем защищается съёмным колпачком;
- светодиод хорошо заметен и не слепит в темноте;
- лазерная гравировка уникального серийного номера ключа на металлическом разъёме - невозможность стирания и подмены;
- опция — лазерная гравировка серийного номера ключа на боковой поверхности токена.
- Допускает имплантацию большинства RFID-меток для интеграции с системами контроля доступа в помещения (СКУД).
- Большой объём доступной защищённой памяти (~50 КБ).
Для M2M-приложений и автоматизированных систем
- Специальная модель
- Увеличенный ресурс - количество сгенерированных ЭП - не менее 10 млн.
- Расширенная доступная память - до 114 КБ.
Для пользователей, часто работающих "в походных условиях" на ноутбуках и планшетах, для пользователей Web-сервисов (ДБО, ЭДО, сдача эл. отчётности и пр.)
- Имеет стильный запоминающийся дизайн в виде навесного замка.
- Плотно фиксируется в USB-разъёме, оснащён удобной и яркой цветной дужкой.
- Имеет оптимальный размер:
- делать токен меньше нельзя, иначе пользователи будут оставлять его подключённым к компьютеру;
- в подключенном состоянии токен выступает на расстояние не более двух см и не мешает комфортной работе.
- Обладает уникальной запатентованной конструкцией: корпус, разъём и плата устройства — единое целое, сломать устройство в месте крепления разъёма довольно сложно.
- Отличается повышенной надёжностью и живучестью — для защиты от пробоя статическим электричеством металл в USB-разъёме заменён на пластик (устройство выдерживает разряд до 15 КВ).
- Уникальный серийный номер токена нанесён на пластиковый разъём лазерной гравировкой.
В базовом дизайне
Чёрный пластик с серебряным эмбоссированием номера модели и уникального серийного номера карты, модуль смарт-карты с палладиевыми контактами серебристого цвета.
В виде "белого пластика" или с "фирменной" печатью
- Для самостоятельной печати на карте.
- С высококачественной полноцветной печатью по согласованному дизайну.
С имплантированной в карту RFID-меткой
- Возможно встраивание в смарт-карту до двух меток разного типа, работающих на разных частотах (125 КГц и 13.56 МГц).
- Поддержка NFC.
Модули смарт-карт на технологической ленте
- Поставляются заводам и персобюро вместе с технологическим АРМом для загрузки и инициализации криптографического апплета.
- Отработана технология производства смарт-карт и платёжных карт с сертифицированной российской криптографией "на борту" вместе с компаниями "НоваКард", "Розан", "Ситроникс", "Алиот".
Платёжные карты ("Мир", MasterCard, Visa) с сертифицированной российской криптографией "на борту"
- Отработана технология выпуска карт с указанными заводами и персобюро (в рамках зарплатных проектов, социальных, кампусных карт и пр.).
- В карты могут быть имплантированы RFID-метки, возможна поддержка NFC.
SIM-модули с аппаратно реализованной сертифицированной российской криптографией "на борту"
Предназначены для использования во встраиваемой (Embedded) электронике, имеющей свободные слоты (разъёмы) для подключения SIM-карт различных форматов (полноразмерные 1FF, Mini 2FF, Micro 3FF, Nano 4FF).
Примеры применения: IoT, M2M, АСУ ТП, навигация, видеонаблюдение, промышленная автоматика и пр.
Защищённые микроконтроллеры с сертифицированной российской криптографией "на борту"
Предназначены для монтажа на печатную плату для разрабатываемой электроники для использования в качестве модуля безопасности для обеспечения конфиденциальности, некорректируемости (целостности) и достоверности данных и команд, а также для надёжной взаимной аутентификации источника и приёмника команд и данных.
Возможна поставка в различных исполнениях и корпусах (SOIC-8, QFN, BGA и др.).
JaCarta-2 PKI/ГОСТ
Дополнительная поддержка зарубежной криптографии (RSA, AES, DES и др.) и функций PKI
Предназначена для строгой двухфакторной аутентификации при доступе к защищённым корпоративным ресурсам организации по сертификатам (PKI).
Совместима с моделью JaCarta PKI.
JaCarta-2 PKI/BIO/ГОСТ
Дополнительная поддержка зарубежной криптографии и биометрическая идентификация пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card)
Используется для замены PIN-кода вводом отпечатка пальца или для строгой трёхфакторной аутентификации, а также при доступе к защищённым корпоративным ресурсам предприятий.
Совместима с моделью с JaCarta PKI/BIO. Доступна только в форм-факторах смарт-карты, модулей смарт-карты и микросхем.
JaCarta SF/ГОСТ
Защищённый служебный флеш-накопитель и персональное средство ЭП. До 32 ГБ аппаратно защищённой флеш-памяти
- Подключение защищённого диска (доступ к данным) осуществляется только после успешной аутентификации Пользователя (владельца) и только на авторизованных для работы с этим служебным накопителем персональных компьютерах:
- на неавторизованных компьютерах и/или неавторизованному пользователю получить доступ к данным на защищённом флеш-накопителя невозможно;
- опция: для получения разрешения на доступ к данным можно подключить дополнительный сервер авторизации;
- можно создать несколько разделов: открытый и/или закрытый CD-R (в т.ч. загрузочный), открытый и защищённый съёмный диск (флеш-накопитель).
- Сертифицирован Министерством обороны России для работы с гостайной (с грифами С, СС).
- Сертифицирован в ФСБ России.
Упаковка и кастомизация
Индивидуальная упаковка
Вам больше не надо думать об упаковке для токенов при их поставке Вашим клиентам.
Мы подготовили два типовых варианта для USB-токенов и смарт-карт:
- индивидуальная картонная коробка (VIP);
- индивидуальный конверт (для массовых сервисов).
В комплект любого из типовых вариантов входит Паспорт изделия и краткое руководство пользователя по использованию токена, а также целый набор полезных аксессуаров: кольца для крепления USB-токенов на связке с ключами, цветные брелоки и прочие.
На базе типовой индивидуальной упаковки можно быстро сделать новую в фирменном стиле Заказчика.
Кастомизация
USB-токены JaCarta-2 ГОСТ могут выпускаться с цветной вставкой и пластиковым брелоком в фирменном цвете организации Заказчика. На корпусе устройства или на брелоке предусмотрено место для логотипа.
Базовые цвета корпуса при заказе кастомизированных моделей: оранжевый (основной), белый, чёрный, красный, синий, малиновый, фиолетовый, зелёный.
Для смарт-карт JaCarta-2 ГОСТ можно выбрать цвет пластика и контактов микроконтроллера (золотые или серебряные).
В смарт-карты и USB-токены в корпусе XL могут быть встроены RFID-метки для контроля физического доступа в помещения.
Сопутствующее ПО и решения
Технические подробности
Поддерживаемые ОС
(для сертифицированного средства ЭП и СКЗИ)
Microsoft Windows*
- Microsoft Windows 10
- Microsoft Windows 8.1
- Microsoft Windows 8
- Microsoft Windows 7
- Microsoft Windows Vista SP2
- Microsoft Windows XP SP3 (32-бит)
- Microsoft Windows XP SP2 (64-бит)
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
- Microsoft Windows Server 2008 R2
- Microsoft Windows Server 2008
- Microsoft Windows Server 2003 SP2
* Поддерживаются 32- и 64-битные версии ОС, если не указано иное
Дистрибутивы Linux
- AlterOS Desktop, Desktop Lite или Server
- Astra Linux Common Edition 2.12 и Special Edition 1.2, 1.4, 1.5 или 1.6
- CentOS 6, 7 или 8
- Debian 8, 9 или 10
- Dell Wyse ThinLinux 2
- EMIAS OS 1.0
- Fedora 29, 30, 31 или 32
- Linux Mint 17, 17.1, 17.2, 17.3, 18, 18.1, 18.2, 18.3, 19, 19.1, 19.2, 19.3 или 20
- Mandriva Enterprise Server 5
- openSUSE 13.2, Leap 42.1, 15.1 или 15.2
- Oracle Linux 5 Update 5&6, Oracle Linux 6
- Red Hat Enterprise Linux 5, 6, 7 или 8
- ROSA Enterprise Desktop , Linux Desktop, Linux Server
- SUSE Linux Enterprise Desktop 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 15 или 15 SP1, SUSE Linux Enterprise Server 11 SP4, 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15 или 15 SP1
- Ubuntu 14.04 LTS, 14.10, 15.04, 15.10, 16.04 LTS, 16.10, 17.04, 17.10, 18.04 LTS, 18.10, 19.04, 19.10 или 20.04 LTS
- Гослинукс (ОС типового дистрибутива АИС ФССП России)
- Лотос (редакции для серверов и рабочих станций)
- МСВС 3.0, 5.0
- МСВСфера
- ОСнова
- Альт 8 СП Сервер, 8 СП Рабочая станция, Рабочая станция 9, Сервер 9
- Ось
- Ред ОС
- РОСА «Кобальт»
- СинтезМ-Сервер, СинтезМ-Клиент
- Стрелец
- Циркон 36С
Apple OS X
- macOS 11 (Big Sur)
- macOS 10.15 (Catalina)
- macOS 10.14 (Mojave)
- macOS 10.13 (High Sierra)
- macOS 10.12 (Sierra)
- OS X 10.11 (El Capitan)
- OS X 10.10 (Yosemite)
- OS X 10.09 (Mavericks)
Это список ОС, вошедших в сертифицированную версию. Поддерживаемый список ОС и платформ (x86, ARM, RISC) намного шире.
"Белый" список безопасных команд и функций
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО:
- Генерация ключей (выполняется аппаратно):
- для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы СКЗИ);
- для шифрования;
- для удалённой аутентификации (HMAC);
- для внешних нужд и других СКЗИ.
- Хэширование:
- ГОСТ Р 34.11-94;
- ГОСТ Р 34.11-2012.
- Шифрование, вычисление имитовставки:
- ГОСТ 28147-89.
- Формирование ЭП:
- ГОСТ Р 34.10-2001;
- ГОСТ Р 34.10-2012.
- Проверка ЭП.
- Генерация случайных чисел.
- Управление ключами и доверенными объектами:
- проверка цепочки сертификатов;
- безопасный импорт/экспорт ключей шифрования (на ключевых парах с проверкой всей цепочки сертификатов).
- HMAC (для удалённой аутентификации с использованием одноразовых паролей — OTP).
- Работа с папками и файлами данных в памяти устройства (без доступа к ключам).
- Служебные и административные команды, установка и смена PIN- и PUK-кодов.
Климатическое исполнение
Устройства соответствуют требованиям ГОСТ РВ 20.39.304-98 "Aппаратура, приборы, устройства и оборудование военного назначения. Требования стойкости к внешним воздействующим факторам", относится к группе 1.1 УХЛ (умеренно холодное исполнение) и предназначены для установки в отапливаемых помещениях и эксплуатации в условиях круглосуточной или сменной работы с техническими перерывами.
Нормальными климатическими условиями эксплуатации аппаратной части устройств являются:
- температура окружающего воздуха (20 ± 5)°С;
- относительная влажность окружающего воздуха (60 ± 15)%;
- атмосферное давление — от 84 до 107 кПа (630 – 800 мм рт. ст.).
Безопасность для здоровья человека
Корпус устройств изготовлен из прочного, износо- и ударопрочного, негорючего АБС-пластика, безопасного для здоровья человека (Сертификат TUVRheinland № 10044908 005).
Устройства производятся в соответствии с международными Директивами и стандартами RoHS, PoHS, 2003/11/EC, 2006/122/EC, SS-00259, ограничивающими использование опасных для здоровья и окружающей среды свинца, кадмия, ртути, шестивалентного хрома, бромидных соединений, и соответствуют требованиям стран ЕС (СЕ).
Сертификат Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека о соответствии USB-токенов JaCarta положениям раздела 7 "Требования к продукции машиностроения, приборостроения и электротехники" главы II Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору (контролю), утвержденных решением Комиссии Таможенного союза № 299 от 28.05.2010 г.
Защита от пробоя статическим электричеством
Устройства имеют повышенную защищённость от пробоя статическим электричеством до 8 кВ и соответствуют требованиям ГОСТ 30804.4.2-2013 (IEC 61000-4-2:2008).
Расчётный срок службы
- Расчётный срок службы — 3 года.
- Рекомендуемый срок полезного использования устройства — 3 года (рекомендация для бухгалтерии при планировании замены устройств, срок службы которых подходит к концу, на новые).
- Срок хранения записанных данных — не менее 10 лет.
- Ресурс EEPROM — не менее 500,000 циклов записи.
- Ресурс устройства по количеству операций формирования ЭП — не менее 10,000,000 операций.
Электромагнитная безопасность
Устройства изготовлены в соответствии с требованиями ГОСТ 30805.22-2013, ГОСТ CISPR 24-2013, Технического регламента Таможенного союза, утвержденного Решением Комиссии Таможенного союза от 9.12.2011 года № 879, ТР ТС 020/2011 "Электромагнитная совместимость технических средств", имеют повышенную защищённость от воздействия электромагнитных излучений и индустриальных помех, не являются источником электромагнитных помех, которые могут повлиять на работу другого электронного оборудования, чувствительного к электромагнитным излучениям и помехам.
Сертификаты ФСБ России
Сертификат соответствия ФСБ России
№ № СФ/124-4641
на средство ЭП и СКЗИ
- Выдан на средство ЭП и СКЗИ (СКЗИ "Криптотокен 2 ЭП").
- Действует до 30 ноября 2025 г. и является заменой для сертификата ФСБ России № СФ/124-3956 на СКЗИ "Криптотокен 2 ЭП".
- Классы: КС1, КС2 (автоматически обеспечивается при использовании АПМДЗ).
- Соответствует требованиям 63-ФЗ и Приказа ФСБ России № 796 к средствам ЭП.
- Может использоваться для формирования усиленной квалифицированной подписи.
Сертификаты соответствия ФСТЭК России
Сертификат соответствия ФСТЭК России № 4446 на Средство аутентификации и безопасного хранения информации пользователей JaCarta
- Действует до 10 сентября 2026 г.
- Соответствует 4 уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
- Может применяться в:
- автоматизированных информационных системах (АИС) до класса защищённости 1Г;
- государственных информационных системах (ГИС) до 1-го класса защищённости включительно;
- информационных системах персональных данных (ИСПДн) до 1-го уровня защищённости персональных данных.
Прочие сертификаты
В компании АО "Аладдин Р.Д." разработана, внедрена и результативно функционирует система менеджмента качества, соответствующая требованиям ГОСТ Р ИСО 9001-2015 (ISO 9001:2015), ГОСТ РВ 0015-002-2020.
Система менеджмента качества компании сертифицирована в системе сертификации «Военный Регистр». Сертификат соответствия: № ВР 21.1.16041-2022 (ГОСТ Р ИСО 9001-2015, ГОСТ РВ 0015-002-2020). Срок действия сертификата до 24.04.2025.
Бизнес-процессы компании структурированы, прозрачны, результативны и эффективны. Поддержание в рабочем состоянии и улучшение бизнес-процессов позволяет компании обеспечивать качество выпускаемых продуктов.
Состав сертифицированного СКЗИ
Апплет "Криптотокен 2 ЭП"
- Работает на защищённых смарт-карточных микроконтроллерах. Реализован в различных форм-факторах: USB-токены, смарт-карты, модули смарт-карт, микросхемы для монтажа на печатную плату (разные исполнения).
- Реализует набор криптографических алгоритмов и протоколов.
Интерфейсная криптобиблиотека (ИКБ)
- Предназначена для работы на стороне хоста (ПК, сервер, терминал). Сертифицирована под Microsoft Windows, GNU/Linux, Apple macOS.
- Реализует набор криптографических алгоритмов и протоколов, выработку и согласование сессионных ключей, вычисление хэш-функций, шифрование с высокой скоростью.
- Обеспечивает построение защищённого канала с апплетом "Криптотокен 2 ЭП". Позволяет безопасно передавать команды и данные, в том числе с использованием технологий беспроводной передачи данных (например, NFC, Bluetooth).
- Поддерживает только функции и команды из "белого" списка, доступные Пользователю. СКЗИ сделано так, что Пользователю доступны только высокоуровневые функции и криптографически безопасные команды.
Сравнение старой и новой архитектуры СКЗИ
Безопасность архитектуры микроконтроллера
Защищенность микроконтроллера обеспечивается на аппаратном и программном уровнях, что позволяет успешно противостоять большинству возможных угроз безопасности:
- физические и логические атаки;
- переборные и статистические атаки;
- стрессовое воздействие (эксплуатация в нештатных ситуациях и внешних условиях);
- клонирование.
Для противодействия известным атакам в микроконтроллере используются следующие основные механизмы и технические решения:
- процедуры самотестирования структуры микроконтроллера;
- активная аппаратная защита от чтения областей RАM, EEPROM, ROM;
- контроль целостности данных RAM, ROM, EEPROM и данных, передаваемых по внутренним шинам;
- контроль несанкционированного вскрытия и подключений зондов;
- стирание области RAM при сбросе или срабатывании датчиков вторжения;
- защита от статического электричества напряжением до 6,000 В;
- применение многослойной структуры кристаллов (несколько десятков слоев) и дополнительных промежуточных слоев металлизации (технология Active Shield);
- перемешивание структуры функциональных блоков микроконтроллера (CPU, RAM, EEPROM, ROM), размещение отдельных блоков внутри чипа и между его слоями;
- создание в кристалле внутренней напряженности, защищающей микроконтроллер от оптического и электронного сканирования;
- система надежного восстановления после сбоев;
- система защиты среды выполнения прикладного программного обеспечения;
- генератор случайных тактов ожидания;
- защита от многократного использования ресурсов при переборных атаках;
- система защита от накопления статистических данных по времени выполнения команд и энергопотреблению;
- система обнаружения инвазивных и неинвазивных атак на компоненты;
- специализированные механизмы противодействия атакам простого анализа энергопотребления (SPA, Simple Power Attack) и дифференциального анализа энергопотребления (DPA, Differential Power Analysis);
- система предотвращения Side-channel криптоанализа;
- система защиты от использования в нештатных режимах работы;
- контроль пониженного и повышенного напряжения питания (Voltage Monitor);
- контроль пониженной и повышенной тактовой частоты (Frequency Monitor);
- контроль пониженной и повышенной температуры (Temperature Monitor);
- защита от высокочастотных помех.
Микроконтроллер соответствует профилю защиты для смарт-карт (Smart Card Security User Group — Smart Card Protection Profile — SCSUG-SCPP), что подтверждается результатами его сертификации по методике Сommon Criteria.
6 главных отличий от конкурирующих продуктов
Сертифицировано
по новым требованиям ФСБ России
JaCarta-2 ГОСТ — функционально законченный и криптографически безопасный продукт:
- Имеет "белый" список безопасных функций, разрешённых для встраивания в прикладное и системное ПО
- Оценка влияния (корректность встраивания) при использовании команд из "белого" списка становится простой формальной процедурой.
Secure By Design — продукт сделан на базе защищённых смарт-карточных чипов
Используемые в устройстве JaCarta-2 ГОСТ чипы имеют встроенные средства защиты от всех известных атак, методов взлома и клонирования, их безопасность подтверждена сертификацией по международным требованиям.
Автоматическое построение защищённого канала между СКЗИ и хостом
Работа между токеном JaCarta-2 ГОСТ и хостом производится по защищённому каналу, другое ПО для этого не требуется.
Защита от атак на PIN-код и от блокирования устройства
JaCarta-2 ГОСТ имеет встроенную защиту от атак на PIN-код и механизмы автоматического восстановления заблокированного устройства по времени.
Высокая скорость подписания
объёмных документов
Вычисление хэш-функции от документов у JaCarta-2 ГОСТ производится программной библиотекой (ИКБ) на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства, хэш для формирования ЭП передаётся в устройство по защищённому каналу.
Безопасное администрирование
Инициализация токена JaCarta-2 ГОСТ, ввод в эксплуатацию, вывод из эксплуатации (с гарантированным уничтожением всех пользовательских ключей и данных), работа с доверенными объектами и прочее производится на АРМе администратора безопасности.
При распространении проинициализированных производителем некоторых конкурирующих продуктов администратор может получить доступ к закрытым ключам ЭП пользователей, нарушая основополагающий принцип PKI — "Ключ ЭП известен только его владельцу".
ЗАПРЕЩАЕТСЯ повторно выдавать ранее использовавшийся токен другому пользователю без полной его перепрошивки у производителя. Уничтожить в устройстве ключи ЭП и журнал проведённых операций на АРМе администратора нельзя.
Возможности встраивания
С использованием библиотеки PKCS#11
- Рекомендуемый вариант для встраивания JaCarta-2 ГОСТ в системное и прикладное ПО
- Высокоуровневый интерфейс, предоставляющий ТОЛЬКО разрешённые команды из "белого" списка
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом (обеспечивается ИКБ из состава библиотеки PKCS#11)
- Библиотека реализована для различных платформ (Microsoft Windows, Apple macOS, Linux, другие — по требованию)
С прямым использованием ИКБ
- Возможный вариант для встраивания JaCarta-2 ГОСТ во встраиваемое ПО, работающее в ограниченных условиях
- Интерфейс, предоставляющий ТОЛЬКО разрешённые команды из "белого" списка
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом
- Библиотека реализована для различных платформ (Microsoft Windows, Apple macOS, Linux, другие — по требованию)
С прямым использованием APDU-команд
- Возможный вариант для встраивания JaCarta-2 ГОСТ в другие СКЗИ, СЗИ, системное и прикладное ПО с последующей их сертификацией в ФСБ России или проведением тематических исследований по оценке влияния (корректности встраивания)
- Интерфейс, предоставляющий ВСЕ доступные команды СКЗИ "Криптотокен 2 ЭП" и "Криптотокен 2"
- Не зависит от аппаратных и программных платформ
С прямым использованием APDU-команд между СКЗИ и другим Java-апплетом, "общающимся" напрямую с прикладным или системным ПО
- Возможный вариант для использования всех возможных команд JaCarta-2 ГОСТ из Вашего собственного Java-апплета, загруженного в защищённый микроконтроллер
- При таком использовании потребуется проведение тематических исследований по оценке влияния (корректности встраивания)
- СКЗИ "Криптотокен 2 ЭП" предоставляет ВСЕ доступные команды другому Java-апплету по внутреннему Shareable-интерфейсу (команды и данные не выходят за пределы чипа)
- Не зависит от аппаратных и программных платформ
Состав JaCarta-2 SDK
- Программные компоненты
- Библиотека стандарта PKCS #11
- Для Microsoft Windows, GNU/Linux, Apple macOS/OS X
- Поддержка всех моделей устройств в рамках одной библиотеки
- Использование сертифицированного интерфейса ИКБ
- Обеспечение автоматизации контроля целостности СКЗИ
- Компоненты сертифицированного СКЗИ (ИКБ, утилита контроля целостности)
- АРМ разработчика для администрирования JaCarta-2 ГОСТ в процессе разработки и тестирования
- Максимально приближено к сертифицированному АРМу администратора безопасности JaCarta-2 ГОСТ
- Даёт возможность отладиться и подготовиться к реальной эксплуатации
- Библиотека стандарта PKCS #11
- Примеры исходных кодов программ
- Типовые сценарии, новая функциональность, примеры миграции с JaCarta ГОСТ на JaCarta-2 ГОСТ
- Языки программирования С/С++
- Документация по встраиванию
- Описания API для корректного встраивания СКЗИ в прикладное и системное ПО
- Сертификационные материалы