JaCarta-2 ГОСТ
Строгая аутентификация и электронная подпись с использованием новых российских криптоалгоритмов
Поколение USB-токенов и смарт-карт с аппаратной поддержкой ГОСТ Р 34.10-2012/ГОСТ 34.10-2018 и ГОСТ Р 34.11-2012/ГОСТ 34.11-2018
- Сертифицированное по новым требованиям ФСБ России средство электронной подписи
- Многофункциональное СКЗИ с широким набором криптографических функций
- Средство строгой двухфакторной аутентификации для безопасного доступа в информационные системы, Web-порталы и облачные сервисы
- Средство безопасного хранения пользовательских данных
Назначение
Средство электронной подписи и полноценное СКЗИ
JaCarta-2 ГОСТ предназначена для использования в качестве сертифицированного средства ЭП (усиленной квалифицированной подписи — УКЭП) и многофункционального СКЗИ: в системах электронного документооборота (Контур (Диадок), система Честный Знак, система ЕГАИС, Такском, ИнфоТеКС Интернет Траст, Калуга-Астрал), дистанционного банковского обслуживания, государственных сервисах (Госуслуги, личный кабинет ИП и ЮЛ в ФНС).
Применяется для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных.
Пользователи средств строгой аутентификации:
- Госкомпании, использующие сертифицированные носители для УКЭП и строгой аутентификации
- Пользователи ЕГАИС
Средство строгой двухфакторной аутентификации
Устройства JaCarta-2 ГОСТ могут применяться для обеспечения безопасного доступа пользователей или терминального оборудования в информационные системы, Web-порталы и облачные сервисы.
Средство безопасного хранения пользовательских данных
Устройства JaCarta-2 ГОСТ позволяют обеспечить безопасное хранение ключевых контейнеров программных СКЗИ (например, КриптоПро CSP и ViPNet CSP), цифровых сертификатов, паролей, пользовательских и прочих данных в защищённой энергонезависимой памяти (EEPROM).
Возможности применения
- Системы дистанционного банковского обслуживания (ДБО)
- Системы электронного документооборота (ЭДО)
- Электронные торговые площадки (ЭТП)
- Системы сдачи электронной отчётности (ФНС, ПФР и др.)
- Системы таможенного декларирования
- Порталы государственных услуг
- Web-приложения, корпоративные порталы и облачные сервисы
- Доверенные удостоверяющие центры (ДУЦ): импорт ключа из HSM
Электронное удостоверение сотрудника
В одной карте возможно совмещение нескольких важных и часто используемых функций:
- пропуск на территорию предприятия, электронный ключ для прохода в помещения (визуальная идентификация и встроенная RFID-метка для интеграции со СКУД);
- средство аутентификации при доступе к корпоративным (служебным) системам;
- средство ЭП сотрудника.
SIM-модули и микросхемы предназначены для встраивания в различное электронное оборудование в качестве сертифицированного модуля безопасности, обеспечивающего конфиденциальность, некорректируемость, юридическую значимость и подтверждение подлинности источников данных и команд.
- SIM — отчуждаемый модуль для готовых устройств, имеющих свободный слот для SIM-карты.
- Микросхемы в различных исполнениях и корпусах — для монтажа на печатную плату в новых устройствах.
Кроме того, SIM-модули и микросхемы могут применяться:
- в различном терминальном, навигационном, телематическом и прочем оборудовании;
- для Интернета вещей (IoT);
- для межмашинного взаимодействия (M2M);
- в автоматизированных системах управления технологическими процессами (АСУ ТП).
Информация, необходимая для эксплуатации средства криптографической защиты информации "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ можно найти в документе "СКЗИ "Криптотокен 2 ЭП" в составе изделия JaCarta-2 ГОСТ.
Особенности
СКЗИ в составе JaCarta-2 ГОСТ сертифицировано по новым требованиям ФСБ России и является функционально законченным и криптографически безопасным.
Сертифицированное СКЗИ (средство ЭП) предназначено для легитимного и безопасного встраивания в прикладное, системное и встраиваемое ПО и оборудование.
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО.
В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).
Secure By Design — устройства JaCarta-2 ГОСТ сконструированы как безопасные и для целей обеспечения безопасности, выполнены на базе защищённых смарт-карточных чипов (Secure Element).
Ключи шифрования не хранятся в памяти устройства - взламывать его бесполезно.
К доверенным объектам относятся ключи проверки ЭП. С их помощью проверяется подпись документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.
JaCarta-2 ГОСТ позволяет установить два разных PIN-кода: PIN-код пользователя — для аутентификации пользователя и PIN-код подписи — для формирования ЭП (опционально). Возможно использовать локальные PIN-коды для объектов.
Реализована возможность разблокирования PIN-кода пользователя: в удалённом режиме с использованием специального ПО для администрирования при участии администратора или от имени администратора.
В устройстве JaCarta-2 ГОСТ реализована защита от атак на PIN-код и от блокирования устройства.
Для инициализации новых устройств, работы с доверенными объектами (ключами проверки ЭП) и безопасного администрирования в процессе их жизненного цикла предназначен АРМ администратора безопасности.
В линейке JaCarta-2 ГОСТ появилась модель с увеличенным объёмом защищённой памяти — теперь для безопасного хранения ключей, кодов авторизации, сертификатов и других объектов доступно до 110 КБайт энергонезависимой памяти (EEPROM).
Скорость подписания объёмных документов в устройстве JaCarta-2 ГОСТ максимально высока, поскольку вычисление хэш-функции от объёмных документов производится программной библиотекой (ИКБ), являющейся частью СКЗИ, на стороне хоста со скоростью работы основного процессора, а не на микроконтроллере устройства.
Вычисленное значение хэш-функции для формирования ЭП передаётся в устройство по защищённому каналу.
Устройства JaCarta-2 ГОСТ проектировались с учётом возможностей применения в автоматизированных системах (ЕГАИС, АСУ ТП и пр.), включая М2М и IoT. Имеют повышенный ресурс циклов записи в EEPROM-память и количества выполняемых операций ЭП.
В частности, количество операций формирования ЭП составляет не менее 10 млн.
Предоставляет возможность работы с КриптоПро CSP по незащищенным каналам связи.
Модельный ряд
Устройства JaCarta-2 ГОСТ выпускаются в различных исполнениях и форм-факторах, с широким набором опций, дополнительных функций и возможностей кастомизации.
На базе моделей JaCarta-2 ГОСТ выпускается линейка комбинированных моделей с поддержкой зарубежной криптографии (PKI), биометрической идентификации пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card) и др.
USB-токены
Смарт-карты и модули для производства смарт-карт
Модули безопасности (Secure Element)
Комбинированные модели
Для корпоративных пользователей
- Рассчитан на интенсивное ежедневное использование, привычный многим дизайн, комфортный размер.
- Строгий чёрный дизайн с цветной вставкой:
- на корпусе токена достаточно места для размещения логотипа компании (кастомизации);
- разъем защищается съёмным колпачком;
- светодиод хорошо заметен и не слепит в темноте;
- лазерная гравировка уникального серийного номера ключа на металлическом разъёме - невозможность стирания и подмены;
- опция — лазерная гравировка серийного номера ключа на боковой поверхности токена.
- Допускает имплантацию большинства RFID-меток для интеграции с системами контроля доступа в помещения (СКУД).
- Большой объём доступной защищённой памяти (~50 КБ).
Для M2M-приложений и автоматизированных систем
- Специальная модель
- Увеличенный ресурс - количество сгенерированных ЭП - не менее 10 млн.
- Расширенная доступная память - до 114 КБ.
Для пользователей, часто работающих "в походных условиях" на ноутбуках и планшетах, для пользователей Web-сервисов (ДБО, ЭДО, сдача эл. отчётности и пр.)
- Имеет стильный запоминающийся дизайн в виде навесного замка.
- Плотно фиксируется в USB-разъёме, оснащён удобной и яркой цветной дужкой.
- Имеет оптимальный размер:
- делать токен меньше нельзя, иначе пользователи будут оставлять его подключённым к компьютеру;
- в подключенном состоянии токен выступает на расстояние не более двух см и не мешает комфортной работе.
- Обладает уникальной запатентованной конструкцией: корпус, разъём и плата устройства — единое целое, сломать устройство в месте крепления разъёма довольно сложно.
- Отличается повышенной надёжностью и живучестью — для защиты от пробоя статическим электричеством металл в USB-разъёме заменён на пластик (устройство выдерживает разряд до 15 КВ).
- Уникальный серийный номер токена нанесён на пластиковый разъём лазерной гравировкой.
В базовом дизайне
Чёрный пластик с серебряным эмбоссированием номера модели и уникального серийного номера карты, модуль смарт-карты с палладиевыми контактами серебристого цвета.
В виде "белого пластика" или с "фирменной" печатью
- Для самостоятельной печати на карте.
- С высококачественной полноцветной печатью по согласованному дизайну.
С имплантированной в карту RFID-меткой
- Возможно встраивание в смарт-карту до двух меток разного типа, работающих на разных частотах (125 КГц и 13.56 МГц).
- Поддержка NFC.
Модули смарт-карт на технологической ленте
- Поставляются заводам и персобюро вместе с технологическим АРМом для загрузки и инициализации криптографического апплета.
- Отработана технология производства смарт-карт и платёжных карт с сертифицированной российской криптографией "на борту" вместе с компаниями "НоваКард", "Розан", "Ситроникс", "Алиот".
Платёжные карты ("Мир", MasterCard, Visa) с сертифицированной российской криптографией "на борту"
- Отработана технология выпуска карт с указанными заводами и персобюро (в рамках зарплатных проектов, социальных, кампусных карт и пр.).
- В карты могут быть имплантированы RFID-метки, возможна поддержка NFC.
SIM-модули с аппаратно реализованной сертифицированной российской криптографией "на борту"
Предназначены для использования во встраиваемой (Embedded) электронике, имеющей свободные слоты (разъёмы) для подключения SIM-карт различных форматов (полноразмерные 1FF, Mini 2FF, Micro 3FF, Nano 4FF).
Примеры применения: IoT, M2M, АСУ ТП, навигация, видеонаблюдение, промышленная автоматика и пр.
Защищённые микроконтроллеры с сертифицированной российской криптографией "на борту"
Предназначены для монтажа на печатную плату для разрабатываемой электроники для использования в качестве модуля безопасности для обеспечения конфиденциальности, некорректируемости (целостности) и достоверности данных и команд, а также для надёжной взаимной аутентификации источника и приёмника команд и данных.
Возможна поставка в различных исполнениях и корпусах (SOIC-8, QFN, BGA и др.).
JaCarta-2 PKI/ГОСТ
Дополнительная поддержка зарубежной криптографии (RSA, AES, DES и др.) и функций PKI
Предназначена для строгой двухфакторной аутентификации при доступе к защищённым корпоративным ресурсам организации по сертификатам (PKI).
Совместима с моделью JaCarta PKI.
JaCarta-2 PKI/BIO/ГОСТ
Дополнительная поддержка зарубежной криптографии и биометрическая идентификация пользователя по отпечаткам пальцев с вычислением "на карте" (Match-On-Card)
Используется для замены PIN-кода вводом отпечатка пальца или для строгой трёхфакторной аутентификации, а также при доступе к защищённым корпоративным ресурсам предприятий.
Совместима с моделью с JaCarta PKI/BIO. Доступна только в форм-факторах смарт-карты, модулей смарт-карты и микросхем.
JaCarta SF/ГОСТ
Защищённый служебный флеш-накопитель и персональное средство ЭП. До 32 ГБ аппаратно защищённой флеш-памяти
- Подключение защищённого диска (доступ к данным) осуществляется только после успешной аутентификации Пользователя (владельца) и только на авторизованных для работы с этим служебным накопителем персональных компьютерах:
- на неавторизованных компьютерах и/или неавторизованному пользователю получить доступ к данным на защищённом флеш-накопителя невозможно;
- опция: для получения разрешения на доступ к данным можно подключить дополнительный сервер авторизации;
- можно создать несколько разделов: открытый и/или закрытый CD-R (в т.ч. загрузочный), открытый и защищённый съёмный диск (флеш-накопитель).
- Сертифицирован Министерством обороны России для работы с гостайной (с грифами С, СС).
- Сертифицирован в ФСБ России.
Кастомизация
USB-токены JaCarta-2 ГОСТ могут выпускаться с цветной вставкой и пластиковым брелоком в тематике организации Заказчика: в корпоративном цвете и с фирменным логотипом.
Возможные цвета корпуса: оранжевый (основной), белый, чёрный, красный, синий, малиновый, фиолетовый, зелёный.
В смарт-карты могут быть встроены RFID-метки для контроля физического доступа в помещения.
Сопутствующее ПО и решения
Технические подробности
Поддерживаемые ОС
(для сертифицированного средства ЭП и СКЗИ)
Microsoft Windows*
- Microsoft Windows 11
- Microsoft Windows 10
- Microsoft Windows 8.1
- Microsoft Windows 7
- Microsoft Windows Server 2008 R2 SP1
- Microsoft Windows Server 2008 SP2
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows Server 2022
* Поддерживаются 32- и 64-битные версии ОС, если не указано иное
Семейство GNU/Linux
- AlterOS Desktop, Desktop Lite или Server
- Astra Linux Common Edition 2.12, Special Edition 1.2, 1.4—1.7, РУСБ.10015-01, РУСБ.10015-10
- CentOS 6―9
- Debian 8—12
- Dell Wyse ThinLinux 2
- EMIAS OS 1.0
- Fedora 29—39
- Linux Mint 17—22
- Mandriva Enterprise Server 5
- openSUSE Leap 15.1—15.3
- Oracle Linux 5 Update 5 — 9 Update 2
- Red Hat Enterprise Linux 5—9
- ROSA Enterprise Desktop, Linux Desktop, Linux Server
- SUSE Linux Enterprise 11—15
- Ubuntu 14―23
- Альт 8 СП Сервер, 8 СП Рабочая станция, Рабочая станция 9 или 10, Сервер 9 или 10
- Атлант
- Гослинукс (ОСтипового дистрибутива АИС ФССП России)
- Лотос (редакции для серверов и рабочих станций)
- МСВС 3.0 или 5.0
- МСВСфера
- ОСнова
- Ось
- Ред ОС
- РОСА Кобальт, Хром, Фреш
- Симпли Линукс
- СинтезМ-Сервер, СинтезМ-Клиент
- Стрелец
- Циркон 36С
- Эльбрус-Д 1.4.3
Apple macOS
- macOS 10.12
- macOS 10.13
- macOS 10.14
- macOS 10.15
- macOS 11
- macOS 12
- macOS 13
- macOS 14
- macOS 15
Это список ОС, вошедших в сертифицированную версию. Поддерживаемый список ОС и платформ (x86, ARM, RISC) намного шире.
"Белый" список безопасных команд и функций
Разрешённые команды и функции, которыми можно безопасно пользоваться из прикладного и системного ПО:
- Генерация ключей (выполняется аппаратно):
- для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы СКЗИ);
- для шифрования;
- для удалённой аутентификации (HMAC);
- для внешних нужд и других СКЗИ.
- Хэширование:
- ГОСТ Р 34.11-94;
- ГОСТ Р 34.11-2012.
- Шифрование, вычисление имитовставки:
- ГОСТ 28147-89.
- Формирование ЭП:
- ГОСТ Р 34.10-2001;
- ГОСТ Р 34.10-2012.
- Проверка ЭП.
- Генерация случайных чисел.
- Управление ключами и доверенными объектами:
- проверка цепочки сертификатов;
- безопасный импорт/экспорт ключей шифрования (на ключевых парах с проверкой всей цепочки сертификатов).
- HMAC (для удалённой аутентификации с использованием одноразовых паролей — OTP).
- Работа с папками и файлами данных в памяти устройства (без доступа к ключам).
- Служебные и административные команды, установка и смена PIN- и PUK-кодов.
Климатическое исполнение
Устройства соответствуют требованиям ГОСТ РВ 20.39.304-98 "Aппаратура, приборы, устройства и оборудование военного назначения. Требования стойкости к внешним воздействующим факторам", относится к группе 1.1 УХЛ (умеренно холодное исполнение) и предназначены для установки в отапливаемых помещениях и эксплуатации в условиях круглосуточной или сменной работы с техническими перерывами.
Нормальными климатическими условиями эксплуатации аппаратной части устройств являются:
- температура окружающего воздуха (20 ± 5)°С;
- относительная влажность окружающего воздуха (60 ± 15)%;
- атмосферное давление — от 84 до 107 кПа (630 – 800 мм рт. ст.).
Безопасность для здоровья человека
Устройства соответствуют допустимому уровню наличия вредных веществ. Изделие соответствует требованиям технического регламента Евразийского экономического союза "Об ограничении применения опасных веществ в изделиях электротехники и радиоэлектроники" (ТР ЕАЭС 037/2016).
Защита от пробоя статическим электричеством
Устройства имеют повышенную защищённость от пробоя статическим электричеством до 8 кВ и соответствуют требованиям ГОСТ 30804.4.2-2013 (IEC 61000-4-2:2008).
Расчётный срок службы
- Расчётный срок службы — 3 года.
- Рекомендуемый срок полезного использования устройства — 3 года (рекомендация для бухгалтерии при планировании замены устройств, срок службы которых подходит к концу, на новые).
- Срок хранения записанных данных — не менее 10 лет.
- Ресурс EEPROM — не менее 500,000 циклов записи.
- Ресурс устройства по количеству операций формирования ЭП — не менее 10,000,000 операций.
Электромагнитная безопасность
Устройства изготовлены в соответствии с требованиями ГОСТ 30805.22-2013, ГОСТ CISPR 24-2013, Технического регламента Таможенного союза, утвержденного Решением Комиссии Таможенного союза от 9.12.2011 года № 879, ТР ТС 020/2011 "Электромагнитная совместимость технических средств", имеют повышенную защищённость от воздействия электромагнитных излучений и индустриальных помех, не являются источником электромагнитных помех, которые могут повлиять на работу другого электронного оборудования, чувствительного к электромагнитным излучениям и помехам.
Сертификаты ФСБ России
Сертификат соответствия ФСБ России
№ СФ/124-5060
на средство криптографической защиты информации (СКЗИ)
Согласно полученному сертификату СКЗИ:
Соответствует требованиям:
- к СКЗИ по классам КС1/КС2, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну
- к средствам электронной подписи, утверждённым Приказом ФСБ России от 27 декабря 2011 г. № 796, и Федерального закона от 6 апреля 2011 г. №63 «Об электронной подписи»
- может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну
Сертификаты соответствия ФСТЭК России
Сертификат соответствия ФСТЭК России № 4446 на Средство аутентификации и безопасного хранения информации пользователей JaCarta
- Действует до 10 сентября 2026 г.
- Соответствует 4 уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
- Может применяться в:
- автоматизированных информационных системах (АИС) до класса защищённости 1Г;
- государственных информационных системах (ГИС) до 1-го класса защищённости включительно;
- информационных системах персональных данных (ИСПДн) до 1-го уровня защищённости персональных данных.
Состав сертифицированного СКЗИ «JaCarta-3»
ВПО JaCarta-3
- реализован в различных форм-факторах: USB-токены и смарт-карты
- реализует набор криптографических алгоритмов и протоколов
- включает два апплета: основной и ФКН
Интерфейсная криптобиблиотека (ИКБ)
- контроль функционирования ВПО JaCarta-3
- взаимодействие с ВПО JaCarta-3 по ЗК
- более высокая по сравнению с ВПО JaCarta-3 производительность хэширования и преобразований по ГОСТ Р 34.12—2015 (ГОСТ 34.12—2018) и ГОСТ 28147—89 за счёт выполнения этих операций на стороне терминала
- проверка ЭП
Возможности встраивания
С использованием библиотеки PKCS#11
- Рекомендуемый вариант для встраивания JaCarta-2 ГОСТ — системное и прикладное ПО
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом (обеспечивается ИКБ из состава библиотеки PKCS#11)
- Библиотека реализована для платформ: Microsoft Windows, Apple macOS, ОС семейства GNU/Linux, другие — по требованию
С прямым использованием ИКБ
- Возможный вариант встраивания JaCarta-2 ГОСТ — во встраиваемое ПО, работающее в ограниченных условиях
- Обеспечивает автоматическое построение защищённого канала между СКЗИ (апплетом в микроконтроллере) и хостом
- Библиотека реализована для различных платформ (Microsoft Windows, Apple macOS, семейство GNU/Linux, другие — по требованию)
С прямым использованием APDU-команд
- Возможный вариант для встраивания JaCarta-2 ГОСТ ¬— в другие СКЗИ, СЗИ, системное и прикладное ПО с последующей их сертификацией в ФСБ России или проведением тематических исследований по оценке влияния (корректности встраивания)
- Интерфейс, предоставляющий ВСЕ доступные команды СКЗИ "JaCarta-3"
- Не зависит от аппаратных и программных платформ
С прямым использованием APDU-команд между СКЗИ и другим Java-апплетом, "общающимся" напрямую с прикладным или системным ПО
- Возможный вариант для использования всех возможных команд JaCarta-2 ГОСТ из Вашего собственного Java-апплета, загруженного в защищённый микроконтроллер
- При таком использовании потребуется проведение тематических исследований по оценке влияния (корректности встраивания)
- СКЗИ "Криптотокен 2 ЭП" предоставляет ВСЕ доступные команды другому Java-апплету по внутреннему Shareable-интерфейсу (команды и данные не выходят за пределы чипа)
- Не зависит от аппаратных и программных платформ
Состав JaCarta-2 SDK
- Программные компоненты
- Библиотека стандарта PKCS #11
- Для ОС семейств: Microsoft Windows, Linux(GNU/Linux), Apple macOS
- Поддержка всех моделей устройств в рамках одной библиотеки
- Использование сертифицированного интерфейса ИКБ
- Обеспечение автоматизации контроля целостности СКЗИ
- Компоненты сертифицированного СКЗИ (ИКБ, утилита контроля целостности)
- АРМ разработчика для администрирования JaCarta-2 ГОСТ в процессе разработки и тестирования
- Максимально приближено к сертифицированному АРМу администратора безопасности JaCarta-2 ГОСТ
- Даёт возможность отладиться и подготовиться к реальной эксплуатации
- Библиотека стандарта PKCS #11
- Примеры исходных кодов программ
- Типовые сценарии, новая функциональность, примеры миграции с JaCarta ГОСТ на JaCarta-2 ГОСТ
- Языки программирования С/С++
- Документация по встраиванию
- Описания API для корректного встраивания СКЗИ в прикладное и системное ПО
- Сертификационные материалы