JaCarta-2 PKI/BIO/ГОСТ

Команды для встраивания криптографических функций в прикладное программное обеспечение (ПО) описаны, проверены и включены в разрешённый "белый" список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании.

Сертификат ФСБ России № СФ/124-4641

• Выдан на средство ЭП и СКЗИ (СКЗИ "Криптотокен 2 ЭП").
• Действует до 30 ноября 2025 г. и является заменой для сертификата ФСБ России № СФ/124-3956 на СКЗИ "Криптотокен 2 ЭП".
• Классы: КС1, КС2 (автоматически обеспечивается при использовании АПМДЗ).
• Соответствует требованиям 63-ФЗ и Приказа ФСБ России № 796 к средствам ЭП.
• Может использоваться для формирования усиленной квалифицированной подписи.

Обязательная в случаях встраивания СКЗИ проверка оценки влияния (корректности встраивания СКЗИ) при использовании разрешённых функций из "белого" списка становится простой формальной процедурой.

Для разработчиков предоставляется комплект средств разработки (SDK), включающий библиотеки с высокоуровневыми интерфейсами (включая PKCS #11) под разные аппаратные платформы (x86, ARM, RISC) и операционные системы (ОС), подробные примеры с множеством типовых сценариев использования средства ЭП и СКЗИ.

Все модели JaCarta-2 PKI/BIO/ГОСТ по-прежнему можно использовать для хранения ключевых контейнеров криптопровайдеров и программных СКЗИ (КриптоПро CSP, ViPNet CSP и др.).

В состав сертифицированного СКЗИ входит интерфейсная криптобиблиотека (ИКБ), предназначенная для работы на стороне хоста (персонального компьютера, сервера или терминального оборудования).

ИКБ реализует:

• набор криптографических алгоритмов и протоколов, включая выработку и согласование сеансовых ключей;
• автоматическое построение защищённого доверенного канала с аппаратным устройством JaCarta-2 PKI/BIO/ГОСТ, что позволяет безопасно передавать команды и данные;
• быстрое хэширование и шифрование данных (со скоростью работы основного процессора хоста, более мощного и производительного, чем микроконтроллер устройства).

ИКБ реализована и сертифицирована для работы в ОС Microsoft Windows, Linux, Apple macOS и входит в состав высокоуровневых библиотек (PKCS #11) для встраивания СКЗИ и средства ЭП в прикладное ПО.

Все устройства JaCarta-2 PKI/BIO/ГОСТ

• Выполнены на базе защищённых смарт-карточных чипов, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования, прошедших сертификацию в международных лабораториях по CAST и EMV (по требованиям для платёжных систем).
• Полностью соответствуют международным требованиям к устройствам для создания усиленной квалифицированной ЭП (Qualified Signature Creation Device в соответствии с документом "Положение и регламент электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке ЕС №910/2014").

Технология Java Card позволяет добавлять необходимую функциональность, загружая в чип соответствующие Java-апплеты.

• PKI (на базе зарубежной криптографии).
• Биометрическая идентификация пользователя по его отпечаткам пальцев (с функцией Match-On-Card). Отпечатки пальцев нигде не хранятся и сразу передаются в апплет, а все вычисления и принятие решения "Свой/Чужой" производятся внутри устройства.
• Платёжные приложения ("Мир", Visa, MasterCard и др.). Платёжное приложение "Мир" в составе продукта прошло сертификацию в НСПК.
• Безопасное хранение криптоконтейнеров программных СКЗИ и пользовательских данных (ключей, паролей, кодов доступа).

Java-апплеты, загруженные в устройство, могут обмениваться между собой командами и данными напрямую через внутренний Shareable-интерфейс.

Доступна широкая линейка комбинированных моделей.

Ключи проверки ЭП и функции зашифрования/расшифрования могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.

Срок жизни доверенных ключей — 15 лет, закрытых ключей — 3 года, что существенно сокращает стоимость владения устройств JaCarta-2 PKI/BIO/ГОСТ по сравнению с программными СКЗИ со сроком действия ключей 1 год.

Устройство может быть сконфигурировано так, что при входе в систему (для строгой двухфакторной аутентификации) пользователь должен ввести один PIN-код (пользователя), а при проведении финансовых транзакций или подписании электронных документов — другой PIN-код (подписи), разрешающий формирование ЭП.

Необходимость ввода PIN-кода подписи устанавливается при создании соответствующей ключевой пары.

Такой механизм повышает безопасность, снижает вероятность ошибочных действий пользователей, что крайне важно в системах ДБО при проведении крупных сумм, в системах ЭДО при подписании важных документов, а также защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.

PUK-код

При инициализации устройства администратор может установить и сообщить пользователю специальный PUK-код для разблокирования. С его помощью пользователь сможет самостоятельно (без обращения к администратору) разблокировать своё устройство.

Одноразовый код разблокирования

Если пользователь забыл PIN-код своего устройства, то теперь он может позвонить или написать своему администратору и попросить его сгенерировать одноразовый код разблокирования устройства.

Это новый удобный и безопасный механизм.

Защита от атак на PIN-код

В первом поколении устройств (JaCarta ГОСТ, eToken ГОСТ) если Администратор забывал, не устанавливал или случайно блокировал свой PIN-код, сбросить забытый PIN-код пользователя было нельзя, и такое заблокированное устройство можно было выбрасывать.

В новом поколении устройств (JaCarta-2 PKI/BIO/ГОСТ) PIN-код администратора заменён ключом администратора безопасности — случайно или умышленно заблокировать токен теперь нельзя.

Забытый PIN-код пользователя Администратор теперь всегда может сбросить с использованием сертифицированного АРМа администратора безопасности JaCarta-2 PKI/BIO/ГОСТ. При этом все данные (объекты, файлы, PIN- и PUK-коды и др.) будут удалены, а устройство JaCarta-2 PKI/BIO/ГОСТ можно будет вернуть в эксплуатацию.

Защита от блокирования устройства

Обычно все токены и смарт-карты блокируются после ввода заданного количества неверных значений PIN-кода – это их нормальное поведение для защиты от атак на PIN-код методом перебора.

Для защиты от DoS-атак на PIN-коды в новом устройстве JaCarta-2 PKI/BIO/ГОСТ реализован автоматический сброс счётчиков попыток ввода неверного PIN- и PUK-кодов через установленный промежуток времени, после которого пользователю будет достаточно просто ввести правильное значение PIN-кода.

Эти механизмы кардинально решают проблему разблокирования устройств и атак на PIN-коды.

Новый АРМ администратора безопасности предназначен для инициализации устройств JaCarta-2 PKI/BIO/ГОСТ при их вводе в эксплуатацию, разблокирования, изменения парольной политики, доступа к журналу операций (при расследовании инцидентов), к объектам файловой системы (кроме закрытых ключей ЭП), установки, смены PIN- и PUK-кодов, работы с доверенными объектами, вывода устройств из эксплуатации и переинициализации (например, при выдаче их другим пользователям).

АРМ администратора безопасности также предназначен для работы с доверенными объектами — ключами проверки ЭП (чтобы обеспечить срок службы ключей 3 года, без АРМа - только 1 год).

Доверенные объекты используются для проверки подписи документов и сертификатов открытых ключей абонентов, с которыми ведется обмен зашифрованными сообщениями.

Срок действия доверенных ключей — 15 лет, закрытых ключей ЭП — 3 года.

Ключи проверки ЭП могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.

Приобретение АРМа Администратора безопасности является полезной, но не обязательной опцией.

Токены (как средство ЭП) как и раньше можно заказывать с нужными параметрами инициализации, при этом загрузку нужного профиля и инициализацию устройств может выполнить их производитель или поставщик.

При формировании ЭП значение хэш-функции от подписываемого документа теперь вычисляется с использованием программной библиотеки (ИКБ), являющейся частью сертифицированного СКЗИ и работающей на стороне хоста (персонального компьютера, сервера, терминала), а затем передаётся для подписи в устройство по защищённому каналу.

Это означает, что время подписи, большая часть которого тратится на вычисление хэш-функции для объёмных документов, теперь кардинально сокращается, поскольку хэш вычисляется не на микроконтроллере устройства JaCarta-2 PKI/BIO/ГОСТ, а на более производительном процессоре хоста.

Благодаря использованию защищённого канала выполнение операций хэширования на хосте не приводит к снижению уровня безопасности.

Вычисление значения хэш-функции также может производиться и самим устройством (внутри чипа) и сразу же передаваться на формирование ЭП.

Менеджмент качества

Система менеджмента качества компании "Аладдин Р.Д." соответствует требованиям стандарта ГОСТ Р ИСО 9001-2015 (ISO 9001:2015) и дополнительным требованиям ГОСТ РВ 0015-002-2012. Система менеджмента качества компании "Аладдин Р.Д." сертифицирована в двух системах: Росаккредитация, сертификат соответствия № RU CMS-RU.ФК14.00263 (срок действия до 20.07.2021); система добровольной сертификации "Военный регистр", сертификат соответствия № ВР 21.1.13537-2019 (срок действия до 24.04.2022).

Разработка и производство осуществляется в соответствии с требованиями российского военного стандарта ГОСТ РВ 15.002-2012, необходимого для участия в реализации гособоронзаказа.