Строгая аутентификация и электронная подпись для Web-приложений и облачных сервисов
Позволяет легко встроить в Web-приложения функции:
Приложение JC-WebClient работает на всех популярных платформах: Microsoft Windows, Apple macOS и Linux.
Кроссплатформенность максимально расширяет аудиторию пользователей Web-приложений, так как им не нужно иметь определённую операционную систему — достаточно приобрести USB-токены или смарт-карты JaCarta, скачать дистрибутив приложения JC-WebClient и осуществить установку.
JC-WebClient отличается от конкурирующих решений тем, что в нём реализована единая технология для работы с браузерами. За счёт этого JC-WebClient штатно поддерживает работу со всеми популярными браузерами: Google Chrome, Opera, "Яндекс.Браузер", Mozilla Firefox, Apple Safari, Microsoft Internet Explorer, Microsoft Edge, "Спутник" и др.
Эта особенность JC-WebClient позволяет избавить разработчиков от постоянных доработок своих Web-приложений под конкретный браузер, а пользователей — от проблем с выбором одного из нескольких вариантов дистрибутивов для установки.
JC-WebClient легко встраивается в Web-приложение, так как предоставляет простой интерфейс прикладного программирования (API), понятный даже начинающим Web-разработчикам, и исчерпывающие примеры интеграции.
Единая технология работы с токенами, лежащая в основе JC-WebClient, избавляет разработчиков от проблем с совместимостью в различных браузерах. При этом JC-WebClient не накладывает ограничений на тип Web-сервера и язык разработки Web-приложений.
За счёт использования единой технологии работы с токенами, не зависящей от браузера, JC-WebClient позволяет решить проблему совместимости нативных технологий, свойственных различным браузерам. Это даёт возможность Web-разработчикам снизить временные и финансовые затраты на решение задач аутентификации, работы с ЭП и шифрования для Web-приложений или облачных сервисов.
Для интеграции JC-WebClient в Web-приложение или облачный сервис разработчикам предоставляется комплект разработчика JC-WebClient SDK, содержащий подробные примеры реализации различных сценариев для решения задач строгой двухфакторной аутентификации, работы с ЭП и шифрования. В ходе работ по интеграции разработчикам Web-приложений доступны бесплатные консультации специалистов компании "Аладдин Р.Д.".
JC-WebClient позволяет интегрировать функции работы с токенами прямо в коде Web-страниц на языке JavaScript, который понятен даже начинающим Web-разработчикам. Для встраивания не требуются знания специфических криптографических протоколов и стандартов. Всё это делает процесс интеграции максимально простым и избавляет от необходимости изучения малознакомых технологий.
JC-WebClient не накладывает ограничений на тип Web-сервера и язык разработки Web-приложений. Это даёт разработчикам дополнительную гибкость при интеграции JC-WebClient в свой продукт или сервис.
Приложение JC-WebClient может легко установить даже неподготовленный пользователь. Для этого нужно выполнить всего три простых шага.
В момент, когда пользователь заходит на защищаемый ресурс, Web-сервер проверяет, установлено ли у него приложение JC-WebClient. Если нет, то предлагается бесплатно скачать дистрибутив JC-WebClient и осуществить его загрузку.
После завершения инсталляции приложения не нужно устанавливать какие-либо драйверы для токенов, программные СКЗИ и дополнительные плагины для браузеров — после установки JC-WebClient Web-приложение сразу готово к работе.
Приложение JC-WebClient устанавливается сразу для всех учётных записей, зарегистрированных в операционной системе. Это избавляет от необходимости делать установку отдельно для каждого пользователя компьютера, что актуально для корпоративных систем, где одно рабочее место может использоваться несколькими пользователями.
Будучи установленным, приложение JC-WebClient автоматически запускается при загрузке операционной системы и работает в фоновом режиме. Пользователю недоступны какие-либо элементы управления приложением — он просто подключает токен и работает.
Для удобства пользователя в приложении JC-WebClient реализована возможность при необходимости сохранять сессию работы с токеном при переходах между страницами защищаемого Web-приложения. Такой режим работы избавляет пользователя от необходимости вводить PIN-код повторно на разных Web-страницах для выполнения операций подписания документов — достаточно один раз ввести его при входе в личный кабинет.
Надёжность и отказоустойчивость JC-WebClient обеспечиваются за счёт сервиса мониторинга. Он запускает приложение при старте операционной системы, а также осуществляет контроль его целостности и перезапуск при возникновении нештатных ситуаций/сбоев в операционной системе. Это позволяет обеспечить корректность работы приложения JC-WebClient и оперативное устранение неполадок без привлечения пользователя или ИТ-персонала.
Использование единой технологии работы со всеми браузерами значительно уменьшает объём разрозненного кода и число точек отказа. В результате значительно повышается стабильность работы с Web-приложением и сокращаются трудозатраты разработчиков на его поддержку.
JC-WebClient поддерживает работу как с зарубежными, так и с российскими криптографическими алгоритмами в зависимости от типа используемого USB-токена или смарт-карты. Это позволяет использовать USB-токены и смарт-карты для работы как с усиленной ЭП ( JaCarta PKI, JaCarta PRO или eToken PRO (Java)), так и с усиленной квалифицированной ЭП ( JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и токены Aladdin LiveOffice).
JC-WebClient предоставляет свободу выбора модели токена и вида применяемой ЭП как для разработчиков, так и для пользователей.
JC-WebClient поддерживает работу с российскими криптографическими алгоритмами ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
С помощью российской криптографии Заказчик может применять как усиленную, так и усиленную квалифицированную ЭП, требующую использования сертифицированного СКЗИ и аккредитованного УЦ.
JC-WebClient поддерживает работу с зарубежными алгоритмами 3DES, AES, SHA-1, SHA-256, RSA 1024, RSA 2048 и RSA 4096 и ECDSA, которые могут использоваться для аутентификации, работы с усиленной ЭП и шифрования данных.
Применение зарубежной криптографии целесообразно, если перед Заказчиком не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.
JC-WebClient поддерживает работу с распространёнными в России токенами: JaCarta PKI, JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ, JaCarta PRO, eToken PRO (Java), JaCarta LT и токены Aladdin LiveOffice).
Если у пользователя уже есть одно из перечисленных устройств и его устраивает функциональность этого токена, то переход на JC-WebClient в таком случае не потребует каких-либо финансовых затрат с его стороны.
JaCarta PKI, JaCarta-2 SE, JaCarta-2 PKI/ГОСТ и JaCarta-2 ГОСТ — современное поколение USB-токенов и смарт-карт с аппаратной реализацией криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, которые могут применяться для строгой двухфакторной аутентификации, работы с усиленной или усиленной квалифицированной ЭП, а также безопасного хранения пользовательской информации и объектов.
Устройства JaCarta-2 SE, JaCarta-2 PKI/ГОСТ и JaCarta-2 ГОСТ сертифицированы ФСБ России как средство ЭП и СКЗИ класса КС1 и КС2 (сертификат № СФ/124-3112) и соответствуют требованиям приказа ФСБ России № 796 от 27.12.2011 г. и 63-ФЗ "Об электронной подписи" от 06.04.2011 г.
Токены JaCarta PKI, JaCarta PRO и eToken PRO (Java) являются персональным средством строгой двухфакторной аутентификации и усиленной ЭП с неизвлекаемым закрытым ключом, в котором реализованы зарубежные криптоалгоритмы.
Токены JaCarta PKI — USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов (AES, DES, 3DES, RSA, ECDSA, SHA и др.) для строгой двухфакторной аутентификации пользователей и работы с усиленной электронной подписью (ЭП).
В JC-WebClient применяются развитые механизмы информационной безопасности: обеспечивается взаимная строгая двухфакторная аутентификация пользователя и Web-сервера, конфиденциальность данных и надёжная защита от кражи закрытых ключей.
Совместимость с инфраструктурой открытых ключей (PKI) обеспечивает дополнительный уровень доверия.
Применение JC-WebClient позволяет обеспечить взаимную строгую двухфакторную аутентификацию пользователя и Web-сервера с помощью токена. Взаимная двухфакторная аутентификация позволяет надёжно защититься от атаки типа "человек посередине" (Man-in-the-Middle, MITM), когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причём ни один из последних не догадывается о его присутствии в канале связи.
Применение JC-WebClient позволяет использовать аппаратную реализацию ЭП c неизвлекаемым закрытым ключом ЭП. Этот ключ безопасно генерируется внутри токена и никогда его не покидает (операция подписи выполняется внутри устройства), что обеспечивает надёжную защиту ключа от кражи.
JC-WebClient позволяет шифровать данные Web-приложения, передаваемые между клиентским ПК и Web-сервером, с использованием отечественного криптографического стандарта ГОСТ 28147-89. Шифрование позволяет обеспечить конфиденциальность данных, передаваемых через общедоступные каналы связи (сеть Интернет).
Единая технология локального Web-сервера, реализованная в приложении JC-WebClient, позволяет отказаться от применения небезопасной архитектуры NPAPI (Netscape Plugin Application Programming Interface) в тех браузерах (например, Apple Safari), которые нативно не поддерживают более безопасные технологии для доступа к токенам. Тем самым обеспечивается высокий уровень безопасности независимо от используемого браузера.
Доступ к операциям с закрытым ключом токена ограничен вкладкой браузера, из которой был введён PIN-код. Это позволяет обеспечить защиту от вредоносных скриптов, пытающихся использовать состояние "залогиненности" устройства из других вкладок для подписания подложных документов или данных.
Приложение JC-WebClient способно фиксировать события подключения или отключения средств аутентификации и ЭП от компьютера пользователя. Это позволяет реализовать автоматический выход из личного кабинета Web-приложения при отключении токена.
В JC-WebClient реализована возможность сохранения сессии работы с токеном при переходах между Web-страницами без сохранения PIN-кода в памяти Web-страницы. Это создаёт дополнительный защитный барьер для вредоносного кода и злоумышленников.
JC-WebClient поддерживает работу с цифровыми сертификатами X.509, генерацию запросов на сертификат в формате PKCS#10, а также формирование и разбор ЭП в формате PKCS#7. Это позволяет использовать инфраструктуру открытых ключей (PKI), что обеспечивает дополнительный уровень доверия.
JC-WebClient автоматически строит защищённый канал с токенами JaCarta-2 ГОСТ. Все PIN- и PUK-коды передаются в устройство только по защищённому каналу, что защищает их от перехвата при передаче между JC-WebClient и токеном.
JC-WebClient позволяет установить эксклюзивный сеанс работы с токеном JaCarta-2 ГОСТ, при котором все данные, передаваемые между приложением и токеном, шифруются, и токен отвергает все попытки любых сторонних приложений получить доступ к его функциям. Это защищает от попыток вредоносных приложений использовать состояние "залогиненности" токена для подписи поддельных документов.
JC-WebClient поддерживает разблокировку устройств JaCarta-2 SE, JaCarta-2 PKI/ГОСТ и JaCarta-2 ГОСТ без обращений к администратору. Для этого используется специальный PUK-код, который выдаётся пользователю вместе со стандартным PIN-кодом.
JC-WebClient поддерживает быстрое программное шифрование сообщений и документов по ГОСТ 28147-89 в формате CMS при использовании JaCarta-2 ГОСТ. Это позволяет обеспечить передачу конфиденциальных сообщений и документов по общедоступным каналам связи.
JC-WebClient позволяет установить и использовать второй (дополнительный) PIN-код для операций формирования ЭП при использовании JaCarta-2 ГОСТ. Необходимость ввода дополнительного PIN-кода устанавливается при создании ключевой пары. Таким образом, устройство может быть сконфигурировано так, что при входе в систему для строгой двухфакторной аутентификации пользователь должен ввести PIN-код пользователя, а при проведении финансовых транзакций или при подписании электронных документов — PIN-код подписи, разрешающий формирование ЭП. Это защищает от попыток вредоносных скриптов из браузера использовать состояние "залогиненности" JaCarta-2 ГОСТ для подписи поддельных документов.
JC-WebClient поддерживает работу с хранилищем доверенных объектов JaCarta-2 ГОСТ, в которое Администратор безопасности JaCarta-2 ГОСТ предварительно записывает доверенные открытые ключи, выполняющие роль открытых ключей доверенных Удостоверяющих центров. JC-WebClient автоматически строит цепочки доверия:
JC-WebClient включает встроенное Web-приложение для загрузки, удаления, просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на токен, используются JC-WebClient для построения цепочек доверия при операциях проверки подписи и зашифрования/расшифрования документов. Это даёт возможность отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что в свою очередь обеспечивает работу с Web-приложением с разных компьютеров без необходимости делать настройки системных хранилищ на каждом из ПК. Всё необходимое уже есть на токене.
JC-WebClient поддерживает работу с Trust Screen-устройством "Антифрод-терминал", предназначенным для безопасной аутентификации, безопасной работы с ЭП, а также безопасного подтверждения транзакций/операций пользователя в недоверенной среде.
Использование "Антифрод-терминала" позволяет исключить атаки, направленные на выполнение несанкционированных операций от лица легального пользователя, со стороны вредоносного ПО и злоумышленников, получивших удалённое управление ПК пользователя.
В состав JC-WebClient входит инструмент администрирования токенов, который позволяет:
Поддерживаемые ОС |
Microsoft
macOS (x64, arm64)
Linux
|
Поддерживаемые браузеры |
|
Поддерживаемые типы USB-токенов и смарт-карт |
JaCarta
eToken
|
Типы аутентификации | Строгая взаимная двухфакторная аутентификация пользователя и Web-сервера с выработкой общего симметричного ключа шифрования по алгоритмам ГОСТ 28147-89 (при использовании JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 ГОСТ и Aladdin LiveOffice) или AES и 3DES (при использовании JaCarta PKI, JaCarta PRO и eToken PRO (Java)) |
Интеграция с PKI |
|
Поддерживаемые криптоалгоритмы |
При работе с устройствами JaCarta-2 SE, JaCarta-2 PKI/ГОСТ JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и Aladdin LiveOffice (средство ЭП "Криптотокен 2 ЭП")
При работе с устройствами JaCarta PKI, JaCarta PRO и eToken PRO (Java)
|
Поддерживаемые типы ЭП |
|
Срок хранения закрытого ключа ЭП | 3 года |
Дополнительный PIN-код для операции формирования ЭП | Есть, при использовании устройств JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и Aladdin LiveOffice |
Разблокировка PIN-кодов по PUK-коду | Есть |
Поддержка доверенных открытых ключей JaCarta-2 ГОСТ | Есть |
Построение защищённого канала между приложением и USB-токеном/смарт-картой | Есть, при использовании устройств JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и Aladdin LiveOffice |
Поддержка программного (быстрого) шифрования | Есть, при использовании устройств JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и Aladdin LiveOffice |
Необходимость наличия прав администратора для первичной установки JC-WebClient | Есть |
Необходимость перезагрузки браузера или ПК при установке JC-WebClient |
|
Поддерживаемые типы Web-серверов | Любые |
Лицензионные отчисления | Отсутствуют для базовой комплектации |
Территориальные ограничения |
JC-WebClient:
JC-WebClient (Экспортная версия без поддержки квалифицированной ЭП):
|
Комплект разработчика JC-WebClient SDK |
Состав:
При встраивании в прикладное ПО СКЗИ или средств ЭП с использованием российских криптоалгоритмов разработчик должен иметь лицензию ФСБ России. |
Поддержка Trust Screen-устройств для безопасной работы с ЭП в недоверенной среде | "Антифрод-терминал" |
Реализует технологию локального Web-сервера.
Запускает приложение JC-WebClient при загрузке операционной системы.
Trust Screen-устройство для безопасной аутентификации, работы с ЭП и подтверждения операций/транзакций в недоверенной среде.
В состав решения JC-WebClient входят устройства JaCarta-2 ГОСТ, JaCarta PKI, JaCarta PRO и различные комбинированные устройства (JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ JaCarta LT и токены Aladdin LiveOffice), сертифицированные во ФСТЭК России и ФСБ России.
Сертификат соответствия ФСБ России
№ СФ/124-3956
на средство ЭП и СКЗИ
* — Коммерческое название — JaCarta-2 ГОСТ.
Сертификат соответствия ФСТЭК России № 4446 на Средство аутентификации и безопасного хранения информации пользователей JaCarta