Обзор платформы JaCarta от Аладдин Р. Д.

Обзор платформы JaCarta от Аладдин Р. Д.

В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы.

Введение

На сегодняшний день без надежной системы аутентификации пользователей не обходится ни одна уважающая себя компания. Специалисты по информационной безопасности (ИБ) рекомендуют использовать многофакторную аутентификацию, основанную не только на знании секрета (пароля), но и на владении специальным устройством (токеном). Нередко в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. В этом случае возникает проблема учета и регистрации всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками в масштабах предприятия.

Еще одна тенденция в сфере ИБ связана с ростом числа мобильных устройств, с которых сотрудники компаний работают с конфиденциальной корпоративной информацией. Все чаще применяется модель BYOD (Bring Your Own Device), позволяющая сотруднику для выполнения своих профессиональных обязанностей использовать личные мобильные устройства. При этом появляется необходимость в механизме многофакторной аутентификации в отношении владельцев смартфонов или планшетов.

Изменение законодательства в области защиты персональных данных, принятие требований по сертификации средств защиты информации, развитие дистанционного банковского обслуживания (ДБО) и интернет-банкинга требует от участников рынка внедрения отечественных систем аутентификации и электронной подписи (ЭП).

Для эффективного решения поставленных задач российская компания «Аладдин Р. Д.» разработала платформу JaCarta — семейство аппаратных и программных продуктов, позволяющих осуществлять аутентификацию пользователей, генерировать ЭП и безопасно хранить криптографические ключи и цифровые сертификаты, а также централизованно управлять ключевыми носителями на протяжении их жизненного цикла.

Состав продуктовой линейки JaCarta

В состав платформы JaCarta входят:

  • токены JaCarta PKI, предназначенные для строгой двухфакторной аутентификации пользователей в корпоративных (включая интеграцию с продуктами Microsoft, Citrix, VMware, Wyse и др.) и государственных системах, а также безопасного хранения ключей и ключевых контейнеров программных средств криптографической защиты информации (СКЗИ);
  • токены JaCarta PKI/BIO, предназначенные для строгой двух- или трехфакторной аутентификации с применением биометрической идентификации;
  • токены JaCarta ГОСТ и JaCarta² ГОСТ, предназначенные для обеспечения юридической значимости действий пользователей с помощью ЭП и передачи зашифрованных данных между клиентом и сервером при работе с web-порталами и облачными сервисами;
  • токены JaCarta WebPass, предназначенные для генерации одноразовых паролей, безопасного хранения сложного многоразового пароля и его подстановки в экранные формы по нажатию кнопки на токене, а также запуска браузера и автоматического перехода по сохраненному адресу сайта;
  • токены JaCarta U2F, предназначенные для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов по стандарту FIDO U2F;
  • система управления JaCarta Management System, автоматизирующая типовые операции при работе с токенами и предоставляющая централизованное управление доступом к корпоративным системам;
  • автономный сервер аутентификации JaCarta Authentication Server, позволяющий организовать усиленную аутентификацию по одноразовым паролям (OTP);
  • решение JC-WebClient для реализации функций строгой двухфакторной аутентификации и работы с ЭП с использованием токенов JaCarta на web-порталах и в облачных сервисах;
  • решение JC-Mobile для реализации функций строгой двухфакторной аутентификации и работы с ЭП с использованием токенов JaCarta в мобильных приложениях на Google Android и Apple iOS;
  • TrustScreen-устройство «Антифрод-терминал» для работы с электронной подписью в недоверенной среде;
  • программно-аппаратное решение JaCarta SecurLogon, предназначенное для обеспечения двухфакторной аутентификации пользователей ОС Microsoft Windows с применением токенов JaCarta без развертывания PKI-инфраструктуры.

Токены JaCarta выпускаются в нескольких функционально идентичных исполнениях (форм-факторах): смарт-карта, USB-токен в корпусе Nano и XL, MicroUSB-токен, USB-токен с кнопкой (для JaCarta WebPass и JaCarta U2F). Большинство форм-факторов позволяют совмещать в одном устройстве несколько функций, что дает возможность сократить число ключевых носителей пользователя, реализуя необходимые функции в одном токене (например, двухфакторную аутентификацию и ЭП).

Рисунок 1. Смарт-карта, USB- и MicroUSB-токены JaCarta

MicroUSB-токены и смарт-карты JaCarta позволяют организовать строгую двух- и трехфакторную аутентификацию и усиленную квалифицированную ЭП на мобильных устройствах, обеспечивая защиту транзакций в условиях недоверенной среды. Для подключения смарт-карт JaCarta к мобильным устройствам можно использовать проводные или Bluetooth-считывателя смарт-карт. MicroUSB-токены JaCarta можно подключить напрямую (если есть порт MicroUSB) или через переходник MicroUSB-to-USB.

На основе смарт-карт JaCarta выпускается решение Электронное удостоверение JaCarta, объединяющее функциональные возможности бесконтактного пропуска (за счет включения RFID-метки и интеграции со СКУД), средства доступа в информационную систему, средства ЭП, защищенного хранилища пользовательских данных, банковской карты и обычного удостоверения сотрудника.

Компоненты платформы JaCarta имеют следующие сертификаты соответствия:

  • сертификаты ФСТЭК России № 2799 и 3449, подтверждающие, что токены семейства JaCarta являются средством аутентификации и безопасного хранения пользовательских данных, соответствуют требованиям по 4 уровню контроля отсутствия недекларированных возможностей и могут использоваться в автоматизированных системах, обрабатывающих конфиденциальную информацию до класса защищенности 1Г включительно, а также в информационных системах персональных данных (ИСПДн) до 1 класса включительно;
  • сертификат ФСТЭК России № 3355, выданный на программное обеспечение JaCarta Management System, подтверждающий соответствие 4 уровню контроля отсутствия недекларированных возможностей и требованиям Технических условий;
  • сертификат ФСТЭК России № 3575, подтверждающий, что JaCarta SecurLogon является программно-техническим средством защиты от несанкционированного доступа к информации и соответствует требованиям по 4 уровню контроля отсутствия недекларированных возможностей;
  • сертификат ФСБ России № СФ/111-2750, подтверждающий что персональное средство ЭП «Криптотокен ЭП» в составе JaCarta ГОСТ соответствует требованиям к средствам ЭП классов КС1 и КС2 и может использоваться для реализации функций ЭП в соответствии с 63-ФЗ «Об электронной подписи»;
  • сертификаты соответствия ФСБ России № СФ/124-2963 и № СФ/124-2964, подтверждающие, что СКЗИ «Криптотокен 2» в составе JaCarta ГОСТ соответствует требованиям ФСБ к СКЗИ по классам защиты КС1 и КС2 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну;
  • Common Criteria EAL 4+ — международный сер­тификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю безопасно­сти Smart Card Security User Group — Smart Card Protection Profile;
  • Common Criteria EAL 5+ — международный сер­тификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю защиты Security IC Platform Protection Profile, версия 1.0. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия — EAL 5+ (усиленный).

Токены и смарт-карты JaCarta PKI

JaCarta PKI — семейство PKI-токенов и смарт-карт для строгой двухфакторной аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.

Токены JaCarta PKI доступны форм-факторах USB-токен (в корпусе Nano или XL), MicroUSB-токен и смарт-карта.

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя.

Токены и смарт-карты JaCarta PKI/BIO

Токены JaCarta PKI/BIO обладают всеми функциями токенов JaCarta PKI и отличаются от них функцией биометрической идентификации по отпечатку пальца (в качестве третьего фактора аутентификации или вместо PIN-кода). Могут поставляться в форм-факторах USB-токен (в корпусе XL) и смарт-карта.

Рекомендуемым форм-фактором является смарт-карта, так как для USB-токенов необходимо предварительное тестирование на совместимость с используемыми сканерами (например, встроенными в ноутбуки или в клавиатуры).

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя.

Токены и смарт-карты JaCarta ГОСТ и JaCarta² ГОСТ

Токены JaCarta ГОСТ являются персональным средством ЭП со встроенной сертифицированной российской криптографией для формирования усиленной квалифицированной ЭП с неизвлекаемым ключом, а также хранения ключевых контейнеров программных СКЗИ. JaCarta² ГОСТ отличается применением сертифицированных новых российских криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

JaCarta ГОСТ и JaCarta² ГОСТ производятся в нескольких форм-факторах: USB-токен (в корпусах Nano или XL), MicroUSB-токен, смарт-карта.

И в JaCarta ГОСТ, и в JaCarta² ГОСТ криптоалгоритмы реализованы на уровне микропроцессора, а схема работы с неизвлекаемым закрытым ключом подписи исключает возможность хищения закрытого ключа подписи, при этом формирование ЭП с его использованием выполняется внутри устройства.

Устройства предназначены для обеспечения юридической значимости действий пользователей при использовании различных электронных сервисов:

  • ДБО;
  • электронные торговые площадки;
  • сдача электронной отчетности;
  • электронное декларирование грузов, перемещаемых через границу;
  • публичные или корпоративные web-порталы и облачные сервисы, (например, Портал государственных услуг);
  • системы корпоративного/ведомственного электронного документооборота.

Смарт-карты JaCarta ГОСТ могут применяться как с обычными считывателями, так и с «Антифрод-терминалом» — снабженным дисплеем и клавиатурой устройством, предназначенным для формирования с помощью JaCarta ГОСТ ЭП в недоверенной среде.

Подробная информация о линейке продуктов JaCarta ГОСТ и JaCarta² ГОСТ представлена на сайте производителя.

Токены JaCarta WebPass

JaCarta WebPass — USB-токены для генерации OTP, безопасного хранения сложного многоразового пароля и его подстановки в экранные формы по нажатию кнопки, а также запуска браузера и автоматического перехода по сохраненному адресу web-ресурса.

Токены JaCarta WebPass поддерживают установку разных режимов работы в зависимости от характера нажатия кнопки: одинарное, двойное или длительное нажатие. По умолчанию, при одинарном нажатии генерируется OTP, а к остальным типам нажатия действия не назначены.

Токены JaCarta U2F

JaCarta U2F — универсальный USB-токен, предназначенный для осуществления двухфакторной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F. К таким сервисам относятся сервисы Google (Google Cloud Platform, Gmail, Google Drive, YouTube, Google Wallet, Google+), облачный сервис Dropbox, хостинг совместной разработки GitHub.

В отличие от PKI-токенов JaCarta U2F поддерживают самостоятельную регистрацию пользователей — при регистрации токена JaCarta U2F на конкретном web-ресурсе не требуется участия администратора. В процессе регистрации пользователем своего U2F-токена на web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации. В связи с этим один токен может использоваться для доступа к множеству различных web-ресурсов.

Токены JaCarta U2F обеспечивают защиту от фишинговых атак, поскольку закрытый ключ, хранящийся в памяти токена, соответствует URL-адресу определенного web-ресурса.

Основные компоненты типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F представлены ниже.

Рисунок 2. Архитектура типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F

В состав типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F входят следующие компоненты:

  • Web-сервер, на котором установлено одно или несколько web-приложений и U2F-сервер — приложение, реализующее серверную часть протокола U2F и обеспечивающее хранение информации, полученной в процессе регистрации и аутентификации. Web-приложение при получении запросов на регистрацию и аутентификацию пользователей обращается к U2F-серверу для проверки и сохранения полученных от пользователя данных.
  • U2F-клиент — приложение, посредством которого пользователь взаимодействует с web-сервисом (например, web-браузер или мобильное приложение). U2F-клиент реализует клиентскую часть протокола U2F, взаимодействует с web-сервером по протоколу HTTPS и U2F-токеном по протоколу USB HID.
  • Токен JaCarta U2F — устройство, используемое в качестве второго фактора аутентификации при доступе к web-ресурсам и реализующее интерфейс USB HID.

Один токен JaCarta U2F можно применять для ПК, ноутбуков и мобильных устройств (при наличии USB-разъема или MicroUSB-разъема). При этом поддержка U2F обеспечивается из соответствующего приложения (например, Google Chrome).

Подробная информация о JaCarta U2F и описание принципов работы доступны на сайте производителя.

📎📎📎📎📎📎📎📎📎📎