JaCarta

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
Смарт-карта, microSD- и USB-токены JaCarta
Смарт-карта, microSD- и USB-токены JaCarta

JaCarta (от Java Card[1]) — семейство аппаратных и программных продуктов для аутентификации, электронной подписи и безопасного хранения криптографических ключей. Разработано и выпускается компанией «Аладдин Р. Д.».

Устройства[править | править вики-текст]

Основные модели[править | править вики-текст]

Модели с расширенными возможностями[править | править вики-текст]

Помимо основных моделей, выпускаются устройства с комбинированными свойствами и дополнительными возможностями в различном их сочетании, в частности:

Считыватель смарт-карт и отпечатков пальцев ASEDrive IIIe V2 Bio TCS4 с картой JaCarta
  • JaCarta PKI/ГОСТ — смарт-карты и USB-токены, совмещающие возможности JaCarta PKI и JaCarta ГОСТ;
  • JaCarta PKI/BIO — смарт-карты и USB-токены, в которых помимо и независимо от PIN-кодов предусмотрена возможность биометрической аутентификации пользователя по отношению к устройству JaCarta посредством внешнего (не встроенного в JaCarta) сканера отпечатков пальцев;
  • JaCarta ГОСТ/FlashmicroSD- и USB-токены, которые можно использовать и как смарт-карты с российскими криптографическими функциями (JaCarta ГОСТ), и как съёмные флеш-накопители.

При использовании смарт-карт JaCarta PKI/BIO сканер отпечатков пальцев может быть как отдельным устройством, так и встроенным, например, в ноутбук, клавиатуру, мышь, считыватель смарт-карт или устройство, объединяющее функции клавиатуры и считывателя смарт-карт.

Форм-факторы[править | править вики-текст]

Программное обеспечение[править | править вики-текст]

JaCarta SecurLogon[править | править вики-текст]

JaCarta SecurLogon — программное обеспечение для аутентификации пользователей Windows с применением устройств JaCarta. JaCarta SecurLogon позволяет генерировать с помощью JaCarta случайные длинные и сложные пароли. При этом:

  • пользователь не знает и не может увидеть свой пароль;
  • сгенерированный пароль записывается в память JaCarta вместе с именами пользователя и домена (или локального компьютера);
  • JaCarta SecurLogon поддерживает возможность автоматической периодической смены паролей.

При входе в систему пользователь вместо ввода своего имени и пароля подключает JaCarta к компьютеру и вводит PIN-код (при использовании JaCarta PKI/BIO вместо этого или вместе с этим пользователь прикладывает палец к сканеру отпечатков пальцев).

JaCarta Management System (JMS)[править | править вики-текст]

JMS — система централизованного управления жизненным циклом[3][4] устройств (электронных ключей) JaCarta и eToken, обеспечивающая:

  • регистрацию электронных ключей;
  • назначение их пользователям;
  • инициализацию и персонализация электронных ключей;
  • управление возможностью использования электронных ключей (например, отключение такой возможности при уходе сотрудника в отпуск и включение при его возвращении);
  • генерацию ключевых пар и выпуск сертификатов открытых ключей пользователей с помощью Microsoft Certificate Authorities или КриптоПро УЦ;
  • получение и аудит информации о действиях с электронными ключами (в частности, об их подключении и отключении от компьютеров);
  • автоматизацию типовых операций и сценариев администрирования в соответствии с политиками безопасности, принятыми в организации, в том числе при изменении этих политик;
  • самостоятельное решение проблем пользователей без обращения к администраторам;
  • отзыв электронных ключей (например, при компрометации) и возврат отозванных ключей в эксплуатацию.

В состав JMS входят следующие основные компоненты:

  • JMS Server – серверная часть;
  • JMS Admin – консоль управления;
  • JMS Client – клиентская часть.

Комплекты разработчиков[править | править вики-текст]

В состав платформы JaCarta входят также комплекты разработчиков:

Применение[править | править вики-текст]

JaCarta применяется для многофакторной аутентификации и безопасного формирования электронной подписи[5], в банковских[6][7] (в том числе мобильных[8][9]), государственных[10] и иных информационных системах.

Антифрод-терминал[править | править вики-текст]

Смарт-карты JaCarta ГОСТ могут применяться как с обычными считывателями, так и с «Антифрод-терминалом» — снабжённым дисплеем и клавиатурой устройством, предназначенным для формирования с помощью JaCarta ГОСТ электронной подписи в недоверенной среде.

Ввод PIN-кода на клавиатуре терминала вместо клавиатуры компьютера позволяет исключить возможность его перехвата вредоносными программами.

Приложения, использующие смарт-карты JaCarta ГОСТ и «Антифрод-терминал», при подписании электронных документов отображают ключевые поля (или документы целиком) на экране терминала, предлагают пользователю явно подтвердить или отклонить формирование подписи нажатием кнопки на терминале. При этом формируется журнал операций, подписываемый с использованием собственного закрытого ключа терминала (не имеющего отношения к вставленной смарт-карте).

На стороне сервера проверяется не только сформированная с помощью JaCarta ГОСТ электронная подпись документа, но и подписанный «Антифрод-терминалом» журнал операций. При этом содержимое сообщений, которые пользователь просмотрел на экране терминала при формировании электронной подписи, сопоставляется с содержимым подписанного документа. Документ подлежит исполнению только при условии положительных результатов всех выполненных проверок. Таким образом предотвращается возможность навязывания подписи со стороны вредоносных программ[11]. Такая защита электронной подписи может быть учтена при страховании рисков удаленных финансовых операций, например при дистанционном банковском обслуживании, что выражается в снижении страховых тарифов[12].

Веб-приложения[править | править вики-текст]

Входящий в платформу JaCarta браузерный плагин JC-WebClient позволяет использовать JaCarta ГОСТ в веб-приложениях — для аутентификации и передачи зашифрованных данных между клиентом и сервером. Применяется в системах дистанционного банковского обслуживания (в частности, iSimpleBank[6]), электронных торгов (в частности, B2B-Center), юридически значимого электронного документооборота (в частности, i-Конто[13]) и т. д.

Мобильные устройства[править | править вики-текст]

Приложения для Android и iOS[править | править вики-текст]

При создании Android- и iOS-приложений, обращающихся к JaCarta ГОСТ, применяются входящие в платформу JaCarta специализированные комплекты разработчика JC-Mobile.

Примеры приложений для мобильных устройств и JaCarta — iEOS[14], InterBank Mobile[8] и «Мобильный Бизнес Клиент»[9].

Подключение JaCarta к мобильным устройствам[править | править вики-текст]

Считыватель iR301UL для устройств Apple с разъёмом Lightning и смарт-карта JaCarta

Наиболее универсальным способом подключения JaCarta к мобильным устройствам является использование Bluetooth-считывателя смарт-карт.

Для устройств Apple c разъёмами Apple Dock и Lightning выпускаются специализированные считыватели смарт-карт, в том числе встроенные в футляры для iPad и iPad mini).

К Android-устройствам, снабжённым портами, соответствующими спецификации USB OTG, можно напрямую или посредством переходника подключать считыватели смарт-карт, microUSB- и USB-токены JaCarta. Кроме того, к устройствам, снабжённым портами microSD, можно напрямую подключать microSD-токены JaCarta.

Электронная подпись на SIM-карте[править | править вики-текст]

SIM-карта JaCarta ГОСТ для сотовых телефонов — комбинированное устройство, используемое не только для идентификации абонента сотовой сети, но и для формирования электронной подписи. В системах, реализующих электронную подпись на SIM-карте, каждый документ перед подписанием подвергается хешированию и снабжается кратким сообщением, направляемым вместе с хеш-суммой документа посредством NFC или SMS на телефон, где пользователь просматривает сообщение и явно соглашается или отказывается подписать документ, ключевое содержание которого содержится в сообщении.[15]

Средства доверенной загрузки[править | править вики-текст]

Аккорд-АМДЗ[править | править вики-текст]

Устройства JaCarta используются совместно с некоторыми моделями средства защиты информации от несанкционированного доступа «Аккорд-АМДЗ», в частности, с контроллерами Аккорд-GX, Аккорд-GXM и Аккорд-GXMH[16].

Встраиваемый модуль безопасности TSM[править | править вики-текст]

«Встраиваемый модуль безопасности TSM» представляет собой средство доверенной загрузки, состоящее из встроенного программного обеспечения материнских плат и приложений для Windows и Linux. При загрузке компьютера с TSM сразу после выполнения процедуры POST производится:

Загрузка компьютера происходит только при условии положительных результатов аутентификации и контроля целостности.

TSM встраивается в компьютеры ECS Aura, Fujitsu Esprimo и Lifebook, Kraftway Credo VV18[17], а также ноутбуки MSI категории «C - классическая»[18].

Средства криптографической защиты информации[править | править вики-текст]

Помимо того, что большинство моделей JaCarta сами по себе являются средствами криптографической защиты информации, JaCarta используется также совместно с поставщиками службы криптографии ViPNet CSP, поддерживающим ключевые пары по ГОСТ Р 34.10-2012, выработанные с помощью JaCarta ГОСТ, и КриптоПро CSP, использующим устройства JaCarta в качестве ключевых носителей[19].

Электронное удостоверение[править | править вики-текст]

На основе смарт-карт JaCarta выпускаются электронные удостоверения[20] — комбинированные карты, объединяющие функциональные возможности электронного бесконтактного пропуска (за счёт включения RFID-метки), средства доступа в информационную систему, средства электронной подписи, банковской карты и обычного удостоверения.

Сертификаты ФСТЭК и ФСБ[править | править вики-текст]

Продукты JaCarta имеют следующие сертификаты:

  • смарт-карты и токены семейства JaCarta – сертификат ФСТЭК № 2799[21], подтверждающий соответствие 4-му уровню контроля отсутствия недекларированных возможностей по классификации ФСТЭК;
  • JaCarta ГОСТ — сертификат ФСБ № СФ/121-2350[21], подтверждающий соответствие требованиям ФСБ к средствам электронной подписи классов КС1 и КС2;
  • JaCarta ГОСТ — сертификат ФСБ № СФ/124-2380[21], подтверждающий соответствие требованиям ФСБ к шифровальным (криптографическим) средствам класса КС2;
  • JaCarta Management System — сертификат ФСТЭК № 3355[22], подтверждающий соответствие 4-му уровню контроля отсутствия недекларированных возможностей по классификации ФСТЭК.

Конкурирующие продукты[править | править вики-текст]

Продукты семейства JaCarta Конкурирующие продукты
JaCarta LT Ms Key, Рутокен Lite и S
MicroSD-токены JaCarta PKI/Flash Feitian Smart SD
USB-токены JaCarta PKI Entrust USB Tokens, USB-токен eToken PRO, Eutron CryptoIdentity, Feitian ePass 1000Auto и 2003, HID ActivID ActivKey SIM USB Token, IDProtect Key LASER, Kobil mIDentity 4smart office, SafeNet eToken 5100 и 5200, Vasco Digipass Key 101
USB-токены JaCarta PKI/BIO IDProtect Key LASER с Biometric Match-On-Card
USB-токены JaCarta PKI/Flash eToken NG-FLASH, Feitian StorePass, Vasco Digipass Key 200 и 202, а также SafeNet eToken 7300
USB-токены JaCarta ГОСТ iBank 2 Key, Рутокен ЭЦП, ПСКЗИ «Шипка»
Смарт-карты JaCarta PKI смарт-карты eToken PRO, Feitian PKI card, IDProtect LASER, Gemalto IDCore, Safenet eToken 4100
Смарт-карты JaCarta PKI/BIO IDProtect LASER c Biometric Match-On-Card
JC-WebClient Рутокен Плагин
Встраиваемый модуль безопасности TSM Intel TXT, МДЗ-ЭШЕЛОН

Интересные факты[править | править вики-текст]

Столица Индонезии, имя которой фонетически неразличимо с JaCarta, расположена на острове Ява, давшем название одноимённому сорту кофе, в честь которого, в свою очередь, назван язык программирования Java, на котором основана технология Java Card, используемая в продуктах JaCarta.

Примечания[править | править вики-текст]

  1. JaCarta - почему выбрано такое название?. JaCarta: часто задаваемые вопросы (FAQ). Аладдин Р. Д.. Проверено 12 февраля 2014.
  2. Продукты линеек eToken ГОСТ и JaCarta ГОСТ от «Аладдин Р. Д.» сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ «Об электронной подписи» Линейки продуктов компании «Аладдин Р. Д.» eToken ГОСТ и JaCarta ГОСТ получили сертификат ФСБ России, подтверждающий соответствие Требованиям к средствам электронной подписи, утверждённым Приказом ФСБ России № 796 от 27 декабря 2011 г.. Новости безопасности. Журнал «Директор по безопасности» (10 февраля 2014). Проверено 27 февраля 2014.
  3. Система JMS для управления жизненным циклом средств аутентификации и ЭП // Журнал сетевых решений LAN : журнал. — Открытые системы, 2014. — № 10. — С. 69.
  4. Сергей Орлов ЭЦП и аутентификация: сделано в России // Журнал сетевых решений LAN : журнал. — 2014. — № 9. — С. 49—54.
  5. CWA 14169. Secure signature-creation devices “EAL 4+”. — Brussels: CEN, 2004. — 219 p. — (CEN Workshop Agreement).
  6. 1 2 Сопроводительная информация о релизе 2.0.6 системы ДБО iSimpleBank 2.0 Общие изменения продуктов линейки системы ДБО iSimpleBank 2.0. iSimpleLab (25 марта 2013). — «В поставку системы включён обновлённый плагин JC-WebClient версии 2.1.8.193 от компании «Аладдин Р. Д.»»  Проверено 3 марта 2014.
  7. Максим Болышев. Больше, чем просто подпись. Тренды и перспективы электронной подписи. BANKIR.RU. Информационное агентство "Банкир.Ру" (11.08.2014). Проверено 18 августа 2015.
  8. 1 2 Компания R-Style Softlab представила мобильное предложение для юридических лиц // Банковские технологии : журнал. — Финанс Медиа, 2013. — № 12. — С. 13-14.
  9. 1 2 Андрей Новиков Быть ближе к клиенту // Аналитический банковский журнал : журнал. — М.: Аналитический центр финансовой информации, 2013. — № 12 (214). — С. 58–61.
  10. Устройства JaCarta ГОСТ применяются в Единой системе идентификации и аутентификации в качестве карт электронного правительства наряду с универсальной электронной картой и eToken ГОСТ, в частности, для аутентификации граждан на портале государственных услуг Российской Федерации
  11. Николай Афанасьев «Антифрод-терминал» — безопасность для ДБО // Банковские технологии : журнал. — Финанс Медиа, 2013. — № 8. — С. 62.
  12. Алексей Дайховский Как защититься от рисков при работе с ДБО // Аналитический банковский журнал : журнал. — 2014. — № 12. — С. 62—64.
  13. Сергей Орлов Без росчерка пера // Журнал сетевых решений LAN : журнал. — 2014. — № 11. — С. 68—72.
  14. СЭД в России. Время мобильных решений // PC Week Review: Документооборот : журнал. — СК Пресс, 2014. — № 12. — С. 19.
  15. Сергей Груздев Мобильная PKI в России — зарождающийся тренд уходящего года // Национальный банковский журнал : журнал. — Ассоциация российских банков, 2014. — № 12 (127). — С. 61.
  16. С. Л. Груздев и Ю. Н. Вепров. Приложение к сертификату совместимости JaCarta — Аккорд-АМДЗ Таблица совместимости электронных ключей JaCarta и СЗИ НСД «Аккорд-АМДЗ» (PDF). Совместимо. ОКБ САПР. — «Работоспособность комплекса СЗИ НСД семейства АККОРД с электронными ключами JaCarta не зависит от типа используемой операционной системы»  Проверено 5 марта 2014.
  17. Ольга Беликова. Kraftway объявляет о выпуске нового защищённого тонкого клиента. Пресс-релизы. Kraftway (13 мая 2011). — «Отличительная особенность новой системы — использование модифицированного и русифицированного BIOS от компании Kraftway и его тесная интеграция с модулем доверенной загрузки Trusted Security Module (TSM) от компании «Аладдин Р. Д.».»  Проверено 4 марта 2014.
  18. C - классическая. Ноутбуки и планшеты. Micro-Star Int'l Co.,Ltd. Проверено 5 марта 2014.
  19. JaCarta ГОСТ и CryptoPro CSP. Техническая поддержка. Компания «Аладдин Р. Д.» (14 апреля 2011). — «На текущий момент с аппаратно сгенерированной КП на наших ключах eToken ГОСТ/JaCarta ГОСТ умеет работать VipNet CSP. КриптоПРО CSP использует наши ключи в качестве носителя ключевого контейнера, и не более того.»  Проверено 4 марта 2014.
  20. Компания «Аладдин Р. Д.» разработала «электронное удостоверение» для корпоративных и социальных проектов // Национальный банковский журнал : журнал. — Ассоциация российских банков, 2014. — № 6. — С. 108.
  21. 1 2 3 JaCarta Сертификаты безопасности (PDF). Компания «Аладдин Р.Д.». Проверено 20 августа 2015.
  22. Сертифицированные продукты Соответствие требованиям ФСТЭК России (PDF). Компания «Аладдин Р.Д.». Проверено 20 августа 2015.

Ссылки[править | править вики-текст]

См. также[править | править вики-текст]

  • CryptoCard — смарт-карты украинской компании «АВТОР»
  • eToken — персональные средства аутентификации американской компании SafeNet
  • Kaztoken — USB-брелоки казахстанской компании «Цифровой Поток»
  • Рутокен — USB-брелоки и смарт-карты российской компании «Актив»