JaCarta-2 ГОСТ
Совсем недавно компания «Аладдин Р.Д.» представила на международной выставке InfoSecurity Russia 2017 свое новое решение — аппаратное средство электронной подписи JaCarta-2 ГОСТ.
Давайте подробнее рассмотрим , что же из себя представляет это новое устройство.
Внешний вид у него такой же как у предыдущей JaCartrы, корпуса USB-токенов и смарт-карт выполнены в классическом черном цвете с оранжевой каймой.
Главное, как всегда внутри.
JaCarta-2 ГОСТ — это сертифицированное по новым требованиям ФСБ России СКЗИ. Это значит, что устройство является функционально законченным и криптографически безопасным.
Устройство состоит из двух частей:
Первое, это апплет «Криптотокен 2 ЭП» , работающий в микроконтроллере устройства и реализующий весь набор криптографических алгоритмов и протоколов. Именно апплет «Криптотокен 2 ЭП» сертифицирован в качестве СКЗИ. У него сразу два сертификата: на средство электронной подписи и на АРМ администратора.
Второе, это ИКБ , интерфейсная криптобиблиотека, предназначенная для работы на стороне хоста (персональный компьютер, сервер, терминал). Данная библиотека обеспечивает построение защищённого канала с апплетом «Криптотокен 2 ЭП» а также существенно увеличивает скорость вычисления хеш-функции при формировании электронной подписи. Поскольку хэш вычисляется не на микроконтроллере токена, а на более производительном процессоре хоста (ПК, сервер, терминал).
JaCarta-2 ГОСТ имеет разрешенный «белый список» команд и функций, использование которых позволяет безопасно встроить устройство в прикладные системы и приложения. Проверка корректности встраивания в этом случае становится формальной процедурой.
В нем поддерживаются как старые криптографические алгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, которые нельзя будет использовать с 01.01.2019 г., так и новые — ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Из новых особенностей хотелось бы еще отметить:
Защиту от взлома и клонирования Secure By Design , выполненную на базе защищенных смарт-карточных чипов, имеющих встроенные средства защиты от всех известных на сегодня атак, методов взлома и клонирования.
Дополнительный ПИН-код на создание электронной подписи. Обычно для подписи используется стандартный ПИН-код пользователя, в JaCartа-2 ГОСТ вы можете задать отдельно ПИН-код для разрешения создания подписи. Такая вот опция для повышения безопасности.
Защиту от атак на ПИН-код и от блокирования устройства. JaCarta-2 ГОСТ имеет встроенную защиту от атак на ПИН-код и механизмы автоматического восстановления заблокированного устройства по времени. Обычно заблокированный токен восстановить было нельзя.
Что еще, в новой линейке JaCarta-2 ГОСТ появилась модель с увеличенным объёмом защищённой энергонезависимой памяти (EEPROM) 114 Кбайт. Это еще больше места для ключей и сертификатов на устройстве.
Резюмируя можно сказать, что JaCarta-2 ГОСТ это очень интересное устройство являющееся и персональным средством электронной подписи и СКЗИ, и средством надежного хранения ключей. Его можно использовать системах ДБО, ЭДО, на электронных торговых площадках и госпорталах, для сдачи отчетности и многое другое. Главное это совершенно новое устройство, которое диктует современные стандарты безопасности. И другие производители, уверена будут брать пример с компании «Аладдин Р.Д.» и JaCarta-2 ГОСТ.
Источник
Утилита pkcs11-tool [ править ]
В состав opensc входит универсальная утилита pkcs11-tool, которой можно «подложить», например, библиотеку PKCS#11 для работы с Jacarta ГОСТ 2.0 и с ее помощью «управлять» токенами JaCarta.
Пакеты для работы с JaCarta-2 ГОСТ [ править ]
Установить утилиту для работы с аппаратными токенами Jacarta ГОСТ и библиотеку libjcPKCS11:
Проверка работы JaCarta-2 ГОСТ [ править ]
Проверяем работу токена, он должен быть виден в списке:
Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):
Инициализация токена [ править ]
Смена PIN-кода [ править ]
Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):
Разблокировка PIN-кода [ править ]
При разблокировке PIN-кода, только сбрасывается счётчик попыток ввода. Т.е., если пароль пользователя неизвестен, то даже с помощью пароля администратора, нельзя получить доступ к ключу. В данном случае поможет инициализация.
Удаление объекта [ править ]
Для удаления объекта необходимо указать его тип и идентификатор (id) или название (label). Открытый и закрытый ключ удаляются отдельно.
- privkey – закрытый ключ;
- pubkey – открытый ключ;
- cert – сертификат.
Создание ключевой пары [ править ]
Генерация пары ключей:
Сертификаты [ править ]
Создание запроса на сертификат [ править ]
Формирование запроса на сертификат:
Можно использовать OID для формирования запроса на сертификат:
Получение сертификата [ править ]
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Запись сертификата [ править ]
Запись сертификата на токен:
Чтение сертификата [ править ]
Если на карте имеется сертификат, его можно прочитать командой:
ID сертификата можно посмотреть, выведя список объектов на токене:
КриптоПро [ править ]
Электронный идентификатор JaCarta ГОСТ поддерживается в СКЗИ «КриптоПро CSP» в качестве ключевого носителя. Для этого необходимо установить модуль поддержки.
Управление считывателями [ править ]
Просмотр доступных считывателей:
Инициализация считывателя Aladdin R.D. JaCarta [SCR Interface] 00 00, где в параметре -add указано имя, которое было получено при просмотре доступных считывателей, в параметре -name указано удобное для обращения к считывателю имя, например, JaCarta (под правами root):
Управление контейнерами [ править ]
Создание контейнера на токене/смарт-карте:
Создание неизвлекаемого контейнера:
В этом случае будет использована встроенная криптография носителя.
Создание обычного контейнера:
В этом случае см. JaCarta/PKI
Будет необходимо предъявить PIN-код пользователя:
Проверить наличие контейнеров можно с помощью команды:
Просмотр подробной информации о контейнере:
Удалить контейнер можно с помощью команды:
Управление сертификатами [ править ]
Создание запроса на получение сертификата [ править ]
Создание запроса на получение сертификата средствами КриптоПро (будет необходимо предъявить PIN-код пользователя):
Например, создать запрос на физическое лицо, используя открытый ключ, сгенерированный в контейнере jacarta_2012 криптопровайдером «Crypto-Pro GOST R 34.10-2012 KC1 CSP» (тип — 80) и сохранить его в файл jacarta2012.req, назначение ключа — аутентификация и защита электронной почты:
Тот же запрос, используя OID (будет необходимо предъявить PIN-код пользователя):
Получение сертификата в УЦ и его установка [ править ]
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Запись сертификата клиента в контейнер:
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище uMy:
Установка сертификата удостоверяющего центра:
Просмотр сертификатов [ править ]
Для просмотра установленных сертификатов можно воспользоваться командой:
Создание и проверка подписи [ править ]
Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла:
На выходе появится файл my_file.odt.sig , содержащий как сам подписываемый файл, так и электронную подпись. Для проверки прикреплённой подписи выполните команду:
Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:
Для создания откреплённой (detached) подписи необходимо заменить ключ -sign на -signf:
Источник
JaCarta-2 PRO/ГОСТ — USB-токен
JaCarta-2 PRO/ГОСТ устройства с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 для формирования усиленной квалифицированной электронной подписи и зарубежными криптоалгоритмами для строгой двухфакторной аутентификации пользователей в инфраструктуре для устройств eToken PRO (Java)
- Усиленная квалифицированная ЭП
- Строгая двухфакторная аутентификация
- Шифрование и обеспечение целостности данных
- Безопасное хранение пользовательских данных
Применение:
- Системы дистанционного банковского обслуживания
- Системы сдачи электронной отчётности
- Системы электронного документооборота
- Электронные торговые площадки
- Корпоративные порталы
- Порталы государственных услуг
- Системы электронного таможенного декларирования
- Web-сервисы
Особенности:
- Сертифицировано по новым требованиям ФСБ России
- Предназначено для встраивания
- «Белый» список безопасных команд и функций
- Обеспечивает построение защищённого канала
- Защита от взлома и клонирования
- Возможность расширения функциональности устройств
- Работа с доверенными объектами
- Дополнительный PIN-код на операцию формирования ЭП
- Новые механизмы разблокирования устройств
- Новые механизмы защиты от атак и блокирования
- Безопасное администрирование
- Быстрее
- Надёжность и качество
Технические и эксплуатационные характеристики JaCarta-2 PKI/ГОСТ
- Microsoft Windows 10
- Microsoft Windows 8.1
- Microsoft Windows 8
- Microsoft Windows 7
- Microsoft Windows Vista SP2
- Microsoft Windows XP SP3 (32-бит)
- Microsoft Windows XP SP2 (64-бит)
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
- Microsoft Windows Server 2008 R2
- Microsoft Windows Server 2008
- Microsoft Windows Server 2003 SP2
Apple macOS/OS X
- ГОСТ Р 34.10-2012 (генерация ключевых пар, формирование и проверка ЭП);
- ГОСТ Р 34.11-2012 (функция хэширования);
- ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка ЭП);
- ГОСТ Р 34.11-94 (функция хэширования);
- ГОСТ 28147-89 (симметричное шифрование);
- AES (длины ключей 128, 192, 256 бит);
- DES (длина ключа 56 бит);
- 3DES (длины ключей 112 и 168 бит);
- RSA (длины ключей 512, 1024, 2048);
- криптография на эллиптических кривых (длины ключей 160, 192 бит);
- аппаратная генерация ключей для RSA и криптографии на эллиптических кривых;
- алгоритмы согласования ключей: алгоритм Диффи-Хеллмана, алгоритм Диффи-Хеллмана на эллиптических кривых;
- функции хэширования: SHA-1, SHA-224 (эллиптические кривые), SHA-256, SHA-384, SHA-512;
- генератор последовательностей случайных чисел.
- Интерфейсная криптобиблиотека (APDU) 1;
- PKCS #11.
1 Сертифицированный программный интерфейс для работы с токенами JaCarta-2 ГОСТ
Источник
PIN-код по умолчанию на eToken, Рутокен, iKey или JaCarta
На сегодняшний день уже существует некий стандарт хранить закрытый ключ ЭЦП на специальном USB -брелке: eToken, Рутокен, JaCarta, iKey и т.д. Названия разные, а отличия только в фирме изготовителе. Для защиты от несанкционированного доступа к USB -брелку производитель вшивает свой стандартный PIN -код.
Наверное, в 90% случаях для доступа к USB -брелку пользователи не меняю стандартный PIN -код.
eToken
eToken Pro
eToken NG-FLASH
eToken NG-OTP
eToken PASS
Рутокен Сбербанк-АСТ
Рутокер Контур
Рутокен Альфа-Директ
Рутокен Бифит
Рутокен Почта России
Рутокен Альфа-Софт
Рутокен Сбис++
Рутокен Б2Б Коннект
Рутокен ГАРАНТ
Рутокен КОД БЕЗОПАСНОСТИ
Рутокен BSS
JaCarta PKI в корпусе XL
JaCarta PKI в корпусе Nano
JaCarta PKI в корпусе MicroUSB
JaCarta PKI/Flash
JaCarta PKI/Flash
SafeNet iKey
SafeNet iKey 5100
Сколько есть попыток?
У каждого USB -брелка 3 попытки на ввод пароля. В случае, если 3 попытки не успешны, устройство блокируется на 10-15 минут. В большинстве случаев помогает переподключение брелка.
Что делать, если PIN не подошел?
Если стандартный PIN -код не разблокировал брелок, то это означает, что ранее пользователь изменил его на свой.
В таком случае поможет только переформатирование (новая инициализация) брелка, что приведет к стиранием всех ЭЦП на нем. Восстановить ЭЦП без участия Удостоверяющего Центра, который ее выдал, не возможно!
Источник