Персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, предназначенное разработчикам систем дистанционного банковского обслуживания, электронных торгов, сдачи налоговой отчетности для встраивания в клиентскую часть, а также разработчикам СКЗИ для обеспечения надёжной защиты закрытых ключей и аппаратной реализации ЭЦП.
Находится на сертификационных испытаниях в ФСБ России как средство криптографической защиты информации.
Пользователи систем дистанционного банковского обслуживания уже оценили преимущества предоставляемых им электронных сервисов. Простота, мобильность, надежность и оперативность управления счетами обеспечивают высокий уровень доверия пользователей к банкам.
Кроме этого, системы ДБО позволяют кредитным организациям существенно сократить расходы на обслуживание клиентов. Вместе с тем, предоставляя электронные сервисы, банки сталкиваются с необходимостью обеспечения высокого уровня защищенности дистанционных банковских операций и данных своих клиентов.
Компания Аладдин представляет такое средство повышения защищенности сервисов ДБО - электронный ключ eToken ГОСТ с возможностью формирования электронно-цифровой подписи (ЭЦП) на основании российского законодательства.
Применение
Электронный ключ eToken ГОСТ рекомендуется для использования на стороне клиента (пользователя):
- в системах дистанционного банковского обслуживания (ДБО);
- в системах электронных торгов;
- в системах сдачи электронной отчетности через Интернет и др.;
- в Web-приложениях, где требуется квалифицированная электронно-цифровая подпись (ЭЦП) документов.
Возможности
Электронные USB-ключи и смарт-карты eToken ГОСТ выполнены на базе нового поколения токенов - eToken Java, которые имеют открытую архитектуру и возможность добавления требуемой функциональности путем загрузки в ключ Java-апплета (например, реализующего функции "электронного кошелька" и пр.). Ключевые возможности eToken ГОСТ:
- Двухфакторная аутентификация пользователей
- Поддержка Java-апплетов
- Увеличенный объем защищенной памяти
- Работа без установки драйвера eToken PKI Client
- Возможность централизованного управления
Эксклюзивные особенности
- Возможность работы на разных платформах с большинством современных операционных систем семейств Microsoft Windows, MacOS X, Linux и их клонах.
- Наличие нескольких вариантов исполнения - USB-ключ, смарт-карта, комбинированный USB-ключ с генератором одноразовых паролей или модулем Flash-памяти.
- Высокая защищенность чипа и наличие сертификатов Common Criteria EAL4+, VISA, CAST, USB 2.0.
- Соответствие российскому законодательству.
Основные характеристики
- Аппаратная реализация российских криптографических алгоритмов и протоколов;
- Доступная энергонезависимая защищенная память для хранения пользовательских сертификатов, ключей, профилей и других данных, а также для загрузки исполняемых внутри ключа Java-апплетов.
- Возможность безопасного хранения в одном физическом ключе практически неограниченного количества секретных ключей ЭЦП.
- Уникальный неизменяемый идентификационный номер (ID) ключа.
- Ключ eToken ГОСТ спроектирован в соответствии с требованиями ФСБ России к шифровальным криптографическим средствам по уровню КС2, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну; находится в процессе сертификационных испытаний.
Соответствие российскому законодательству
Применение электронных USB-ключей и смарт-карт eToken ГОСТ с аппаратной реализацией электронно-цифровой подписи (ЭЦП) обеспечивает выполнение следующих требований:
- Ст. 12 Федерального закона № 1-ФЗ от 10 января 2002 года "Об электронной цифровой подписи", согласно которой к обязательствам владельца сертификата ключа подписи, в частности, относится сохранение в тайне закрытого ключа ЭЦП.
- Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы Удостоверяющих центров общероссийского государственного информационного центра (утвержденных Приказом №41 от 23 марта 2009 года Министерства связи и массовых коммуникаций РФ).
- Стандарта Банка России СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", в части обеспечения идентификации, аутентификации, авторизации, управления доступом, контроля целостности информационного обмена.
- Стандарта безопасности данных индустрии платежных карт (PCI DSS).
Варианты исполнения
eToken ГОСТ выпускается в двух базовых форм-факторах - смарт-карты и USB- ключа. Для использования смарт-карты можно применять любой карт-ридер, в том числе встроенный в компьютер или в клавиатуру. Возможен выпуск комбинированных USB-ключей с дополнительным модулем Flash-памяти или генератором одноразовых паролей.
Встроенная RFID-метка
В ключ eToken ГОСТ может быть имплантирована радиочастотная метка (RFID), используемая на предприятиях в системах контроля и управления доступом (СКУД) в помещения, учета рабочего времени сотрудников и пр.
Заказное исполнение
USB-ключи могут быть изготовлены на заказ в корпусах разного цвета, с объемным или напечатанным логотипом заказчика.
Смарт-карты могут поставляться как в виде "белого пластика" для самостоятельной печати на них, так и с высококачественной полноцветной печатью по согласованному дизайну.
Визуальная идентификация
Каждый ключ имеет уникальный серийный номер, "прошитый" в чипе. Для удобства учета и визуальной идентификации этот номер печатается на боковой поверхности корпуса ключа. Удаление номера без видимых повреждений невозможно.
Технические подробности
Архитектура
Электронные USB-ключи и смарт-карты eToken ГОСТ выполнены на базе нового поколения электронных ключей eToken Java, которые имеют открытую архитектуру и возможность добавления требуемой функциональности путем загрузки в ключ Java-апплета (например, реализующего функции "электронного кошелька" и пр.).
Основными компонентами eToken ГОСТ являются:
- Защищенный высокоскоростной однокристальный микроконтроллер Atmel AT90SC25672RCT cо встроенными контроллерами ISO 7816 (для смарт-карт) или USB 2.0 (для USB-ключей).
- Операционная среда, соответствующая открытым спецификациям для смарт-карт Java Card Platform Specification 2.2.1 и Global Platform 2.2.
- Апплет "Криптотокен", реализующий российские криптографические алгоритмы и протоколы.
Микроконтроллер выполнен на базе специализированной secureAVR® RISC-архитектуры и имеет эффективные встроенные средства противодействия известным физическим, логическим, переборным, стрессовым и другим атакам в соответствии с требованиями Профиля защиты для смарт-карт (Smart Card Protection Profile - SCSUG-SCPP).
Для быстрого выполнения операций с большими числами используется специализированный 32-разрядный сопроцессор и пакет модульной арифметики и базовых операций над полем эллиптических кривых (ECC).
Микроконтроллер имеет аппаратный датчик случайных чисел (RNG), встроенные интерфейсы USB 2.0 (Full-speed, 480 Мб/сек) и контроллер ISO 7816 (со скоростью ввода-вывода 625Кб/сек), а также защищенную EEPROM-память для хранения пользовательских данных, расположенную на кристалле микроконтроллера.
Надежность
За счет использования однокристального специализированного eToken ГОСТ достигаются уникальные эксплуатационные показатели: повышенную надежность и время наработки на отказ, пониженное энергопотребление и тепловыделение, высокую степень защиты от пробоя статическим электричеством, повышенный ресурс и надежность хранения данных в EEPROM-памяти (не менее 500,000 циклов чтения-записи и 10 лет хранения).
Интерфейсы
Для взаимодействия Web- и других приложений с ключом eToken ГОСТ могут использоваться различные программные интерфейсы.
- Основным высокоуровневым интерфейсом является PKCS#11 версии 2.30 (включающей расширения для российских криптографических алгоритмов).
- Для защиты сообщений и файлов произвольного формата и использования всех возможностей PKI (работа с цифровыми сертификатами X.509, списками отозванных сертификатов, штампами времени) могут использоваться сертифицированные библиотеки, позволяющие делегировать функции ЭЦП ключу eToken ГОСТ.
- Низкоуровневый интерфейс (система APDU-команд) позволяет использовать eToken ГОСТ на любых платформах и операционных системах (Windows 32/64-бит, Linux 32/64-бит, Mас OS X и др.), а также для аутентификации пользователя до загрузки операционной системы рабочей станции - в приложениях типа "электронный замок" и аппаратных модулях доверенной загрузки.
Спецификация eToken ГОСТ
| Микросхема смарт-карты | Atmel AT90SC25672RCT cо встроенными контроллерами ISO 7816 (для смарт-карт) или USB 2.0 (для USB-ключей) |
| Операционная система смарт-карты | Athena OS755, встроенная виртуальная машина Java (полностью совместимая со стандартами Java Card Platform Specification 2.2.1 и Global Platform 2.2) |
| Поддерживаемые интерфейсы и стандарты |
|
| Аппаратно-реализованные алгоритмы |
|
| Объем защищенной памяти | 72 КБ на микросхеме смарт-карты |
| Модели |
|
| Возможность встраивания радио-метки (RFID) | Есть |
| Поддерживаемые операционные системы |
|
| Поддерживаемые версии драйвера | eToken PKI Client 4.55 и выше |
| Поддерживаемые версии комплекта разработчика | eToken ГОСТ SDK |
Поддерживаемые платформы и интерфейсы
Для встраивания eToken ГОСТ могут использоваться следующие программные интерфейсы:
- PKCS#11 (расширение для использования российских криптографических алгоритмов) позволяет использовать eToken ГОСТ в приложениях на на платформах Windows, Linux и Mac OS.
- Система APDU-команд позволяет использовать eToken ГОСТ в приложениях для любых платформ и операционных систем (Windows 32/64-бит, Linux 32/64-бит, Mас OS X и др.), а также для аутентификации пользователя до загрузки операционной системы рабочей станции - в приложениях типа "электронный замок", аппаратных модулях доверенной загрузки и пр.
- Java Cryptographic Provider (JCP) - для взаимодействия с приложениями, написанными на языке Java (находится в стадии разработки).
| Операционная система | Windows | Linux | Mac OS X |
|---|---|---|---|
| * - в стадии разработки + - поддерживается | |||
| Интерфейсы программирования | |||
| PKCS#11 | + | + | + |
| Java Cryptographic Provider (JCP) | * | * | * |
| APDU | + | + | + |
| Примеры исходных текстов программ | + | * | * |
Системные требования
- Операционная система: Microsoft Windows XP/Vista/7/Server 2003, Linux, Mac OS
- Среда разработки Microsoft Visual Studio 2005/2008 (для сборки примеров на языке C в среде Windows)
- 10 МБ свободного места на жестком диске
- Свободный порт USB, разъем типа A
Состав
В состав eToken ГОСТ SDK входит:
- Программный CD-ROM, содержащий следующие материалы:
- Модуль сопряжения PKCS#11
- Примеры исходных текстов программ на языках программирования Java, С
- Описание программного интерфейса модуля сопряжения PKCS#11
- Описание системы APDU-команд
- Утилиту для передачи APDU-команд
- CCID-драйвера для поддержки устройств eToken
- Справочная информация по спецификации CCID, Java Card Runtime Environment, Global Platform
- Утилиту администрирования eToken ГОСТ
- 2 USB-ключа eToken ГОСТ