Русская Википедия:JaCarta

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Файл:JaCarta 2 Gost.png

JaCarta (от Java Card[1]) — USB-токены, смарт-карты и модули безопасности для аутентификации, формирования и проверки электронной подписи, шифрования передаваемых данных, а также безопасного хранения объектов и информации пользователя (пароли, цифровые сертификаты и т. д.). Разработаны и производятся российской компанией «Аладдин Р.Д.», специализирующейся на продуктах в области информационной безопасности.

Применение

USB-токены, смарт-карты и модули безопасности JaCarta могут применяться для многофакторной аутентификации, работы с электронной подписью[2] и шифрования передаваемых данных в различных информационных системах и сервисах[3], в том числе, для аутентификации граждан на портале государственных услуг Российской Федерации. В их число входят системы электронного документооборота, электронные торговые площадки, системы дистанционного банковского обслуживания [4][5], таможенного декларирования или сдачи отчетности (Пенсионный фонд России, Федеральная налоговая служба, ЕГАИС и т. д.), разнообразные мобильные[6][7] и веб-приложения, корпоративные порталы и облачные сервисы. Также JaCarta применяется в промышленном оборудовании и различных устройствах (контроллеры тепла и света, видеокамеры, тонкие клиенты и т.д.).

Устройства JaCarta также можно использовать для хранения ключевых контейнеров популярных программных средств криптографической защиты информации (СКЗИ), например КриптоПро CSP[8] или ViPNet CSP[9], а также цифровых сертификатов, паролей и лицензий. Для этого предусмотрена защищенная энергонезависимая память (EEPROM), доступная только после ввода PIN-кода.

Модельный ряд

Основные модели

  • JaCarta PKI — устройства с аппаратной реализацией зарубежных криптоалгоритмов (AES, DES, 3DES, RSA, SHA и др.) для двухфакторной аутентификации и работы с электронной подписью. Доступные форм-факторы: USB-токены и смарт-карты.
  • JaCarta PKI/BIO — USB-токен/смарт-карта для строгой двух- и трёхфакторной аутентификации пользователей при доступе к защищённым информационным ресурсам предприятия, безопасного хранения ключей, ключевых контейнеров программных СКЗИ.
  • JaCarta PRO — аналог JaCarta PKI с возможностью работы в инфраструктуре для устройств eToken PRO (Java), совместим с JaCarta PKI, что позволяет перенести инфраструктуру на новые модели токенов. Доступные форм-факторы: USB-токены и смарт-карты.
  • JaCarta-2 ГОСТ — устройства с аппаратной реализацией новых российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 (поддержка старых алгоритмов ЭП также присутствует). Могут применяться для двухфакторной аутентификации пользователей и терминального оборудования, формирования и проверки усиленной квалифицированной электронной подписи, обеспечения целостности и конфиденциальности передаваемых данных с помощью шифрования и имитовставки, а также безопасного хранения данных пользователя. Доступные форм-факторы: USB-токены, смарт-карты и модули безопасности (SIM-карты и MicroSD-карты и микросхемы, предназначенные для встраивания в различное электронное оборудование).
  • JaCarta LT — устройства без встроенных криптоалгоритмов, предназначенные в первую очередь для работы с электронной подписью. Могут применяться для безопасного хранения профилей и паролей пользователей, лицензионных и других данных небольшого объема, а также ключевых контейнеров криптопровайдеров. Доступные форм-факторы: USB-токены и смарт-карты.
  • JaCarta WebPass — USB-устройства с механической кнопкой для генерации одноразовых паролей (OTP), хранения сложного многоразового пароля с возможностью его автоматической подстановки в экранные формы, а также безопасного запуска браузера и автоматического перехода по сохраненному адресу веб-ресурса.
  • JaCarta U2F — USB-токен с механической кнопкой с поддержкой стандарта аутентификации FIDO U2F. Возможно использование одного устройства для доступа к различным ресурсам (например, Facebook, Dropbox, Gmail и т.д.). Д
Спецификация функциональности устройств JaCarta
JaCarta PKI JaCarta PKI/BIO JaCarta PRO JaCarta-2 ГОСТ JaCarta LT JaCarta WebPass JaCarta U2F
Строгая аутентификация
Усиленная аутентификация (*)
Средство ЭП
Хранение ключевых контейнеров, паролей, сертификатов и ключей
Работа с мобильными устройствами
Встраивание RFID-метки
Работа в инфраструктуре для eToken
Встраивание апплета платёжной системы "Мир"

(*) — При использовании лицензии JaCarta SecurLogon
● — Базовая функциональность
○ — Дополнительная функциональность
◊ — Функциональность, реализуемая в рамках проекта (требует предварительного согласования)

Комбинированные модели

  • JaCarta-2 PKI/ГОСТ — Устройства с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 для формирования усиленной квалифицированной электронной подписи и зарубежными криптоалгоритмами для строгой двухфакторной аутентификации пользователей. Используются для обеспечения целостности и конфиденциальности передаваемых данных с помощью шифрования и имитовставки по ГОСТ 28147-89, реализации строгой двухфакторной аутентификации пользователей в защищённых информационных системах (с применением зарубежных криптоалгоритмов), формирования и проверки усиленной квалифицированной электронной подписи с неизвлекаемым ключом для Web-приложений, облачных сервисов, прикладных систем (ЭДО, ДБО, и т.д.). Также позволяют обеспечивать безопасное хранение пользовательских данных (логинов, паролей и т.д.) в собственной защищённой энергонезависимой памяти.
  • JaCarta-2 SE — USB-токен, позволяющий работать в Единой государственной автоматизированной информационной системе учёта объёма производства и оборота этилового спирта, алкогольной и спиртсодержащей продукции (ЕГАИС). Используется для входа в личный кабинет организации на сайте ЕГАИС, формирования журнала учета розничных продаж, отправки в систему ЕГАИС документов (акты, чеки, накладные и т.д.).
  • JaCarta-2 PKI/BIO/ГОСТ — устройства, соединяющие в себе реализацию российских и зарубежных криптоалгоритмов, а также возможность биометрической аутентификации пользователя. Позволяют проводить работу с усиленной квалифицированной электронной подписью и аутентифицировать пользователей электронных сервисов. Обеспечивает двух- или трёхфакторную аутентификацию пользователей в локальных информационных ресурсах предприятия.
  • JaCarta PKI/ГОСТ/Flash — устройство для безопасного хранения информации пользователей с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Эта модель используется для электронной подписи, двухфакторной аутентификации, а также для хранения и переноса пользовательских данных. Содержит как открытый, так и защищённый раздел, при этом при подключении к персональному компьютеру автоматически доступен только отрытый раздел, на котором возможно хранение открытых данных пользователя, а также размещено специальное программное обеспечение для безопасного подключения защищенного раздела. Устройство предоставляет возможность хранения конфиденциальной информации на защищённом разделе, недоступном для неавторизованного пользователя.

Форм-факторы

Дополнительное ПО

Единый Клиент JaCarta

Программный комплекс ПК «Единый Клиент JaCarta» — ПО для настройки и работы со всеми моделями USB-токенов и смарт-карт JaCarta.

С его помощью можно:
• установить или изменить PIN-коды пользователя и администратора;
• получить полную информацию о USB-токенах и смарт-картах JaCarta (название, номер модели, серийный номер, хеш-алгоритм электронной подписи, объем свободной памяти и т.д.);
• разблокировать устройство (если несколько раз неправильно был введен PIN-код);
• произвести первичную инициализацию устройства с заданными настройками;
• просмотреть, импортировать или экспортировать хранимые в устройстве объекты (цифровые сертификаты, пароли, лицензии и т.д.);
• провести диагностику работы JaCarta.

Поддерживается работа с известными криптопровайдерами без установки дополнительного ПО, например, с КриптоПро CSP, Signal-COM CSP, ViPNet CSP и др. Возможности ПК «Единый Клиент JaCarta» могут быть расширены при активации платной опции JaCarta SecurLogon.

JaCarta SecurLogon

JaCarta SecurLogon — решение, позволяющее осуществить простой и быстрый переход от однофакторной аутентификации на основе пары логин-пароль к двухфакторной аутентификации при входе в операционную систему и доступе к сетевым ресурсам за счет использования USB-токенов и смарт-карт. Для функционирования JaCarta SecurLogon не нужно закупать дорогостоящее серверное оборудование для развертывания Active Directory и собственного Удостоверяющего центра для выпуска цифровых сертификатов. Вместо них JaCarta SecurLogon генерирует сложные пароли (до 63-х символов), которые записываются в USB-токен или смарт-карту. При этом такие пароли могут быть неизвестны и не видны самим пользователям, им остается лишь запомнить свой простой и короткий PIN-код. Поддержка биометрической аутентификации позволяет заменить ввод PIN-кода сканированием отпечатка пальца. Решение совместимо с операционной системой Windows.

Aladdin SecurLogon

Aladdin SecurLogon — решение, позволяющее осуществить простой и быстрый переход к двухфакторной аутентификации (2ФА) в Linux при входе в операционную систему и доступе к сетевым ресурсам по USB-токенам и смарт-картам JaCarta. Предназначено для быстрой установки и настройки 2ФА в Linux через графический интерфейс. Характеризуется гибкими возможностями настройки и различными сценариями применения. В рамках инфраструктуры открытых ключей (PKI) вход в систему происходит по ключу и сертификату на токене; этот сценарий поддерживает аутентификацию в различных электронных сервисах. В сценарии вне PKI решение генерирует сложные пароли для аутентификации пользователя на автоматизированном рабочем месте.

JaCarta Management System (JMS)


JMS — сертифицированная система централизованного управления жизненным циклом средств аутентификации и электронной подписи (смарт-картами и USB-токенами) JaCarta и аналогичными устройствами других производителей.  Начиная с версии 4.0 поддерживает также работу с защищёнными носителями информации (ЗНИ), средствами безопасной удалённой работы. Существуют версии на базе Windows и Linux.

Применение JMS позволяет автоматизировать типовые операции при работе с USB-токенами и смарт-картами, обеспечить гибкую настройку политик использования средствами информационной безопасности, безопасной удалённой работы, ЗНИ, а также дает возможность централизованно управлять средствами,  которые могут быть использованы для реализации безопасного доступа.

JaCarta Authentication Server (JAS)

JAS — производительный сервер аутентификации для реализации усиленной или строгой двухфакторной/многофакторной аутентификации. Поддерживает работу как с аппаратными OTP- и U2F-токенами, так и с программными OTP/PUSH/SMS-аутентификаторами для мобильных устройств, например, приложений Aladdin 2FA,   Google Authenticator, Яндекс.Ключ. JAS совместим с любыми аппаратными и программными токенами, генерирующими OTP по времени и событию (TOTP/HOTP) согласно RFC 6238/RFC4226), а также любыми U2F-токенами. Поддержка международного стандарта FIDO U2F позволяет построить систему строгой аутентификации без разворачивания инфраструктуры открытых ключей. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, ADFS, с SMS-шлюзами — протоколы HTTP и SMPP.

Характеризуется высокой производительностью – свыше 5,000 аутентификаций в секунду на одном сервере и отказоустойчивостью – возможна работа нескольких серверов JAS в одном кластере.

JC-WebClient

Кроссплатформенное мультибраузерное решение JC-WebClient позволяет использовать смарт-карты и USB-токены JaCarta PRO, JaCarta ГОСТ и JaCarta-2 ГОСТ в веб-приложениях и облачных сервисах для аутентификации и передачи зашифрованных данных между клиентом и сервером. JC-WebClient применяется в системах дистанционного банковского обслуживания (в частности, iSimpleBank[4]), электронных торгов (в частности, B2B-Center), юридически значимого электронного документооборота[10] (в частности, i-Конто) и т. д.

JC-Mobile

JC-Mobile — программный комплекс для организации безопасного доступа к системам и сервисам компании с мобильных устройств. Позволяет обеспечить юридическую значимость подписываемых электронных документов и производимых операций.

Аппаратно-программные устройства

Антифрод-терминал

Антифрод-терминал в зависимости от способа интеграции в прикладное ПО может использоваться:

  • Совместно со средством электронной подписи (USB-токеном, смарт-картой или программным СКЗИ) — для безопасного подтверждения ключевых данных, подписываемых электронных документов и безопасного ввода PIN-кода;
  • Как самостоятельное устройство без использования средств ЭП — для безопасного подтверждения транзакций, намерений пользователя выполнить важные операции в системе и безопасного ввода аутентификационных данных (пароля, кода подтверждения).

Смарт-карты и USB-токены JaCarta ГОСТ могут применяться как с обычными считывателями, так и с «Антифрод-терминалом» — устройством с дисплеем и физической клавиатурой, предназначенным для формирования ЭП в недоверенной[11][12] среде с помощью JaCarta ГОСТ или JaCarta-2 ГОСТ. Ввод PIN-кода на клавиатуре терминала вместо клавиатуры компьютера позволяет исключить возможность его перехвата вредоносными программами. Приложения, использующие устройства JaCarta ГОСТ или JaCarta-2 ГОСТ и «Антифрод-терминал», при подписании электронных документов отображают ключевые поля (или документы целиком) на экране терминала, предлагая пользователю явно подтвердить или отклонить формирование подписи нажатием кнопки на терминале. При этом формируется журнал операций, подписываемый с использованием собственного закрытого ключа терминала (не имеющего отношения к используемому средству электронной подписи). На стороне сервера проверяется не только сформированная с помощью USB-токена или смарт-карты электронная подпись документа, но и подписанный «Антифрод-терминалом» журнал операций. При этом содержимое сообщений, которые пользователь просмотрел на экране терминала при формировании электронной подписи, сопоставляется с содержимым подписанного документа. Документ подлежит исполнению только при условии положительных результатов всех выполненных проверок. Таким образом, предотвращается возможность навязывания подписи со стороны вредоносных[13] программ. Такая защита электронной подписи может быть учтена при страховании рисков удаленных финансовых операций, например при дистанционном банковском обслуживании, что выражается в снижении страховых тарифов[14].

Смарт-карт ридеры

Файл:Смарт-карт ридер JCR721.png
Смарт-карт ридер для работы с любыми типами контактных микропроцессорных смарт-карт.

Для работы с любыми контактными смарт-картами (MCU) стандарта ISO 7816 Part 1-3 Class A, B, C (5V, 3V, 1.8V) используется смарт-карт ридер JCR721 Enterprise-класса, предназначенный для интенсивного использования в офисах, Удостоверяющих центрах (УЦ), МФЦ, медицинских учреждениях, на различных предприятиях. Имеет стандартный USB-разъём Type-A или Type-C.

  • Aladdin SecurBIO Reader[15] — биометрический смарт-кард ридер, предназначенный для использования в УЦ, банках, центрах обслуживания населения (центры госуслуг, госучреждения, медицинские услуги и т.д.), а также на предприятиях, владеющих критически важной информационной инфраструктурой (КИИ) или использующих биометрические способы аутентификации.

Электронное удостоверение


На основе смарт-карт JaCarta выпускаются электронные удостоверения[16] — комбинированные карты, объединяющие функциональные возможности электронного бесконтактного пропуска (за счёт включения RFID-метки), средства доступа в информационную систему, средства электронной подписи, банковской карты, транспортной карты "Тройка" и обычного удостоверения.

Комплекты разработчиков

Для разработчиков системного и прикладного ПО доступны комплекты разработчиков (SDK):
JaCarta SDK[1] — для встраивания устройств JaCarta PKI, JaCarta ГОСТ, JaCarta LT и комбинированных моделей на их основе, а также «Антифрод-терминала» в прикладное ПО.
JaCarta-2 SDK[2] — для встраивания устройств JaCarta-2 ГОСТ и комбинированных моделей на их основе, а также «Антифрод-терминала» в прикладное ПО.
JC-WebClient SDK[3] — для встраивания устройств JaCarta-2 ГОСТ, JaCarta ГОСТ, JaCarta PRO и комбинированных моделей на их основе, а также «Антифрод-терминала» в веб-приложения.
JC-Mobile SDK[4] — для встраивания устройств JaCarta PKI, JaCarta ГОСТ и комбинированных моделей на их основе в мобильные приложения на платформах Apple iOS и Android.
JMS SDK[5] — для разработки коннекторов к удостоверяющим центрам и хранилищам данных пользователей, а также интеграции JMS с другими корпоративными системами.

Сертификаты ФСТЭК и ФСБ

Сертификаты ФСТЭК России[17]:

Продукт Сертификат Уровень
контроля НДВ
ИСПДн ГИС АС
JaCarta LT № 2799
№ 3449

№4446

4 1 1 1
JaCarta PKI № 2799
№ 3449

№4446

4 1 1 1
JaCarta PRO № 2799
№ 3449

№4446

4 1 1 1
JaCarta-2 ГОСТ №4446 4 1 1 1
JaCarta PKI/BIO №4446 4 1 1 1
JaCarta-2 PKI/ГОСТ №4446 4 1 1 1
JaCarta-2 PKI/BIO/ГОСТ №4446 4 1 1 1
JaCarta-2 PKI/ГОСТ/Flash №4446 4 1 1 1
«Единый Клиент JaCarta» № 2799
№ 3449

№4446

4 1 1 1
JaCarta WebPass №4446 4 1 1 1
JaCarta Management System №4411 4 1 1 1
JaCarta Management System 4LX Linux №4516 4 1 1 1
JaCarta SecurLogon № 3575

№4446

4 1 1 1

Сертификаты ФСБ России[17]:

Продукт Сертификат СКЗИ
JaCarta ГОСТ СФ-111/2750
JaCarta-2 ГОСТ СФ-124/3956 КС1, КС2
JaCarta SF/ГОСТ СФ-124/3956 КС1, КС2
JaCarta-2 SE СФ-124/3956 КС1, КС2
JaCarta-2 PKI/ГОСТ СФ-124/3956 КС1, КС2
JaCarta-2 PKI/BIO/ГОСТ СФ-124/3956 КС1, КС2
JaCarta-2 PRO/ГОСТ СФ-124/3956 КС1, КС2
JaCarta-2 PKI/ГОСТ/Flash СФ-124/3956 КС1, КС2

Конкурирующие продукты

Продукты семейства JaCarta Конкурирующие продукты
JaCarta PKI, JaCarta PRO eToken PRO (Java), Feitian PKI card, IDProtect LASER, Gemalto IDCore, Safenet eToken 4100, 5100 и 5200,
Рутокен ЭЦП PKI, Рутокен ЭЦП SC, Entrust USB Tokens, Eutron CryptoIdentity, Feitian ePass 1000Auto и 2003,
HID ActivID ActivKey SIM USB Token, Kobil mIDentity 4smart office, Vasco Digipass Key 101
JaCarta PKI/BIO IDProtect LASER c Biometric Match-On-Card
JaCarta LT Ms Key, Рутокен Lite, Рутокен S, Рутокен Lite micro, Рутокен S micro
JaCarta ГОСТ, JaCarta-2 ГОСТ iBank 2 Key, ПСКЗИ «Шипка», Рутокен ЭЦП, Рутокен ЭЦП 2.0, Рутокен ЭЦП 2.0 micro, Рутокен ЭЦП 2.0 Touch
JaCarta U2F Yubikey
JaCarta WebPass eToken NG-OTP
JMS Рутокен KeyBox, Indeed Card Management, SafeNet Authentication Manager, Avanpost PKI, ActivID CMS
JAS SafeNet Authentication Manager, SafeNet Authentication Service
JC-WebClient Рутокен Плагин

Интересные факты

Столица Индонезии, имя которой фонетически неразличимо с JaCarta, расположена на острове Ява, давшем название одноимённому сорту кофе, в честь которого, в свою очередь, назван язык программирования Java, на котором основана технология Java Card, используемая в продуктах JaCarta.

Примечания

Шаблон:Примечания

Ссылки

См. также

  • CryptoCard — смарт-карты украинской компании «АВТОР»
  • eToken — персональные средства аутентификации американской компании SafeNet
  • Kaztoken — USB-брелоки казахстанской компании «Цифровой Поток»
  • Рутокен — USB-брелоки и смарт-карты российской компании «Актив»