eToken ГОСТ

Персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, предназначенное разработчикам систем дистанционного банковского обслуживания, электронных торгов, сдачи налоговой отчетности для встраивания в клиентскую часть, а также разработчикам СКЗИ для обеспечения надёжной защиты закрытых ключей и аппаратной реализации ЭЦП.

Находится на сертификационных испытаниях в ФСБ России как средство криптографической защиты информации.

Пользователи систем дистанционного банковского обслуживания уже оценили преимущества предоставляемых им электронных сервисов. Простота, мобильность, надежность и оперативность управления счетами обеспечивают высокий уровень доверия пользователей к банкам.

Кроме этого, системы ДБО позволяют кредитным организациям существенно сократить расходы на обслуживание клиентов. Вместе с тем, предоставляя электронные сервисы, банки сталкиваются с необходимостью обеспечения высокого уровня защищенности дистанционных банковских операций и данных своих клиентов.

Компания Аладдин представляет такое средство повышения защищенности сервисов ДБО - электронный ключ eToken ГОСТ с возможностью формирования электронно-цифровой подписи (ЭЦП) на основании российского законодательства.

Применение

Электронный ключ eToken ГОСТ рекомендуется для использования на стороне клиента (пользователя):

в системах дистанционного банковского обслуживания (ДБО);
в системах электронных торгов;
в системах сдачи электронной отчетности через Интернет и др.;
в Web-приложениях, где требуется квалифицированная электронно-цифровая подпись (ЭЦП) документов.

Возможности

Электронные USB-ключи и смарт-карты eToken ГОСТ выполнены на базе нового поколения токенов - eToken Java, которые имеют открытую архитектуру и возможность добавления требуемой функциональности путем загрузки в ключ Java-апплета (например, реализующего функции "электронного кошелька" и пр.). Ключевые возможности eToken ГОСТ:

Двухфакторная аутентификация пользователей
Поддержка Java-апплетов
Увеличенный объем защищенной памяти
Работа без установки драйвера eToken PKI Client
Возможность централизованного управления

Эксклюзивные особенности

Возможность работы на разных платформах с большинством современных операционных систем семейств Microsoft Windows, MacOS X, Linux и их клонах.
Наличие нескольких вариантов исполнения - USB-ключ, смарт-карта, комбинированный USB-ключ с генератором одноразовых паролей или модулем Flash-памяти.
Высокая защищенность чипа и наличие сертификатов Common Criteria EAL4+, VISA, CAST, USB 2.0.
Соответствие российскому законодательству.

Основные характеристики

Аппаратная реализация российских криптографических алгоритмов и протоколов;
Доступная энергонезависимая защищенная память для хранения пользовательских сертификатов, ключей, профилей и других данных, а также для загрузки исполняемых внутри ключа Java-апплетов.
Возможность безопасного хранения в одном физическом ключе практически неограниченного количества секретных ключей ЭЦП.
Уникальный неизменяемый идентификационный номер (ID) ключа.
Ключ eToken ГОСТ спроектирован в соответствии с требованиями ФСБ России к шифровальным криптографическим средствам по уровню КС2, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну; находится в процессе сертификационных испытаний.

Соответствие российскому законодательству

Применение электронных USB-ключей и смарт-карт eToken ГОСТ с аппаратной реализацией электронно-цифровой подписи (ЭЦП) обеспечивает выполнение следующих требований:

Ст. 12 Федерального закона № 1-ФЗ от 10 января 2002 года "Об электронной цифровой подписи", согласно которой к обязательствам владельца сертификата ключа подписи, в частности, относится сохранение в тайне закрытого ключа ЭЦП.
Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы Удостоверяющих центров общероссийского государственного информационного центра (утвержденных Приказом №41 от 23 марта 2009 года Министерства связи и массовых коммуникаций РФ).
Стандарта Банка России СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", в части обеспечения идентификации, аутентификации, авторизации, управления доступом, контроля целостности информационного обмена.
Стандарта безопасности данных индустрии платежных карт (PCI DSS).

Варианты исполнения

eToken ГОСТ выпускается в двух базовых форм-факторах - смарт-карты и USB- ключа. Для использования смарт-карты можно применять любой карт-ридер, в том числе встроенный в компьютер или в клавиатуру. Возможен выпуск комбинированных USB-ключей с дополнительным модулем Flash-памяти или генератором одноразовых паролей.

Встроенная RFID-метка

В ключ eToken ГОСТ может быть имплантирована радиочастотная метка (RFID), используемая на предприятиях в системах контроля и управления доступом (СКУД) в помещения, учета рабочего времени сотрудников и пр.

Заказное исполнение

USB-ключи могут быть изготовлены на заказ в корпусах разного цвета, с объемным или напечатанным логотипом заказчика.

Смарт-карты могут поставляться как в виде "белого пластика" для самостоятельной печати на них, так и с высококачественной полноцветной печатью по согласованному дизайну.

Визуальная идентификация

Каждый ключ имеет уникальный серийный номер, "прошитый" в чипе. Для удобства учета и визуальной идентификации этот номер печатается на боковой поверхности корпуса ключа. Удаление номера без видимых повреждений невозможно.

Технические подробности

Архитектура

Электронные USB-ключи и смарт-карты eToken ГОСТ выполнены на базе нового поколения электронных ключей eToken Java, которые имеют открытую архитектуру и возможность добавления требуемой функциональности путем загрузки в ключ Java-апплета (например, реализующего функции "электронного кошелька" и пр.).

Основными компонентами eToken ГОСТ являются:

Защищенный высокоскоростной однокристальный микроконтроллер Atmel AT90SC25672RCT cо встроенными контроллерами ISO 7816 (для смарт-карт) или USB 2.0 (для USB-ключей).
Операционная среда, соответствующая открытым спецификациям для смарт-карт Java Card Platform Specification 2.2.1 и Global Platform 2.2.
Апплет "Криптотокен", реализующий российские криптографические алгоритмы и протоколы.

Микроконтроллер выполнен на базе специализированной secureAVR® RISC-архитектуры и имеет эффективные встроенные средства противодействия известным физическим, логическим, переборным, стрессовым и другим атакам в соответствии с требованиями Профиля защиты для смарт-карт (Smart Card Protection Profile - SCSUG-SCPP).

Для быстрого выполнения операций с большими числами используется специализированный 32-разрядный сопроцессор и пакет модульной арифметики и базовых операций над полем эллиптических кривых (ECC).

Микроконтроллер имеет аппаратный датчик случайных чисел (RNG), встроенные интерфейсы USB 2.0 (Full-speed, 480 Мб/сек) и контроллер ISO 7816 (со скоростью ввода-вывода 625Кб/сек), а также защищенную EEPROM-память для хранения пользовательских данных, расположенную на кристалле микроконтроллера.

Надежность

За счет использования однокристального специализированного eToken ГОСТ достигаются уникальные эксплуатационные показатели: повышенную надежность и время наработки на отказ, пониженное энергопотребление и тепловыделение, высокую степень защиты от пробоя статическим электричеством, повышенный ресурс и надежность хранения данных в EEPROM-памяти (не менее 500,000 циклов чтения-записи и 10 лет хранения).

Интерфейсы

Для взаимодействия Web- и других приложений с ключом eToken ГОСТ могут использоваться различные программные интерфейсы.

Основным высокоуровневым интерфейсом является PKCS#11 версии 2.30 (включающей расширения для российских криптографических алгоритмов).
Для защиты сообщений и файлов произвольного формата и использования всех возможностей PKI (работа с цифровыми сертификатами X.509, списками отозванных сертификатов, штампами времени) могут использоваться сертифицированные библиотеки, позволяющие делегировать функции ЭЦП ключу eToken ГОСТ.
Низкоуровневый интерфейс (система APDU-команд) позволяет использовать eToken ГОСТ на любых платформах и операционных системах (Windows 32/64-бит, Linux 32/64-бит, Mас OS X и др.), а также для аутентификации пользователя до загрузки операционной системы рабочей станции - в приложениях типа "электронный замок" и аппаратных модулях доверенной загрузки.

Спецификация eToken ГОСТ

Микросхема смарт-карты	Atmel AT90SC25672RCT cо встроенными контроллерами ISO 7816 (для смарт-карт) или USB 2.0 (для USB-ключей)
Операционная система смарт-карты	Athena OS755, встроенная виртуальная машина Java (полностью совместимая со стандартами Java Card Platform Specification 2.2.1 и Global Platform 2.2)
Поддерживаемые интерфейсы и стандарты	PKCS#11 версии 2.30, Microsoft CryptoAPI, PC/SC, Сертификаты X.509 v3, SSL v3, IPSec/IKE, Microsoft CCID, eToken Minidriver
Аппаратно-реализованные алгоритмы	ГОСТ Р 34.10-2001 (генерация ключевых пар, формирование и проверка электронной цифровой подписи), ГОСТ Р 34.11-94 (вычисление значения хэш-функции), ГОСТ 28147-89 (зашифрование/расшифрование блоков данных, вычисление имитовставки), генерация последовательности случайных чисел; выработка ключа парной связи по алгоритму Диффи-Хеллмана согласно RFC 4357.
Объем защищенной памяти	72 КБ на микросхеме смарт-карты
Модели	USB-ключ eToken ГОСТ, Смарт-карта eToken ГОСТ, Комбинированный USB-ключ eToken ГОСТ/FLASH с дополнительным модулем Flash-памяти, Комбинированный USB-ключ eToken ГОСТ/OTP с генератором одноразовых паролей
Возможность встраивания радио-метки (RFID)	Есть
Поддерживаемые операционные системы	Microsoft Windows XP/2003/Vista/2008 (32/64-бит), MacOS X (RISC, Intel), Linux (SuSE, RedHat, Ubuntu)
Поддерживаемые версии драйвера	eToken PKI Client 4.55 и выше
Поддерживаемые версии комплекта разработчика	eToken ГОСТ SDK

Поддерживаемые платформы и интерфейсы

Для встраивания eToken ГОСТ могут использоваться следующие программные интерфейсы:

PKCS#11 (расширение для использования российских криптографических алгоритмов) позволяет использовать eToken ГОСТ в приложениях на на платформах Windows, Linux и Mac OS.
Система APDU-команд позволяет использовать eToken ГОСТ в приложениях для любых платформ и операционных систем (Windows 32/64-бит, Linux 32/64-бит, Mас OS X и др.), а также для аутентификации пользователя до загрузки операционной системы рабочей станции - в приложениях типа "электронный замок", аппаратных модулях доверенной загрузки и пр.
Java Cryptographic Provider (JCP) - для взаимодействия с приложениями, написанными на языке Java (находится в стадии разработки).

Операционная система	Windows	Linux	Mac OS X
* - в стадии разработки + - поддерживается
Интерфейсы программирования
PKCS#11	+	+	+
Java Cryptographic Provider (JCP)	*	*	*
APDU	+	+	+
Примеры исходных текстов программ	+	*	*

Системные требования

Операционная система: Microsoft Windows XP/Vista/7/Server 2003, Linux, Mac OS
Среда разработки Microsoft Visual Studio 2005/2008 (для сборки примеров на языке C в среде Windows)
10 МБ свободного места на жестком диске
Свободный порт USB, разъем типа A

Состав

В состав eToken ГОСТ SDK входит:

Программный CD-ROM, содержащий следующие материалы:
- Модуль сопряжения PKCS#11
- Примеры исходных текстов программ на языках программирования Java, С
- Описание программного интерфейса модуля сопряжения PKCS#11
- Описание системы APDU-команд
- Утилиту для передачи APDU-команд
- CCID-драйвера для поддержки устройств eToken
- Справочная информация по спецификации CCID, Java Card Runtime Environment, Global Platform
- Утилиту администрирования eToken ГОСТ
2 USB-ключа eToken ГОСТ