Рутокен ЭЦП 3.0 Bluetooth

Рутокен ЭЦП 3.0 Bluetooth 8100 — новое устройство в линейке третьего поколения, ориентированной на удобную беспроводную работу на мобильных устройствах под управлением операционных систем iOS, iPadOS, Android.

Функции устройства доступны по двум интерфейсам: традиционному контактному (USB Type-C) и беспроводному (Bluetooth Low Energy). Использование современного стандарта беспроводного подключения к мобильным телефонам и планшетам позволяет работать с устройствами Рутокен ЭЦП 3.0 Bluetooth в течение нескольких месяцев без подзарядки.

Рутокен ЭЦП 3.0 Bluetooth является полнофункциональным устройством линейки Рутокен ЭЦП 3.0. В токене аппаратно реализованы криптографические алгоритмы: ГОСТ Р 34.10-2012 с длинами ключей 256 и 512 бит, ГОСТ Р 34.11-2012, новые симметричные шифры Магма и Кузнечик, а также международные алгоритмы электронной подписи RSA и ECDSA. Криптографические операции выполняются без копирования ключа в память компьютера.

Мобильное рабочее место

Наличие беспроводного канала позволяет получить полноценное рабочее место на телефоне или планшете c iOS, iPadOS или Android. Высокая автономность, небольшие размеры устройства и использование Bluetooth LE позволяют сделать работу с устройством максимально удобной.

Для каждого нового мобильного устройства необходимо один раз реализовать процедуру сопряжения, при дальнейшей работе с этими устройствами не надо будет выполнять дополнительных настроек, в том числе включать Рутокен или подтверждать ЭП. Другими словами, электронную подпись на телефоне можно выполнить, не доставая Рутокен ЭЦП 3.0 Bluetooth из своего кармана. Если с привязанным токеном не работать в течение некоторого времени, устройство переходит в спящий режим для экономии энергии и самостоятельно «просыпается» при обращении к нему.

Заряжать токен можно, подключив к USB-источнику питания (компьютеру или зарядному устройству). Во время зарядки возможно работать с устройством как по контактному подключению, так и по Bluetooth LE.

Встраивание

Рутокен ЭЦП 3.0 Bluetooth, при подключении по контактному интерфейсу, не требует доработок программного обеспечения, уже поддерживающего работу с устройствами линеек Рутокен ЭЦП 2.0 и 3.0.

В ПО Рутокен реализован процесс подключения токена по Bluetooth LE, для встраивания поддержки устройства в приложения необходимо реализовывать только бизнес-логику. В аккаунте Компании «Актив» на GitHub есть примеры встраивания токена в мобильные приложения в исходных кодах: банк-клиент (Рутокен Демобанк), а также приложение для подписания допусков к работе сотрудников (Рутокен Демосмена).

Аутентификация
  • Аутентификация пользователей в сети, на веб-ресурсах, в приложениях, при удаленном доступе на мобильном устройстве или ПК.
  • Замена парольной аутентификации при доступе к БД, веб-серверам, VPN-сетям и security-ориентированным приложениям на двухфакторную программно-аппаратную аутентификацию.
  • Аутентификация при доступе к почтовым серверам, серверам баз данных, веб-серверам, файл-серверам.
  • Надежная аутентификация при удаленном администрировании и т. п.
Электронная подпись
  • Электронная подпись на мобильном устройстве или компьютере.
  • Аппаратная реализация электронной подписи.
Безопасное хранение ключевой информации
  • Шифрование документов и почты на мобильных устройствах или ПК.
  • Использование ключевой информации для выполнения криптографических операций на самом устройстве без возможности выдачи наружу закрытой ключевой информации.
  • Сгенерированные на токене ключи не могут быть скопированы.
  • При утере или краже безопасность не нарушается: для доступа к информации требуется PIN-код.
Защита персональных данных
  • Защита электронной переписки: шифрование почты, электронная подпись почтовых отправлений.
  • Защита доступа к компьютеру и в домен локальной сети.
  • Возможность шифрования данных на дисках.
Корпоративное использование
  • Использование в качестве интеллектуального ключевого носителя в разнообразных информационных системах, использующих технологии электронной подписи.
  • Использование в качестве полноценного устройства шифрования и электронной подписи в криптографических сервис-провайдерах, системах защищенного документооборота, в ПО для шифрования логических дисков и т. д.
  • Использование в корпоративных системах для надежного хранения служебной информации, персональной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой конфиденциальной информации.
  • Использование в качестве единого идентификационного устройства для доступа пользователя к разным элементам корпоративной системы.
Аппаратные криптографические возможности
  • ГОСТ Р 34.10-2001 генерация ключевых пар с проверкой качества, формирование и проверка электронной подписи, срок действия закрытых ключей до 3-х лет.
  • ГОСТ Р 34.10-2012/ГОСТ 34.10-2018 (256 и 512 бит): генерация ключевых пар с проверкой качества, формирование и проверка электронной подписи, срок действия закрытых ключей до 3-х лет.
  • ГОСТ Р 34.11-94: вычисление значения хеш-функции данных, в том числе с возможностью последующего формирования ЭП.
  • ГОСТ Р 34.11-2012/ГОСТ 34.11-2018 (256 и 512 бит): вычисление значения хеш-функции данных, в том числе с возможностью последующего формирования ЭП.
  • ГОСТ 28147-89: генерация ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ).
  • ГОСТ Р 34.12-2015/ГОСТ 34.12-2018 (Кузнечик): генерация и импорт ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ).
  • ГОСТ Р 34.12-2015/ГОСТ 34.12-2018 (Магма): генерация и импорт ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ).
  • Выработка сессионных ключей (ключей парной связи):
    • по схеме VKO GOST R 34.10-2001 (RFC 4357);
    • по схеме VKO GOST R 34.10-2012 (RFC 7836);
    • расшифрование по схеме EC El-Gamal.
  • RSA: поддержка ключей размером 1024, 2048, 4096 бит, генерация ключевых пар с настраиваемой проверкой качества, импорт ключевых пар, формирование электронной подписи.
  • ECDSA с кривыми secp256k1 и secp256r1: генерация ключевых пар с настраиваемой проверкой качества, импорт ключевых пар, формирование электронной подписи.
  • Генерация последовательности случайных чисел требуемой длины.
Возможности аутентификации владельца
  • Двухфакторная аутентификация: по предъявлению самого идентификатора и по предъявлению уникального PIN-кода.
  • Поддержка трех категорий владельцев: Администратор, Пользователь, Гость.
  • Поддержка двух глобальных PIN-кодов: Администратора и Пользователя.
  • Поддержка локальных PIN-кодов для защиты конкретных объектов (например, контейнеров сертификатов) в памяти устройства.
  • Настраиваемые аппаратные политики качества PIN-кодов, обрабатываются микропрограммой при соответствующих операциях.
  • Устанавливаются при форматировании, опционально могут изменяться позднее по PIN-коду Администратора;
  • Варианты политик:
    • Ограничение минимальной длина PIN-кода.
    • Ограничение использования PIN-кода по умолчанию.
    • Запрет PIN-кода, состоящего из одного повторяющегося символа.
    • Независимые требования по наличию в PIN-коде: прописных, строчных букв латинского и русского алфавитов, цифр, специальных символов.
    • Запоминание до 10 устанавливаемых значений PIN-кода, и возможность запрета установки ранее использованного PIN-кода.
  • Поддержка комбинированной аутентификации: по схеме «Администратор или Пользователь» и аутентификация по глобальным PIN-кодам в сочетании с аутентификацией по локальным PIN-кодам.
  • Создание локальных PIN-кодов для дополнительной защиты части ключевой информации, хранящейся на USB-токене. Возможность одновременной работы с несколькими локальными PIN-кодами (до 7 штук).
  • Ограничение числа попыток ввода PIN-кода.
  • Индикация факта смены глобальных PIN-кодов с PIN-кодов по умолчанию на оригинальные.
Файловая система
  • Встроенная файловая структура по ISO/IEC 7816-4.
  • Число файловых объектов внутри папки — до 255 включительно.
  • Использование File Allocation Table (FAT) для оптимального размещения файловых объектов в памяти.
  • Уровень вложенности папок ограничен объемом свободной памяти для файловой системы.
  • Хранение закрытых и симметричных ключей без возможности их экспорта из устройства.
  • Использование Security Environment для удобной настройки параметров криптографических операций.
  • Использование файлов Rutoken Special File (RSF-файлов) для хранения ключевой информации: ключей шифрования, сертификатов и т. п.
  • Использование предопределенных папок для хранения разных видов ключевой информации с автоматическим выбором нужной папки при создании и использовании RSF-файлов.
  • Возможность изменения политики смены PIN-кода пользователя. Смена может быть доступна Пользователю, Администратору или обеим ролям одновременно.
Интерфейсы
  • Поддержка протокола обмена ISO/IEC 7816-12.
  • Поддержка Bluetooth Low Energy 5.0.
  • Поддержка USB CCID: работа без установки драйверов устройства в современных версиях настольных ОС.
  • Поддержка PC/SC.
  • Microsoft Crypto API.
  • Microsoft SmartCard API.
  • PKCS#11 (включая российский профиль).
Встроенный контроль и индикация
  • Контроль целостности микропрограммы (прошивки) Рутокен ЭЦП.
  • Контроль целостности системных областей памяти.
  • Проверка целостности RSF-файлов перед любым их использованием.
  • Счетчики изменений в файловой структуре и изменений любых PIN-кодов для контроля несанкционированных изменений.
  • Проверка правильности функционирования криптографических алгоритмов.
Общие характеристики
  • Современный защищенный микроконтроллер.
  • Идентификация с помощью 32-битного уникального серийного номера.
  • Поддержка операционных систем по проводному подключению:
    • Microsoft Windows 11/10/8.1/2019/2016/2012R2/8/2012/7/2008R2
    • GNU/Linux, в том числе отечественные
    • Apple macOS 10.9 и новее
  • По беспроводному подключению:
    • Android 10 и новее
    • iOS 13 и новее (iPhone XR, XS, XS Max и новее)
    • iPadOS 13 и новее
  • EEPROM память 256 КБ.
  • Интерфейс USB 1.1 и выше.
  • Размеры 50х40х8.4мм.
  • Масса 13 г.
Специальные возможности
  • Возможность создания специальной неудаляемой ключевой пары устройства.
  • Ведение неубывающего счетчика операций электронной подписи.
  • Доверенное считывание значения неубывающего счетчика, подтвержденное электронной подписью.
  • Журналирование операций электронной подписи, фиксация критических параметров электронной подписи и окружения.
  • Доверенное получение журнала операций, подтвержденное электронной подписью.
Дополнительные возможности
  • Готовится интеграция с СКЗИ «КриптоПро CSP 5.0 R3» и новее по протоколу защиты канала SESPAKE (ФКН2) для контактного и беспроводного подключений.
  • Собственный CSP со стандартным набором интерфейсов и функций API.
  • Возможность интеграции в smartcard-ориентированные программные продукты.
  • Minidriver для интеграции с Microsoft Base Smart Card Cryptographic Service Provider.