Базовые технологии

В основе линейки Рутокен лежат программно-аппаратные решения. Многообразие сфер применения и различных способов использования продукции Рутокен имеет в основе совокупность технологий, обеспечивающих как возможность работы самих устройств, так и их коммуникации с внешним миром. Эти технологии представляют собой реализации стандартизованных процессов, характерных для информационных систем, использующих элементы информационной безопасности и защиты информации, в том числе и криптографической. К базовым технологиям относятся реализация криптографических алгоритмов и протоколов, операционная и файловая система Рутокен, а также способы взаимодействия с приложениями и пользователями.

Микропроцессорная технология

Сердцем и мозгом основных продуктов линейки Рутокен служат 32-разрядные высокопроизводительные микропроцессоры архитектуры ARM. Благодаря значительной вычислительной мощности процессора ресурсоемкие вычисления, такие как генерация ключевых пар, вычисление и проверка электронной подписи выполняются достаточно быстро, несмотря на отсутствие специальных ускорителей криптографических операций.

На скорость вычислений также оказывает влияние тот факт, что вся микропрограмма устройств Рутокен реализована на компилируемом языке, который в отличие от, например, Java дает гораздо больше возможностей по оптимизации. В аппаратных решениях Рутокен используются современные защищенные микроконтроллеры с большим объемом энергонезависимой памяти для хранения пользовательских данных.

Операционная система Рутокен

Работоспособность смарт-карт и токенов, как их разновидности, обеспечивается специальной операционной системой. В мире существует относительно небольшое количество таких систем: как правило, своя операционная система имеется у производителей чипов смарт-карт, крупных производителей которых насчитывается около десятка. Системы можно разделить на две группы: ОС с фиксированной файловой системой и ОС с динамической загрузкой приложений. ОС Рутокен по такой классификации относится к ОС с фиксированной файловой системой, поскольку загрузка приложений в нее не предусмотрена.

Операционная система отвечает за обработку команд, работу с файловой системой, оперативной памятью, выполнение «приложений». Приложениями в данном случае, например, можно считать криптографические алгоритмы. Для обеспечения совместимости с приложениями операционные системы смарт-карт должны соответствовать определенным стандартам, регламентирующим систему команд, файловую систему и т.п. Основной международный стандарт ISO/IEC 7816-4, которому соответствует и операционная система Рутокен.

Система команд

Карточная операционная система имеет мало общего с операционной системой в обычном понимании, поскольку, например, не имеет средств для интерактивного взаимодействия с пользователем. Взаимодействие со смарт-картами и токенами возможно через специальную систему команд. Команды формируются пользовательскими приложениями или терминалами. В ответ на команды токен производит различные операции и формирует ответы. Команды и ответы составляют протокол, который называется APDU (Application Protocol Data Unit). Стандарт APDU определен в ISO/IEC 7816-4. Протоколы карт различных производителей как правило составляют определенное подмножество этого стандарта.

Файловая система

Как и любая другая, файловая система Рутокен является частью ОС, предназначенной для хранения данных и обеспечения доступа к ним, а также разграничения прав. Файловая система регламентируется тем же стандартом ISO/IEC 7816-4. Особенность файловой системы токена состоит в том, что различные виды данных хранятся в различных типах объектов, содержащих кроме всего прочего атрибуты безопасности. Окружение безопасности (Security Environment) используется для удобной настройки параметров криптографических операций. Для хранения ключевой информации: ключей шифрования, сертификатов и т.п. используются файлы Rutoken Special File (RSF-файлы). Разные виды ключевой информации хранятся в предопределенных папках с автоматическим выбором нужной папки при создании и использовании RSF-файлов.

Аутентификация пользователей токена

  • Поддержка 3-х категорий владельцев: Администратор, Пользователь, Гость.
  • Поддержка 2-х Глобальных PIN-кодов: Администратора и Пользователя.
  • Поддержка Локальных PIN-кодов для защиты конкретных объектов (например, контейнеров сертификатов) в памяти устройства.
  • Настраиваемый минимальный размер PIN-кода (для любого PIN-кода настраивается независимо).
  • Поддержка комбинированной аутентификации: по схеме «Администратор или Пользователь» и аутентификация по Глобальным PIN-кодам в сочетании с аутентификацией по Локальным PIN-кодам.
  • Индикация факта смены Глобальных PIN-кодов по умолчанию на оригинальные.

Криптографические операции

Современные модели аппаратных устройств Рутокен кроме хранения данных и ключевой информации способны выполнять ряд криптографических алгоритмов, в число которых входят:

  • Поддержка алгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.10-2001: генерация ключевых пар, формирование и проверка электронной подписи.
  • Поддержка алгоритмов ГОСТ Р 34.11-2012 и ГОСТ Р 34.11-94: вычисление значения хэш-функции данных, в том числе с возможностью последующего формирования электронной подписи.
  • Поддержка алгоритма ГОСТ 28147-89: генерация и импорт ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ).
  • Выработка сессионных ключей (ключей парной связи) по схемам VKO GOST R 34.10-2001 (RFC4357) и VKO GOST R 34.10-2012.
  • Генерация последовательности случайных чисел требуемой длины.
  • Поддержка алгоритма RSA, с ключами до 2048 бит.

Рутокен ЭЦП и Рутокен PINPad позволяют осуществлять механизм электронной подписи так, чтобы закрытый ключ подписи никогда не покидал пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.

Двухфакторная аутентификация

Одно из основных применений USB-токенов и смарт-карт — строгая двухфакторная аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В случае с USB-токенами Рутокен или TrustScreen-устройствами Рутокен PINPad первым фактором аутентификации выступает сам токен или устройство, а вторым фактором PIN-код, который необходим для доступа к ним.

Middleware

Определяющим фактором успешной интеграции решений Рутокен в приложения можно назвать программное обеспечение промежуточного уровня, также называемое middleware. В большинстве случаев конечный пользователь не сталкивается с ним непосредственно, но без него невозможна работа устройств Рутокен со всевозможными приложениями, оперирующими со смарт-картами и токенами через широко используемые интерфейсы. В нашем случае к middleware можно отнести:

  • библиотеки, реализующие интерфейс с Рутокен по стандарту PKCS#11 в различных операционных системах (подробнее о PKCS#11 можно прочитать на Портале документации Рутокен),
  • Рутокен CSP и Рутокен MiniDriver, дающие возможность задействовать Microsoft Crypto API (MS CAPI) и стандартные функции Windows для работы со смарт-картами.
  • Рутокен Плагин — кроссплатформенный и мультибраузерный плагин, который позволяет работать с аппаратной реализацией российских криптоалгоритмов в устройствах Рутокен из контекста браузера.

Поддержка различных стандартов middleware позволят производителям систем информационной безопасности и интеграторам легко встраивать технологии Рутокен в свои решения.

Интерфейс USB

USB на сегодняшний день является основным способом подключения всевозможных устройств к компьютерам. Надежность, простота использования, высокая скорость, универсальность и возможность «горячего» переподключения устройств определяют широчайшую распространенность этого интерфейса: от серверов до мобильных устройств. Поддержка USB присутствует практически в любой современной операционной системе. Поэтому вполне естественно, что устройства Рутокен используют именно этот интерфейс в различных его вариантах.

  • USB CCID
    Спецификация USB CCID (Chip Card Interface Devices) широко используется для считывателей смарт-карт, подключаемых через интерфейс USB. Большое количество приложений использует драйверы USB CCID, входящие в состав операционных систем, что решает проблемы совместимости и поддержки пользователей. Реализации этого драйвера имеются практически во всех широко используемых операционных системах. Основные модели Рутокен работают на основе этой спецификации.
  • USB HID
    Интерфейс USB HID не типичен для токенов и считывателей смарт-карт, но поскольку драйвер USB HID присутствует практически во всех современных операционных системах, он был использован для идентификаторов Рутокен Web. Применение этого интерфейса позволяет сделать Рутокен Web работоспособным почти на любых платформах. Пользователю не нужно беспокоиться об установке каких-либо дополнительных драйверов, что снижает риски возникновения технических проблем и сильно удешевляет техническую поддержку.

TrustScreen

Технология TrustScreen призвана повысить безопасность он-лайн операций в дистанционном банковском обслуживании (ДБО) и других ответственных приложениях. Ее задача состоит в защите от подмены злоумышленником подписываемого документа или его хэша в процессе подписи, а также от выполнения несанкционированных операций в случае успешного перехвата PIN-кода. Технология делает возможным визуальный контроль подписываемых данных, которые отображаются на экране устройства непосредственно перед подписью. Все значимые операции над отправленными на подпись данными производятся «на борту» устройства:

  • визуализация документа на экране с целью контроля корректности,
  • вычисление хэша документа,
  • подпись хэша документа производится на неизвлекаемом ключе,
  • ввод PIN-кода или команды подтверждения подписи, минуя клавиатуру компьютера.

Технология TrustSreen реализована в продукте Рутокен PINPad.

Клиенты и партнеры

  • Анкад
  • Минздрав России
  • КРИПТО-ПРО
  • СКБ Контур
  • ЦентрИнформ
  • НУЦ
  • Код Безопасности
  • Код Безопасности
  • Сигнал КОМ
  • ИнфотекС
  • Альфа Директ
  • Электронная Москва
  • Digital Design
  • Тензор
  • Депо
  • Связной
  • Банк Нордеа
  • БелИнфоНалог
  • Татарстан

Карта сайта