Ключевой носитель (или криптоключ) служит для хранения контейнеров с секретными ключами и сертификатами владельца электронной подписи. Рассмотрим его особенности и разновидности.
Чтобы защищать информацию, сертифицированные ключевые носители обладают следующими свойствами:
- Высокая износоустойчивость. Персональный ключ электронной подписи, записанный на такой носитель, устойчив к физическим повреждениям, не портится и не ломается при длительной эксплуатации.
- Защита паролем. Получить доступ к контейнеру с ключом получится, только если ввести пароль.
Что такое аппаратный криптоключ JaCarta для ЕГАИС?
JaCarta — это обновленная, более современная линейка USB-, MicroUSB-, Secure MicroSD-токенов и смарт-карт. Они служат для создания электронной подписи, обладают более строгой аутентификацией и обеспечивают безопасное хранение ключей и цифровых сертификатов.
Оба вида носителей JaCart выпускает российская компания «Аладдин Р.Д.»:
JaCarta ГОСТ | JaCarta PKI |
Это единственное персональное средство усиленной квалифицированной подписи с не извлекаемым ключом электронной подписи. Технология соответствует требованиям федерального закона 63-ФЗ и Приказу ФСБ № 796 к средствам электронной подписи. Приложение «ГОСТ» позволяет формировать квалифицированную электронную подпись с помощью сертифицированных российских криптографических алгоритмов ГОСТ Р34.10-2001, ГОСТ 28147-89 и ГОСТ Р34.11-94. Алгоритмы реализованы на самом устройстве, ключ подписи никогда не покидает токен. Это повышает безопасность использования электронной подписи, так как ее нельзя скопировать или использовать без ведома владельца. |
Это PKI-токены для строгой аутентификации (двух- или трехфакторной) пользователей в корпоративных системах, безопасного хранения ключевых контейнеров, сертификатов и т д. Приложение «PKI» используется для строгой 2-х или 3-х факторной аутентификации пользователей в различных информационных системах. |
JaCarta для ЕГАИС сочетает в себе возможности обоих видов — PKI и ГОСТ, а также включает третье приложение — SE. Это приложение внутри токена реализует фискальные функции, то есть считает количество операций, совершенных с приложением «ГОСТ» и ведет их журнал.
У JaCarta PKI/ГОСТ SE есть альтернатива. Авторизоваться и работать в ЕГАИС можно с помощью КЭП, записанной на носитель Рутокен ЭЦП 2.0. Так же, как и на JaCarta, электронная подпись на Рутокене формируется внутри устройства без возможности выдавать наружу закрытую ключевую информацию.
Если вы переходите с одного носителя на другой, потребуется перенастроить УТМ. В Удостоверяющем центре СКБ Контур это делается автоматически с помощью веб-диска.
Как и где посмотреть срок действия сертификата RSA (PKI) и ГОСТ? Как перезаписать сертификат RSA на JaCarta? Об этом и будет данная статья.
Начну с того, что сертификат ГОСТ продлевается только в сервисном центре, в котором вы обслуживаетесь, то есть там, где вы покупали Джакарту. Сертификат RSA продлевается на рабочем месте в личном кабинете ЕГАИС.
Ниже представлен весь процесс продления сертификата RSA.
Как посмотреть срок действия сертификата RSA и ГОСТ?
Обращаю ваше внимание на то, что продление и запись – это два разных момента. Если вы запишите сертификат RSA без инициализации компонента, возможны ошибки. .
Как продлить срок действия сертификата RSA на JaCarta?
1. Прежде всего, нужно сделать инициализацию компонента PKI только для носителей Джакарты (JaСarta) –
3. После чего нажать на вкладку “Получить ключ ” и выбрать ваше подразделение;
4. В открывшемся окне вводим пин RSA (стандартный пин RSA: 11111111 );
Носитель Jacarta PKI/ГОСТ блокируется при многочисленных попытках ввести неверный пин-код. При этом теряется связь с сервером ФСРАР, и данные о фактурах не поступают в вашу учетную систему. Как быстро разблокировать ключ и восстановить работу с ЕГАИС?
По умолчанию на всех новых носителях установлены следующие пароли:
PKI | 11 11 11 11 |
Администратор PKI | 00 00 00 00 |
ГОСТ | 0987654321 |
Администратор ГОСТ | 1234567890 |
Для снятия блокировки на компьютере должна быть установлена программа Единый клиент Jacarta. Если настройка и установка ЕГАИС производилась нашими специалистами, то эта программа у вас уже есть.
Запустите программу и дождитесь, когда в окне Единого клиента появится информация о носителе Jacarta PKI/ГОСТ.
Снятие блокировки ГОСТ
В разделе ГОСТ записан сертификат КЭП, выданный в удостоверяющем центре. Будьте внимательны - нельзя удалять из этого раздела какие-либо компоненты. После удаления придется повторно обращаться в удостоверяющий центр для выпуска ключа.
Чтобы разблокировать пин-код ГОСТ, в верхнем меню “Операции с приложением” выберите первый пункт “Разблокировать PIN-код пользователя”. На экране появится уведомление, что снятие блокировки обнулит счетчик ошибочных попыток ввода.
Нажмите “ОК” и во вновь открывшемся окне введите пин-код администратора Jacarta ГОСТ 1234567890. После обнуления счетчика ошибок введите стандартный пин-код пользователя ГОСТ 0987654321.
Важно: эта процедура поможет только скинуть счетчик, но не изменить забытый пароль на новый. Если вы изменили пароль ГОСТ, установленный по умолчанию, и забыли его, придется проводить инициализацию и вновь записывать ключ в удостоверяющем центре.
Снятие блокировки PKI
В контейнере PKI записан RSA-ключ, который генерируется в личном кабинете на сайте egais.ru. В случае утери пин-кода этот раздел может быть инициализирован (полностью очищен), так как вы можете повторно записать ключ самостоятельно и бесплатно, без обращения в удостоверяющий центр.
Модель JaCarta PKI/ГОСТ ориентирована на компании, развернувшие инфраструктуру открытых ключей (PKI) и внедряющие систему юридически значимого электронного документооборота.
Выпускается в трёх базовых форм-факторах: USB-токен (в корпусе XL и Nano), MicroUSB-токен и смарт-карта (чёрный пластик, чип с палладиевыми контактами).
Смарт-карта | USB-токен в корпусе XL |
USB-токен в корпусе Nano | MicroUSB-токен |
Если предполагается использование смарт-карт или токенов JaCarta PKI вместе с продуктами, ранее выпущенными компанией Aladdin, или в уже созданной инфраструктуре с имеющимися в эксплуатации продуктами компании, то при заказе следует выбрать опцию "Обратная совместимость с продуктами Aladdin ".
Для работы со смарт-картами со стационарного компьютера рекомендуется использование офисных смарт-карт ридеров ASEDrive IIIe USB , с ноутбуками - компактных ASEDrive III USB Mini .
Для использования MicroUSB-токена на ноутбуке или персональном компьютере рекомендуется приобрести переходник MicroUSB-to-USB.
Технические характеристики
Параметр | Значение |
---|---|
Микроконтроллер | Защищённый смарт-карточный чип, имеющий специальную сертифицированную защиту и на аппаратном, и на программном уровнях (Secure by design), что позволяет успешно противостоять всем известным угрозам безопасности, методам взлома и клонирования. |
Размер EEPROM-памяти на чипе | 80/144 Кбайт |
CCID-совместимость | Установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, GNU/Linux, Apple macOS/OS X) не требуется. |
Поддерживаемые криптографические алгоритмы | Для PKI-функционала:
Для ГОСТ-функционала:
|
Возможность встраивания радио-метки (RFID) | Есть |
Поддерживаемые операционные системы | Microsoft
GNU/Linux Apple macOS/OS X |
Эксплуатационные характеристики
Параметр | Значение |
---|---|
PIN-код пользователя (по-умолчанию) | Для PKI-функционала: 11111111 Для ГОСТ-функционала: PIN-код не задан |
PIN-код Администратора (по-умолчанию) | Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890 |
Необходимое программное обеспечение | Скачать |
Срок хранения данных в памяти | Не менее 10 лет |
Количество циклов перезаписи в одну ячейку EEPROM-памяти | Не менее 500 000 |
Сертификаты безопасности
Сертификат соответствия ФСТЭК России № 3449 , подтверждающий, что программный комплекс "JaCarta" версии 1.5 в составе смарт-карт, USB-, Secure MicroSD-, MicroUSB-токенов и ПО "Единый Клиент JaCarta" соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и технических условий.
ПК "JaCarta" версии 1.5 предназначен для защиты информации, не содержащей сведений, составляющих государственную тайну, и может применяться в автоматизированных системах до класса защищённости 1Г, в государственных информационных системах до 1 класса защищённости, в информационных системах персональных данных до 1 уровня защищённости.
Сертификат соответствия ФСБ России № СФ/111-2750 , подтверждающий, что персональное средство электронной подписи "Криптотокен ЭП", предназначенное для использования совместно со средством криптографической защиты информации "Криптотокен" в составе изделия "JaCarta ГОСТ" ("eToken ГОСТ"), соответствует требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1 и класса КС2, и может использоваться для реализации функций электронной подписи (создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) в соответствии с 63-ФЗ "Об электронной подписи" от 6 апреля 2011 г.
Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ "Криптотокен" в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек "Криптотокен ЭП", поставляемых в электронной форме.
Данные библиотеки входят в состав программных средств, производимых разработчиком электронных ключей - компанией "Аладдин Р.Д.", - либо могут поставляться в составе программных средств других разработчиков, являющихся технологическими партнёрами компании "Аладдин Р.Д.", встроивших эти библиотеки в своё ПО и распространяющие их на основании Лицензионного договора с компанией "Аладдин Р.Д.".
Сертификат соответствия ФСБ России № СФ/111-2750 является продлением сертификата соответствия ФСБ России № СФ/121-2350 .
Международные сертификаты безопасности
- Common Criteria EAL 5+ - международный сертификат на используемые в устройствах JaCarta микроконтроллер (чип) и операционную систему на соответствие профилю защиты Security IC Platform Protection Profile, версия 1.0, и Java Card™ System Protection Profile. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия - EAL 5+ (усиленный).
- Сертификат пыле- и влагозащищённости устройства (степень защиты IP56): USB-токены JaCarta соответствуют требованиям международного и российского стандартов IEC 60529 (ГОСТ 14254-96, DIN 40050, МЭК 529:1989) и являются пыле- и влагозащищёнными устройствами, допускается их использование в постоянно пыльных и постоянно влажных помещениях.
- RoHS (соответствие директиве RoHS – Restriction of Hazardous Substances – Европейского Союза, ограничивающей использование шести опасных для здоровья и окружающей среды веществ в электрическом и электронном оборудовании – свинца, кадмия, ртути, шестивалентного хрома и бромидных соединений).
- CE (соответствует требованиям стран ЕС, разрешён для ввоза и применения на их территории).
- FCC (продукт не является источником электромагнитных помех, которые могут повлиять на работу другого электронного оборудования, и полностью соответствует международным требованиям в части уровня электромагнитных помех радиоустройствам).
Прочие сертификаты
- Система менеджмента качества компании "Аладдин Р.Д." соответствует требованиям стандарта ГОСТ ISO 9001-2011 .
- Завод, осуществляющий контрактное производство печатных плат (комплектующих) и сборку USB-токенов, сертифицирован на соответствие международному стандарту ISO 9001:2008 и ISO 14001:2004 .
- Электромагнитная безопасность
- Изделие имеет повышенную защищённость от пробоя статическим электричеством (до 15 киловольт), что крайне важно при эксплуатации в зимних условиях, при низких температурах и пониженной влажности воздуха, и соответствует требованиям ГОСТ Р 51317.4.2-2010.
- Изделие не оказывает влияния на работу электронного оборудования, чувствительного к электромагнитным излучениям и помехам и соответствует требованиям ГОСТ Р 51318.22-99.
- Изделие имеет повышенную защищённость от воздействия электромагнитных излучений и помех и соответствует требованиям ГОСТ Р 51318.22-99.
- Изделие изготовлено в соответствии с требованиями Технического регламента Таможенного союза, утверждённого Решением Комиссии Таможенного союза от 9 декабря 2011 года № 879, ТР ТС 020/2011 "Электромагнитная совместимость технических средств" (декларация о соответствии ТС N RU Д-RU.АВ49.В.05350 от 06.09.2016 г., Протокол сертификационных испытаний № 8908ЕМ-LAB09/16 от 02.09.2016 г., ТУ 46538383.40 3000.002ТУ).