Совместное мероприятие компаний OCS и «Актив», российского производителя и разработчика программно-аппаратных средств защиты информации. Сегодня говорим про решения под брендом Рутокен – продукты для аутентификации, электронной подписи и обеспечения безопасности киберфизических систем.

Программа мероприятия: основные продукты; двухфакторная аутентификация; по-настоящему мобильная ЭП; рутокен база; система контроля и управления доступом.

В мероприятии участвуют Андрей Игнатов, менеджер по продуктам и Валерия Валетина, менеджер по работе с корпоративными клиентами.

Андрей Игнатов, сотрудник компании «Актив» начал рассказ о том, какие у компании есть продукты, на основе каких решений и что можно на них построить.

Основные продукты

Первым продуктом является Рутокен Light. Это токен без криптоядра, который не может сам генерировать ключи для электронной подписи. Он может только хранить то, что для него сгенерировал криптопровайдер программы. Сейчас вышла новая версия Рутокен Light. Это версия Рутокен Light 10.10, в которой памяти 64/128 кбайт.

Линейка Рутокен ЭЦП 3.0 - это новая линейка, которая пришла на смену линейке Рутокен ЭЦП 2.0. В новой линейке 128 кбайт памяти.

В некоторых моделях памяти еще больше, есть под 160 кбайт. Там новые алгоритмы, новые улучшенные скоростные характеристики. На определенных представителях этой линейки можно даже хешировать документы без потери производительности по сравнению компьютером. Хэширование - это математический алгоритм, который применяется к документам любого объема. И мегабайты клиента можно прогнать через этот крохотный токен, он их переведет в числовую последовательность размером 256 или 512. У этих токенов есть сертификация ФСЭК и ФСБ.

Есть стандартный токен, рабочая лошадка - это Рутокен ЭЦП 3.0. А есть нестандартная расширенная его версия - это смарт-карта Рутокен 3.0 3100 NFC с интерфейсом NFC. Они позволяют выполнять подписание электронных документов при подключении к мобильным устройствам с интерфейсом NFC с помощью этого устройства. Обращаю внимание: подписывает карта, либо токен. Но вы прикладываете эту карту либо токен к устройству, ключи вашей электронной подписи находятся внутри этой карты или токена. Они постоянно при вас. И таким образом вы можете подписывать необходимые документы.

В пару к смарт-картам Рутокен 3.0 NFC и еще старой, Рутокен 2.0 контактной смарт-карте используется считыватель Рутокен СП 3.0 SCR 3001. Также еще ожидается считыватель NFC, но пока нашего собственного производства. Он не портит карты, сертифицирован по ФСТЭК потому что у него есть сменная прошивка.

И представители еще старой линейки Рутокен ЭЦП 2.0 flash, которым готовится замена Рутокен СП 3.0 flash. Это комбинация USB-токена с криптографическим процессором и защищенной flash памятью. Это обычный токен, он тоже быстрый, потому что когда-то он был самым быстрым в линейке Рутокен ЭЦП 2.0, сейчас он сопоставим по скоростям с Рутокен ЭЦП 3.0. У него тоже 128 кбайт памяти, что раньше было необычно. Но туда на производстве установлена флэшка объемом 32 либо 64 Гбайт. И эта флэшка обладает защищенной памятью. Т.е. при подключении токена после ввода пин-кода доступ к разделам может меняться. Например, изначально доступ к разделам был скрыт, после подключения токена, доступ появляется на чтение и запись.

Т.о. можно создавать скрытые разделы, которые будут активизироваться и давать возможность хранить на них защищенные файлы. доступные только при использовании токена.

Относительно новый (ему около года) продукт Рутокен UTP - это стандартный токен с экраном, работающий по стандарту TOTP с двухфакторной аутентификацией, который использует код, сменяющийся каждую минуту. Его можно использовать во всех случаях, где используется Time UTP. Он используется строго только для двухфакторной аутентификации. Больше никаких применений у него быть не может. Он не используется для подписания документов. Можно использовать его для аутентификации входа в систему подписания, но и только. Самостоятельно формировать электронную подпись он не может.

И новый токен, который называется Рутокен MFA. Это аутентификатор, который поддерживают протокол FIDO2. Суть Рутокен MFA в том, что он точно также, как и обычные токены позволяет реализовывать фактор владения. Линейка будет выпускаться в три этапа: 1) Миниатюрный type-c с сенсорной кнопкой – этим летом. 2) Вариант micro с сенсорной кнопкой – осенью 2023 года. 3) Полноразмерный вариант с NFC + Type-A с сенсорной кнопкой в начале 2024 года.

Он работает со всеми сервисами, которые уже реализовали этот стандарт. И реализация его под соответствующий протокол. Например, это Mail.ru или VK, Яндекс и зарубежные сервисы, часть из которых являются запрещенными в России. Плюс можно сделать собственную систему аутентификации. Вариантов на текущий момент два. Можно подключать как к мобильным устройствам на основе Android, так и к компьютерам. У него сбоку есть контактная площадка, там, где пальчик нарисован.

Чтобы сделать аутентификацию, нужно просто прикоснуться к этой площадке. Есть размер micro полноразмерный. Там точно также он вставляется в компьютер и надо к нему прикоснуться. Эти два токена уже есть, их можно получить на тестирование.

Двухфакторная аутентификация

Классическая электронная подпись может быть квалифицированной, неквалифицированной, но усиленной с помощью криптографии, это то, для чего создавались токены, и то, что конечно же, всегда будет использоваться с их помощью. Это подписание документов во внутреннем документообороте, кадровом внешнем документообороте, в нормативном документообороте, например, при сдаче отчетов, при маркировке алкогольной продукции, везде там происходит подписание, и везде может использоваться Рутокен.

Теперь поговорим о дополнительных вещах. И первое решение - двухфакторная аутентификация, это то, для чего токены и смарт-карты использовались очень давно, но в нашей стране, как ни странно, не распространены. Хотя 17 и 21 Приказы заставляют прямо использовать двухфакторную аутентификацию. И еще целый ряд нормативных документов. Это для государственных информационных систем доступ и доступ для работы с персональными данными. И другая «нормативка» тоже явно требует использование двухфакторной аутентификации.

Когда вы реализуете парольную защиту, то пароль - это нематериальная штука, это данные, это знание. Вы знаете пароль, но его легко украсть, легко подсмотреть, перехватить и т.д. Если пароль украден, то злоумышленник может без вас, без легального владельца, осуществлять доступ к ресурсам и делать то, что считает нужным. И вы никогда не поймете, что злоумышленник имеет пароль. Вы часто можете даже не догадываться о том, что злоумышленник им пользуется. Поэтому, что нужно для того, чтобы парольная защита была надежной? Нужна двухфакторную аутентификация. При этом вводится два фактора. Первый - это фактор владения, когда у меня есть некое физическое устройство, в данном случае это может быть Рутокен. Второй фактор - это знание. В данном случае это знание пин-кода токена. Если раньше был один фактор: знание пароля, то теперь их уже два. В разных случаях эти разные факторы по-разному реализуются, мы поговорим о самом на мой взгляд надежном способе.

Человек приходит со своим токеном, подключает его к компьютеру с ОС Windows или Linux. Система предлагает ему ввести пароль. После того, как пароль введен, в данном случае пин-код, выполняется процесс аутентификации. Выполняется он через технологию электронной подписи. В чем здесь защита? Если злоумышленник подсмотрел ваш пин-код, то это ему ничего не даст. Аутентификация без наличия токена невозможна. Если вы токен потеряли, то ничего страшного. Потому что пин-код неизвестен. Попытка подбора пин-кода при превышении количества разрешенных попыток, влечет блокировку токена. А если найдется злоумышленник, который у вас и токен украдет, и подсмотрит пин-код, вы же обнаружите, что токена нет, вы уведомите администратора, и он заблокирует доступ. Т.е. мы уходим от нематериального фактора, от пароля, который легко незаметно украсть, к токену, который невозможно украсть незаметно, потому что это материальная вещь.

Если аутентификация реализуется в компьютере и при этом компьютер в домене Windows или Linux, то используется Рутокен ЭЦП. Для настройки в домене Windows есть отдельный документ - Рутокен для Windows. Он есть на нашем сайте Рутокен.

Если аутентификация у вас вне домена, то для Linux нужен Рутокен ЭЦП. Если используется Windows, то он не поддерживает двухфакторную аутентификацию вне домена. Поэтому мы создали свой компонент - Рутокен Logon. Это программный продукт, который ставится на каждый компьютер по отдельности, которые находятся не в домене. И к нему уже нужен отдельный токен Рутокен ЭЦП или Рутокен Light.

Плюс, мы рекомендуем, что помимо того, чтобы на каждого сотрудника, который будет выполнять двухфакторную аутентификацию, докупать по одному токену или по одной карте, лучше брать с запасом, на случай утери или выхода из строя. Наши крайне редко выходят из строя, они выходят из строя потому что они длинные и торчат из ноутбука или из компьютера, и человек его случайно зацепляя ломает.

Какому это можно предлагать заказчику? В первую очередь службе ИБ. Для IT-шников двухфакторная аутентификация это что-то, что требует от них дополнительных ресурсов и каких-то дополнительных действий. Если они могут без этого обойтись, то им это не очень нужно. А для ИБ-шников это важно. Соблюдение «нормативки», за это их будут наказывать, если что-то произойдет из-за отсутствия надлежащей защиты. Поэтому в первую очередь в ИБ-службу надо обращаться и убеждать, что им без «двухфакторки» обойтись нельзя. И ссылаться при этом на «нормативку».

По-настоящему мобильная ЭП

Другой вариант, это по-настоящему мобильная подпись. У нас есть карты Рутокен ЭЦП 3.0 3100 NFC и такие же токены. У разных людей есть необходимость подписывать документы не в офисе, а с использованием мобильных устройств. Это могут быть сотрудники, директора, которые находятся в командировке или в отпуске и т.д. Им надо в любом месте приложить к смартфону карточку, либо набрать некий код, и подписать документ. Это могут быть сотрудники экстренных служб, например, скорой помощи или просто врачи, которые вышли на вызов к больному, и им нужно заполнить электронный больничный лист, выписать электронный рецепт и подписать все это квалифицированной электронной подписью. Это могут быть бригады ремонтников, которые выполнили, например, ремонт ЛЭП и расписались в журнале о выполненной работе. Чтобы не писать все это на бумаге в офисе. С помощью этих карт и этих токенов мы делаем мобильную электронную подпись, ключи которой всегда с вами. Они всегда у вас в кармане, в бумажнике, на брелоке, если это токен. Вы прикладываете к смартфону и выполняете подписание документа.

Для того, чтобы это работало, необходимо, чтобы приложение на мобильном устройстве поддерживало соответствующий токен. Такие приложения необходимо создавать самостоятельно, либо брать готовые. Если вы делаете проект заказчику, то для него стоит написать приложение. Мы работаем с планшетами и смартфонами. Главное, чтобы был интерфейс NFC. Если интерфейса нет, но при этом планшет под Android, мы можем использовать контактный интерфейс через переходник и воткнуть у него токен.

У нас есть свой Рутокен SDK. Есть готовые примеры, такие, как мобильный банк. На основе этих примеров, которые присутствуют на нашем хабе, есть возможность при помощи консультации наших инженеров построить собственные приложения для заказчика. Везде, где требуется электронная подпись в журнале, и при этом это сложно сделать, например, шахтерам, то гораздо проще реализовать это с помощью защищенных устройств. Вот они прошли инструктаж, у него карта висит на шее или на ремне, он прошел, карту приложил, пин-код свой индивидуальный ввел и пошел дальше. Можно просто положить телефон на проходе, каждый будет проходить, прикладывать, и это будет означать подписание электронной подписи о том, что они прошли инструктаж.

Кому еще можно предлагать? В первую очередь департаментам ИТ. Но, если там есть что-то специфичное, т.е. экстренные службы скорой помощи. Есть, правда, регионы, где этим занимается Министерство цифрового развития. Если это монтажники и шахтеры, то тут вполне возможно, что заинтересованной службой станет Охрана труда или Система внутренней документации. Т.е. там, где есть проблемы с ведением бумажных журналов, там можно легко закрыть все их проблемы с ведением журналов и подписанием документов. Они не могут выполнить полную автоматизацию, потому что им требуется ручная подпись людей, а мы им предлагаем простой вариант. Запись в журнале - это запись в базе данных. Написать такое приложение можно очень быстро. Написать серверное приложение, которое будет это отслеживать, очень легко и просто. И вот так решается серьезная и критическая задача для предприятий.

Рутокен База

Новый продукт называется Рутокен База. Это продукт, который отвечает за учет СКЗИ (систем криптографической защиты информации), СЗИ (систем защиты информации) ключевых пар, ключевых документов и сертификатов. Дело в том, что с одной стороны, контролирующие органы требуют от всех компаний, тем более, от госорганизаций, вести их учет, организовывать свой ОКЗ (орган картографической защиты) и ОКИ (обладатель конфиденциальной информации), вести отчетную документацию согласно требованиям приказа 152 ФАПСИ. ФАПСИ уже нет, а приказ живет.

Плюс, всеми этими токенами и сертификатами надо управлять. Надо смотреть, не закончился ли сертификат соответствия на аппаратный СКЗИ, смотреть, где установлены токены, куда они подключались, к каким машинам, не скопировал ли кто-то ключ, если он экспортируемый на носитель, не закончился ли сертификат соответствия у токена либо сертификат ключа электронной подписи у сотрудника. И этим всем занимается Рутокен База. Она позволяет управлять защищенными ключевыми носителями от различных производителей и прочими ключевыми носителями. Мы умеем обнаруживать ключи в Реестре, в файловой системе, на USB-флэшках и т.п.

Мы можем взаимодействовать с программными криптопровайдерами. Мало кому известно, но ключи, которые создаются на токенах, либо даже на флэшках, если это ключ, который будет потом включен в квалифицированный сертификат ключа при проверке электронной подписи, то это тоже СПЗИ, тоже средства криптографической защиты информации, которая подлежит учету. А его обычно не учитывают. И это потенциальная угроза наказания от проверяющих органов. Плюс Рутокен База позволяет выполнять управление. Она позволяет передавать команды либо политики на токены и выполнять, например, блокировку, инициализацию и т.д. Рутокен База - это на 100% для госорганизаций или компаний с госучастием. При этом Рутокен База хорошо вписывается в импортозамещение потому что агенты, которые устанавливаются на рабочие станции, работают и под Linux и под Windows. А сервера работаю только под Linux. Если большой процент сотрудников используют КЭП (квалифицированную электронную подпись), то тут Рутокен База необходима.

Источники :

Сейчас на главной

21 окт. 2024 г., 20:48:39
Актуальная линейка трехфазных ИБП Systeme Electric

Совместное мероприятие компании OCS и Systeme Electric, российской производственной компании с экспертизой в области управления электроэнергией. В рамках презентации Сергей Смолин, менеджер по продукту «Трехфазные ИБП», представил следующие темы: • Обзор продуктовой линейки трехфазных ИБП Systeme Electric; • Технические решения и преимущества каждой из линеек ИБП; • Сервисная поддержка оборудования.