Флеш токен что это
Перейти к содержимому

Флеш токен что это

  • автор:

Токены с Flash-памятью

Токены с Flash-памятью — комбинированные аппаратные решения, объединяющие в одном корпусе электронный идентификатор Рутокен и Flash-диск без увеличения габаритов устройства. Flash-память может быть как неуправляемой, так и защищенной управляемой.

Если Рутокен оснащен неуправляемой памятью, то пользователь получает к ней доступ сразу же после подключения токена к ПК, без необходимости совершения дополнительных действий. Такую память можно использовать, для хранения дистрибутивов или запуска программного обеспечения непосредственно с токена. Например, поместить в неё программу для электронной подписи документов, что позволит работать на любом компьютере, без установки дополнительного ПО.

Доступ к управляемой защищенной Flash-памяти на чтение и/или запись может предоставляться только после ввода пользователем персонального PIN-кода. PIN-код защищен от взлома подбором, поскольку после нескольких неудачных попыток ввода, доступ будет заблокирован. Перенос Flash-памяти на другой токен или подключение её напрямую к считывателю не позволит получить доступ к данным.

Рутокен с неуправляемой памятью

Рутокен ЭЦП 2.0 3000 SD

Модификация Рутокен ЭЦП 2.0 3000 в укороченном корпусе, оснащенная высокоскоростным считывателем карт microSD. Может поставляться как в комплекте к картой объемом 8-128 Гб, так и без неё. В этом случае пользователи могут использовать собственные карты microSD.

Flash-память используется для хранения дистрибутива, программного обеспечения, которое может исполняться без установки на ПК или прочей, не конфиденциальной информации.

Рутокен Lite 64Кб Flash 32Мб

Премиальная версия Рутокен Lite 64Кб оснащенная Flash-памятью. Под заказ доступны токены с памятью 16 – 64Мб.

Flash-память используется для хранения небольших дистрибутивов или программ, запускающихся при подключении токена к ПК.

Рутокен OTP Flash

Составные устройства из двух компонентов: идентификатора Рутокен OTP и microSD-карты (8 – 128Гб) внутри полноразмерного корпуса с единым интерфейсом USB.

Идентификатор, работающий по протоколу OTP, используется для аутентификации в качестве фактора владения. Также он дает возможность исключить использование программного обеспечения более чем на одном рабочем месте.

Flash-память используется для хранения дистрибутива или программного обеспечения, которое может исполняться без установки на ПК.

Рутокен U2F Flash

Составные устройства из двух компонентов: идентификатора Рутокен U2F и microSD-карты (8 – 128Гб) внутри полноразмерного корпуса с единым интерфейсом USB.

Идентификатор, работающий по протоколу FIDO U2F, используется для аутентификации в качестве фактора владения. Также он дает возможность исключить использование программного обеспечения более чем на одном рабочем месте.

Flash-память используется для хранения дистрибутива или программного обеспечения, которое может исполняться без установки на ПК.

Рутокен с управляемой защищенной памятью

Рутокен ЭЦП 2.0 Flash

Устройство объединяющее СКЗИ Рутокен ЭЦП 2.0 и управляемый защищенный Flash-диск объемом от 8 до 64 ГБ.

Операционная система устройства позволяет устанавливать режимы доступа к разделам Flash-памяти — скрытый, только для чтения, чтение и запись; для различных уровней доступа — гость, пользователь и администратор. Для получения соответствующего уровня доступа требуется ввод PIN-кода. при попытке подбора PIN-кода, доступ к памяти будет заблокирован.

При использовании совместно с продуктом Рутокен Диск , применяется для защищенного хранения критически важных данных большого размера, в том числе за пределами организации.

Является основой решения Рабочее место дистанционного сотрудника , где используется для хранения файлов ОС и дополнительного ПО, защищенного хранения документов пользователей, а также ключей и сертификатов для подписания электронных документов и выполнения двухфакторной аутентификации.

Рутокен TLS

Программно-аппаратный продукт, базирующийся на Рутокен ЭЦП 2.0 Flash, предназначенный для организации защищенного доступа к web-сервисам и формирования электронной подписи.

В состав продукта входит программный клиент Рутокен TLS — приложение для организации удаленного подключения с защитой канала с использованием алгоритмов ГОСТ и администрирования устройства.

Flash-память используется для хранения программного клиента, и защищает его от модификации и подмены с помощью подсистемы контроля целостности.

После запуска программного клиента пользователь может работать с удаленными web-ресурсами с помощью браузера: устанавливать защищенный канал, выполнять аутентификацию, подписывать электронные документы, шифровать данные. Вся необходимая для этого информация и ключи хранятся в памяти устройства.

Рутокен TLS совместим с криптопровайдерами и TLS-серверами от компаний КриптоПро и ИнфоТеКС, а также поддерживается в продуктах Рутокен Плагин и Рутокен Коннект.

Чем отличаются смарт-карты и токены. Какой тип устройств для какой задачи подходит?

Как быстро получить квалифицированный сертификат ключа проверки электронной подписи, мы писали в предыдущем посте. Давайте теперь поговорим о том, какой ключевой носитель выбрать. В этот раз сравним два форм-фактора – USB-токены и смарт-карты для электронной подписи.

15 показов
1K открытий
смарт-карты для электронной подписи
Токены и смарт-карты — в чем отличие?

Токен – это не обычная флешка, а защищенный PIN-кодом специализированный носитель для безопасного хранения контейнера с сертификатом и ключом электронной подписи. Такие специализированные носители бывают как «базового уровня» (пассивные), так и активные, криптографические. Более подробно о пассивных и активных токенах мы писали тут.

Токены выпускаются в нескольких фактор-формах:

  • USB Type-A – токен со стандартным разъемом флеш-карты (например, Рутокен Lite и Рутокен ЭЦП 2.0 2100);
  • USB Type-A micro – токен в миниатюрном исполнении. Его основное отличие от форм-фактора USB Type-A — это размер. В качестве примера можно привести модель Рутокен Lite micrо (требует установки программы-криптопровайдера) или Рутокен ЭЦП 2.0 2100 micro (является самостоятельным СКЗИ). Более подробно об отличиях этих двух моделей мы рассказали здесь. Такой токен отлично подойдет тем, кто преимущественно работает на ноутбуках или небольших мобильных кассах, ведь он выступает за пределы разъема всего на 5 мм.
  • USB Type-C – это улучшенный вариант форм-фактора Type-A, расширяющий возможности применения токенов на современных устройствах. Без переходников или USB-хабов они подсоединяются к компьютерам iMac и Mac mini последнего поколения, ноутбукам MacBook Pro, MacBook Air и MacBook, а также к планшетам, смартфонам и ноутбукам иных производителей, оснащенных этим разъемом (кроме Apple iPad Pro).

Достойным выбором в этой категории будет модель Рутокен ЭЦП 2.0 2100 Type-С. Этот ключевой носитель обеспечивает повышенный уровень безопасности ваших данных, имеет сертификаты ФСТЭК и ФСБ и является СКЗИ. Для некоторых сценариях его использования, таких как работа в ЛК ИП и ЮЛ ФНС на ОС Windows, Честный знак, ЕГАИС, OFD, Госуслуги, Диадок, не нужно устанавливать дополнительные программы-криптопровайдеры. Рутокен ЭЦП 2.0 2100 Type-С (как и его аналог Рутокен ЭЦП 2.0 2100 Type-А) подходит для хранения сертификата и ключа подписи и подписания документов усиленной квалифицированной электронной подписью, а также для организации защиты доступа с помощью двухфакторной аутентификации.

Смарт-карты для электронной подписи

Что касается ключевых носителей в формате смарт-карт, то эти устройства также обладают встроенным защищенным микроконтроллером, имеют аналогичную с USB-токеном функциональность и могут выступать полноценным СКЗИ и средством электронной подписи. Некоторым пользователям удобен такой формат носителя, его можно держать в бумажнике, и они предпочитают его токенам. Примером тут может служить смарт-карта Рутокен ЭЦП 2.0 2100 с поддержкой новых российских криптографических стандартов, сертифицированная ФСТЭК и ФСБ. Работа со смарт-картами предполагает использование специального считывающего устройства — ридера, обеспечивающего связь между чипом карты и компьютером.

Смарт-карты и токены для бесконтактного взаимодействия с мобильными устройства задействуют для связи технологию NFC. Однако их масштабное использование возможно сегодня только в рамках корпоративных проектов. Остальные смогут повсеместно применять их для электронной подписи и сдачи налоговой отчетности со смартфонов в будущем, когда все популярные сервисы для электронного документооборота разработают мобильные приложения с поддержкой электронной подписи, реализуемой по каналу NFC.

Также отличительной чертой смарт-карт является то, что они могут быть использованы как часть системы физической безопасности предприятия. Смарт-карта может служить универсальным электронным удостоверением сотрудника, выполнять роль хранилища всей необходимой информации о нем (фото, должность, образец подписи, срок действия удостоверения и т.д.). Также они могут быть оснащены RFID-меткой для использования в системах контроля и управления доступом (СКУД). Сочетание в одной смарт-карте персонального средства аутентификации и RFID-метки без лишних затрат и практически полностью решает проблему вторжений злоумышленников по причине незаблокированных компьютеров и сессий.

Как видим, смарт-карты имеют несколько более широкий спектр действия, чем USB-токены, благодаря возможности нанесения персональной информации и встраивания дополнительных технологических решений (RFID-метки).

Что выбрать – токен или смарт-карту?

Чтобы правильно подобрать форм-фактор ключевого носителя, необходимо в первую очередь понять, какие задачи перед вами стоят.

Если вам нужен самый простой способ защиты закрытого ключа электронной подписи от копирования – ваш выбор, скорее всего, падёт на Рутокен Lite или Рутокен Lite micrо.

Для работы с квалифицированной электронной подписью, а также для работы в ЕГАИС или других государственных системах учета и маркировки подойдут Рутокен ЭЦП 2.0 2100 (разъем Type-А) или Рутокен ЭЦП 2.0 2100 Type-С.

Напомним, что и на Рутокен Lite, и на Рутокен ЭЦП 2.0 можно хранить ключи электронной подписи и сертификаты. Однако, Рутокен Lite – это пассивный носитель, и для работы с ним всегда нужен программный криптопровайдер. Также у данной модели токена отсутствует аппаратная защита закрытого ключа электронной подписи от копирования. В свою очередь, Рутокен ЭЦП 2.0 2100 – это активный носитель, который может работать без программного провайдера. Неизвлекаемые ключи электронной подписи, хранящиеся на таком токене, нельзя скопировать или перехватить — подпись максимально защищена на аппаратном уровне. Неизвлекаемые ключи, защищенные PIN-кодом, доступны через СКЗИ «КриптоПро CSP» 5.0 R2 и новее, а также через ПО (PKCS#11), работающее с такими ключами. Подробно об особенностях пассивных и активных носителей мы писали тут.

И, наконец, если среди ваших задач есть обеспечение дополнительной физической безопасности в офисе, рассмотрите решение на базе смарт-карт, в рамках которого получится объединить функционал, обеспечивающий физическую и информационную безопасность вашей организации. В рамках такого решения можно дополнить смарт-карты бесконтактными RFID- метками для контроля прохода через СКУД. Выбирайте осознанно, и пусть ваша информационная безопасность (и безопасность вашего бизнеса) будет основана на верном решении и надежных устройствах.

Электронная подпись в доверенной среде на базe загрузочной Ubuntu 14.04 LTS и Рутокен ЭЦП Flash

Процедура наложения электронной подписи, призванная обеспечить подтверждение целостности подписанного документа и его авторства, сама по себе может быть небезопасной.
Основные атаки на ЭП — это кража ключа и подмена подписываемой информации, а также несанкционированный доступ к средству ЭП (например, USB-токену) посредством кражи его PIN-кода.

Реализуются данные атаки различными способами и на различных уровнях. На уровне ОС это внедрение вредоносного ПО (вирусы, программы-шпионы, руткиты и т.п.), которое способно похищать ключи, PIN-коды и делать подмену документов посредством чтения и/или подмены данных в памяти системного процесса, используя различные механизмы «хака», заложенные в ОС.
Если мы говорим о подписи в браузере, то к данным атакам добавляется возможность проведения атаки man-in-the-middle, направленной на модификацию подписываемых данных на web-странице или на кражу PIN-кода или на перехват secure token для возможности злоумышленнику прикинуться абонентом системы. Кроме того, на сайтах возможна атака типа CSS, обусловленная безалаберностью разработчиков сайта.

  • применение для электронной подписи криптографических смарт-карт/USB-токенов с неизвлекаемыми ключами
  • использование правильной реализации протокола TLS на сайте
  • правильное конфигурирование этой правильной реализации протокола TLS
  • использование специальных аппаратных средств для визуализации подписываемых данных перед наложением подписи (trustscreen)
  • корректная реализация браузерных плагинов и расширений, которые обеспечивают ЭП в браузере
  • регламентирование процедуры подписи для пользователя с учетом встроенных в браузер механизмов безопасности
    • проверка сертификата TLS-сервера пользователем перед ЭП
    • запуск браузерных плагинов и расширений только на доверенном сайте (сейчас правильно настроенные браузеры предупреждают пользователя о запуске)
    • ввод PIN-кода токена по запросу только доверенного сайта
    • реагирование на предупреждение браузера о получении «смешанного» контента — часть по HTTPS, часть по HTTP

    В данной статье мы сделаем кастомную Ubuntu 14.04 LTS, в которую «упакуем» смарткарточные драйвера и Рутокен Плагин. Эту ОС запишем на FLASH-память Рутокен ЭЦП Flash (USB-live) и специальными средствами сделаем ее read-only, так, что без знания PIN-кода злоумышленник не сможет снять этот атрибут.

    Таким образом, получим загрузочное устройство, при загрузке с которого пользователь сразу получит возможность подписи документов в браузере на неизвлекаемых ключах в доверенной среде, целостность которой гарантируется управляющим контроллером USB-токена.

    Модификация образа Ubuntu

    В качестве станка для кастомизации Ubuntu у меня был тоже Ubuntu.

    sudo su apt-get install squashfs-tools genisoimage 

    Скачиваем ISO-образ Ubuntu 14.04 и складируем его куда надо:

    mkdir ~/livecdtmp mv ubuntu-14.04.1-desktop-i386.iso ~/livecdtmp cd ~/livecdtmp 
    sudo su mkdir mnt mount -o loop ubuntu-14.04.1-desktop-i386.iso mnt 

    Делаем экстракт образа:

    sudo su mkdir extract-cd rsync --exclude=/casper/filesystem.squashfs -a mnt/ extract-cd 
    sudo su unsquashfs mnt/casper/filesystem.squashfs mv squashfs-root editsudo su cp /etc/resolv.conf edit/etc/ cp /etc/hosts edit/etc/ mount --bind /dev/ edit/dev chroot edit mount -t proc none /proc mount -t sysfs none /sys mount -t devpts none /dev/pts export HOME=/root export LC_ALL=C dbus-uuidgen > /var/lib/dbus/machine-id dpkg-divert --local --rename --add /sbin/initctl ln -s /bin/true /sbin/initctl 

    Собственно кастомизация — установка смарткарточного драйвера и плагина:

    pt-get install libccid libpcsclite1 pcscd mkdir /home/ubuntu/.mozilla mkdir /home/ubuntu/.mozilla/plugins chmod 776 /home/ubuntu/.mozilla chmod 776 /home/ubuntu/.mozilla/plugins cp npCryptoPlugin.so /home/ubuntu/.mozilla/plugins cp librtpkcs11ecp.so /home/ubuntu/.mozilla/plugins 

    И технические работы по созданию нового ISO:

    apt-get clean rm /var/lib/dbus/machine-id rm /sbin/initctl dpkg-divert --rename --remove /sbin/initctl umount /proc || umount -lf /proc umount /sys umount /dev/pts exit sudo su umount edit/dev sudo su chmod +w extract-cd/casper/filesystem.manifest chroot edit dpkg-query -W --showformat='$ $\n' > extract-cd/casper/filesystem.manifest cp extract-cd/casper/filesystem.manifest extract-cd/casper/filesystem.manifest-desktop sed -i '/ubiquity/d' extract-cd/casper/filesystem.manifest-desktop sed -i '/casper/d' extract-cd/casper/filesystem.manifest-desktop rm extract-cd/casper/filesystem.squashfs mksquashfs edit extract-cd/casper/filesystem.squashfs -comp xz -e edit/boot printf $(sudo du -sx --block-size=1 edit | cut -f1) > extract-cd/casper/filesystem.size nano extract-cd/README.diskdefines cd extract-cd rm md5sum.txt find -type f -print0 | sudo xargs -0 md5sum | grep -v isolinux/boot.cat | sudo tee md5sum.txt mkisofs -D -r -V "$IMAGE_NAME" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot-info-table -o ../ubuntu-14.04.1-desktop-i386-rutoken.iso . 

    Ubuntu-14.04.1-desktop-i386-rutoken.iso — это наш загрузочный кастомизированный образ (с установлеными смарткарточными драйверами и Рутокен Плагин), который готов к записи на Рутокен ЭЦП Flash.

    Создание загрузочного устройства

    Первым делом отформатируем Рутокен ЭЦП FLASH специальной утилитой, выставив памяти атрибут read-write (под виндой):

    rtadmin.exe -F 1 30000 u rw -o 87654321 -z rtPKCS11ECP.dll 

    Затем запишем на него ISO, используя UNETBootin (под убунтой):

    В качестве размера для preserve file установим 0. Тогда загрузочная Ubuntu будет хранить все изменения в RAM-памяти, а не на FLASH.
    После записи образа установим специальными средствами атрибут read-only FLASH-памяти устройства:

    rtadmin.exe -C 1 ro p -c 12345678 -z rtPKCS11ECP.dll 

    Теперь никто без знания PIN-кода устройства не сможет модифицировать записанный на FLASH-памяти образ Ubuntu.

    Что получилось

    Ниже показан процесс загрузки с Рутокен ЭЦП Flash и подпись документов в браузере в доверенной среде:

    1. Boot-меню в bios

    2. Выбор нужного пункта в меню загрузчика

    3. Ubuntu загрузилась, запускаем браузер, заходим в демо-систему. Браузер спрашивает у пользователя позволения запустить плагин на web-странице

    4. Разрешаем плагину «Rutoken» загрузиться — нажимаем «Allow» в правом верхнем углу браузера

    6. Авторизация в системе по сертификату, который хранится на Рутокен ЭЦП Flash

    6. Подпись платежек в личном кабинете

    • Рутокен ЭЦП
    • ubuntu
    • доверенная среда
    • Рутокен Плагин

    USB-токен JaCarta LT. Сертификат ФСТЭК

    Развитие сети интернет и удаленного способа обмена документами с применением электронной подписи потребовал надежной защиты информации. Цифровые носители — дискеты, лазерные диски, флеш-карты — несмотря на возможность их запаролить, не дают надежной гарантии от взлома и несанкционированного копирования.

    Законодательное признание электронной подписи идентичной личной подписи на бумажном документе требует серьезного подхода к выбору способа аутентификации владельца конфиденциальной информации.

    Преимущества USB-токен JaCarta LT

    Сегодня удостоверяющие центры для сохранения секретности электронной подписи используют несколько устройств:

    • смарт-карты,
    • простые USB-токены,
    • USB-токены с встроенным чипом — JaCarta LT,
    • ОТР-токены — бесконтактные устройства.

    В своей работе наша компания «Инфотекс Интернет Траст» предлагает своим клиентам для хранения электронной подписи USB-токен JaCarta LT, так как данное устройство обладает неоспоримыми преимуществами.

    В отличие от простого USB-токена, устройство со встроенным чипом обеспечивает более высокий уровень безопасности. Следует отметить также, что USB-токен JaCarta LT не требует установки дополнительного программного обеспечения. Не менее высокой надежностью обладают смарт-карты, но их использование ограничено. Их применение возможно только при наличии считывающего устройства.

    Оптимальную защиту предоставляют также бесконтактные токены, для работы которых не требуется соединения с компьютером. Аутентификация владельца происходит по соответствующему серверу. К минусам бесконтактного устройства относят короткий срок его эксплуатации. Срок службы составляет всего 3-4 года, что соответствует жизнеспособности дорогостоящей аккумуляторной батареи. И только USB-токен JaCarta LT имеет неограниченный срок эксплуатации, не требует установки дополнительных программ и не зависит от наличия считывающих устройств. А самое главное, встроенный микропроцессор обеспечивает максимальную защиту и гарантирует полную конфиденциальность информации.

    Технические характеристики USB-токен JaCarta LT

    Устройство представляет собой USB-брелок черного цвета, выполненный в мини или стандартном формате. Имеет небольшую встроенную память (72 КБ), так как основное назначение USB-токена JaCarta LT — это хранение криптографических ключей. Устройство основано на методе двухфакторной аутентификации. Первым аутентификатором является наличие пароля-доступа к самому устройству. При получении токена в удостоверяющем центре по умолчанию установлен пароль 1234567890, который мы настоятельно рекомендуем сменить при первой работе с устройством.

    Второй аутентификатор — это встроенный чип AT90SC25672RCT, запатентованный компанией Aladdin Knowledge Systems. Предусмотрено до 500000 циклов перезаписи. Токен JaCarta LT совместим с операционными системами Windows, Linux, Mac OX. Подходит для работы с мобильными устройствами.

    Уровень безопасности USB-токена JaCarta LT подтвержден Сертификатом соответствия ФСТЭК РФ № 2799 и Сертификатом соответствия ФСБ РФ № СФ/124-2380 (СКЗИ класса КС2). Устройство содержит полный набор функций для беспроблемной работы с криптографическими программами.

    Сертификат ФСТЭК

    Наличие Сертификата подтверждает, что USB-токен JaCarta LT обладает необходимой безопасностью хранения информации и предназначен для аутентификации пользователя в соответствии с требованиями Классификации Информационных Систем Данных класса 1 (ИСПДн К1). Токен JaCarta полностью удовлетворяет требованиям нормативного документа «Защита от несанкционированного доступа к информации» части 1 «Программное обеспечение средств защиты информации». Исследования ПО проводились испытательной лабораторией ОАО «СИНКЛИТ» под контролем ЗАО «Научно-производственное объединение «Эшелон».

    Качество продукции подтверждено Сертификатом ISO 9001:2008.

    Оставьте заявку, наши специалисты перезвонят и помогут оформить услугу

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *