w w w. a l a d d i n. r u А.Г. Сабанов, зам.ген.директора, ЗАО «Аладдин Р.Д.» Инфофорум, 27 апреля 2009 Об одной проблеме применения ЭЦП как сервиса безопасности
w w w. a l a d d i n. r u Содержание Краткая информация о компании Проблемы обеспечения безопасного использования Web-сервисов Решение компании Аладдин Итоги
w w w. a l a d d i n. r u 14 лет работы на российском рынке информационной безопасности Лицензии ФСТЭК и ФСБ России на деятельность в области защиты информации Эксперт в области аутентификации и защиты персональных данных Более 80 сотрудников Успешные проекты для государственных организаций, крупных предприятий, кредитно- финансовых организаций 3 Кратко о ЗАО «Аладдин Р.Д.»
w w w. a l a d d i n. r u Общая схема электронного архива и документооборота с использованием WEB–доступа Существуют две альтернативные технологии для использования специальных программ, загружаемых на рабочую станцию с сервера и выполняющихся в окне Web–браузера : JAVA приложения (апплеты) и ActiveX
w w w. a l a d d i n. r u Проблемы безопасного использования Web-доступа Аутентификация сторон –Взаимная –Двухфакторная –Строгая Конфиденциальность и целостность всех данных, передаваемых по сетям общего пользования –Построение защищённого канала (SSL, TLS) Юридическая значимость, неотказуемость от совершённых действий –ЭЦП Области использования –Электронные платежи («Клиент-Банк», Интернет-банкинг) –Электронный документооборот –Электронный архив
w w w. a l a d d i n. r u ЭЦП на удалённой рабочей станции Проблемы –Неконтролируемая среда –Недоверенная среда Решение –Применение персональных средств (токенов) для аппаратного формирования ЭЦП Преимущества токенов –Аппаратная реализация ЭЦП по ГОСТ Р –Неизвлекаемое хранение закрытого ключа ЭЦП –Подключение по USB –Поддержка различных платформ: Windows, Linux, MAC OS X ?
w w w. a l a d d i n. r u Требования к ЭЦП Согласно Директиве ЕС по применению электронной подписи (1999 г.) и последующих документов: квалифицированная электронная подпись (Qualified Electronic Signature); применение SSCD (Secure Signature Creation Device) –должны быть обеспечены уникальность и секретность ключа; –сама ЭЦП должна быть защищена от подделки с использованием доступной на сегодняшний день технологии; –закрытый ключ, используемый для создания подписи законным владельцем, должен быть надежно защищен от использования другими лицами. 7
w w w. a l a d d i n. r u 8 Процедуры, использующие закрытый ключ выработка ЭЦП в соответствии с алгоритмом ГОСТ Р ; генерация закрытого ключа формирования ЭЦП; выработка ключа проверки ЭЦП по ключу формирования ЭЦП в соответствии с алгоритмом ГОСТ Р ; выработка ключа аутентификации на основе открытых ключей ГОСТ Р согласно RFC 4357; Electronic signatures Advanced electronic signatures Qualified signatures
w w w. a l a d d i n. r u Требования к носителям ключевой информации 1) в качестве носителя ключевой информации для пользователя подсистемы УЦ ОГИЦ должны использоваться носители, защищенные с использованием средств криптографической защиты информации; 2) в носителе ключевой информации должны быть реализованы: а) механизм выполнения операций в группе точек на эллиптических кривых с использованием криптографического модуля, сертифицированного на соответствие требованиям ФСБ к средствам защиты конфиденциальной информации, не составляющей государственную тайну, по уровню не ниже КС2; б) хранение и использование закрытого ключа ЭЦП, исключающие его компрометацию в принятой модели нарушителя, путем применения принципа разделения ключа на отдельные части. 9 Приказ 41 Минсвязи РФ, март 2009г.
w w w. a l a d d i n. r u Решение компании Аладдин eToken Java – новое поколение токенов –Неизвлекаемое хранение закрытых ключей и аппаратная реализация ЭЦП по ГОСТ Р –Строгая аутентификация пользователя при установлении сеанса связи (SSL, TLS) –Формирование ЭЦП передаваемых на сервер транзакций (данных форм) Сеть общего пользования Web-сервис Рабочая станция
w w w. a l a d d i n. r u eToken Java – новое поколение электронных ключей для ЭЦП eToken PRO на основе Java-карты –Форм-факторы USB-ключа и смарт-карты Апплет Криптотокен –Генерация и неизвлекаемое хранение ключей ЭЦП –Формирование ЭЦП по ГОСТ Р Криптографические функции доступны через: –APDU-команды –Интерфейс прикладного программирования PKCS#11 CCID-совместимое устройство –Драйвера в составе Windows Vista, Linux, MAC OS X
w w w. a l a d d i n. r u Преимущества Не требуется установка ПО на рабочей станции пользователя –Драйвера устройств (входят в состав ОС) –СКЗИ (криптографические функции выполняются токеном) –Необходим только браузер (входит в состав ОС) Любая платформа –Windows (2000, XP, Vista, 32 и 64-бит), Linux, MAC OS X Неизвлекаемый закрытый ключ и аппаратная реализация ЭЦП по ГОСТ Р Стоимость на 1 рабочее место – менее 1000 руб.
w w w. a l a d d i n. r u Планы по сертификации eToken Java Сертификация Common Criteria EAL4+ VISA CAST USB 2.0 Сертификация во ФСТЭК России (уже идет) Сертификация в ФСБ России (уже идет) Сертификация на Украине – экспертное заключение Сертификация в Казахстане (планируется)
w w w. a l a d d i n. r u 14 Спасибо за внимание! Электронная почта: Web-сайт: