КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

JaCarta SF ГОСТ

Аладдин

JaCarta SF/ГОСТ - средство контроля отчуждения (переноса) информации на съёмных носителях.

  • Защищённый флэш-диск для безопасного хранения и переноса информации ограниченного доступа (ДСП, гостайна)
  • Персональное средство усиленной или усиленной квалифицированной электронной подписи

JaCarta SF/ГОСТ — инновационный продукт, объединяющий в себе возможности безопасного хранения и транспортировки информации ограниченного доступа (ДСП, гостайна), а также работы с электронной подписью (ЭП).

В состав JaCarta SF/ГОСТ входят:

  • защищённый служебный носитель (USB-токен);
  • утилита Пользователя;
  • ПО Администратора;
  • ПО Главного Администратора;
  • сервер авторизации.

JaCarta SF/ГОСТ сертифицирован по линии Минобороны России для работы с гостайной (С, СС).

Решаемые задачи

Основные задачи, которые позволяет решить JaCarta SF/ГОСТ.

  • Безопасное хранение и транспортировка информации ограниченного доступа MicroSDHC-карте объёмом от 8 ГБ до 32 ГБ, хранящейся на защищённом служебном носителе. Карта памяти может быть разделена на открытые и скрытые разделы. Открытые разделы доступны любому пользователю, скрытые — только на авторизованных компьютерах после введения PIN-кода и получения разрешения от Сервера аутентификации или Администратора безопасности (правило "двух рук").
    • На неавторизованном компьютере или неавторизованному пользователю получить доступ к информации, сохранённой в защищённом разделе служебного носителя, невозможно.
  • Аудит действий пользователя служебного носителя и расследование инцидентов информационной безопасности (ИБ) с помощью защищённого Служебного журнала, в котором фиксируются операции со служебными носителями, в том числе факты подключения к неавторизованному компьютеру или попытки монтирования скрытых разделов.
  • Защита от подмены USB
    • Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство.
  • Работа с усиленной или усиленной квалифицированной ЭП и применение в качестве полноценного СКЗИ в различном прикладном программном обеспечении (ПО) для обеспечения юридической значимости и неотказуемости действий пользователей, а также целостности и конфиденциальности передаваемых данных.
    • Для обеспечения совместимости с существующими системами и плавного перехода на использование нового российского стандарта ЭП служебные носители JaCarta SF/ГОСТ поддерживают как старые криптоалгоритмы ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, выводимые из использования с 2019 г., так и новые — ГОСТ Р 34.11 2012 и ГОСТ Р 34.10-2012.

Главный эффект от применения JaCarta SF/ГОСТ — обеспечение защиты информации, хранящейся в закрытом разделе защищённого носителя информации, от внутреннего нарушителя и злоумышленников.

Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс

Хранение информации разного уровня доступа на одном устройстве

JaCarta SF/ГОСТ позволяет разделить флеш-память защищённого служебного носителя на несколько разделов (от 1 до 4-х):

  • открытый раздел, всегда доступный только для чтения (CD-R);
  • открытый раздел, всегда доступный для чтения/записи (CD-RW);
  • скрытый раздел, доступный для чтения (CD-R) только после аутентификации пользователя и авторизации доступа к данным;
  • скрытый раздел, доступный для чтения/записи (CD-RW) только после аутентификации пользователя и авторизации доступа к данным.

Данные в скрытых разделах хранятся и обрабатываются в зашифрованном виде. При этом работа с ними возможна только после успешной аутентификации пользователя (после предъявления PIN-кода) и авторизации доступа (подтверждения факта нахождения компьютера пользователя в доверенной среде от Сервера аутентификации или Администратора безопасности). Число и типы разделов флеш-памяти защищённых служебных носителей определяются Заказчиком при их вводе в эксплуатацию.

Защита данных на скрытых разделах

Защита данных в скрытых разделах флеш-памяти защищённых служебных носителей осуществляется в режиме, полностью прозрачном для пользователей и прикладного ПО, работающих с данными: при чтении данных из скрытого раздела они расшифровываются, при записи — зашифровываются.

Реализованы два алгоритма преобразования данных на скрытых разделах:

  • стандартный ГОСТ 28147-89 (скорость чтения/записи данных на скрытый раздел составляет 1 МБ/с);
  • ГОСТ 28147-89 с уменьшенным число раундов до 8-ми (скорость чтения/записи данных на скрытый раздел составляет 3 МБ/с).

Выбор алгоритма осуществляется Заказчиком при вводе устройства в эксплуатацию.

Ключи шифрования данных на скрытых разделах не хранятся в памяти защищённого носителя, а формируются в результате успешного прохождения процедур аутентификации и авторизации доступа. В случае утери или кражи служебного носителя у нашедшего или укравшего его злоумышленника нет никакой возможности получить доступ к скрытым разделам и хранящимся там данным.

Использование любых карт флеш-памяти стандарта MicroSDHC

В защищённых служебных носителях, входящих в JaCarta SF/ГОСТ, могут применяться любые карты памяти объёмом от 8 ГБ до 32 ГБ, соответствующие стандарту MicroSDHC. При этом обеспечивается скорость работы с флеш-памятью до 10 класса включительно, а также поддержка карт памяти, отвечающих классу скорости UHS-I.

Выбор желаемого объёма памяти осуществляет Заказчик. Возможно использование карт памяти, предоставленных Заказчиком (установка карт производится на этапе производства защищённых служебных носителей).

Мониторинг состояния носителей и характера их использования

В защищённых служебных носителях, входящих в JaCarta SF/ГОСТ , реализованы специальные счётчики для мониторинга состояния аппаратной составляющей устройства и характера его использования:

  • количество подключений носителя к USB-порту;
  • общее время работы носителя (с точностью до минуты);
  • количество удачных и неудачных подключений скрытых разделов носителя;
  • количество попыток доступа к данным на скрытых разделах с рабочих станций, находящихся за пределами доверенного периметра;
  • количество операций инициализации носителя (ввода носителя в эксплуатацию);
  • количество отключений носителя от питания при незаконченных операциях ввода/вывода.

Перечисленные счётчики позволяют успешно фиксировать как инциденты в области информационной безопасности, так и халатное отношение пользователя к сохранности данных. Кроме этого, счётчики позволяют оценивать техническое состояние служебного носителя, что даёт возможность заранее планировать их обновление у самых активных пользователей.

Обеспечена криптографическая защита указанных счётчиков от подмены или модификации, в том числе в случае их экспорта из устройства Администратором безопасности.

Независимость подсистем СКЗИ и безопасного хранения данных

В защищённых служебных носителях, входящих в JaCarta SF/ГОСТ, подсистемы СКЗИ и безопасного хранения данных вводятся в эксплуатацию, функционируют и управляются независимо друг от друга. Это позволяет вводить в эксплуатацию только необходимые заказчику функциональные подсистемы, ускоряя ввод служебных носителей в эксплуатацию и сокращая финансовые затраты.

Расширенная ролевая модель при применении устройств

При применении служебных носителей, входящих в JaCarta SF/ГОСТ, доступно 3 роли:

  • Гость — любой человек, который использует носитель на авторизованном ПК, но без ввода PIN-кода. Ему доступны только открытые разделы.
  • Пользователь — человек, использующий носитель на авторизованном ПК и предъявивший свой PIN-код. Ему доступны как открытые, так и скрытые разделы, а также возможность работать с ЭП.
  • Администратор безопасности — технический специалист, который отвечает за ввод носителей в эксплуатацию, их начальное конфигурирование, мониторинг основных параметров в ходе эксплуатации носителей, восстановление доступа к данным на скрытых разделах в случае возникновения нештатной ситуации, вывод и повторный ввод носителя в эксплуатацию, а также их утилизацию. Администрирование подсистемы работы с флеш-памятью и подсистемы ЭП выполняются независимо друг от друга и могут быть поручены разным сотрудникам.

Дополнительный PIN-код на операцию формирования ЭП

JaCarta SF/ГОСТ позволяет установить второй (дополнительный) PIN-код для операций формирования ЭП. В этом случае для входа в скрытые разделы флеш-памяти служебного носителя пользователь должен ввести один PIN-код, а при проведении финансовых транзакций или при подписании электронных документов — другой PIN-код, разрешающий формирование ЭП.

Необходимость ввода дополнительного PIN-кода устанавливается при создании ключевой пары.

Быстрое формирование электронной подписи

При формировании ЭП значение хэш-функции от подписываемого документа может вычисляться с использованием программной библиотеки (ИКБ), являющейся частью сертифицированного СКЗИ и работающей на стороне хоста (персонального компьютера, сервера, терминала), а затем передаваться для подписи в защищённый носитель по защищённому каналу.

Это означает, что время подписи, большая часть которого тратится на вычисление хэша для объёмных документов, теперь кардинально сокращается, поскольку хэш вычисляется не на микроконтроллере средства ЭП, а на более производительном процессоре хоста.

Благодаря использованию защищённого канала выполнение операций хэширования на хосте не приводит к снижению уровня безопасности.

Работа с доверенными объектами

Возможности защищённого носителя, входящего в JaCarta SF/ГОСТ, позволяют использовать доверенные объекты — ключи проверки ЭП. С их помощью проверяется подпись документов и сертификатов открытых ключей абонентов, с которыми ведётся обмен зашифрованными сообщениями. При этом ключи проверки ЭП могут использоваться только после проверки всей цепочки сертификатов, ведущей к открытому ключу, хранящемуся в доверенном объекте.

Срок жизни доверенных ключей — 15 лет, закрытых ключей — 3 года, что существенно сокращает стоимость владения устройствами JaCarta SF/ГОСТ по сравнению с программными СКЗИ со сроком действия ключей в 1 год.

Безопасное администрирование

Для инициализации служебных носителей при их вводе в эксплуатацию, разблокирования, изменения парольной политики, установки, смены PIN- и PUK-кодов, работы с доверенными объектами, вывода из эксплуатации и переинициализации (например, при выдаче их другим пользователям) предназначен АРМ Администратора безопасности, который имеет сертификат соответствия ФСБ России № СФ/124-2964 (исполнение 13).

Новые механизмы разблокирования устройств

Защита от атак на PIN-код

Обычно если Администратор забывает, не устанавливает или случайно блокирует свой PIN-код, то сбросить забытый PIN-код Пользователя становилось невозможно и такое заблокированное устройство можно было выбрасывать. В JaCarta SF/ГОСТ PIN-код Администратора носителей заменён ключом Администратора безопасности — случайно или умышленно заблокировать его теперь нельзя.

Забытый PIN-код Пользователя администратор теперь всегда может сбросить с использованием сертифицированного АРМа Администратора безопасности. При этом все данные (объекты, файлы, PIN- и PUK-коды и др.) будут удалены, а служебный носитель можно будет вернуть в эксплуатацию.

Кроме того, в JaCarta SF/ГОСТ реализована защита от блокирования служебных носителей при подборе PIN- и PUK-кодов с задержкой по времени. Если пользователь (или кто-то другой, например, злоумышленник или вирус) неверно ввёл и PIN-, и PUK-коды заданное число раз, то по прошествии установленного промежутка времени он сможет самостоятельно восстановить доступ к своему носителю, просто введя правильное значение PIN-кода.

Эти механизмы кардинально решают проблему разблокирования носителей и атак на PIN-коды.

Возможность удалённого разблокирования

Если пользователь забыл PIN-код своего служебного носителя, то теперь он может позвонить или написать своему администратору и попросить его сгенерировать одноразовый код разблокирования устройства.

Возможность самостоятельного разблокирования

При инициализации устройства администратор может установить и сообщить пользователю специальный PUK-код, с помощью которого пользователь сможет самостоятельно (без обращения к администратору) разблокировать свой служебный носитель.

Уникальность продукта

Архитектура и аппаратный дизайн JaCarta SF/ГОСТ разработаны в России отечественной компанией "Аладдин Р.Д.". В процессе создания комплекса были тщательно подобраны доверенные электронные компоненты и создано специализированное ПО, что позволяет обеспечить надёжную защиту от внутреннего нарушителя:

  • заказной (ASIC) микроконтроллер на базе процессорного ядра ARM Cortex-M3;
  • Secure Element на базе смарт-карточного чипа (сертифицированная российская криптография, неизвлекаемые ключи), подтверждённая неклонируемость и защита от взлома;
  • загрузка и контроль прошивки встроенного контроллера;
  • APDU-Firewall, работа только по "белым спискам" команд;
  • электромагнитное излучение устройства — не более 1 м;
  • собственная операционная система (ОС) реального времени микроконтроллера, позволяющая осуществлять:
    • доверенную загрузку для встроенной ОС микроконтроллера;
    • безопасное обновление прошивки (подписана ЭП устройства);
    • безопасный обмен с ПО на хосте (защита команд и данных).

Повышенный ресурс и живучесть

  • Защищённые служебные носители в составе JaCarta SF/ГОСТ проектировались с учётом возможностей длительного интенсивного применения и имеют повышенный ресурс по количеству циклов записи в энергонезависимую память (EEPROM) и выполняемых операций ЭП. В частности, количество операций формирования ЭП составляет не менее 10 млн.
  • В случае выхода из строя любого элемента защищённого служебного носителя кроме MicroSDHC-карты, доступ к данным на карте может быть восстановлен Администратором безопасности. Для уменьшения износа флеш-памяти осуществляется ротация данных. Срок хранения информации на MicroSDHC-карте — не менее 25 лет.
  • Если защищённый служебный носитель вышел из строя, а сама MicroSDHC-карта сохранила работоспособность, для продолжения работы с информацией достаточно переставить карту в исправный носитель.
  • В случае, если пользователь забыл свой PIN-код (случайно или злонамеренно), доступ к данным на скрытых разделах защищённого служебного носителя всегда может быть восстановлен Администратором безопасности.
  • Пыле- и влагонепроницаемый корпус служебного носителя надёжно защищает его внутренние электронные компоненты и карту памяти от неблагоприятных воздействий.
  • Защищённые от подмены счётчики позволяют администраторам отслеживать приближение момента исчерпания основных аппаратных ресурсов защищённых носителей, а также выявлять факты нарушения правил их эксплуатации со стороны пользователей и оперативно реагировать на эти события.
  • Система управления качеством продукции ЗАО "Аладдин Р.Д." сертифицирована по требованиям российского и международного стандарта менеджмента качества ГОСТ Р ИСО 9001 2011 (ISO 9001:2011), а производства — в соответствии с требованиями российского военного стандарта ГОСТ РВ 15.002-2012, необходимого для участия в реализации гособоронзаказа.

СКЗИ, сертифицированное по новым требованиям ФСБ России

СКЗИ в составе JaCarta SF/ГОСТ сертифицировано по новым требованиям ФСБ России и является функционально законченным и криптографически безопасным.

Это означает, что команды для встраивания криптографических функций в прикладное ПО описаны, проверены и включены в разрешённый "белый" список безопасных (сертифицированных) команд, не допускающих криптографически опасных последствий при неправильном встраивании и использовании.

Сертификат ФСБ России № СФ/124-3112 на СКЗИ и средство ЭП по классам защиты КС1, КС2 действует до 31 декабря 2018 г., после чего будет продлён, но уже без указания выводимых из обращения старых криптографических алгоритмов ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001.

 

Поддерживаемые ОС

  • Microsoft Windows XP SP3, 7 SP1, 8, 8.1
  • Astra Linux 1.2 - 1.5 (Linux LSB)
  • МС ВС 3.0, 5.0
  • Возможный объём карты памяти – 8 ГБ, 16 ГБ или 32 ГБ
  • Проведение спецпроверок и специсследований (СП и СИ), после их завершения — поставка служебных носителей в пенале со специальным креплением;
  • Наличие сертификатов:
    • сертификат Минобороны России для работы с гостайной с грифами С/СС
    • сертификат ФСБ России № СФ-124/3112 (КС1, КС2) на средство ЭП и СКЗИ
      • идёт процесс сертификации устройства во ФСТЭК России на соответствие Профилю "Средства контроля съёмных носителей, СКН тип-2" (для гостайны с грифом до СС)