Токен - что это такое? Ростелеком токен


TLS, электронная подпись, ГОСТы, токены / Блог компании «Актив» / Хабр

image Многие современные системы ДБО предоставляют для обслуживания клиентов Web-интерфейс. Преимущества «тонкого клиента» перед «толстым клиентом» очевидны. В то же время существуют федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО. Как-то их нужно исполнять и обычно применяются криптосредства, реализующие российские криптоалгоритмы (ГОСТы). Эти криптосредства закрывают часть «дыр», но при их внедрении может существенно возрасти сложность пользования системой ДБО для клиента.

В данной статье мы из «кирпичиков» соберем и испытаем на демонстрационном интернет-банке комплексное решение — по сути специальный переносной защищенный браузер, хранящийся на flash-памяти — в котором будут реализованы закрытие канала (TLS), строгая двухфакторная аутентификация на WEB-ресурсе и электронная подпись платежных поручений посредством USB-токена Рутокен ЭЦП или trustscreen-устройства Рутокен PINPad. Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил токен, запустил браузер и сразу же можно начинать тратить деньги.

TLS, аутентификация и подпись реализуются с использованием российской криптографии.

Дальше пойдет мануал с пояснениями.

Итак, «кирпичики» решения (для Windows):

1. Загружаем браузер Mozilla FireFox Portable Edition, распаковываем его на flash-память Рутокен ЭЦП Flash. В качестве стартовой страницы указываем ему demo.rutoken.ru

2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии. Распаковываем на flash-память Рутокен ЭЦП Flash в папку sTunnel. Обратите внимание, что папка sTunnel с файлами должна лежать в корне flash-памяти устройства.

Конфиг:

; проверять сертификат сервера verify=2 ; прокси работает в режиме клиента client=yes ; версия протокола SSL sslVersion=TLSv1 ; показывать значок в в трее taskbar=yes ; уровень логирования DEBUG=7 [https-demobank] ; при загрузке openssl подгружать engine gost engine=gost ; корневой сертификат, до которого строится цепочка при проверке сертификата сервера CAFile=ca.crt ; прокси принимает незащищенные соединения на 1443 порту localhost accept = 127.0.0.1:1443 ; прокси устанавливает защищенные соединения с demo.rutoken.ru:443 connect = demo.rutoken.ru:443 ; используемый в протоколе TLS шифрсьют ciphers = GOST2001-GOST89-GOST89 TIMEOUTclose = 1

sTunnel при запуске будет на 127.0.0.1:1443 принимать незащищенное соединение, устанавливать защищенное соединение с demo.rutoken.ru:443 и передавать по нему принятые на вход данные.

Если вы работаете в интернете через прокси-сервер (например, корпоративный), то требуется дополнительное конфигурирование sTunnel.

При установке защищенного соединения производится строгая аутентификация сервера и шифрование передаваемых данных.

3. Прописываем в браузер Mozilla FireFox Portable Edition прокси 127.0.0.1:1443, для всех протоколов. Таким образом все данные пойдут через sTunnel. Прокси прописывается так: Настройки->Дополнительные->Сеть->Настроить->Ручная настройка прокси. Установить галочку «Использовать этот прокси-сервер для всех протоколов»

4. Добавляем в браузер Рутокен Плагин. Для этого файлы npCryptoPlugin.dll и rtPKCS11ECP.dll из архива кладем в папку FirefoxPortable\Data\plugins

5. Пишем скрипт автозапуска на vbscript. Скрипт сначала запускает sTunnel, а затем Mozilla FireFox Portable Edition.

Dim WshShell, oExec Set WshShell = CreateObject("WScript.Shell") Set wshSystemEnv = wshShell.Environment( "PROCESS" ) currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName))) wshSystemEnv( "OPENSSL_ENGINES" ) = currentDirectory + "\stunnel" Set oExec = WshShell.Exec("stunnel\stunnel.exe") Do While oExec.Status = 1 WScript.Sleep 100 Loop Set oExec = WshShell.Exec( "FirefoxPortable\FirefoxPortable.exe")

Сохраняем его в файл DemoBank.vbs и кладем в корень flash-памяти устройства Рутокен ЭЦП Flash.

Все.

Теперь запускаем DemoBank.vbs и попадаем на демо-площадку Рутокен по защищенному соединению. Если произошла ошибка при запуске скрипта, то еще раз обратите внимание на иерархию папок.

Далее производим регистрацию, двухфакторную аутентификацию клиента и подпись платежа с помощью Рутокен Плагина и USB-токена, как это описано в статьях habrahabr.ru/company/aktiv-company/blog/155835 и habrahabr.ru/company/aktiv-company/blog/165887.

Для работы на другом рабочем месте просто подключаем Рутокен ЭЦП Flash и запускаем DemoBank.vbs.

Что мы получили? Переносное и простое для конечного пользователя решение, отвечающее современным представлениям о безопасности cистем с Web-интерфейсом и полностью построенное на использовании российских криптоалгоритмов.

habrahabr.ru

Как выбрать токен? - cryptostore.ru

Токен - это специальное небольшое устройство, внешне похожее на USB-брелок, которое обычно используется для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам. Если упростить, то токен — это USB-флешка, память которой защищена специальными криптографическими алгоритмами, где может храниться ценная информация. Обычно на токене хранят сертификаты электронной цифровой подписи (ЭЦП).

Что нужно учитывать при выборе токена?

1. Государственным организациям следует приобретать исключительно сертифицированные версии токенов и программного обеспечения

Вообще, использовать сертифицированные программные средства обязаны все государственные и негосударственные организации, работающие с так называемой «служебной информацией государственных органов». Также ряд других организаций обязаны использовать сертифицированные токены и программные продукты в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных»).

Поэтому стоит приобрести сертифицированный токен, даже если вы представляете негосударственную организацию. Разница в цене не так уж велика, а в будущем сертифицированные токены, возможно, помогут вам сэкономить: не придется их покупать, в случае, если вы подпадете под требования закона такого рода. Помните, что несертифицированные токены “превратить” в сертифицированные не получится - придется покупать новые.

2. Если приобретаете сертифицированные токены - не забудьте приобрести медиакит

Медиакит - это диск с заведомо корректным программным обеспечением для работы токена и комплект документации. По требованиям законодательства, необходимо иметь хотя бы один на компанию, где используются сертифицированные ключи. Медиакит нужен, чтобы быть уверенным, что программное обеспечение, которое вы используете с вашими токенами, не было изменено злоумышленниками. Ну и, конечно, показать этот медиакит проверяющим органам, в случае проведения проверки.

3. Если хотите хранить больше одного сертификата на токене - убедитесь, что места на токене хватит

У каждого токена есть объем памяти, который пользователь может использовать для хранения сертификатов ЭЦП или иной информации. Обычно объемы памяти токенов бывают от 32Кб до 128Кб. Для того чтобы примерно оценить, сколько вместится сертификатов электронной подписи на токен, считайте, что один сертификат занимает 4-10Кб. Таким образом, например в токен с 32Кб памяти вместится примерно 3-8 сертификатов.

4. Токены с пометками ЭЦП или ГОСТ - могут помочь сэкономить на приобретении криптопровайдера

Обычно для нормального использования токена вам потребуется приобрести криптопровайдер (чаще всего это КриптоПро CSP), однако токены с пометкой ЭЦП выгодно отличаются от стандартных токенов. В такие токены уже встроена криптография, и покупать криптопровайдер вам уже не будет нужно, а это существенная экономия. Но нужно быть внимательным: ваше программное обеспечение для электронной подписи должно поддерживать работу с такими токенами. Протокол для взаимодействия с такими токенами называется PKCS ♯11, поэтому ищите такое упоминание в описании вашей программы.

Например, программа КриптоАРМ будет поддерживать работу с такими токенами начиная с версии 5.0, выход которой планируется в начале 4 квартала 2013 года.

5. Для ЕГАИС нужны специальные токены

Для авторизации и работы с ЕГАИСподходят следующие модели токенов:

6.  Драйвера для eToken с поддержкой Microsoft Windows 8/10

При использовании токенов марки eToken в операционных  системах Microsoft Windows 8/10  необходимо установить пакет драйверов и дополнительных утилит SafeNet Authentication Client

cryptostore.ru

Рутокен Web / Все продукты / Продукты / Рутокен

Возможности Рутокен Web

При помощи троянских программ, фишинга или перехвата трафика невозможно похитить ни само аппаратное устройство, ни подделать или подменить электронную подпись. Решение Рутокен Web является кроссплатформенным и мультибраузерным, имеет низкую стоимость владения и удобно в использовании.

Продукт основывается на технологии электронной подписи и состоит из трех компонентов:

  1. USB-токен — электронный ключ, имеющий возможность осуществлять электронную подпись. Работает как HID-устройство, не требует установки драйверов.
  2. Плагин для браузера — осуществляет связь между USB-токеном и браузером. Не требует административных прав для установки. Использует только встроенные в браузер API и не требует установки дополнительных компонентов, фреймворков и платформ, таких как Java, Microsoft Silverlight и другие. Работает со всеми известными браузерами на платформах Microsoft Windows, Apple macOS/OSX, GNU/Linux.
  3. Серверная часть — реализация проверки электронной подписи на сервере. Механизмы реализованы для разных платформ и средств разработки, а именно: PHP, ASP.NET, WordPress, Joomla и Битрикс.

Если пользователь потерял токен, то он может один раз произвести доступ на сайт без USB-токена. Для этой цели используется одноразовый код доступа, напечатанный на скретч-карте, которая входит в комплект поставки Рутокен Web. Данный механизм восстановления доступа обеспечивает непрерывность использования web-ресурса.

Клиентам и партнерам компании «Актив» для изучения и тестирования продукта Рутокен Web предоставляется возможность заказать демонстрационный комплект. Подробнее о преимуществах Рутокен Web и угрозах, избежать которые помогает использование продукта, можно узнать из Презентации.

Рутокен Web — это «железный пароль», его использование решает проблему клонирования пользователей web-сервиса, так как невозможно использовать один токен на нескольких рабочих местах одновременно. Если Рутокен Web используется для доступа к корпоративной среде, то при увольнении сотрудника достаточно просто забрать у него само устройство.

  • Безопасный механизм аутентификацииРешение не подвержено уязвимостям, характерным для аутентификации на основе пары «логин-пароль». Для аутентификации используется электронная подпись, формируемая внутри USB-токена. Секретный ключ никогда не покидает устройство. Алгоритм ЭЦП соответствует требованиям RFC 5832. В качестве протокола аутентификации Рутокен Web использует адаптированный двухпроходной односторонний протокол аутентификации с открытым ключом в соответствии с ISO/IEC 9798-3.
  • Удобство использованияПользователю нет необходимости запоминать множество логинов и паролей для доступа к разным ресурсам: необходимо просто иметь токен и знать его PIN-код. USB-ключ Рутокен Web не требует для работы установки драйверов. Браузерный плагин Рутокен Web не требует для установки прав системного администратора. Решение совместимо с большинством браузеров и ОС и не требует специальных знаний для работы с ним. В случае утери токена доступ к web-ресурсу может быть восстановлен без указания персональных данных при регистрации.
  • ТехнологииUSB-токен Рутокен Web работает по протоколу HID, поддержка которого есть в большинстве распространенных операционных систем. Плагин для браузера поддерживает спецификации NPAPI и Microsoft ActiveX, и поэтому работает в большинстве браузеров. Проверка подписи на сервере реализована как в виде php-приложения, которое удобно для php-площадок, так и в виде двоичных модулей для других linux и windows конфигураций.
  • НазначениеРешение Рутокен Web может применяться в публичных интернет-сервисах, системах удаленного обслуживания, Intranet-системах, при дистанционном обучении, на удаленных рабочих местах, в корпоративных интернет-сервисах, в системах взаимодействия с партерами и контрагентами.

www.rutoken.ru

Токен - что это такое?

Вопрос электронной безопасности – один из самых важных в современном мире. Было предложено множество различных способов его решения. Токен – это один из них. Что он собой представляет, и какие особенности его применения существуют?

Токен – что это?

токен что этоПервоначально определимся с терминологией. Токеном называют компактное устройство, которое предназначается для того, чтобы обеспечить информационную безопасность пользователя. Он используется для идентификации своего владельца и возможности предоставления защищенного удаленного доступа к всевозможным типам информации.

Токены могут быть использованы вместо пароля или как дополнение к нему. Обычно они имеют незначительный размер и спокойно помещаются в кошелёк или карман. Более совершенные версии предлагают также возможность хранить криптографические ключи (электронную подпись, биометрические данные). Токен – что это внешне? Все ли они одинаковы? Разнятся они и по внешнему виду, а не только по функционалу: некоторые имеют только экран, другие дополнены миниатюрной клавиатурой, а третьи просто имеют небольшое кнопочное дополнение. Токены оборудованы функциями RFID, разъёмом USB или интерфейсом Bluetooth, чтобы передавать ключ на клиентскую систему. Их изготавливает довольно много компаний, и представлен широчайший ассортимент. Среди ведущих производителей есть такие предприятия: «Е Токен» и «RuToken»

Типы токенов

токен этоТокены бывают с различных функционалом, вплоть до того, что они имеют несколько методов аутентификации. Самым простым представителям нет необходимости быть постоянно подключенными к компьютеру. Они генерируют числа, и пользователь просто вводит их в форму. Существуют токены, которые используют беспроводные технологии вроде Bluetooth. Они действуют путём передачи ключевой последовательности. Отдельное положение занимают устройства, которые выполнены в манере USB прибора. Они требуют непосредственного подключения к компьютеру, на котором будет осуществляться получение данных.

Разнятся и реакции операционных систем на разные типы токенов. Так, некоторые могут просто прочитать ключ и выполнить требуемые криптографические операции. Другие могут дополнительно потребовать пароль. Коммерческие решения данной технологии предоставляются компаниями, как правило, со своими собственными механизмами безопасности и с особенностями реализации. Так, USB токен может быть сделан в виде миниатюрного флеш-накопителя, или таковым может выступать мобильное устройство связи. Также возможна реализация, когда он маскируется под брелок или другую малоприметную вещь.

Уязвимости

е токенСуществует две основные проблемы при использовании токенов:

  1. Потеря или кража. Если эти процессы были случайными, то беспокоиться не о чем. Но если данные действия были совершены кем-то умышленно, то в данном случае поможет минимизировать риски двухфакторная авторизация, когда для завершения процесса идентификации необходим не только токен, но и пароль доступа (статический или постоянно генерируемый и высылаемый на телефон).
  2. Схема «человека посередине». Это проявляется при работе через ненадёжную сеть (интернет является очень хорошим примером). Суть схемы заключается в том, что к каналу данных подключается криптоаналитик, который может читать и менять сообщения по своему желанию. Причем ни один из корреспондентов не может понять (с технической стороны дела) о том, что это не сообщения его партнера по обмену сообщениями.

Мобильные устройства в роли токенов

usb токенТокен – что это с такого необычного ракурса? Есть ли особенности в сравнении со стандартной процедурой? В качестве токена может быть использовано мобильное вычислительное устройство, такое как смартфон или планшет. Они также могут обеспечить двухфакторную идентификацию, для которой не требуется, чтобы человек постоянно имел при себе дополнительную физическую технику. Часть производителей разработала приложения, которые являются токенами, будучи установленным на мобильные устройства, и генерируют криптографический ключ. Данное решение позволяет обеспечить высокий уровень безопасности, в том числе устранить проблемы «человека посередине». Теперь можно сказать, что основная информация про токен – что это такое и как функционирует – вам известна.

fb.ru


Смотрите также