РУТОКЕН ПЛАГИН

    Рутокен Плагин представляет собой средство электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов. В продукте используется аппаратная реализация российских криптографических алгоритмов «на борту» устройств Рутокен ЭЦП, Рутокен Web и Рутокен PINPad. Рутокен Плагин совместим с решениями российских производителей СКЗИ и может применяться в информационных системах, в которых используются цифровые сертификаты и инфраструктура PKI.

    Что такое Рутокен Плагин

    В Рутокен Плагин в качестве средства криптографической защиты и строгой двухфакторной аутентификации выступает USB-токен или другое устройство, в котором аппаратно реализованы российские криптографические алгоритмы. Для работы в контексте браузера используется кроссплатформенный и мультибраузерный плагин — специальное расширение функциональности, поддерживаемое всеми браузерами. Рутокен Плагин реализует следующие механизмы защиты информации:

    • двухфакторную аутентификацию в Web-сервисе по USB-токену,
    • шифрование обмена данными между браузером и Web-сервисом по ГОСТ 28147-89,
    • электронную подпись данных по ГОСТ Р 34.10-2001,
    • контроль целостности данных посредством вычисления хеш-функции по ГОСТ Р 34.11-94,
    • разграничение доступа к ресурсам Web-сервиса на основе цифровых сертификатов.

    Для интеграции с системами, использующими цифровые сертификаты и инфраструктуру PKI, в продукте реализована поддержка:

    • цифровых сертификатов формата Х.509,
    • запросов на сертификаты PKCS#10,
    • подписи и шифрования данных в формате CMS.

    Рутокен Плагин использует только встроенные в браузер API и не требует установки дополнительных компонентов, фреймворков и платформ, таких как Java, Microsoft Silverlight и другие.

    Взаимодействие с USB-устройствами

    Рутокен Плагин поддерживает работу с устройствами Рутокен ЭЦП, Рутокен Web и Рутокен PINPad. Наиболее частым является использование плагина вместе с USB-токенами. При этом USB-токены работают через стандартный драйвер, который имеется в составе современных операционных систем. Для того чтобы операционная система опознала токен, достаточно подключить его к USB-порту компьютера.

    Рутокен Плагин представляет собой стандартное расширение функциональности браузеров — Active X для IE и NPAPI-плагин для остальных браузеров. Программа установки плагина реализована в виде 
    one-click-installer, то есть не требует выбора пользователем никаких опций. Также для установки плагина не требуются права системного администратора. При заходе пользователя на сайт плагин загружается на Web-страницу, и после этого его функции могут вызываться из скриптов страницы.

    При шифровании, хешировании и электронной подписи плагин обращается непосредственно к токену, и все криптографические операции происходят на аппаратном уровне. Следует отметить, что в плагине имеется возможность программного шифрования и вычисления хеш-функции для ускорения операций. Так как криптооперации производятся «на борту» устройства, то ключи являются неизвлекаемыми (не загружаются в оперативную память компьютера), и их невозможно украсть без физического изъятия токена у пользователя. Но даже в этом случае злоумышленник будет ограничен необходимостью знания уникального PIN-кода.

    Помимо работы с USB-токенами Рутокен Плагин поддерживает работу с Рутокен PINPad — устройством класса TrustScreen для дистанционного банковского обслуживания, что позволяет выполнять наиболее критичные транзакции с их визуальным контролем в доверенной среде. Поскольку Рутокен PINPad в том числе выполняет функции криптографического токена, то его взаимодействие с Рутокен Плагин аналогично взаимодействию USB-токена и плагина.


    Назначение

    Безопасность систем ДБО

    Важной сферой применения Рутокен Плагин является безопасность систем дистанционного банковского обслуживания (ДБО). Решение обеспечивает:

    • строгую аутентификацию клиента при доступе в личный кабинет,
    • подтверждение платежей и транзакций с помощью электронной подписи,
    • шифрование платежных поручений,
    • визуальный контроль платежных документов перед подписью в доверенной среде (при использовании с Рутокен PINPad),
    • надежное хранение ключей от личного кабинета пользователя.

    Флагманским устройством для банковского сектора является Рутокен PINPad, который позволяет успешно противостоять всем известным атакам на клиентские места систем ДБО. Рутокен PINPad совмещает в себе функции криптографического токена и TrustScreen-устройства для просмотра платежек перед их подписанием, а также для безопасного ввода PIN-кода. Рутокен Плагин позволяет интегрировать Рутокен PINPad в системы ДБО с Web-интерфейсом.

    Защита персональных данных

    При использовании Рутокен Плагин совместно с Рутокен ЭЦП в качестве средства криптографической защиты информации (СКЗИ) и средства защиты от несанкционированного доступа (НСД) выступает сертифицированный USB-токен:

    • Рутокен ЭЦП имеет сертификат ФСТЭК по ндв4, что позволяет использовать его для защиты информации от НСД в ИСПДН до 1 класса включительно в соответствии с требованиями ФСТЭК и нормами ФЗ-152, а также в информационных системах до класса защищенности 1Г включительно;
    • Рутокен ЭЦП сертифицирован в ФСБ как СКЗИ по классу КС2, что позволяет использовать его в качестве шифровального средства в соответствии с ПКЗ2005 для защиты конфиденциальной информации и персональных данных;
    • Рутокен ЭЦП сертифицирован на соответствие 63-ФЗ и требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27 декабря 2011 г. № 796, что позволяет использовать его в качестве средства квалифицированной электронной подписи при организации юридически значимого электронного документооборота.

    Таким образом, Рутокен Плагин может использоваться для защиты информации в соответствии с требованиями регуляторов и законодательства. Сферами его применения являются:

    • защита персональных данных пациентов медицинских учреждений,
    • защита персональных данных учащихся школ и ВУЗов,
    • защита информации в системах предоставления госуслуг и муниципальных услуг в электронном виде,
    • безопасность и придание юридической значимости корпоративному электронному документообороту.

    Лицензирование доступа

    В ряде случаев Web-сервисы предоставляют доступ к базам знаний, в которых содержится интеллектуальная собственность компании. Эта интеллектуальная собственность имеет определенную цену, поэтому доступ к ней ограничен и предоставляется за плату. Компания заинтересована в том, чтобы одной выданной лицензией на доступ могло воспользоваться только одно лицо.

    Использование в Web-сервисе двухфакторной аутентификации посредством USB-токена позволяет существенно затруднить доступ к одному аккаунту нескольких лиц, так как для этого им нужно будет постоянно обмениваться самим устройством. В отличие от аутентификации с помощью связки «логин-пароль» в ряде случаев это может оказаться непреодолимым препятствием, а сложность решения проблемы приведет к покупке дополнительных аккаунтов. 


    Архитектура

    Рутокен Плагин - Архитектура


    Характеристики

    Инсталляция
    • Рутокен Плагин распространяется в виде MSI-пакета под Windows и 
      PKG-пакета для Mac OS X. Для ОС Linux плагин распространяется в виде бинарных файлов. Для успешной работы пользователю не требуется установки какого-либо дополнительного программного обеспечения, прав системного администратора и настройки рабочего места.
    Поддерживаемые платформы
    • Windows XP SP3 (только x86), Windows Vista, Windows 7, Windows 8.
    • Mac OS X 10.6, Mac OS X 10.7, Mac OS X 10.8.
    • Ubuntu 10.04, Ubuntu 12.04, Alt Linux 6, Debian 6 Squeeze, Astra Linux, CentOS 6.2, возможно использование на других дистрибутивах Linux.
    Поддерживаемые браузеры
    • Internet Explorer 7-10.
    • Mozilla Firefox 3.6, 13 и старше.
    • Google Chrome 19 и старше.
    • Opera 11.64.
    • Safari 5.1.2.
    Поддерживаемые устройства
    • Рутокен ЭЦП.
    • Рутокен Web.
    • Рутокен PINPad.
    Используемые криптографические алгоритмы и форматы
    • Шифрование по ГОСТ 28147-89.
    • Вычисление хеш-функции по ГОСТ Р 34.11-94.
    • Электронная подпись по ГОСТ Р 34.10-2001.
    • Вычисление ключа согласования по схеме VKO GOST 34.10-2001.
    • Формат цифрового сертификата X.509.
    • Формат запроса на сертификат PKCS#10.
    • Формат подписанных и зашифрованных сообщений CMS.

     

     
    ПО по вендорам