Сравнение ключей и USB-токенов с аппаратной поддержкой ГОСТ (без сертификата ФСБ)

Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ без сертификата ФСБ

Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ без сертификата ФСБ

В продолжение представленного ранее сравнения токенов с аппаратной поддержкой отечественных криптографических алгоритмов мы решили подготовить отдельный обзор решений иного типа. Рассмотренные ниже токены поддерживают отечественные криптографические алгоритмы и при этом не обладают действующим сертификатом ФСБ России.

 

 

 

 

  1. Введение
  2. Методология сравнения токенов
  3. Сравнение токенов без действующего сертификата ФСБ России
    1. 3.1. Сертификация
    2. 3.2. Аппаратное обеспечение
    3. 3.3. Программное обеспечение
    4. 3.4. Функциональное обеспечение
    5. 3.5. Особенности функционирования

 

Введение

Обязательность использования криптографических механизмов, утвержденных в качестве национальных стандартов Российской Федерации, по-прежнему оставлена в качестве признака, определяющего круг рассматриваемых токенов. Это согласуется с основополагающим принципом применения криптографических механизмов в криптосредствах, предназначенных для использования на территории Российской Федерации. Именно по этой причине за рамками обзора остались решения, основанные исключительно на зарубежных криптографических алгоритмах.

В свою очередь, наличие у токена сертификата ФСБ России не во всех случаях относится к числу обязательных требований для возможности использования решения на территории Российской Федерации.

Наличие сертификата ФСБ России в соответствии с действующим законодательством требуется для токенов, которые используются для защиты сведений, содержащих государственную тайну, а также обеспечения защищенности персональных данных. Несертифицированные решения в большинстве случаев не могут использоваться и при создании электронных документов, равнозначных документу на бумажном носителе, подписанному собственноручной подписью. Для использования усиленной квалифицированной электронной подписи подходят только токены, для которых подтверждено соответствие требованиям, установленным Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27 декабря 2011 г. № 7. Это соответствие подтверждается как раз наличием сертификата ФСБ России.

В целом область использования несертифицированных токенов с поддержкой отечественных криптографических алгоритмов в общем случае ограничена рамками подсистем обеспечения информационной безопасности для корпоративных информационных систем (банков, ИТ-компаний, страховых фирм и пр.), в которых они могут использоваться в качестве:

  • устройства шифрования и электронной подписи в системах защищенного документооборота, криптографических сервис-провайдерах, программ для шифрования логических дисков;
  • единого идентификационного устройства пользователя;
  • защищенного хранилища служебной информации, личной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой информации конфиденциального характера.

В существующих на рынке несертифицированных токенах с поддержкой отечественных криптографических алгоритмов реализованы механизмы, позволяющие с функциональной и экономической точки зрения успешно конкурировать с сертифицированными решениями.

Интерес к токенам данного типа в значительной степени поддерживается их более низкой по сравнению с сертифицированными аналогами стоимостью.

При этом отсутствие у токена сертификата ФСБ России, как правило, не связано с ненадлежащим выполнением требуемых от него функций. В самом деле, для производителя нет смысла тратить временные и финансовые ресурсы на разработку заведомо неработоспособного и ненадежного решения. Причины отсутствия сертификата по состоянию на тот или иной момент времени могут состоять в следующем:

  • планирование сертификации в будущем (в соответствии с планом производителя по сертификации продуктов, при достижении более благоприятных условий и т. д.);
  • затруднения в своевременной адаптации программного или аппаратного обеспечения решения к ужесточающимся требованиям регулятора;
  • наличие заказчиков в сферах, в которых не требуется наличие сертифицированного решения, например, различных технологических процессах обработки информации в коммерческих организациях.

 

Методология сравнения токенов

Сведения, представленные в рамках сравнения, включают:

  • реестр токенов;
  • перечень параметров, по которым они могут быть сопоставлены;
  • оценку токенов по представленным параметрам.

Для сравнения отобрано несколько примеров токенов с аппаратной поддержкой отечественных криптографических алгоритмов без сертификата ФСБ России, о которых на момент написания статьи доступна информация в открытых источниках. Отметим, что поиск решений с заданными характеристиками затруднен малым объемом имеющейся в открытом доступе информации о несертифицированных продуктах. По-видимому, это объясняется:

  • первоочередной ориентированностью производителей СКЗИ на взаимодействие с крупными организациями из государственного сегмента, в котором наличие сертификата зачастую обязательное условие;
  • предположением о незаинтересованности коммерческих учреждений в использовании СКЗИ.

В целом за вычетом признака наличия сертификата к несертифицированным токенам могут быть применены те же параметры сравнения, что и для сертифицированных решений. Напомним, что параметры сравнения выбираются таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывается как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:

  • PKCS #15 v1.1: Cryptographic Token Information Syntax Standard; RSA Laboratories; June 6, 2000; Department of Defense Public Key Infrastructure and Key Management Infrastructure Token Protection Profile (Medium Robustness), Version 3.0, 22 March 2002, Common Criteria for Information Technology Security Evaluation, Prepared by Booz Allen Hamilton Prepared for National Security Agency (NSA);
  • Серия европейских стандартов Protection profiles for Secure signature creation device;
  • GlobalPlatform Device Technology. Secure Element Access Control, Version 1.0, Public Release, May 2012;
  • NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management, June 2017», введенный в действие в июне 2017 года и заменяющий значимые для поставленной цели разделы документа «NIST Special Publication (SP) 800-63-2. Electronic Authentication Guideline, August 2013.

Наконец, отдельно стоит упомянуть о наличии технических решений, которые функционально отличаются от традиционных токенов, но зато предоставляют дополнительные функции безопасности.

К числу таких устройств можно отнести, например, «Идеальный токен» производства «ОКБ САПР». «Идеальный токен» представляет собой USB-устройство с функцией ограничения числа разрешенных компьютеров, на которых возможно получение доступа к ключам, хранящимся внутри устройства. Список компьютеров, на которых разрешена работа с «Идеальным токеном», определяется администратором информационной безопасности системы. Доступ к ключам предоставляется только легальному пользователю после успешной аутентификации в устройстве.

 

Сравнение токенов без действующего сертификата ФСБ России

Параметр сравнения GM-TOKEN Token-AK ПСКЗИ ШИПКА Рутокен ЭЦП PKI
Сертификация        
Изготовитель ООО «Гроссмейстер» ЗАО «Атлас-карт» ЗАО «ОКБ САПР» ЗАО «Актив-Софт»
Сертификат ФСБ России Нет Нет Нет Нет
Сертификат  ФСТЭК России Нет Нет Нет Сертификат на ПАК «Рутокен» №3753 ФСТЭК РФ
Аппаратное обеспечение        
Форм-фактор USB-токен USB-токен USB-токен USB-токен
Используемая микросхема Нет данных Микроконтроллер К5018ВГ1 Микропроцессор семейства ARM9 Нет данных
Возможность встраивания радиометки
(RFID)
Нет данных Нет данных Да Да
Объем защищенной памяти (EEPROM) Нет данных 128 Kb Внутренняя флеш-память до 8 Мб Нет
Интерфейсы подключения USB 2.0 USB 2.0 USB 1.0/2.0 и выше USB 1.0/2.0
Датчик случайных чисел Да Да Да Да
Программное обеспечение        
Поддерживаемые
ОС для эксплуатации токена
Microsoft Windows Да Да Да Да
Linux Да Да Да Да
Поддерживаемые интерфейсы встраивания, стандарты и криптографические спецификации Нет данных Нет данных PKCS#11, OSCIAPI, CSP PKCS#11, CSP, APDU и др.
Функциональное обеспечение        
Аппаратная поддержка криптографических алгоритмов Электронная подпись ГОСТ Р 34.10–2001, RSA, EQDSA ГОСТ Р 34.10–2001 ГОСТ Р 34.10-2001, RSA ГОСТ Р 34.10-2001, RSA
Шифрование ГОСТ 28147-89, AES ГОСТ 28147–89 ГОСТ 28147-89, RC2 ГОСТ 28147-89
Хеширование ГОСТ Р34.11–94 ГОСТ Р34.11–94 ГОСТ Р 34.11-94, SHA-1, MD5 ГОСТ Р 34.11-94
Электронная подпись Генерация ключей Нет данных Нет данных Генерация ключевых пар  ЭП Генерация ключевых пар  ЭП, выработка сессионных ключей (ключей парной связи): по схеме VKO GOST R 34.10-2001 (RFC 4357)
Неизвлекаемые ключи Да Да Да Да
Шифрование Режимы шифрования Нет данных Нет данных Простая замена, гаммирование с обратной связью, гаммирование, сцепление блоков шифротекста Простая замена, гаммирование и гаммирование с обратной связью, вычисление и проверка имитоставки
Генерация ключей Нет данных Нет данных Генерация ключей для ассиметричного
и симметричного шифрования
Генерация ключей для ассиметричного
и симметричного шифрования
Неизвлекаемые ключи Да Да Да Да
Аутентификация Двухфакторная аутентификация Да Да Да Да
Особенности функционирования        
Совместимость со сторонними средствами защиты информации Нет данных КриптоПро 3.6 КриптоПро, а также СЗИ производства ОКБ САПР: ПАК «Аккорд-АМДЗ», ПАК «Аккорд-Win32», ПАК «Аккорд-Win64», ПАК «Аккорд-Х», ПАК «Аккорд-В.», ПАК «ГиперАккорд», ПАК «Центр-Т».
Возможно приобретение SDK «ПСКЗИ ШИПКА»
Интеграция в любые smartcard-ориентированные программные продукты (e-mail, internet, платежные системы и т. п.); Microsoft Base SmartCard Cryptoprovider, интеграция с OpenSSL
Декларируемые изготовителем конкурентные преимущества gm.ru atlas-kard.ru okbsapr.ru rutoken.ru

 

Описание существующих решений, представленное в рамках результатов данной аналитической задачи, не претендует на то, чтобы привести читателя к некоему единственно правильному  обоснованному выбору. Скорее, его следует расценивать как попытку предоставить развернутую картину, позволяющую сделать самостоятельный выбор.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru