Щит и меч в системах ДБО. Прикладное решение

    Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО. Кратко линейку можно представить в виде — токены, токены с криптографией на борту, trustscreen с криптографией на борту.

    Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition, мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.



    Новая версия плагина поддерживает наш trustscreen с криптографией на борту — устройство Рутокен PINPad. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.



    Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.

    На вышеприведенной картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.

    С точки зрения безопасности Рутокен PINPad это:
    • поддержка неизвлекаемых ключей
    • визуальный контроль процесса аутентификации на web-ресурсе
    • визуальный контроль подписываемого документа


    Рутокен PINPad также может использоваться как хранилище цифровых сертификатов. Для ознакомления с возможностями решения мы модифицировали наш Демо-банк. Теперь через единый интерфейс могут работать как пользователи с Рутокен ЭЦП или Рутокен WEB, так и пользователи с Рутокен PINPad. При этом последние имеют преимущество — визуальный контроль проводимых транзакций в доверенной среде.

    Рассмотрим возможности Рутокен PINPad на примере проведения платежа через Демо-банк.

    Регистрация



    В Демо-банке существует возможность регистрации с помощью сертификата, уже имеющегося на устройстве. Этот сертификат может быть получен в каком-либо другом месте.

    На моем устройстве уже имеется ключ и хранится сертификат. Итак, устанавливаем плагин, подключаем Рутокен PINPad к компьютеру. После этого Демо-банк автоматически определит подключенное устройство и перечислит хранящиеся на нем сертификаты.



    Выбираем сертификат, по которому будем регистрироваться, вводим PIN-код. При этом специальным образом формируются
    случайные данные, которые подписываются на устройстве в формате CMS, в итоговое CMS-сообщение добавляется сертификат. Запрос на регистрацию отображается на экране Рутокен PINPad.



    Авторизация



    Процедура аутентификациии на сайте, позволяющая пользователю попасть в его личный кабинет, также происходит посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса на аутентификацию.







    Подпись платежки



    Процедура электронной подписи посредством Рутокен PINPad предполагает:
    • поиск на устройстве неизвлекаемого ключа, соответсвующего выбранному пользователем сертификату
    • формирование платежного поручения средствами браузера в специальном формате
    • отправка поручения на устройство через плагин
    • отображение на устройстве, подтверждение его пользователем
    • аппаратное вычисление подписи по ГОСТ Р 34.10-2001 с использованием хэш-функции по ГОСТ Р 34.11-94
    • формирование высокоуровневого сообщения CMS в плагине




    Платежка отображается на экране устройства в удобном для чтения виде.



    После просмотра и подтверждения сформировалась подпись в формате CMS.



    Наша компания готова оказать любую необходимую помощь, касающуюся встраивания решения в прикладные системы.
    «Актив» 47,32
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 44
      0
      Интересная вещь, а какая цена устройства Рутокен PINPad?
      0
      В этом устройстве есть только ЭЦП или шифрование тоже присутствует?
      Какие браузеры поддерживаются?
        0
        В устройстве шифрование тоже присутствует. Плагин проходит выходное тестирование в IE, MF, Chrome, Safari, Opera
          0
          Спасибо за ответ.
          В статье раскрыта авторизация, регистрация, ЭП. По поводу шифрования мало информации.
          • В статье (и на вашем сайте) есть информация о поддержки хэш ГОСТ Р 34.11-94 и ЭП по ГОСТ Р 34.10-2001, но нет информации о поддержки шифрования по ГОСТ 28147-89. Есть ли шифрование по ГОСТ 28147-89?
          • Применяется ли шифрование исходящих сообщений?
          • Решение имеет сертификат ФСБ?
          • Если применять ваше решение на сайтах, будет ли это считаться встраиванием криптографических средств? Есть ли необходимость проходить процедуру оценки корректности встраивания?
            0
            • Шифрование в плагине будет реализовано в ближайшее время (шифрование в формате CMS)
            • На данный момент времени сертификат имеет только Рутокен ЭЦП
            • ИМХО, все зависит от назначения целевого сайта. Можете уточнить у менеджеров нашей компании
              0
              Ясно, спасибо за ответы.
        +3
        Любопытно, полезная вещь.
          0
          В устройстве шифрование тоже присутствует. Плагин проходит выходное тестирование в IE, MF, Chrome, Safari, Opera.
            +1
            А как насчет поддержки свободного ПО?
              0
              Не совсем понял вопрос
                +3
                Под Linux работает
                  0
                  Ваще ребята
                  а Mac?
                    0
                    Mac поддерживается
                0
                Простите за чайниковский вопрос — а данное устройство можно применить для удалённого доступа (RDP,SSH) работника?
                  0
                  Токены можно PINPad — вряд ли
                    0
                    А как Вы представляете применение данного плагина для SSH? Или Вы про токены в целом?
                      0
                      Я про токены в целом. Обычно SSH-клиенты позволяют аутентифицироваться по токенам через интерфейс PKCS#11
                        0
                        Да про что Вы, понятно… интересно, что спрашивали=)
                          0
                          Скорее всего имелось ввиду, что устройство хранит ключи под SSH, а не в ~/.ssh =)
                    0
                    Целевая аудитория — только корпоративный сектор или рядовые пользователи тоже?
                      0
                      Решение применимо в том числе в системах B2C, G2C, где конечным владельцем устройства является клиент или гражданин, то есть физическое лицо. Основное назначение связки плагин+PINPad — защита средств клиента в системах ДБО
                        0
                        Ну да, но конечные пользователи смогут его использовать только, если банки интегрируют его=(
                          0
                          Вообще говоря вещь полезная с точки зрения обеспечения лояльности клиентов
                            0
                            Нормальные БАНКи рано или поздно интегрируют. Само собой не сбер, если вы понимаете, о чем я
                              0
                              Сбер? О чем Вы? Мы же вроде говорим про банки=)

                              А по существу — я вот пользуюсь ПромСвязьБанком… но чет он пока не спешит токены раздавать=( Хотя недавно выкатил вполне приличное приложение под иФон и Андроид.
                                0
                                Мое мнение, что сейчас мобильное приложение — это обязательный атрибут достойного банка. Через год-два, токен станет таким же обязательным атрибутом :)
                                  0
                                  Ну не знаю… для частного сектора может быть будет нужнее токен-для-мобилки, чем токен-для-компьютера… Все-таки мобильный интернет все больше проникает в нашу жизнь
                                    0
                                    Токены-для-мобилки тоже на подходе. В ассортименте :) Два очевидных интерфейса — bluetooth и microSD.
                              0
                              У банков давно есть кредитные и дебетовые карты, выдаваемые на руки клиентам — своего рода индивидуальные «хранилища» подписанных банком-имитентом личных «сертификатов» клиентов. Осталось распространить простые картоводы, присоединяемые к компьютеру, способные считывать информацию с карточек и принимать пин-код для аутентификации владельца. Хотя, конечно, USB-донгл и является заменой всего этого пластикового безобразия, но уж явно компьютеро-специфичен.
                          +2
                          В данном контексте touchscreen уместно, однако такие устройства чаще называют trustscreen :)
                            0
                            Автор обписАлся :)
                            0
                            Интересно, думаю, наших партнеров это могло бы заинтересовать, куда направлять запрос на внедрение подобной технологии в Web приложении?
                              0
                              Пишите на адрес Tkachenko@rutoken.ru Пообщаемся)
                              0
                              А в каких операционных системах и под какими браузерами это может работать?
                                0
                                На данный момент в Windows, Mac OS и Linux Под всеми основными браузерами

                                  0
                                  У меня есть Рутокен ЭЦП. Пытаюсь проверить как он работает на демобанке. Поставил плагин, захожу Файрфоксом или Оперой из-под Убунты: доходит до пункта «Получение информации о подключенных USB-токенах...» и всё… Везде пишут, что кроме плагина ничего не нужно.
                                    0
                                    Для Рутокен ЭЦП CCID-драйвер безусловно нужен (как и PC/SC). Другое дело что на большинстве современных платформ он входит в состав ОС.
                                      0
                                      Он есть, e-token у меня работает нормально. Может есть ещё какие-то средства для проверки?
                                        0
                                        Хочется отметить, что токены нужно форматировать НЕ средствами OpenSC, а через нашу панель управления. Скоро выложим кроссплатформенный tool.
                                          0
                                          Вот это будет очень хорошо.
                                +2
                                Сижу на работе, работаю над прогой, которая работает с токеном. Решил посмотреть что новенького на хабре. Захожу и тут появляется жуткое ощущение дежавю.
                                habrastorage.org/storage2/77b/4ff/9b7/77b4ff9b73463ba4022d85009c432df1.jpg
                                  +1
                                  Та же фигня=)
                                    +1
                                    Больше рекурсии!

                                    image

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое