Смарт-карт ридер JCR721 – обзор возможностей и особенностей

    Сегодня предлагаем к рассмотрению новую модель смарт-карт ридера – JCR721 производства "Аладдин Р.Д.". JCR721 – профессиональный отечественный доверенный смарт-карт ридер для работы со смарт-картами в корпоративной среде, имеет привычный вид для Enterprise-сегмента. 

    Немного о полезных свойствах и корпусе

    Корпус ридера выполнен из высококачественного пластика. На корпусе есть прорезиненные ножки, которые предотвращают скольжение по поверхности стола во время работы с устройством.

    Смарт-карта погружается плавно за счёт специального механизма микролифт TM, благодаря которому смарт-карт ридер не царапает поверхность карты. 

    Почему это важно? При эксплуатации смарт-карт в большинстве организаций важно, чтобы карта как можно дольше не выходила из строя в результате взаимодействия с карт-ридером. При повреждении контактной площадки смарт-карта перестаёт распознаваться устройством, требуется замена карты.

    В случае с карт-ридером JCR721 контактная площадка остаётся невредимой даже после 10 тысяч подключений. 

    Так выглядит карта и контактная площадка после 1 000 подключений на обычном ридере со скользящими контактами

    Так выглядит карта и контактная площадка после 10 000 подключений на ридере JCR721 с механизмом микролифтTM

    Отметим, что ресурс карт-ридера JCR721 – не менее 200 000 подключений смарт-карт (вместо 50 000).

    Внешний вид и подключение

    Смарт-карт ридер JCR721 имеет пластиковый корпус, шнур для подключения к персональному компьютеру. Разъём шнура для подключения стандартный USB 2.0 Type-A. Для корректной работы на ПК требуется хотя бы один свободный порт USB 2.0 Full-speed (12 Мбит/с), ридер также может работать с USB 1.1, 2.0, 3.0, 3.1. Необходимо обеспечить подачу электропитания 5В ±0.25В при токе 300 мА, которое должно обеспечиваться исправным USB-портом (USB 2.0). Для стабильной работы требуется подключение к ПК, не используя дополнительные переходники, можно использовать USB-хабы с внешним источником питания, но если USB-хаб не имеет внешнего источника, то этого может быть недостаточно для работы ридера, т.к. сам по себе USB-хаб обеспечивает менее 100 мА на порт. 

    Также ридер JCR721 имеет и шнур для подключения к современным ноутбукам и портативным устройствам, имеющим разъем USB 3.1 Type-C. 

    Если говорить о цвете корпуса, то можно отметить, что есть два стандартных цвета, светлый и тёмный. Производитель позволяет провести кастомизацию корпуса, добавив надпись на корпус или логотип компании. При заказе можно определить тип нанесения надписи или логотипа на поверхность ридера JCR721 – выбрать либо тампопечать, либо метод лазерной гравировки.

    Нужно учитывать то, что если для заказа вы выбираете черный ридер, то не все цвета в тампопечати будут хорошо видны, например, черный логотип на черном корпусе. Но в некоторых случаях и такой вариант может нравиться, дело вкуса.

    Также производитель при больших объемах партий готов обсудить и цвет корпуса, и длину кабеля. 

    Можно отметить, учитывая все эти параметры, что ридер предназначен для интенсивного использования с любыми типами контактных микропроцессорных смарт-карт. Поддерживает работу с любыми контактными смарт-картами (MCU) стандарта ГОСТ Р ИСО/МЭК 7816-3-2013 Class A, B, C (5V, 3V, 1.8V) по протоколам Т=0/Т=1. Может использоваться в системах ГИС, АСУ ТП, для обеспечения безопасности персональных данных 1-го уровня защищённости, на предприятиях КИИ (критической информационной инфраструктуры), в госорганах, на предприятиях ОПК, Министерства Обороны, в банках, многофункциональных центрах (МФЦ), офисах обслуживания, в проектах типа "Электронное удостоверение", "Электронное правительство", "Электронное декларирование" и многих других.

    Компания "Аладдин Р.Д." заявляет, что ридер является доверенным средством работы с данными пользователя, которые хранятся или будут храниться на смарт-картах. Ридер спроектирован по новым Требованиям доверия ФСТЭК России, в том числе для работы с гостайной.

    Если рассматривать ридер для поддержки Memory-карт, работавшими по протоколам I2C (S=8), 3-wire (S=9), 2-wire (S=10), картами-счётчиками, ранее применявшимися в "телефонных картах", то на данном этапе этой поддержки нет.

    Ещё немного о преимуществах нового смарт-карт ридера JCR721

    Ридер очень быстрый, поддерживает все современные смарт-карты, реальная подтверждённая скорость обмена данными со смарт-картой – до 625 Кбит/с. Быстродействие ридеров при работе со смарт-картой зависит от нескольких факторов. Фактор 1 – скорость обмена с хостом (ПК) по интерфейсу USB 2.0., а также фактор 2 – тактовая частота, подаваемая ридером на смарт-карту.

    В большинстве ридеров эта частота, фиксированная (как правило, 4 МГц). Некоторые ридеры могут подавать различные частоты из фиксированного перечня (указывается в функциональном дескрипторе CCID-устройства). Смарт-карт, работающих на частоте выше 5 МГц, практически нет, поэтому чем выше частота, подаваемая ридером на смарт-карту, тем больше шансов, что данный ридер будет несовместим с большинством имеющихся на рынке смарт-карт. Стоит различать скорость обмена данными со смарт-картой и скорость при работе со смарт-картой. Последняя складывается из времени отправки команды на смарт-карту, времени обработки команды смарт-картой и времени передачи ответа от смарт-карты на ПК.

    Работает смарт-карт ридер JCR721 со всеми современными операционными системами, включая Linux (со всеми российскими дистрибутивами), macOS, ОС "Эльбрус", МС ВС, Android, Sailfish/Аврора, на процессорах IA-32, IA-64, x86-64, ARM, Эльбрус, Байкал и на Microsoft Windows. Также ридер может быть подключен к ПК, где используются средства виртуализации, такие, как Hyper-V, Citrix XenServer, Virtual Box, VMWare и др.

    Для работы ридера JCR721 не требуется установки специального прикладного ПО, работа ведётся через стандартные программные интерфейсы PC/SC, является CCID-совместимым устройством, не требует установки специальных драйверов и работает сразу при подключении к USB-порту компьютера (Plug and Play).

    Нужно отметить, что в современных версиях ОС Windows, Linux, macOS, МС ВС, "Эльбрус", Android 8 (Oreo), Sailfish Mobile при подключении ридер в системе должен определиться автоматически, при этом на его корпусе должен загореться зелёный индикатор. В этих операционных системах для работы уже существует предустановленный CCID-драйвер и входит в состав данных операционных систем. А вот для работы с операционными системами версий Microsoft Windows XP SP3 CCID-драйвер может быть установлен администратором из "Каталога Центра обновления" Microsoft при первом подключении к рабочей станции. Также для архитектуры X86, CCID-драйвер можно скачать по ссылке.

    Актуальный список поддерживаемых ОС, гипервизоров, виртуальных сред и процессоров можно узнать на продуктовой странице сайта Производителя — https://www.aladdin-rd.ru/catalog/readers/JCR-721

    Но вот если ридер автоматически не определился в системе, то одной из возможных причин может быть использование устаревших версий ОС или версий Firmware ("прошивок") терминального оборудования. Для устранения проблемы следует прописать указанные VID/PID в Info.plis и/или обратиться с этой проблемой к производителю ОС или терминального оборудования.

    Идентификатор класса устройств USB: 0x0B

    VID (Vendor ID): 0х24DC

    PID (Product ID): 0х0428

    Для Astra Linux 1.4, Astra Linux 1.5 и МС ВС 3.0 подсистема поддержки работы со смарт-картами PC/SC и CCID-драйвер перед первым использованием ридера должны быть установлены на рабочую станцию администратором, согласно инструкциям для определённого типа операционных систем. Работа ридера в этих ОС "из коробки" не гарантируется.

    Многие организации, которые закупают ридеры для работы со смарт-картами в своих информационных системах, часто обращают внимание на требования по эксплуатации изделия. 

    Итак, производитель заявляет следующий ряд характеристик:

    - Климатическое исполнение устройства: группа 1.1 УХЛ-4

    - Температура эксплуатации: +25±10°С

    - Относительная влажность воздуха: от 40% до 60% 

    - Атмосферное давление: 96 кПа - 103 кПа (720 - 770 мм рт. ст.)

    Предельными условиями эксплуатации являются параметры: 

    - Температура: от 0°С до +70°С, при температуре воздуха выше +30°С влажность не должна превышать 70%

    - Относительная влажность воздуха: до 80%, без конденсата 

    - Атмосферное давление: 84 кПа - 106,7 кПа (630 - 800 мм рт. ст.)

    После транспортировки ридера при пониженной температуре при последующем повышении температуры до нормальной возможна конденсация влаги, которая может вызвать неисправность ридера. В этом случае его необходимо полностью высушить, соблюдая температурный режим.

    Ридер безопасен для здоровья человека и соответствует требованиям Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору. Сертификат соответствия можно найти на сайте производителя во вкладке "Доп. ресурсы".

    Ридер имеет повышенную защищённость от пробоя статическим электричеством (до 15 киловольт), не оказывает влияния на работу электронного оборудования, чувствительного к электромагнитным излучениям и помехам, имеет повышенную защищённость от воздействия электромагнитных излучений и помех.

    Небольшое сравнение ридера JCR721 с ближайшими аналогами

    Для сравнения мы выбрали несколько параметров: качество контактной группы и её ресурс, поддержка типов смарт-карт, безопасность и доверие.

    Качество контактной группы, её ресурс:

    Поддержка различных типов карт:

    Безопасность и доверие:

    Немаловажно отметить, что цена для ридера адекватна для больших проектов.

    Модель

    Разработчик-производитель

    Страна производства

    Цена

    Ридеры в горизонтальном исполнении

    1

    JCR721

    Аладдин

    Россия

    1,895

    2

    ASEDrive IIIe v2

    NXP (Athena)

    Тайвань

    2,750

    3

    ASEDrive IIIe v3 Mini

    NXP (Athena)

    Тайвань

    Россия

    2,200

    4

    Rockey 301 C11

    Feitian

    Китай

    1,480

    5

    OMNIKEY (CardMan) 3021 

    HID

    США

    1,546

    6

    IDBridge CT30

    Gemalto

    Китай

    1,250

    Цена взята с сайта рассматриваемых поставщиков в России по состоянию на 14 октября 2020 г.

    Итог. JCR721 в соотношении цена-качество отрабатывает свои задачи на 100% и, к тому же, отвечает условиям программы по импортозамещению – это значительный плюс и во многом решающий фактор при выборе продукта для гос. проектов.

    Аладдин Р.Д.
    Информационная безопасность

    Комментарии 27

      0
      Что за микросхема применяется внутри?
        –3
        Технические спецификации устройства Вы можете уточнить, обратившись на dealer@aladdin-rd.ru.
          +1
          Раз уж вылезли в публичное поле — почему бы вам самим туда не написать, не уточнить и не ответить по существу вопрошающим? Ну так, чисто интересно…
        +3
        Для усиления впечатления на читателя, надо не упоминать стандарты, а включать их полным текстом в пост. Тогда впечатление будет полным.
          0
          Все 15 частей ISO 7816. Можно, конечно, и ссылки на PDF…
            0

            не-не, только полный текст. Тогда впечатление будет полным.

          +6

          Без фото внутренностей — пост не интересен

            0
            Пожалуйста, уточните, шифруется ли у вас канал обмена данными между смарткартой/ридером и персональным компьютером? Т.е. данные, передаваемые по USB.
              0
              Представленный ридер был разработан в соответствии со стандартом CCID, то есть без проприетарных механизмов защиты канала. Шифрование канала передачи APDU-команд обычно реализуется между картой и прикладным ПО (Апплет — pkcs11 библиотека).
              +1
              Есть ли у вас ридеры подобные Reiner Cyberjack с цифровой клавиатурой для набора пин кодов?
              image
              Причем Cyberjack работает даже с OpenSSH через OpenSC PKCS11.

              У ваших смарт карт есть поддержка OpenSC?
                +1
                Мы предоставляем аналогичное решение — Антифрод терминал.
                image

                С OpenSC к сожалению пока не работаем, но возможно в скором времени подружим их библиотеку с нашими смарт-картами.
                0
                Возможно ли использовать ваше аналогичное решение (ридер с клавиатурой) хотя бы с вашими проприетарными библиотеками PKCS11? Антифрод терминал поддерживается открытым драйвером CCID?

                PIN код вашей смарткарты, используемой для хранения ключа OpenSSH, можно набирать на клавиатуре вашего антифрод терминала вместо обычной большой клавиатуры компьютера при открытии SSH сессии?
                  0
                  Да, Антифрод терминал поддерживается в нашей проприетарной PKCS11 библиотеке. Антифрод терминал можно использовать как CCID-совместимый ридер, но к сожалению без дополнительных функций самого Антифрод терминала (визуализация ключевых полей документа, ввод пин-кода с клавиатуры).

                  Описанный Вами сценарий, к сожалению, не будет работать с Антифрод терминалом. Для работы с Антифрод терминалом требуется интеграция через нашу PKCS11 библиотеку, либо JC-WebClient (для работы из контекста Web-браузера).
                  0
                  Такая интеграция для появления возможности набора пин кода на антифрод терминале при открытии OpenSSH сессии с ключом со смарткарты возможна без переделки вашей проприетарной библиотеки PKCS11 и желательно без переделки OpenSSH?

                  Можете упрощенно по шагам описать, какие модификации нужны в OpenSSH для поддержки набора пина на терминале?

                  Чтобы не менять mainline код OpenSSH, наверно, лучше бы сделать прокси-прослойку в протоколе PKCS11, т.е. некую свою библиотеку PKCS11, которая добавит к вашей только интеграцию с терминалом, а весь остальной функционал будет передавать на выполнение в вашу библиотеку, такое возможно? У вас есть примеры? Т.е. концептуально в терминах ООП это было бы похоже на наследование вашей PKCS11 библиотеки и расширение ее интеграцией с клавиатурой терминала, но на практике это скорее всего будет какой-то композицей объектов как в языках VBA/Go, а написать такую интеграцию хотелось бы на RUST, это ведь возможно?

                  Суть: OpenSSH->custom_lib.so->aladdin_lib.so->терминал->смарткарта
                    0
                    Теоретически, такая интеграция возможна, но на практике, для Вашего сценария, мы не проверяли. Вероятнее всего потребуется обернуть Вашей библиотекой все необходимые для работы OpenSSH методы из стандарта PKCS11, помимо измененного сценария проверки Pin-кода. Для запроса Pin-кода через клавиатуру Антифрод терминала необходимо вызвать функцию JC_AFT_VerifyPin.
                    Полный список функций доступен тут.
                    Ознакомиться с живой демонстрацией работы Антифроод терминала (потребуется Антифрод терминал и смарт-карта JaCarta-2 ГОСТ или комбинированная модель) можно тут.
                    0
                    Уже заказал БУ терминал на Авито:

                    image

                    Причем из-за скорого окончания нотификации (сертификата?) наверно Антифрод терминалы за недорого будут массово появляться на барахолках, как сейчас полно SafeTouch 2015?

                    Но из ваших карточек у меня есть только старенькие eToken тоже с Авито.

                    eToken PRO/SC/72K Java RM-MFR/cert-1883
                    www.avito.ru/smolensk/tovary_dlya_kompyutera/karta_etoken_prosc72k_java_rm-mfrcert-1883_2sht_1936988454

                    Можно ли ваш терминал как-нибудь разблокировать или перешить, чтобы он работал со всеми картами любого производителя как Cyberjack и другие терминалы, перечисленные на странице:
                    support.nitrokey.com/t/how-to-randomize-usb-channel-for-crypttab-script/2670/14
                    а не только с вашими?

                    У меня уже есть плоские смарткарты Rutoken ECP2 (RSA 2048) и ESMART Token 64k (причем RSA 4096), а свободных денег на JaCarta 2 пока нет.
                      0
                      И еше такой вопрос, старые релизы Антифрод терминала могут оказаться несовместимыми с вашими новыми смарткартами типа JaCarta 2 или следующего поколения, когда появится JaCarta 3?

                      Например, сичтыватель SafeTouch имеет белый список карт, с которыми он работает и с новыми современными картами не работает :(

                      Прошивку Антифрод терминала можно обновлять аналогично другим считывателям типа ACS ACR и т.п.? Например, считыватели ACS нормально работали с вашими старыми eToken, но не работали с новыми Rutoken ECP2 до тех пор, пока я не залил в считыватель новую прошивку.
                        0
                        В части версий наших смарт-карт: JaCarta ГОСТ, JaCarta-2 ГОСТ и будущие модели апплета ГОСТ (например JaCarta-3 ГОСТ), не будет никаких проблем с поддержкой — планируется полная совместимость.
                          0
                          JaCarta-3 ГОСТ будут доступны только как вновь приобретенные смарткарты, старые JaCarta-2 ГОСТ не переделать в JaCarta-3 ГОСТ?

                          Идентификатор модели смарткарты ATR JaCarta-3 будет новый, отличный от ATR JaCarta-2?

                          Тогда белые списки экземпляров считывателей SafeTouch PRO, выпущенных ранее в 2018-2019 годах, не признают смарткарту JaCarta-3?

                          Нужно будет обновлять прошивку SafeTouch PRO для поддержки новых ATR новых JaCarta-3 ГОСТ? это возможно?
                          Или нужно приобретать новые экземпляры SafeTouch PRO?
                            0
                            Обновлять JaCarta не получится, новые версии можно будет только приобрести. ATR смарт-карты не изменится.

                            Насчет SafeTouch PRO — ответить не могу, но с большой долей вероятности все будет работать и обновления не потребуется. Про обновление также не подскажу — нужно обратиться в SafeTech.
                        0
                        И еще вопрос, где взять вашу PKCS11 библиотеку для OpenBSD?
                        Или хотя бы под Linux для ARMv7 и i386 (Pentium1)?

                        Например, для моделей Rutoken ECP2 2000 и 2100 есть поддержка в OpenSC, т.е. теоретически можно самостоятельно собрать под любую ось и архитектуру, где есть этот сорцовый пакет/порт.

                        А как в таком случае быть с вашими смарткартами?
                        0
                        Nitrokey HSM2 и даже плоские смарткарты SC-HSM2 4K:
                        forum.rutoken.ru/post/14900/#p14900
                        www.smartcard-hsm.com/docs/sc-hsm-4k-datasheet.pdf
                        тоже поддерживают OpenSC (а значит и OpenBSD), и шифрование протокола обмена у них предусмотренно для некоторых приложений.
                        а по остальным функциональным возможностям (не считая поддержку алгоритмов ГОСТ) они намного богаче (алгоритмы и возможность работы на серверах в качестве HSM) российских продуктов, почему бы вам не добавить хотя бы поддержку алгоритмов RSA 4096 и EC?

                        А еще лучше Ed25519, но от ваших чипмейкеров NXP наверно такого не дождаться.
                          0
                          Алгоритмы RSA в т.ч. с длиной ключа 4096 и EC будут поддержаны в скором времени, после выхода обновлений нашего ПО.
                            0
                            Подразумевается, что это будут те же саммые смарткарты JaCarta 2, т.е. новые смарткарты покупать не придется?

                            Подразумевается обновление Java апплетов для уже существующих JaCarta 2 или драйверов PKCS11, устанавливаемых на PC?

                            Удастся ли получить возможность использования ключей RSA 4096 для смарткартах JaCarta 2, приобретенных например в 2018 году?

                            У вас упоминается, что часть криптографических операций выполняется на хостовом компьютере для ускорения работы, а как быть с ключами? Они становятся извлекаемыми и все таки передаются на хостовый компьютер? Но ведь это небезопасно, обычно смарткарты используют как раз для того, чтобы закрытый ключ никогда их не покидал, чтобы даже не было возможности его экспортировать, зная пин коды.

                            Криптографические операции у вас осуществляются за пределами токена? Т.е. ключ все таки всегда извлекается из смарткарты на хостовый компьютер? Чем тогда JaCarta 2 отличается от самого дешевого Rutoken S/Lite?
                              0
                              Поддержка реализована в аппрете PKI, покупать другие продукты не потребуется. Обновление ПО подразумевает обновление PKCS11 библиотек и минидрайвера (для работы с криптопровайдером MS BASE SC CSP).

                              Если смарт-карта включает в себя PKI апплет, то да, получится.

                              Ключи всегда неизвлекаемые, если речь идет о работе в PKCS11 режиме.

                              За пределами токена можно посчитать hash-значение для большого объема данных, например большого документа или шифровать поток данных, например, для защита канала.
                          0
                          Хотя вот тут:
                          www.opennet.ru/openforum/vsluhforumID3/121962.html#29

                          пишут, что якобы RSA с длинными ключами понадежнее эллиптических алго…

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое