Safenet authentication client инструкция на русском

См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами


  • -это USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI).

Поддерживаемые модели eToken в Astra Linux


  • 4100
  • 5100
  • 5105
  • 5110
  • 5200
  • Pro 72k
  • NG-OPT

Установка


Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:

  • библиотека libccid
  • пакеты libpcsclite1 и pcscd;
  • opensc

Для установки в терминале введите команду:

sudo apt install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*

Установка SafeNet Authentication Client


SafeNet Authentication Client – это программный клиент, который позволяет взаимодействовать прикладному программному обеспечению с электронными ключами и смарт-картами eToken производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия Safenet Authentication Client включает необходимый набор функций для организации локального администрирования электронных ключей и смарт-карт. 

Сам клиент следует загрузить с официального сайта Gemalto

После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:

sudo dpkg -i SafenetAuthenticationClient-amd64.deb

Если при запуске SafeNet Authentication client возникает ошибка:

CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.

то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:

sudo ln -s /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 /usr/lib/libcrypto.so.6

Проверка работы eToken в системе


Для проверки работы Etoken:

Подключите устройство к компьютеру.

Способ №1

Введите команду:

pkcs11-tool --module /usr/lib/libeToken.so -T

после чего в терминале отобразится информация о токене:

Способ №2

Выберите  в Меню «Пуск» → «Прочие» → «SafeNet Authentication Сlient Tools»  и подключите токен. После чего должна отобразиться информация о подключенном токене:

Инициализация токена eToken


Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.

pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so

—slot 0 — указывает в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.

—init-token – команда инициализации токена.

—pin — пин код пользователя. 

—label ‘eToken Astra’ — метка(название) устройства.

—module — указывает путь до библиотеки eToken

или в SafeNet Authentication Сlient Tools выбрать кнопку «инициализировать токен».

Внимание! Инициализация устройства удалит все данные на eToken без возможности восстановления. 

Создание ключевой пары RSA


Для генерации ключевой пары RSA в терминале следует ввести команду:

pkcs11-tool —slot 0 —login —pin 12345678 —keypairgen —key-type rsa:2048 —id 16 —label «rsa key» —module /usr/lib/libeToken.so

Создание самоподписанного сертификата


Для создания самоподписанного сертификата в терминале следует ввести команду:

openssl

не выходя из openssl, ввести команду:

engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libeToken.so

после чего ввести команду:

req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text

и команду

В поле Common Name должно быть указано имя пользователя ОС.

Загрузка сертификата на токен


Создав свой личный сертификат, его следует загрузить на eToken.

Перекодируем полученный сертификат из PEM в DER:

openssl x509 -in test.pem -out test.cer -inform PEM -outform DER

Запишем сертификат test.cer на токен: 

pkcs11-tool —slot 0 —login —pin 12345678 —write-object test.cer —type ‘cert’ —label ‘Certificate’ —id 16 —module /usr/lib/libeToken.so

(или с помощью графической утилиты SACTool) 

Проверка ключей и сертификатов в eToken:

pkcs11-tool —module /usr/lib/libeToken.so -O -l


Установка дополнительный пакетов

Пуск — Настройки — Менеджер пакетов

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты: 

  • libpam-p11
  • libp11-2

либо воспользовавшись терминалом FLY:

sudo apt-get install libp11-2 libpam-p11 

Регистрация сертификата в системе

Конвертируем сертификат в текстовый формат

openssl x509 -in <имя_сертификата_из_токена>.crt -out <имя_сертификата_из_токена>.pem -inform DER -outform PEM

где <имя_сертификата_из_токена> — имя файла, в котором сохранен ваш сертификат из токена в текстовом формате

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов: 
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat <имя_сертификата_из_токена>.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat <имя_сертификата_из_токена> >> /home/user/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

Важно помнить, что при регистрации нескольких токенов на одном компьютере необходимо указывать пользователям раличные id.

Настраиваем аутентификацию 

Пуск — утилиты — Терминал Fly

sudo nano /usr/share/pam-configs/p11

записываем в файл следующую информацию:

Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/libeToken.so

сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем

в появившемся окне ставим галку в Pam_p11 и нажимаем OK

Вход по токену


Пуск — утилиты — Терминал Fly

Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется <PIN пользователя>.

Установка SafeNet Authentication Client 10.7 в Windows 10

Для корректной работы электронных USB-токенов eToken и смарт-карт данного семейства на персональных компьютерах, рабочих станциях и серверах необходима установка соответствующего программного обеспечения, такого, как, например, SafeNet Authentication Client (сокращённо SAC), который представляет собой набор драйверов и служебных утилит для работы с вышеуказанными электронными идентификаторами.

Вашему вниманию предлагается пошаговое руководство по установке служебных утилит для работы с eToken, а также драйверов, которые входят в состав дистрибутива SAC (SafeNet Authentication Client) версии 10.7. Процесс установки осуществляется на компьютере с предустановленной операционной системой Windows 10 Корпоративная редакция.

Установка пакета утилит и драйверов eToken SafeNet Authentication Client 10.7 на компьютерах с предустановленной 32-битной версией Windows 10, либо на компьютерах и серверах, работающих под управлением иных операционных систем, поддерживаемых SAC 10.7, осуществляется схожим образом.

Переходим к процедуре установки SafeNet Authentication Client 10.7:

  • Авторизуйтесь в Windows 10 с административными правами
  • Закройте все открытые приложения
  • Запустите на выполнение файл SafeNetAuthenticationClient-x64-10.7.msi из пакета дистрибутива SAC

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 1

  • В окне приветствия нажмите кнопку «Next» (Далее) для перехода к следующему пункту инсталляции

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 2

  • Выберите необходимый вам язык интерфейса и нажмите кнопку «Next» (Далее)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 3

  • Ознакомьтесь с лицензионным соглашением
  • Выберите пункт  «I accept the license agreement» (Я принимаю условия лицензионного соглашения), если вы согласны с его условиями
  • Для продолжения установки нажмите кнопку «Next» (Далее)
  • Если вы желаете отменить установку SAC, то нажмите кнопку «Cancel» (Отмена)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 4

  • Далее вам необходимо выбрать путь для установки SAC
  • Кнопкой «Change» (Изменить) можете указать свое расположение для установки SAC или оставить путь по умолчанию
  • Для продолжения установки нажмите кнопку «Next» (Далее)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 5

  • На следующем этапе установки необходимо определиться с её типом — «Типичная» (Typical) или «Выборочная» (Custom)
  • В большинстве случаев вполне достаточно типичной установки SAC (Typical)
  • Если вы остановились на этом пункте, то для продолжения установки нажмите кнопку «Next» (Далее)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 6

  • Если же вам необходимо установить или наоборот исключить из процесса установки какие-то конкретные компоненты SAC, то выберите выборочный тип установки (Custom) и нажмите кнопку «Next» (Далее) для продолжения

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 7

  • При выборочной установке отметьте необходимые вам компоненты и для продолжения нажмите кнопку «Next» (Далее)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 8

  • Всё готово к инсталляции
  • Нажмите кнопку «Install» (Установка) для начала процесса копирования файлов

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 9

  • Процесс установки будет сопровождаться шкалой прогресса
  • Дождитесь завершения установки
  • Прервать установку на данном этапе можете кнопкой «Cancel» (Отмена)

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 10

  • Установка SAC 10.7 успешно завершена
  • Нажмите кнопку «Finish» (Завершение) для выхода из программы установки

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 11

  • Для вступления в силу внесённых изменений необходимо перезагрузить компьютер
  • Нажмите кнопку «Yes» (Да), если желаете сделать это автоматически после установки SAC
  • Либо нажмите кнопку «No» (Нет), если хотите произвести перезагрузку позже самостоятельно

Установка SafeNet Authentication Client 10.7 в Windows 10, рис. 12

На этом процесс установки SafeNet Authentication Client 10.7 можно считать завершённым. Если в процессе установки у вас возникли какие-либо вопросы, то можете задать их по электронной почте, либо по телефону, указанному на сайте. Скачать драйверы для электронных USB-ключей и смарт-карт eToken вы можете по этой ссылке.

Видео по установке SafeNet Authentication Client 10.7:


Время на прочтение
10 мин

Количество просмотров 20K

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (205D325E5842) 00 00\alfa_shark' -check 

Выдавался ответ, что все хорошо:

[ErrorCode: 0x00000000]

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

[ErrorCode: 0x8009001a]

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

NTE_KEYSET_ENTRY_BAD
0x8009001A
Keyset as registered is invalid.

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

lsusb

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software.opensuse.org).

Запускается командой:

pcsc_scan

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

На странице Поддержки сайта «Аладдин Р.Д.» загружаем Документацию и программное обеспечение для работы только с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

  • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
  • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

Поэтому пакет openct удаляем:

rpm -e openct

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

pcsc_scan

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
Loading repository data...
Reading installed packages...
Resolving package dependencies...

Problem: nothing provides cprocsp-rdr-pcsc-64 >= 4.0 needed by cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 1: do not install cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 2: break cprocsp-rdr-emv-64-4.0.9944-5.x86_64 by ignoring some of its dependencies

Choose from above solutions by number or cancel [1/2/c] (c): c

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

zypper install cprocsp-rdr-novacard-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-mskey-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-gui-gtk-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

zypper search cprocsp
Loading repository data...
Reading installed packages...

S | Name | Summary | Type
---+-----------------------------+----------------------------------------------------+--------
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

/opt/cprocsp/bin/amd64/csptest -card -enum -v –v

/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add "Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел [KeyDevices\PCSC] будет добавлена запись:

[KeyDevices\PCSC\"Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"\Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:REA
AcquireContext: OK. HCRYPTPROV: 16052291
alfa_shark1                        |SCARD\JACARTA_4E3900154029304C\CC00\E9F6
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 4.560 sec
[ErrorCode: 0x00000000]

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Athena-IDProtectClient.desktop
Athena-IDProtectManager.desktop

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

/usr/bin/IDProtectPINTool

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

/usr/bin/IDProtect_Manager

Для доступа к контейнеру с ключами нужно ввести пароль:

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

/usr/bin/SACMonitor
/usr/bin/SACTools

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

/jdk1.8.0_181/jre/bin/java ru.CryptoPro.JCP.ControlPane.MainControlPane

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark1' -info

Для диагностики контейнера используется эта же команда с ключом –check

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark' –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

import ru.CryptoPro.JCP.KeyStore.JCPPrivateKeyEntry;
import ru.CryptoPro.JCP.params.JCPProtectionParameter;


 KeyStore keyStore = KeyStore.getInstance("Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00", "JCSP");
            keyStore.load(null, null);

        JCPPrivateKeyEntry entry = null;
        X509Certificate certificate = null;
        PrivateKey privateKey = null;

        try {
         
            entry = (JCPPrivateKeyEntry) keyStore.getEntry(keyAlias,
                    new JCPProtectionParameter(pwd));
            
            certificate = (X509Certificate) entry.getCertificate();
            privateKey = entry.getPrivateKey();
         
        } catch (UnrecoverableEntryException | NullPointerException e) {
            LOGGER.log(Level.WARNING, PRIVATE_KEY_NOT_FOUND + keyAlias + ExceptionUtils.getFullStackTrace(e));
        }

Если действовать так:

Key key = keyStore.getKey(keyAlias, pwd);

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Полезные ссылки

  1. Документация Aladdin-RD JaCarta
  2. wiki.astralinux.ru — Работа с КриптоПро CSP
  3. Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
  4. СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
  5. Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
  6. КриптоПро CSP для Linux. Настройка.
  7. Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию

См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами


  • -это USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI).

Поддерживаемые модели eToken в Astra Linux


  • 4100
  • 5100
  • 5105
  • 5110
  • 5200
  • Pro 72k
  • NG-OPT

Установка


Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:

  • библиотека libccid
  • пакеты libpcsclite1 и pcscd;
  • opensc

Для установки в терминале введите команду:

sudo apt install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*

SafeNet Authentication Client – это программный клиент, который позволяет взаимодействовать прикладному программному обеспечению с электронными ключами и смарт-картами eToken производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия Safenet Authentication Client включает необходимый набор функций для организации локального администрирования электронных ключей и смарт-карт. 

Сам клиент следует загрузить с официального сайта Gemalto

После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:

sudo dpkg -i SafenetAuthenticationClient-amd64.deb

Если при запуске SafeNet Authentication client возникает ошибка:

CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.

то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:

sudo ln -s /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 /usr/lib/libcrypto.so.6

Проверка работы eToken в системе


Для проверки работы Etoken:

Подключите устройство к компьютеру.

Способ №1

Введите команду:

pkcs11-tool --module /usr/lib/libeToken.so -T

после чего в терминале отобразится информация о токене:

Способ №2

Выберите  в Меню «Пуск» → «Прочие» → «SafeNet Authentication Сlient Tools»  и подключите токен. После чего должна отобразиться информация о подключенном токене:

Инициализация токена eToken


Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.

pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so

—slot 0 — указывает в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.

—init-token – команда инициализации токена.

—pin — пин код пользователя. 

—label ‘eToken Astra’ — метка(название) устройства.

—module — указывает путь до библиотеки eToken

или в SafeNet Authentication Сlient Tools выбрать кнопку «инициализировать токен».

Внимание! Инициализация устройства удалит все данные на eToken без возможности восстановления. 

Создание ключевой пары RSA


Для генерации ключевой пары RSA в терминале следует ввести команду:

pkcs11-tool —slot 0 —login —pin 12345678 —keypairgen —key-type rsa:2048 —id 16 —label «rsa key» —module /usr/lib/libeToken.so

Создание самоподписанного сертификата


Для создания самоподписанного сертификата в терминале следует ввести команду:

openssl

не выходя из openssl, ввести команду:

engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libeToken.so

после чего ввести команду:

req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text

и команду

В поле Common Name должно быть указано имя пользователя ОС.

Загрузка сертификата на токен


Создав свой личный сертификат, его следует загрузить на eToken.

Перекодируем полученный сертификат из PEM в DER:

openssl x509 -in test.pem -out test.cer -inform PEM -outform DER

Запишем сертификат test.cer на токен: 

pkcs11-tool —slot 0 —login —pin 12345678 —write-object test.cer —type ‘cert’ —label ‘Certificate’ —id 16 —module /usr/lib/libeToken.so

(или с помощью графической утилиты SACTool) 

Проверка ключей и сертификатов в eToken:

pkcs11-tool —module /usr/lib/libeToken.so -O -l


Установка дополнительный пакетов

Пуск — Настройки — Менеджер пакетов

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты: 

  • libpam-p11
  • libp11-2

либо воспользовавшись терминалом FLY:

sudo apt-get install libp11-2 libpam-p11 

Регистрация сертификата в системе

Конвертируем сертификат в текстовый формат

openssl x509 -in <имя_сертификата_из_токена>.crt -out <имя_сертификата_из_токена>.pem -inform DER -outform PEM

где <имя_сертификата_из_токена> — имя файла, в котором сохранен ваш сертификат из токена в текстовом формате

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов: 
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat <имя_сертификата_из_токена>.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat <имя_сертификата_из_токена> >> /home/user/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

Важно помнить, что при регистрации нескольких токенов на одном компьютере необходимо указывать пользователям раличные id.

Настраиваем аутентификацию 

Пуск — утилиты — Терминал Fly

sudo nano /usr/share/pam-configs/p11

записываем в файл следующую информацию:

Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/libeToken.so

сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем

в появившемся окне ставим галку в Pam_p11 и нажимаем OK

Вход по токену


Пуск — утилиты — Терминал Fly

Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется <PIN пользователя>.

Время на прочтение
10 мин

Количество просмотров 19K

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

csptest -keyset -cont '\.Aladdin R.D. JaCarta [SCR Interface] (205D325E5842) 00 00alfa_shark' -check 

Выдавался ответ, что все хорошо:

[ErrorCode: 0x00000000]

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

[ErrorCode: 0x8009001a]

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

NTE_KEYSET_ENTRY_BAD
0x8009001A
Keyset as registered is invalid.

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

lsusb

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software.opensuse.org).

Запускается командой:

pcsc_scan

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

На странице Поддержки сайта «Аладдин Р.Д.» загружаем Документацию и программное обеспечение для работы только с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

  • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
  • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

Поэтому пакет openct удаляем:

rpm -e openct

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

pcsc_scan

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
Loading repository data...
Reading installed packages...
Resolving package dependencies...

Problem: nothing provides cprocsp-rdr-pcsc-64 >= 4.0 needed by cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 1: do not install cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 2: break cprocsp-rdr-emv-64-4.0.9944-5.x86_64 by ignoring some of its dependencies

Choose from above solutions by number or cancel [1/2/c] (c): c

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

zypper install cprocsp-rdr-novacard-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-mskey-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-gui-gtk-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

zypper search cprocsp
Loading repository data...
Reading installed packages...

S | Name | Summary | Type
---+-----------------------------+----------------------------------------------------+--------
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

/opt/cprocsp/bin/amd64/csptest -card -enum -v –v

/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add "Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел [KeyDevicesPCSC] будет добавлена запись:

[KeyDevicesPCSC"Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

/opt/cprocsp/sbin/amd64/cpconfig -ini 'configparameters' -add long StrengthenedKeyUsageControl 1

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:REA
AcquireContext: OK. HCRYPTPROV: 16052291
alfa_shark1                        |SCARDJACARTA_4E3900154029304CCC00E9F6
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 4.560 sec
[ErrorCode: 0x00000000]

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Athena-IDProtectClient.desktop
Athena-IDProtectManager.desktop

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

/usr/bin/IDProtectPINTool

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

/usr/bin/IDProtect_Manager

Для доступа к контейнеру с ключами нужно ввести пароль:

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

/usr/bin/SACMonitor
/usr/bin/SACTools

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

/jdk1.8.0_181/jre/bin/java ru.CryptoPro.JCP.ControlPane.MainControlPane

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\.Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00alfa_shark1' -info

Для диагностики контейнера используется эта же команда с ключом –check

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\.Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00alfa_shark' –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

import ru.CryptoPro.JCP.KeyStore.JCPPrivateKeyEntry;
import ru.CryptoPro.JCP.params.JCPProtectionParameter;


 KeyStore keyStore = KeyStore.getInstance("Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00", "JCSP");
            keyStore.load(null, null);

        JCPPrivateKeyEntry entry = null;
        X509Certificate certificate = null;
        PrivateKey privateKey = null;

        try {
         
            entry = (JCPPrivateKeyEntry) keyStore.getEntry(keyAlias,
                    new JCPProtectionParameter(pwd));
            
            certificate = (X509Certificate) entry.getCertificate();
            privateKey = entry.getPrivateKey();
         
        } catch (UnrecoverableEntryException | NullPointerException e) {
            LOGGER.log(Level.WARNING, PRIVATE_KEY_NOT_FOUND + keyAlias + ExceptionUtils.getFullStackTrace(e));
        }

Если действовать так:

Key key = keyStore.getKey(keyAlias, pwd);

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Полезные ссылки

  1. Документация Aladdin-RD JaCarta
  2. wiki.astralinux.ru — Работа с КриптоПро CSP
  3. Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
  4. СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
  5. Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
  6. КриптоПро CSP для Linux. Настройка.
  7. Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию
Утвержден УТВЕРЖДАЮ
34080025-100-РП Заместитель Председателя Правления
____________________А.А. Шалимов

«____»____________________ 2013г.

Программный комплекс: Централизованная система дистанционного банковского обслуживания (ЦС ДБО)
Модуль: Подсистема «Интернет-Клиент» системы ДБО BS-Client v.3
Версия: 1.00

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

по установке и настройке подсистемы «Интернет-Клиент»

34080025-100-РП
Instr_IK.doc
САПД «Летопись»

Листов
2013г

Оглавление

Общие положения

В инструкции были использованы: документация компаний OOO «Банк’c софт системс», ЗАО «Аладдин Р.Д.», ООО «КриптоПро» и Банка «Возрождение» (ОАО).

Сокращения, термины и определения, приведены в

Приложении 1.

Требования к аппаратным средствам и программному обеспечению компьютера Клиента изложены в

Приложении 2.

Клиенту системы ДБО. Важно!

  1. В соответствии с разделом 8.2 Правил пользования централизованной системой дистанционного банковского обслуживания Банка «ВОЗРОЖДЕНИЕ» (ОАО) (далее – Правила) в системе ДБО Банка используется усиленная неквалифицированная электронная подпись.
  2. Требования по обеспечению информационной безопасности автоматизированного рабочего места системы ДБО изложены в Руководстве по обеспечению безопасности использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО – Приложение 7 Правил.
  3. Соответствие АРМ системы ДБО требованиям по обеспечению информационной безопасности должно быть подтверждено:
  1. в случае установки системы сотрудниками Банка – 2-х сторонним Актом о соблюдении Клиентом требований Руководства по обеспечению безопасности использования электронной подписи и средств электронной подписи (Приложение 8 к Правилам);
  2. в случае самостоятельной установки системы Клиентом – Анкетой Клиента о соблюдении требований Руководства по обеспечению безопасности использования электронной подписи и средств электронной подписи (Приложение 9 к Правилам).
  1. При невыполнении и/или неполном выполнении Клиентом обязательных требований по обеспечению информационной безопасности автоматизированного рабочего места системы ДБО, Клиент принимает на себя риски возможных потерь (ущерба) (пункт 7.9 Правил).

Целесообразно проверить и при необходимости выполнить некоторые настройки в операционной системе.

Рекомендуется установить в Windows язык ввода по умолчанию – английский, значение клавиши Caps Lock на клавиатуре — выключено. Это поможет предотвратить ошибки при вводе паролей и PIN-кодов во время инсталляции программного обеспечения клиентского АРМ, а так же блокировку доступа к USB-ключам eToken во время эксплуатации АРМ при превышении допустимого количества попыток ввода (3 попытки ввода PIN-кода доступа к eToken).

Необходимо, также, наличие на компьютере установленного веб-браузера Microsoft Internet Explorer версии не ниже 7.0. (подсистема «Интернет-Клиент» не поддерживает работу с веб — браузерами других фирм изготовителей).

Для операционной системы Windows 7, Vista и 8 необходимо выполнить настройки, связанные с отключением контроля учетных записей. Порядок их выполнения представлен в

Приложении 3.

1. Настройка параметров Microsoft Internet Explorer версий 7.х — 9.х

Настройка параметров Microsoft Internet Explorer имеет важное значение для устойчивой работы подсистемы «Интернет-Клиент». Настройки разных версий Internet Explorer могут отличаться. Определить версию можно открыв Explorer и выбрав пункты меню Справка – О программе.

Для настройки параметров Internet Explorer выберите пункт меню Сервис-Свойства обозревателя, закладка Дополнительно (рис. 1.1 и рис. 1.2). На этой закладке необходимо убедиться, что в параметрах включен протокол защищенного соединения SSL 3.0.

Рис. 1.1.Включение протокола SSL3.0 IE6.0

Рис. 1.2. Включение протокола SSL3.0 IE 7.0

В некоторых версиях Internet Explorer версий 7.х и 9.х имеется параметр «Включить защиту памяти для снижения риска атаки из Интернет» (рис. 1.3 и рис. 1.4). Его необходимо отключить (убрать «галочку»).

Рис. 1.3. Отключение защиты памяти

Рис. 1.4. Отключение защиты памяти

Далее, рассмотрим настройки Internet Explorer на примере версии 6.0.

Щелкнув по закладке Безопасность, выберете зону настройки параметров безопасности. Необходимо иметь ввиду, что для нормальной работы подсистемы «Интернет-Клиент» достаточно настроить только одну зону — «Надежные узлы» (рис. 1.5). Настройки других зон могут быть произвольными и зависят от потребностей клиентов.

Добавьте в зону «Надежные узлы» адрес (URL) веб-сервера Банка. Для этого, в поле «Добавить узел в зону:» (рис. 1.6), введите https://dbo.voz.ru и нажмите клавишу Добавить. В результате адрес узла попадает в поле «Веб-узлы:» (рис. 1.7).

Рис. 1.5. Выбор зоны «Надежные узлы»

Рис. 1.6. Добавить узел в зону

Нажав клавишу ОК, переходим в окно «Свойства обозревателя» закладка Безопасность (рис. 1.8), в котором уровень безопасности для зоны «Надежные узлы» устанавливаем по умолчанию. Это происходит при нажатии клавиши По умолчанию.

Рис. 1.7.Добавленный узел в зону

Рис. 1.8.Уровень безопасности для зоны

Для снятия блокировки всплывающих окон необходимо вызвать окно «Параметры безопасности», нажав на клавишу Другой (рис. 1.9). В открывшемся окне (рис. 1.10) установить переключатель «Блокировать всплывающие окна в положение Отключить.

Рис. 1.9. Вызов окна параметры безопасности

Рис. 1.10. Окно Параметры безопасности

Дополнительно необходимо проверить установку следующих параметров безопасности, которые должны быть установлены в положение «Разрешить» («Включить»):

  • Загрузка подписанных элементов ActiveX
  • Запуск элементов ActiveX и модулей подключения
  • Выполнять сценарии элементов ActiveX, помеченных как безопасные
  • Поведение двоичного кодов и сценариев
  • Активные сценарии
  • Разрешить сценарии

В Internet Explorer версий 7.х и 9.х иногда, вместо установки выше рассмотренных параметров, достаточно нажать последовательно кнопки Сброс и Восстановить дополнительные параметры (рис. 1.2).

  1. Установка драйвера ключевого носителя eToken

Драйвер eToken PKI Client 5.1 SP1 32-бит (64-бит) применяется для ОС Windows XP/2003/Vista/7/2008.

Драйвер SafeNet Authentication Client 8.2 32-бит (64-бит) применяется для ОС Windows 8.

Внимание ! Не вставляйте eToken в USB порт до установки и в процессе установки драйвера eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.2.

2.1.Установка драйвера ключевого носителя eToken PKI Client 5.1 SP1
Для установки драйвера eToken PKI Client 5.1 SP1 выполните следующие действия:

  1. Нажмите кнопку “Пуск — Выполнить”. В открывшемся окне укажите путь к файлу, выбранному в зависимости от разрядности операционной системы 32-бит (64 — бит) PKIClient-x32-5.1-SP1.msi (PKIClient-x64-5.1-SP1.msi), находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки eToken PKI Client 5.1 SP1 (рис. 2.1). Нажмите кнопку Next.
  2. В окне выбора языка установки (рис. 2.2) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.3).

    Рис. 2.1. Окно приветствия программы установки драйвера

    Рис. 2.2. Окно выбора языка установки

  3. В окне Лицензионного соглашения (рис. 2.4) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.

Важно! Если к вашему компьютеру подключен какой-либо eToken — отключите его.

Рис. 2.3. Продолжение установки

Рис. 2.4. Лицензионное соглашение

  1. Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.5, 2.6).

Рис. 2.5. Выбор места установки

Рис. 2.6. Завершение программы установки драйвера

2.2.Установка драйвера ключевого носителя SafeNet Authentication Client 8.2
Для установки драйвера SafeNet Authentication Client 8.2 выполните следующие действия:

  1. Нажмите кнопку “Пуск — Выполнить”. В открывшемся окне укажите путь к файлу SafeNetAuthenticationClient-x32-x64-8.2.exe, находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки SafeNet Authentication Client 8.2 (рис. 2.7). Нажмите кнопку Next.
  2. В окне выбора языка установки (рис. 2.8) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.9).

Рис. 2.7. Окно приветствия программы установки драйвера

Рис. 2.8. Окно выбора языка установки

  1. В окне Лицензионного соглашения (рис. 2.10) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.

Важно! Если к вашему компьютеру подключен какой-либо eToken – отключите его.

Рис. 2.9. Окно продолжения установки

Рис. 2.10. Окно Лицензионного соглашения

  1. В окне выбора типа установки (рис. 2.11) выберите тип установки Standard и нажмите Next.

Рис. 2.11. Окно выбора типа установки

  1. Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.12, 2.13).

Рис. 2.12. Окно выбора места установки

Рис. 2.13. Окно завершения программы установки драйвера

  1. Введение
  2. Особенности и проблемы аутентификации пользователей в корпоративной среде
  3. Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client
  4. Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
  5. Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client
  6. Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
    1. 6.1. Пользовательский интерфейс ПО SafeNet Authentication Client
    2. 6.2. Управление SafeNet eToken
      1. 6.2.1. Инициализация токена
      2. 6.2.2. Изменение пароля токена   
      3. 6.2.3. Управление сертификатами
    3. 6.3. Типовые сценарии использования сертификатов SafeNet eToken 5300
      1. 6.3.1. Цифровая подпись PDF-документа
      2. 6.3.2. Аутентификация в операционной системе
      3. 6.3.3. Шифрование файлов
  7. Выводы

Введение

В связи с интенсивной информатизацией общества и ростом количества информационных систем различного назначения особую актуальность приобретает задача управления доступом пользователей к данным, решение которой прежде всего связано с идентификацией и аутентификацией субъекта (претендента, заявителя) средствами конкретной информационной системы.

В далёком 2006 году был выпущен стандарт NIST SP 800-63 «Electronic Authentication Guideline», который представлял собой техническое руководство для федеральных государственных учреждений США по обеспечению возможности удалённой аутентификации физических лиц. Предполагалось, что с использованием описанных в NIST SP 800-63 методов учреждение могло бы удостоверять заявление гражданина о том, что он знает или владеет некой секретной информацией.

Актуальная версия NIST SP 800-63-3 под названием «Digital Identity Guidelines» определяет классическую парадигму систем аутентификации пользователей, в основу которой положено три фактора:

  • нечто известное (например, пароль);
  • нечто имеющееся (например, идентификационная карточка или криптографический ключ);
  • нечто присущее (например, отпечаток пальца или иные биометрические данные).

Для парадигмы систем электронной аутентификации характерен следующий нюанс: заявитель владеет и распоряжается токеном, который используется для удостоверения его личности. Токен в данном случае представляет собой портативное устройство (смарт-карту, SIM-карту, USB-устройство на основе смарт-карты и др.), которое содержит во внутренней памяти некий «секрет» (криптографический ключ, сертификат, пароль). Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр. Как правило, токен оснащён защищённым микропроцессором, ядром для исполнения криптографических алгоритмов, безопасным хранилищем «секрета», а также одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.

«Секрет», содержащийся в токене, может использоваться заявителем для доказательства того, что он и есть тот самый владелец, имя которого содержится в идентификационной информации.

Аналитический центр Anti-Malware.ru регулярно публикует материалы об аппаратных токенах, неизменно пользующиеся интересом читателей. Например, в своё время был подготовлен большой сравнительный обзор токенов с аппаратной поддержкой отечественных криптографических алгоритмов — как с сертификатом ФСБ России, так и несертифицированных.

Из представленных в настоящее время на рынке заслуживает внимания вариант организации двухфакторной аутентификации с функцией ЭЦП с помощью аппаратного токена SafeNet eToken 5300 и программного обеспечения SafeNet Authentication Client от компании Thales (прежде выпускались компанией Gemalto), одного из глобальных лидеров в области информационной безопасности. Данное предложение выгодно выделяется на фоне конкурирующих с ним продуктов, обладающих в целом сходной функциональностью, в том числе за счёт использования дополнительного фактора, связанного с учётом присутствия пользователя.

Особенности и проблемы аутентификации пользователей в корпоративной среде

Нарушитель, который каким-либо образом получает возможность распоряжаться токеном законного владельца, вместе с тем приобретает и возможность выдать себя за него. Сила системы для аутентификации в значительной степени определяется числом реализованных в нём факторов проверки подлинности пользователя, а угрозы безопасности в отношении токенов могут быть классифицированы в соответствии с типами факторов аутентификации, которые заключает в себе токен.

К числу эффективных стратегий блокирования угроз безопасности в отношении реализаций аутентификации относятся в том числе следующие:

  • Множественные факторы затрудняют проведение атак. Если нарушитель для выполнения успешной атаки нуждается в том, чтобы похитить токен и подобрать пароль, раскрытие сразу обоих факторов может быть сопряжено для него с чрезмерно большими трудозатратами.
  • Для защиты от дублирования похищенного токена могут быть задействованы методы обеспечения физической безопасности: защиты от вскрытия, сигнализации о подобных попытках, обнаружения несанкционированного доступа.
  • Вероятность успешной атаки путём подбора пароля может быть снижена посредством введения правил в отношении его сложности.
  • Могут использоваться внеполосные методы проверки свидетельств в отношении владения токеном (например, с помощью мобильного телефона).

Какое число факторов следует использовать в системе аутентификации? Двухфакторная аутентификация, как правило, реализуется с использованием «чего-то, что известно» (имени пользователя и пароля), а также «чего-то, что имеется» (аппаратного или программного токена). Опыт показывает, что в отдельных случаях даже этого может быть недостаточно для достижения целей безопасности. Для перехода на следующий уровень можно добавить «что-то присущее», или биологические признаки (отпечаток пальца, радужная оболочка, черты лица и т. д.). Соответствующий метод называется трёхфакторной аутентификацией и может использоваться в информационных системах, требующих повышенного уровня безопасности (банки, правительственные организации, аэропорты, крупные корпорации и др.).

Биометрия может устранить недостатки, возникающие при использовании других способов аутентификации. Однако нужно учитывать и то, что с увеличением числа факторов, необходимых для проверки личности пользователя, процедура в целом становится более трудоёмкой и сложной. Пользователи могут счесть прохождение проверки обременительным и пытаться «сэкономить» — например, путём использования более слабых, легко запоминающихся или одинаковых паролей.

Как правило, основные затруднения связаны именно с прохождением биометрической проверки. Так, в случае использования методов распознавания лиц отсутствие надлежащего освещения может привести к тому, что легальные пользователи не смогут подтвердить свою личность. Сканеры отпечатков пальцев также могут стать источником затруднений: в некоторых случаях устройство считывания корректно распознаёт отпечаток только в том случае, если пользователь поместит палец в определённое положение.

При выборе обеспечивающего аутентификацию продукта следует соблюдать баланс между безопасностью и комфортом. Один из возможных вариантов — применение фактора присутствия пользователя («чего-то, что выполняется»); этот фактор не относится к числу биометрических и не требует от сотрудника выполнять какие-либо сложные действия. По уровню простоты использования он сравним с классической двухфакторной аутентификацией, однако позволяет обеспечивать повышенный уровень безопасности. В частности, тест на наличие пользователя — одно из фундаментальных требований открытого стандарта аутентификации FIDO2. Его применение, например, позволяет защититься от удалённых атак на неискушённых сотрудников, которые имеют привычку оставлять токен подключённым к USB-порту, а PIN-код от него — записывать для удобства в текстовый файл на рабочем столе компьютера.

В целом опыт показывает, что эффективная система многофакторной аутентификации должна в максимально возможной степени отвечать следующим критериям:

  • лёгкость использования — быть простым в настройке и эксплуатации, легко интегрироваться с любой существующей системой за несколько щелчков мышью;
  • масштабируемость — поддерживать основные операционные системы, устройства, а также, что крайне желательно, облачные платформы;
  • эластичность — обеспечивать строгую аутентификацию с использованием авторитетных отраслевых стандартов;
  • надёжность — обеспечивать корректное выполнение процедур проверки во всех условиях эксплуатации;
  • поддержка единой точки входа — реализовывать процесс аутентификации, который позволяет пользователю применять предъявленные в начале сеанса работы в системе идентификатор и пароль для получения доступа к различным приложениям.

Кроме того, эффективная система аутентификации в зависимости от индивидуальных особенностей может реализовывать дополнительные функции по безопасности, такие как защита ключей, электронная цифровая подпись (ЭЦП), шифрование данных и др.

В какой мере комбинация SafeNet eToken 5300 и ПО SafeNet Authentication Client отвечает предложенным выше критериям эффективности, нам предстоит выяснить.

Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client

Электронный ключ SafeNet eToken может применяться в следующих основных целях:

  • организация многофакторной аутентификации пользователей при входе в операционную систему,
  • удалённый доступ к корпоративным ресурсам,
  • аутентификация для доступа к веб-приложениям,
  • организация строгой аутентификации в модуле доверенной загрузки операционной системы,
  • работа с электронной цифровой подписью.

Интеграция электронного ключа с внешними приложениями выполняется через программный интерфейс PKCS#11 или с использованием низкоуровневых команд APDU. В первом случае требуется использование программного обеспечения SafeNet Authentication Client.

SafeNet Authentication Client позволяет прикладному ПО взаимодействовать с электронными ключами и смарт-картами eToken, IDPrime и iKey производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия этот клиент реализует набор функций для организации локального администрирования электронных ключей и смарт-карт. SafeNet Authentication Client функционирует на платформах Microsoft Windows, Linux, macOS, что позволяет использовать функциональность электронных ключей и смарт-карт для организации аутентификации и ЭЦП в этих средах.

Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client

В качестве функциональной основы выступает электронный ключ SafeNet eToken 5300 — программно-аппаратный комплекс для аутентификации и хранения ключевой информации, особые свойства которого обеспечивают повышенный уровень безопасности в целом. Помимо двух традиционных факторов аутентификации (владения и знания) электронный ключ реализует усиление в виде фактора присутствия пользователя.

Второй архитектурный компонент — SafeNet Authentication Client — представляет собой связующее программное обеспечение (middleware) инфраструктуры открытых ключей (PKI). Он позволяет управлять аутентификатором SafeNet eToken 5300 и предоставляет защищённый инструментарий для обмена данными на основе PKI, обеспечивающий верификацию идентификационной информации пользователя с помощью доверенной третьей стороны.

ПО SafeNet Authentication Client поддерживает возможность работы и с другими устройствами:

  • USB-токенами (SafeNet eToken 5110, eToken 5110 CC, eToken 5110 FIPS),
  • смарт-картами (SafeNet IDPrime 940 SIS, IDPrime 3940 FIDO, IDPrime 930, IDPrime 3930, IDPrime 940, IDPrime 3940 и др.),
  • считывателями смарт-карт, функционирующими в контактном и бесконтактном режимах (CL3000 Prox-du (EOL), ACR128U (EOL), Gemalto IDBridge K30, Gemalto IDBridge K50, SafeNet IDBridge CT30 и др.),
  • защищёнными считывателями PIN Pad (Gemalto IDBridge CT700).

При подготовке обзора в наше распоряжение помимо SafeNet eToken 5300 в форм-факторе «микро» (возможно, самый маленький форм-фактор USB-токена из имеющихся на рынке) были также предоставлены ещё два продукта семейства eToken:

  • USB-токен SafeNet eToken 5110;
  • считыватель SafeNet IDBridge CT30 и смарт-карта с предустановленным апплетом eToken. Смарт-карта предусматривает возможность имплантирования RFID-метки.

Рисунок 1. Устройства для аутентификации и ЭЦП на базе PKI от компании Thales

 Устройства для аутентификации и ЭЦП на базе PKI от компании Thales

USB-токен SafeNet eToken 5110 также представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации. Он является устройством следующего поколения относительно электронного ключа и смарт-карты eToken PRO, вполне хорошо зарекомендовавших себя на российском рынке информационной безопасности.

Считыватель смарт-карт IDBridge CT30 — это устройство для работы со смарт-картами компании Thales и других производителей, поддерживающих стандарт ISO 7816. Пользователи ОС Microsoft Windows, Linux, macOS могут применять его для организации двухфакторной аутентификации и работы с ЭЦП. Корпус устройства сделан из прозрачного пластика, благодаря чему можно без дополнительных усилий контролировать корректность размещения смарт-карты в считывателе. Также для него производится подставка, которая позволяет при необходимости использовать IDBridge CT30 в вертикальном положении.

Рисунок 2. Считыватель смарт-карт IDBridge CT30 с подключённой смарт-картой

 Считыватель смарт-карт IDBridge CT30 с подключённой смарт-картой

Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client

ПО SafeNet Authentication Client функционирует на компьютерах под управлением следующих операционных систем:

  • Microsoft Windows Server 2019 / 2016 / 2012 / 2012 R2 (х64) и Server 2008 R2 SP1 / 2008 SP2 (х32, х64); Windows 10 / 8.1 / 8 / 7 SP1 (х32, х64).
  • Linux: Red Hat 7.3 / 6.9; CentOS 7.3 / 6.9; SUSE 12.2; Debian 9.0; Fedora 26; Ubuntu 16.04 и 17.04.
  • macOS 10.13.1 High Sierra / 10.14 Mojave.

Требования, предъявляемые к необходимому для функционирования ПО SafeNet Authentication Client аппаратному обеспечению, весьма скромны:

  • наличие USB-порта для подключения аппаратных токенов,
  • разрешение экрана 1024 х 768 и выше.

Обращает на себя внимание то обстоятельство, что рассматриваемая в настоящем обзоре актуальная версия ПО SafeNet Authentication Client 10.8 (R2) для Windows совместима с весьма внушительным перечнем программных продуктов сторонних производителей, который сведён в таблицу 1.

Таблица 1. Программные продукты, совместимые с ПО SafeNet Authentication Client

Тип программного продукта Производитель Версия программного продукта
Защищённый удалённый VPN-доступ Check Point Endpoint Security E80.70
Microsoft Windows Server 2008 SP2 и выше
Cisco AnyConnect for Windows 4.7.00136
Palo Alto PA-200 GW Appliance
Juniper Juniper MAG 2600 GW Appliance
Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) Citrix Virtual Apps and Desktops 7.1903
Microsoft Remote Desktop
VMware View Horizon 7.8
Управление учётными записями (Identity Access Management, IAM; Identity Management, IdM) IBM ISAM for Web 9.0
Intercede MyID 11.3
Microsoft MIM 2016 4.5.286.0
vSEC:CMS vSEC:CMS 5.8
IDnomic OpenTrust CMS 5.2
Аутентификация до загрузки
(Pre Boot Authentication, PBA)
Sophos SafeGuard Easy
Microsoft BitLocker (только RSA)
Удостоверяющий центр (Certificate Authority, CA) Entrust ESP 10
Microsoft (Local CA) Для всех Windows-платформ
Система единого входа (Single Sign-On, SSO) Evidian ESSO
Электронная цифровая подпись Entrust ESP 10
Adobe 2020.009.20063
Microsoft Outlook 2016 / Office 365
Mozilla Thunderbird 52.9.1
Браузеры Mozilla Firefox 77.01
Microsoft Internet Explorer 11.476.18362.0
Edge Chromium 84.0.522.40
Edge 44.18362.449.0
Google Chrome 83.0.4103.116

Наиболее показательные технические характеристики электронного ключа SafeNet eToken 5300 из состава рассматриваемого продукта приведены в таблице 2.

Таблица 2. Основные характеристики SafeNet eToken 5300

Поддерживаемые операционные системы

Windows Server 2008/R2, Windows Server 2012/R2, Windows Server 2016, Windows 7, Windows 8, Windows 8.1, Windows 10, macOS, Linux

API и поддерживаемые стандарты

PKCS#11, Microsoft CAPI and CNG (CSP, KSP), Mac Keychain, PC/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE

Объём памяти

80 КБ

Встроенные алгоритмы шифрования

Симметричные: AES 128 / 192 / 256-bit, 3DES (Triple DES)

Хеш-функция: SHA-256

RSA: 2048-bit

Эллиптические кривые: P-256, P-384

Вариант исполнения «Мини»

Вариант исполнения «Микро»

Сертификация (в процессе)

FIPS 140-2, уровень 3

FIPS 140-2, уровень 2

Размеры

16 мм * 8 мм * 40,5 мм

12 мм * 4,5 мм * 18 мм

Поддержка спецификации ISO

Поддержка ISO 7816-1 для 4 спецификаций

Рабочая температура

От 0 °C до 70 °C

Температура хранения

От -40 °C до 85 °C

Влажность

0—100% без конденсации

Сопротивление влаге

IPX7 — IEC 529

USB-коннектор

USB типа A; поддерживает USB 1.1 и 2.0 (полная и высокая скорости)

Корпус

Твёрдый пластик, защита от вскрытия

Хранение данных в памяти

Как минимум 10 лет

Переписывание ячеек памяти

Минимум 500 000 раз

Согласно декларации производителя корпус устройства оценивается в качестве защищённого от проникновения твёрдых предметов и воды в соответствии со степенью защиты IPX7. Этот показатель означает, что попавшая внутрь устройства пыль не может повредить его удовлетворительной работе и корпус токена является водонепроницаемым в условиях погружения на один метр под воду на 30 минут.

Поломка корпуса вследствие неосторожного обращения — это часто болезненная тема для USB-устройств. Мы можем отметить, что корпус SafeNet eToken 5300 изготовлен из твёрдого пластика, производит впечатление прочного, стойкого к появлению царапин и вмятин, люфт отсутствует. Сигналы светового индикатора очень хорошо видны через корпус. Токен претендует на статус защищённого от вскрытия, и по ощущениям открывание корпуса без оставления следов действительно потребует значительных усилий. В целом в ходе исследования было вполне легко убедиться, что надёжность корпуса достаточно высока как минимум для того, чтобы он не расшатывался в результате многократных переподключений устройства к USB-разъёму.

К числу основных функционально-технических характеристик связки SafeNet eToken 5300 с ПО SafeNet Authentication Client можно отнести следующие:

  • количество ключевых контейнеров — 15,
  • длина ключа RSA — 1024 / 2048 бит,
  • заполнитель RSA (RSA Padding) — PKCS#1 v1.5, PSS, OAEP,
  • длина ключа ECC — 256 / 384 / 521 бит;
  • алгоритм вычисления хеш-функции — SHA-1 160 бит, SHA-2 256 / 384 / 512 бит.

Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client

Пользовательский интерфейс ПО SafeNet Authentication Client

Для работы с токенами SafeNet eToken потребуется прежде всего установить ПО SafeNet Authentication Client.

Процесс установки клиента предельно прост и интуитивно понятен, графический интерфейс программы-установщика отличается дружественностью. Для использования SafeNet eToken с ПО SafeNet Authentication Client в общем случае не требуется покупать и устанавливать дополнительный криптопровайдер, все необходимые для работы компоненты содержатся внутри устройства.

SafeNet Authentication Client реализует два механизма обращения к функциям управления: через иконку в трее для быстрого доступа к отдельным операциям над выбранным токеном и через главное окно приложения.

С помощью иконки приложения в трее можно отобразить сведения о программе, изменить пароль выбранного токена, разблокировать его и просмотреть информацию о сертификате. Дополнительное конфигурирование позволяет несколько расширить этот список. Кроме того, при выборе пункта «Сервис» в контекстном меню иконки в трее можно вывести на экран главное окно ПО SafeNet Authentication Client или завершить работу этого приложения.

Главное окно ПО SafeNet Authentication Client в нашем случае выглядит так, как показано на рисунке 3.

Рисунок 3. Главное окно ПО SafeNet Authentication Client

 Главное окно ПО SafeNet Authentication Client

Можно легко убедиться в том, что дизайн главного окна без околичностей акцентирует внимание на самом важном: выпукло представлены подключённые к компьютеру устройства, в числе которых токен SafeNet eToken 5300 с именем «Test5300», а также основные операции, которые могут быть произведены над каждым выбранным устройством. Исключительно из любопытства хотелось бы посмотреть, каким образом разработчики ПО обрабатывают ситуацию, когда количество подключённых устройств не оставляет возможности отобразить их на экране одновременно (главное окно приложения имеет фиксированный размер). Однако имеющиеся в нашем распоряжении устройства не позволили произвести соответствующий опыт.

Администраторам SafeNet Authentication Client предоставляет инструментарий, позволяющий им задавать политики токенов. Пользователи, в свою очередь, с помощью SafeNet Authentication Client выполняют основные функции управления токенами, такие как изменение паролей или просмотр сертификатов. Кроме того, приложение предоставляет пользователям и администраторам быстрый и простой способ импорта цифровых сертификатов и ключей между компьютером и токеном.

SafeNet Authentication Client реализует функцию инициализации, с помощью которой администраторы выполняют процедуру первичной активации токенов в соответствии с действующими в организации требованиями или режимами безопасности, а также функцию качества пароля, которая устанавливает параметры для расчёта соответствующего рейтинга для пароля токена.

Ещё SafeNet Authentication Client позволяет просмотреть всю имеющуюся информацию о токене. С помощью этого ПО можно получать доступ к данным, хранящимся внутри токена, таким как ключи и сертификаты, и управлять его содержимым, например профилями паролей.

Рисунок 4. Просмотр информации о токене SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Просмотр информации о токене SafeNet eToken 5300 в ПО SafeNet Authentication Client

В целом интерфейс ПО SafeNet Authentication Client оставляет впечатление целостного, он удобен и интуитивно понятен. Пожалуй, лучше всего характеризует его то обстоятельство, что при работе почти не возникает потребности в обращении к «Руководству пользователя». Даже мелкие неудобства вроде редких опечаток в локализации, необъяснимого исчезновения всплывающих подсказок для кнопок панели управления или отсутствия эксплуатационной документации на русском языке (она поставляется только вместе с сертифицированной версией программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10», в состав которого входят токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client) совершенно не портят общего ощущения от продукта.

Управление SafeNet eToken

Инициализация токена

В процессе инициализации токена удаляются все объекты, хранящиеся на нём с момента изготовления, освобождается память и сбрасывается пароль. Затем токен конфигурируется в соответствии с организационными требованиями или режимами безопасности.

Судя по составу этих действий, инициализацию токена целесообразно проводить либо применительно к только что приобретённому устройству, либо в том случае, когда сотрудник увольняется из компании, что позволяет передать его токен коллеге. В последнем случае полностью удаляются индивидуальные артефакты уволившегося сотрудника, что позволяет начать жизненный цикл устройства в известном смысле с чистого листа.

Рисунок 5. Инициализация токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Инициализация токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

В процессе инициализации SafeNet eToken 5300 переопределяются имя и пароль токена. При желании можно задать новый пароль администратора, максимальное допустимое количество неудачных попыток входа в систему и предписание сменить пароль токена при первом подключении. Также будут удалены все данные, ранее созданные пользователями, включая сертификаты и профили. Указав значения для всех этих параметров в процессе инициализации, можно сформировать своего рода политику, которая будет применяться к заданным токенам.

Рисунок 6. Переопределение параметров при инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Переопределение параметров при инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Поскольку выполнение процедуры инициализации токена приводит к его почти полному обезличиванию, её несвоевременное выполнение может нанести ущерб корпоративным интересам. По этой причине разработчики ПО SafeNet Authentication Client позаботились о том, чтобы соответствующее решение принималось взвешенно, без лишней спешки. Нежелательная очистка токена путём случайного нажатия «не на ту кнопку» практически исключена.

Рисунок 7. Запуск процесса инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Запуск процесса инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Изменение пароля токена

Токены производства Thales поставляются с паролем, заданным по умолчанию. С этим нюансом связан тот редкий случай, когда может потребоваться обращение к эксплуатационной документации. По сути только из неё мы можем узнать, что пароль по умолчанию для устройства SafeNet eToken 5300 — 0000, а, например, для SafeNet eToken 5110 — 1234567890.

Принципы строгой двухфакторной аутентификации требуют смены пользователем исходного пароля в максимально короткие сроки.

Рисунок 8. Смена пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Смена пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

В случае если заданный пользователем новый пароль не соответствует настройкам качества, установленным администратором, процедура завершится ошибкой.

Рисунок 9. Ошибка смены пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Ошибка смены пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

По субъективным ощущениям пользователю было бы более удобно каким-то образом лучше понимать, что именно требуется изменить в новом пароле, чтобы он соответствовал воззрениям администратора. Как видно из рисунка выше, сообщение об ошибке оставляет некоторую неопределённость. В нашем примере по привычке была предпринята попытка установить надёжный пароль (как выяснилось позднее, его длина составляла 17 символов), и он оказался чрезмерно длинным. Для того чтобы выяснить, насколько его требуется укоротить, нужно обратиться к настройкам клиента, в отдельную область пользовательского интерфейса SafeNet Authentication Client.

Рисунок 10. Настройки качества пароля в ПО SafeNet Authentication Client

 Настройки качества пароля в ПО SafeNet Authentication Client

Управление сертификатами

SafeNet eToken 5300 может содержать сертификаты следующих типов:

  • сертификат подписи — используется только для выполнения операций с ЭЦП;
  • сертификат обмена — используется для выполнения различных криптографических операций, таких как применение ЭЦП, шифрование данных или аутентификация.

В дополнение к PIN-коду сертификаты обоих типов также могут быть защищены с помощью датчика обнаружения присутствия, которым оснащён токен SafeNet eToken 5300. Например, при выполнении операции с ЭЦП пользователю предлагается прикоснуться к датчику на токене для завершения операции подписи. По умолчанию период ожидания прикосновения составляет 30 секунд, по истечении которых операция завершается неуспешно.

Сертификат может быть импортирован на токен с помощью обращения к элементам пользовательского интерфейса SafeNet Authentication Client или загружен в него по инициативе сторонних средств.

В рамках проводимых опытов мы воспользовались для этих целей средствами тестового удостоверяющего центра ООО «КриптоПро», с помощью которого были сформированы ключи и отправлен запрос на сертификат. В качестве криптопровайдера был выбран eToken Base Cryptographic Provider, а в качестве назначения ключей — «для подписи и обмена».

Рисунок 11. Создание запроса на сертификат в тестовом удостоверяющем центре

 Создание запроса на сертификат в тестовом удостоверяющем центре

После завершения генерации по запросу SafeNet Authentication Client предложил прикоснуться к датчику, чтобы записать созданный сертификат в токен SafeNet eToken 5300.

Рисунок 12. Запрос на прикосновение к токену SafeNet eToken 5300 в ПО SafeNet Authentication Client для загрузки сертификата

 Запрос на прикосновение к токену SafeNet eToken 5300 в ПО SafeNet Authentication Client для загрузки сертификата

После прикосновения к токену сертификат был успешно импортирован и появилась возможность посмотреть сведения о нём в разделе «Сертификаты пользователей» в ПО SafeNet Authentication Client.

Рисунок 13. Отображение сертификата токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Отображение сертификата токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Типовые сценарии использования сертификатов SafeNet eToken 5300

С помощью записанного на токен SafeNet eToken 5300 сертификата могут быть с лёгкостью реализованы различные прикладные сценарии.

Цифровая подпись PDF-документа

Например, можно подписать PDF-документ личной ЭЦП владельца токена.

Для этого сначала подключаем к компьютеру токен SafeNet eToken 5300, в котором содержится ранее созданный сертификат. В программе Adobe Acrobat Reader в разделе инструментов выбираем пункт «Сертификаты», после чего нажимаем кнопку «Поставить цифровую подпись».

Рисунок 14. Начало процедуры подписания PDF-документа в Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Начало процедуры подписания PDF-документа в Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Выбираем цифровое удостоверение для подписи, предоставляемое SafeNet eToken 5300, и нажимаем кнопку «Продолжить».

Рисунок 15. Выбор сертификата для подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Выбор сертификата для подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Предварительно просматриваем оформление подписи и содержимое документа.

Рисунок 16. Просмотр подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Просмотр подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Вводим PIN-код токена SafeNet eToken 5300, являющегося хранилищем сертификата, по запросу прикасаемся к датчику, после чего в PDF-файл интегрируется ЭЦП нашего тестового пользователя.

Рисунок 17. Завершение процедуры подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Завершение процедуры подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Аутентификация в операционной системе

После записи сертификата в токен связка SafeNet eToken 5300 с ПО SafeNet Authentication Client позволяет осуществлять двухфакторную аутентификацию при входе в систему. На рисунке ниже показан пример выполнения данной процедуры в условиях использования сторонних средств защиты информации.

Рисунок 18. Двухфакторная аутентификация в VPN-клиенте при входе в систему с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Двухфакторная аутентификация в VPN-клиенте при входе в систему с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Шифрование файлов

С использованием SafeNet eToken 5300 и ПО SafeNet Authentication Client можно также реализовать процедуру шифрования файлов под управлением ОС Windows.

Для начала нужно инициировать эту процедуру в ОС посредством подтверждения сертификата, содержащегося на токене.

Рисунок 19. Подтверждение сертификата шифрования файлов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Подтверждение сертификата шифрования файлов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Далее потребуется выбрать каталоги для зашифрования, ввести PIN-код токена и прикоснуться к нему.

Рисунок 20. Зашифрование выбранных каталогов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Зашифрование выбранных каталогов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Выводы

В современном мире, предъявляющем к сотрудникам компаний и ведомств повышенные требования по мобильности и в целом по готовности к удалённой работе, ИТ-инфраструктура организации должна быть способна выдерживать баланс между безопасностью и удобством. Многие компании по-прежнему используют простые имена учётных записей и пароли в качестве единственной защиты от нарушителей, пытающихся получить доступ к сетям связи и личным данным пользователей. Гораздо более высокий уровень безопасности цифровой среды может быть обеспечен с помощью инфраструктуры открытых ключей (PKI).

Реализация на базе электронного ключа SafeNet eToken 5300 представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации, призванный обеспечить повышенный уровень безопасности при сохранении удобства работы пользователей.

SafeNet eToken 5300 является компактным USB-устройством, в котором помимо двух обязательных традиционных факторов аутентификации (владения и знания) предлагается усиление в виде фактора присутствия пользователя. Для входа в систему или подписания документа пользователю необходимо не только предъявить ключ и ввести PIN-код, но и прикоснуться к устройству для выполнения операций. Применение такого механизма позволяет исключить возможность удалённой атаки на пользователей, которые оставляют электронные ключи в компьютерах и ноутбуках.

ПО SafeNet Authentication Client используется в составе продукта для локального администрирования SafeNet eToken 5300 при выполнении базовых операций, таких как инициализация, смена PIN-кода, задание политик. Кроме того, этот клиент реализует ряд функций по обеспечению информационной безопасности, включая работу с ЭЦП, аутентификацию пользователя и шифрование диска. SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи в SafeNet eToken 5300 и других аутентификаторах на основе смарт-карт и токенов.

Актуальная версия ПО для ОС Windows — SafeNet Authentication Client 10.8 (R2). Основные изменения после предыдущей версии заключаются в приведении пользовательского интерфейса ПО к общему стилю продуктов группы компаний Thales, устранении известных ошибок, поддержке новых смарт-карт, а также улучшении локализации продукта.

Функциональность связки SafeNet eToken 5300 с ПО SafeNet Authentication Client в части формирования и проверки ЭЦП с неизвлекаемым ключом, строгой двухфакторной аутентификации пользователей, безопасного хранения пользовательских данных и объектов в защищённой энергонезависимой памяти позволяет ему быть востребованным в информационных системах различных типов.

Достоинства:

  • Возможность использования USB-подключений любого типа.
  • Совместимость с широким множеством программных продуктов сторонних производителей (операционные системы, браузеры, средства электронной цифровой подписи, VPN, IDM, SSO, CA, PBA и др.) на основе сертификатов.
  • Поддержка токенов в двух компактных форм-факторах: «мини» и «микро».
  • Возможность использования смарт-карт IDPrime MD, включая поддержку нескольких слотов.
  • Обеспечение повышенного уровня безопасности за счёт наличия датчика для проверки присутствия пользователя.
  • Сертификация FIPS 140-2 и в соответствии с «Общими критериями» EAL 6+ (в процессе завершения).
  • Поддержка функциональности PKI (электронная цифровая подпись, шифрование документов) без необходимости многократного ввода пароля, посредством прикосновения к токену.

Недостатки:

  • Электронный ключ eToken 5300 непосредственно поддерживает только западную криптографию. Для реализации российских криптографических алгоритмов необходимо использовать внешний криптопровайдер от российских разработчиков.
  • Отсутствие пользовательской документации на русском языке.
  • Мелкие огрехи пользовательского интерфейса (опечатки, произвольное неотображение всплывающих подсказок, недостаточно информативные сообщения об ошибках).
  • Нет сертификата ФСТЭК России (заметим, впрочем, что недавно был получен сертификат соответствия программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10» требованиям безопасности информации по 6-му уровню доверия, действие которого распространяется на токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client; в ближайших планах — сертификация и SafeNet eToken 5300).
  1. Введение
  2. Особенности и проблемы аутентификации пользователей в корпоративной среде
  3. Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client
  4. Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
  5. Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client
  6. Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client
    1. 6.1. Пользовательский интерфейс ПО SafeNet Authentication Client
    2. 6.2. Управление SafeNet eToken
      1. 6.2.1. Инициализация токена
      2. 6.2.2. Изменение пароля токена   
      3. 6.2.3. Управление сертификатами
    3. 6.3. Типовые сценарии использования сертификатов SafeNet eToken 5300
      1. 6.3.1. Цифровая подпись PDF-документа
      2. 6.3.2. Аутентификация в операционной системе
      3. 6.3.3. Шифрование файлов
  7. Выводы

Введение

В связи с интенсивной информатизацией общества и ростом количества информационных систем различного назначения особую актуальность приобретает задача управления доступом пользователей к данным, решение которой прежде всего связано с идентификацией и аутентификацией субъекта (претендента, заявителя) средствами конкретной информационной системы.

В далёком 2006 году был выпущен стандарт NIST SP 800-63 «Electronic Authentication Guideline», который представлял собой техническое руководство для федеральных государственных учреждений США по обеспечению возможности удалённой аутентификации физических лиц. Предполагалось, что с использованием описанных в NIST SP 800-63 методов учреждение могло бы удостоверять заявление гражданина о том, что он знает или владеет некой секретной информацией.

Актуальная версия NIST SP 800-63-3 под названием «Digital Identity Guidelines» определяет классическую парадигму систем аутентификации пользователей, в основу которой положено три фактора:

  • нечто известное (например, пароль);
  • нечто имеющееся (например, идентификационная карточка или криптографический ключ);
  • нечто присущее (например, отпечаток пальца или иные биометрические данные).

Для парадигмы систем электронной аутентификации характерен следующий нюанс: заявитель владеет и распоряжается токеном, который используется для удостоверения его личности. Токен в данном случае представляет собой портативное устройство (смарт-карту, SIM-карту, USB-устройство на основе смарт-карты и др.), которое содержит во внутренней памяти некий «секрет» (криптографический ключ, сертификат, пароль). Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр. Как правило, токен оснащён защищённым микропроцессором, ядром для исполнения криптографических алгоритмов, безопасным хранилищем «секрета», а также одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.

«Секрет», содержащийся в токене, может использоваться заявителем для доказательства того, что он и есть тот самый владелец, имя которого содержится в идентификационной информации.

Аналитический центр Anti-Malware.ru регулярно публикует материалы об аппаратных токенах, неизменно пользующиеся интересом читателей. Например, в своё время был подготовлен большой сравнительный обзор токенов с аппаратной поддержкой отечественных криптографических алгоритмов — как с сертификатом ФСБ России, так и несертифицированных.

Из представленных в настоящее время на рынке заслуживает внимания вариант организации двухфакторной аутентификации с функцией ЭЦП с помощью аппаратного токена SafeNet eToken 5300 и программного обеспечения SafeNet Authentication Client от компании Thales (прежде выпускались компанией Gemalto), одного из глобальных лидеров в области информационной безопасности. Данное предложение выгодно выделяется на фоне конкурирующих с ним продуктов, обладающих в целом сходной функциональностью, в том числе за счёт использования дополнительного фактора, связанного с учётом присутствия пользователя.

Особенности и проблемы аутентификации пользователей в корпоративной среде

Нарушитель, который каким-либо образом получает возможность распоряжаться токеном законного владельца, вместе с тем приобретает и возможность выдать себя за него. Сила системы для аутентификации в значительной степени определяется числом реализованных в нём факторов проверки подлинности пользователя, а угрозы безопасности в отношении токенов могут быть классифицированы в соответствии с типами факторов аутентификации, которые заключает в себе токен.

К числу эффективных стратегий блокирования угроз безопасности в отношении реализаций аутентификации относятся в том числе следующие:

  • Множественные факторы затрудняют проведение атак. Если нарушитель для выполнения успешной атаки нуждается в том, чтобы похитить токен и подобрать пароль, раскрытие сразу обоих факторов может быть сопряжено для него с чрезмерно большими трудозатратами.
  • Для защиты от дублирования похищенного токена могут быть задействованы методы обеспечения физической безопасности: защиты от вскрытия, сигнализации о подобных попытках, обнаружения несанкционированного доступа.
  • Вероятность успешной атаки путём подбора пароля может быть снижена посредством введения правил в отношении его сложности.
  • Могут использоваться внеполосные методы проверки свидетельств в отношении владения токеном (например, с помощью мобильного телефона).

Какое число факторов следует использовать в системе аутентификации? Двухфакторная аутентификация, как правило, реализуется с использованием «чего-то, что известно» (имени пользователя и пароля), а также «чего-то, что имеется» (аппаратного или программного токена). Опыт показывает, что в отдельных случаях даже этого может быть недостаточно для достижения целей безопасности. Для перехода на следующий уровень можно добавить «что-то присущее», или биологические признаки (отпечаток пальца, радужная оболочка, черты лица и т. д.). Соответствующий метод называется трёхфакторной аутентификацией и может использоваться в информационных системах, требующих повышенного уровня безопасности (банки, правительственные организации, аэропорты, крупные корпорации и др.).

Биометрия может устранить недостатки, возникающие при использовании других способов аутентификации. Однако нужно учитывать и то, что с увеличением числа факторов, необходимых для проверки личности пользователя, процедура в целом становится более трудоёмкой и сложной. Пользователи могут счесть прохождение проверки обременительным и пытаться «сэкономить» — например, путём использования более слабых, легко запоминающихся или одинаковых паролей.

Как правило, основные затруднения связаны именно с прохождением биометрической проверки. Так, в случае использования методов распознавания лиц отсутствие надлежащего освещения может привести к тому, что легальные пользователи не смогут подтвердить свою личность. Сканеры отпечатков пальцев также могут стать источником затруднений: в некоторых случаях устройство считывания корректно распознаёт отпечаток только в том случае, если пользователь поместит палец в определённое положение.

При выборе обеспечивающего аутентификацию продукта следует соблюдать баланс между безопасностью и комфортом. Один из возможных вариантов — применение фактора присутствия пользователя («чего-то, что выполняется»); этот фактор не относится к числу биометрических и не требует от сотрудника выполнять какие-либо сложные действия. По уровню простоты использования он сравним с классической двухфакторной аутентификацией, однако позволяет обеспечивать повышенный уровень безопасности. В частности, тест на наличие пользователя — одно из фундаментальных требований открытого стандарта аутентификации FIDO2. Его применение, например, позволяет защититься от удалённых атак на неискушённых сотрудников, которые имеют привычку оставлять токен подключённым к USB-порту, а PIN-код от него — записывать для удобства в текстовый файл на рабочем столе компьютера.

В целом опыт показывает, что эффективная система многофакторной аутентификации должна в максимально возможной степени отвечать следующим критериям:

  • лёгкость использования — быть простым в настройке и эксплуатации, легко интегрироваться с любой существующей системой за несколько щелчков мышью;
  • масштабируемость — поддерживать основные операционные системы, устройства, а также, что крайне желательно, облачные платформы;
  • эластичность — обеспечивать строгую аутентификацию с использованием авторитетных отраслевых стандартов;
  • надёжность — обеспечивать корректное выполнение процедур проверки во всех условиях эксплуатации;
  • поддержка единой точки входа — реализовывать процесс аутентификации, который позволяет пользователю применять предъявленные в начале сеанса работы в системе идентификатор и пароль для получения доступа к различным приложениям.

Кроме того, эффективная система аутентификации в зависимости от индивидуальных особенностей может реализовывать дополнительные функции по безопасности, такие как защита ключей, электронная цифровая подпись (ЭЦП), шифрование данных и др.

В какой мере комбинация SafeNet eToken 5300 и ПО SafeNet Authentication Client отвечает предложенным выше критериям эффективности, нам предстоит выяснить.

Функциональные возможности SafeNet eToken и ПО SafeNet Authentication Client

Электронный ключ SafeNet eToken может применяться в следующих основных целях:

  • организация многофакторной аутентификации пользователей при входе в операционную систему,
  • удалённый доступ к корпоративным ресурсам,
  • аутентификация для доступа к веб-приложениям,
  • организация строгой аутентификации в модуле доверенной загрузки операционной системы,
  • работа с электронной цифровой подписью.

Интеграция электронного ключа с внешними приложениями выполняется через программный интерфейс PKCS#11 или с использованием низкоуровневых команд APDU. В первом случае требуется использование программного обеспечения SafeNet Authentication Client.

SafeNet Authentication Client позволяет прикладному ПО взаимодействовать с электронными ключами и смарт-картами eToken, IDPrime и iKey производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия этот клиент реализует набор функций для организации локального администрирования электронных ключей и смарт-карт. SafeNet Authentication Client функционирует на платформах Microsoft Windows, Linux, macOS, что позволяет использовать функциональность электронных ключей и смарт-карт для организации аутентификации и ЭЦП в этих средах.

Архитектура аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client

В качестве функциональной основы выступает электронный ключ SafeNet eToken 5300 — программно-аппаратный комплекс для аутентификации и хранения ключевой информации, особые свойства которого обеспечивают повышенный уровень безопасности в целом. Помимо двух традиционных факторов аутентификации (владения и знания) электронный ключ реализует усиление в виде фактора присутствия пользователя.

Второй архитектурный компонент — SafeNet Authentication Client — представляет собой связующее программное обеспечение (middleware) инфраструктуры открытых ключей (PKI). Он позволяет управлять аутентификатором SafeNet eToken 5300 и предоставляет защищённый инструментарий для обмена данными на основе PKI, обеспечивающий верификацию идентификационной информации пользователя с помощью доверенной третьей стороны.

ПО SafeNet Authentication Client поддерживает возможность работы и с другими устройствами:

  • USB-токенами (SafeNet eToken 5110, eToken 5110 CC, eToken 5110 FIPS),
  • смарт-картами (SafeNet IDPrime 940 SIS, IDPrime 3940 FIDO, IDPrime 930, IDPrime 3930, IDPrime 940, IDPrime 3940 и др.),
  • считывателями смарт-карт, функционирующими в контактном и бесконтактном режимах (CL3000 Prox-du (EOL), ACR128U (EOL), Gemalto IDBridge K30, Gemalto IDBridge K50, SafeNet IDBridge CT30 и др.),
  • защищёнными считывателями PIN Pad (Gemalto IDBridge CT700).

При подготовке обзора в наше распоряжение помимо SafeNet eToken 5300 в форм-факторе «микро» (возможно, самый маленький форм-фактор USB-токена из имеющихся на рынке) были также предоставлены ещё два продукта семейства eToken:

  • USB-токен SafeNet eToken 5110;
  • считыватель SafeNet IDBridge CT30 и смарт-карта с предустановленным апплетом eToken. Смарт-карта предусматривает возможность имплантирования RFID-метки.

Рисунок 1. Устройства для аутентификации и ЭЦП на базе PKI от компании Thales

 Устройства для аутентификации и ЭЦП на базе PKI от компании Thales

USB-токен SafeNet eToken 5110 также представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации. Он является устройством следующего поколения относительно электронного ключа и смарт-карты eToken PRO, вполне хорошо зарекомендовавших себя на российском рынке информационной безопасности.

Считыватель смарт-карт IDBridge CT30 — это устройство для работы со смарт-картами компании Thales и других производителей, поддерживающих стандарт ISO 7816. Пользователи ОС Microsoft Windows, Linux, macOS могут применять его для организации двухфакторной аутентификации и работы с ЭЦП. Корпус устройства сделан из прозрачного пластика, благодаря чему можно без дополнительных усилий контролировать корректность размещения смарт-карты в считывателе. Также для него производится подставка, которая позволяет при необходимости использовать IDBridge CT30 в вертикальном положении.

Рисунок 2. Считыватель смарт-карт IDBridge CT30 с подключённой смарт-картой

 Считыватель смарт-карт IDBridge CT30 с подключённой смарт-картой

Системные характеристики SafeNet eToken 5300 и ПО SafeNet Authentication Client

ПО SafeNet Authentication Client функционирует на компьютерах под управлением следующих операционных систем:

  • Microsoft Windows Server 2019 / 2016 / 2012 / 2012 R2 (х64) и Server 2008 R2 SP1 / 2008 SP2 (х32, х64); Windows 10 / 8.1 / 8 / 7 SP1 (х32, х64).
  • Linux: Red Hat 7.3 / 6.9; CentOS 7.3 / 6.9; SUSE 12.2; Debian 9.0; Fedora 26; Ubuntu 16.04 и 17.04.
  • macOS 10.13.1 High Sierra / 10.14 Mojave.

Требования, предъявляемые к необходимому для функционирования ПО SafeNet Authentication Client аппаратному обеспечению, весьма скромны:

  • наличие USB-порта для подключения аппаратных токенов,
  • разрешение экрана 1024 х 768 и выше.

Обращает на себя внимание то обстоятельство, что рассматриваемая в настоящем обзоре актуальная версия ПО SafeNet Authentication Client 10.8 (R2) для Windows совместима с весьма внушительным перечнем программных продуктов сторонних производителей, который сведён в таблицу 1.

Таблица 1. Программные продукты, совместимые с ПО SafeNet Authentication Client

Тип программного продукта Производитель Версия программного продукта
Защищённый удалённый VPN-доступ Check Point Endpoint Security E80.70
Microsoft Windows Server 2008 SP2 и выше
Cisco AnyConnect for Windows 4.7.00136
Palo Alto PA-200 GW Appliance
Juniper Juniper MAG 2600 GW Appliance
Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) Citrix Virtual Apps and Desktops 7.1903
Microsoft Remote Desktop
VMware View Horizon 7.8
Управление учётными записями (Identity Access Management, IAM; Identity Management, IdM) IBM ISAM for Web 9.0
Intercede MyID 11.3
Microsoft MIM 2016 4.5.286.0
vSEC:CMS vSEC:CMS 5.8
IDnomic OpenTrust CMS 5.2
Аутентификация до загрузки
(Pre Boot Authentication, PBA)
Sophos SafeGuard Easy
Microsoft BitLocker (только RSA)
Удостоверяющий центр (Certificate Authority, CA) Entrust ESP 10
Microsoft (Local CA) Для всех Windows-платформ
Система единого входа (Single Sign-On, SSO) Evidian ESSO
Электронная цифровая подпись Entrust ESP 10
Adobe 2020.009.20063
Microsoft Outlook 2016 / Office 365
Mozilla Thunderbird 52.9.1
Браузеры Mozilla Firefox 77.01
Microsoft Internet Explorer 11.476.18362.0
Edge Chromium 84.0.522.40
Edge 44.18362.449.0
Google Chrome 83.0.4103.116

Наиболее показательные технические характеристики электронного ключа SafeNet eToken 5300 из состава рассматриваемого продукта приведены в таблице 2.

Таблица 2. Основные характеристики SafeNet eToken 5300

Поддерживаемые операционные системы

Windows Server 2008/R2, Windows Server 2012/R2, Windows Server 2016, Windows 7, Windows 8, Windows 8.1, Windows 10, macOS, Linux

API и поддерживаемые стандарты

PKCS#11, Microsoft CAPI and CNG (CSP, KSP), Mac Keychain, PC/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE

Объём памяти

80 КБ

Встроенные алгоритмы шифрования

Симметричные: AES 128 / 192 / 256-bit, 3DES (Triple DES)

Хеш-функция: SHA-256

RSA: 2048-bit

Эллиптические кривые: P-256, P-384

Вариант исполнения «Мини»

Вариант исполнения «Микро»

Сертификация (в процессе)

FIPS 140-2, уровень 3

FIPS 140-2, уровень 2

Размеры

16 мм * 8 мм * 40,5 мм

12 мм * 4,5 мм * 18 мм

Поддержка спецификации ISO

Поддержка ISO 7816-1 для 4 спецификаций

Рабочая температура

От 0 °C до 70 °C

Температура хранения

От -40 °C до 85 °C

Влажность

0—100% без конденсации

Сопротивление влаге

IPX7 — IEC 529

USB-коннектор

USB типа A; поддерживает USB 1.1 и 2.0 (полная и высокая скорости)

Корпус

Твёрдый пластик, защита от вскрытия

Хранение данных в памяти

Как минимум 10 лет

Переписывание ячеек памяти

Минимум 500 000 раз

Согласно декларации производителя корпус устройства оценивается в качестве защищённого от проникновения твёрдых предметов и воды в соответствии со степенью защиты IPX7. Этот показатель означает, что попавшая внутрь устройства пыль не может повредить его удовлетворительной работе и корпус токена является водонепроницаемым в условиях погружения на один метр под воду на 30 минут.

Поломка корпуса вследствие неосторожного обращения — это часто болезненная тема для USB-устройств. Мы можем отметить, что корпус SafeNet eToken 5300 изготовлен из твёрдого пластика, производит впечатление прочного, стойкого к появлению царапин и вмятин, люфт отсутствует. Сигналы светового индикатора очень хорошо видны через корпус. Токен претендует на статус защищённого от вскрытия, и по ощущениям открывание корпуса без оставления следов действительно потребует значительных усилий. В целом в ходе исследования было вполне легко убедиться, что надёжность корпуса достаточно высока как минимум для того, чтобы он не расшатывался в результате многократных переподключений устройства к USB-разъёму.

К числу основных функционально-технических характеристик связки SafeNet eToken 5300 с ПО SafeNet Authentication Client можно отнести следующие:

  • количество ключевых контейнеров — 15,
  • длина ключа RSA — 1024 / 2048 бит,
  • заполнитель RSA (RSA Padding) — PKCS#1 v1.5, PSS, OAEP,
  • длина ключа ECC — 256 / 384 / 521 бит;
  • алгоритм вычисления хеш-функции — SHA-1 160 бит, SHA-2 256 / 384 / 512 бит.

Применение аппаратно-программной связки SafeNet eToken с ПО SafeNet Authentication Client

Пользовательский интерфейс ПО SafeNet Authentication Client

Для работы с токенами SafeNet eToken потребуется прежде всего установить ПО SafeNet Authentication Client.

Процесс установки клиента предельно прост и интуитивно понятен, графический интерфейс программы-установщика отличается дружественностью. Для использования SafeNet eToken с ПО SafeNet Authentication Client в общем случае не требуется покупать и устанавливать дополнительный криптопровайдер, все необходимые для работы компоненты содержатся внутри устройства.

SafeNet Authentication Client реализует два механизма обращения к функциям управления: через иконку в трее для быстрого доступа к отдельным операциям над выбранным токеном и через главное окно приложения.

С помощью иконки приложения в трее можно отобразить сведения о программе, изменить пароль выбранного токена, разблокировать его и просмотреть информацию о сертификате. Дополнительное конфигурирование позволяет несколько расширить этот список. Кроме того, при выборе пункта «Сервис» в контекстном меню иконки в трее можно вывести на экран главное окно ПО SafeNet Authentication Client или завершить работу этого приложения.

Главное окно ПО SafeNet Authentication Client в нашем случае выглядит так, как показано на рисунке 3.

Рисунок 3. Главное окно ПО SafeNet Authentication Client

 Главное окно ПО SafeNet Authentication Client

Можно легко убедиться в том, что дизайн главного окна без околичностей акцентирует внимание на самом важном: выпукло представлены подключённые к компьютеру устройства, в числе которых токен SafeNet eToken 5300 с именем «Test5300», а также основные операции, которые могут быть произведены над каждым выбранным устройством. Исключительно из любопытства хотелось бы посмотреть, каким образом разработчики ПО обрабатывают ситуацию, когда количество подключённых устройств не оставляет возможности отобразить их на экране одновременно (главное окно приложения имеет фиксированный размер). Однако имеющиеся в нашем распоряжении устройства не позволили произвести соответствующий опыт.

Администраторам SafeNet Authentication Client предоставляет инструментарий, позволяющий им задавать политики токенов. Пользователи, в свою очередь, с помощью SafeNet Authentication Client выполняют основные функции управления токенами, такие как изменение паролей или просмотр сертификатов. Кроме того, приложение предоставляет пользователям и администраторам быстрый и простой способ импорта цифровых сертификатов и ключей между компьютером и токеном.

SafeNet Authentication Client реализует функцию инициализации, с помощью которой администраторы выполняют процедуру первичной активации токенов в соответствии с действующими в организации требованиями или режимами безопасности, а также функцию качества пароля, которая устанавливает параметры для расчёта соответствующего рейтинга для пароля токена.

Ещё SafeNet Authentication Client позволяет просмотреть всю имеющуюся информацию о токене. С помощью этого ПО можно получать доступ к данным, хранящимся внутри токена, таким как ключи и сертификаты, и управлять его содержимым, например профилями паролей.

Рисунок 4. Просмотр информации о токене SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Просмотр информации о токене SafeNet eToken 5300 в ПО SafeNet Authentication Client

В целом интерфейс ПО SafeNet Authentication Client оставляет впечатление целостного, он удобен и интуитивно понятен. Пожалуй, лучше всего характеризует его то обстоятельство, что при работе почти не возникает потребности в обращении к «Руководству пользователя». Даже мелкие неудобства вроде редких опечаток в локализации, необъяснимого исчезновения всплывающих подсказок для кнопок панели управления или отсутствия эксплуатационной документации на русском языке (она поставляется только вместе с сертифицированной версией программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10», в состав которого входят токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client) совершенно не портят общего ощущения от продукта.

Управление SafeNet eToken

Инициализация токена

В процессе инициализации токена удаляются все объекты, хранящиеся на нём с момента изготовления, освобождается память и сбрасывается пароль. Затем токен конфигурируется в соответствии с организационными требованиями или режимами безопасности.

Судя по составу этих действий, инициализацию токена целесообразно проводить либо применительно к только что приобретённому устройству, либо в том случае, когда сотрудник увольняется из компании, что позволяет передать его токен коллеге. В последнем случае полностью удаляются индивидуальные артефакты уволившегося сотрудника, что позволяет начать жизненный цикл устройства в известном смысле с чистого листа.

Рисунок 5. Инициализация токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Инициализация токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

В процессе инициализации SafeNet eToken 5300 переопределяются имя и пароль токена. При желании можно задать новый пароль администратора, максимальное допустимое количество неудачных попыток входа в систему и предписание сменить пароль токена при первом подключении. Также будут удалены все данные, ранее созданные пользователями, включая сертификаты и профили. Указав значения для всех этих параметров в процессе инициализации, можно сформировать своего рода политику, которая будет применяться к заданным токенам.

Рисунок 6. Переопределение параметров при инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Переопределение параметров при инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Поскольку выполнение процедуры инициализации токена приводит к его почти полному обезличиванию, её несвоевременное выполнение может нанести ущерб корпоративным интересам. По этой причине разработчики ПО SafeNet Authentication Client позаботились о том, чтобы соответствующее решение принималось взвешенно, без лишней спешки. Нежелательная очистка токена путём случайного нажатия «не на ту кнопку» практически исключена.

Рисунок 7. Запуск процесса инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Запуск процесса инициализации токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Изменение пароля токена

Токены производства Thales поставляются с паролем, заданным по умолчанию. С этим нюансом связан тот редкий случай, когда может потребоваться обращение к эксплуатационной документации. По сути только из неё мы можем узнать, что пароль по умолчанию для устройства SafeNet eToken 5300 — 0000, а, например, для SafeNet eToken 5110 — 1234567890.

Принципы строгой двухфакторной аутентификации требуют смены пользователем исходного пароля в максимально короткие сроки.

Рисунок 8. Смена пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Смена пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

В случае если заданный пользователем новый пароль не соответствует настройкам качества, установленным администратором, процедура завершится ошибкой.

Рисунок 9. Ошибка смены пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Ошибка смены пароля токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

По субъективным ощущениям пользователю было бы более удобно каким-то образом лучше понимать, что именно требуется изменить в новом пароле, чтобы он соответствовал воззрениям администратора. Как видно из рисунка выше, сообщение об ошибке оставляет некоторую неопределённость. В нашем примере по привычке была предпринята попытка установить надёжный пароль (как выяснилось позднее, его длина составляла 17 символов), и он оказался чрезмерно длинным. Для того чтобы выяснить, насколько его требуется укоротить, нужно обратиться к настройкам клиента, в отдельную область пользовательского интерфейса SafeNet Authentication Client.

Рисунок 10. Настройки качества пароля в ПО SafeNet Authentication Client

 Настройки качества пароля в ПО SafeNet Authentication Client

Управление сертификатами

SafeNet eToken 5300 может содержать сертификаты следующих типов:

  • сертификат подписи — используется только для выполнения операций с ЭЦП;
  • сертификат обмена — используется для выполнения различных криптографических операций, таких как применение ЭЦП, шифрование данных или аутентификация.

В дополнение к PIN-коду сертификаты обоих типов также могут быть защищены с помощью датчика обнаружения присутствия, которым оснащён токен SafeNet eToken 5300. Например, при выполнении операции с ЭЦП пользователю предлагается прикоснуться к датчику на токене для завершения операции подписи. По умолчанию период ожидания прикосновения составляет 30 секунд, по истечении которых операция завершается неуспешно.

Сертификат может быть импортирован на токен с помощью обращения к элементам пользовательского интерфейса SafeNet Authentication Client или загружен в него по инициативе сторонних средств.

В рамках проводимых опытов мы воспользовались для этих целей средствами тестового удостоверяющего центра ООО «КриптоПро», с помощью которого были сформированы ключи и отправлен запрос на сертификат. В качестве криптопровайдера был выбран eToken Base Cryptographic Provider, а в качестве назначения ключей — «для подписи и обмена».

Рисунок 11. Создание запроса на сертификат в тестовом удостоверяющем центре

 Создание запроса на сертификат в тестовом удостоверяющем центре

После завершения генерации по запросу SafeNet Authentication Client предложил прикоснуться к датчику, чтобы записать созданный сертификат в токен SafeNet eToken 5300.

Рисунок 12. Запрос на прикосновение к токену SafeNet eToken 5300 в ПО SafeNet Authentication Client для загрузки сертификата

 Запрос на прикосновение к токену SafeNet eToken 5300 в ПО SafeNet Authentication Client для загрузки сертификата

После прикосновения к токену сертификат был успешно импортирован и появилась возможность посмотреть сведения о нём в разделе «Сертификаты пользователей» в ПО SafeNet Authentication Client.

Рисунок 13. Отображение сертификата токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

 Отображение сертификата токена SafeNet eToken 5300 в ПО SafeNet Authentication Client

Типовые сценарии использования сертификатов SafeNet eToken 5300

С помощью записанного на токен SafeNet eToken 5300 сертификата могут быть с лёгкостью реализованы различные прикладные сценарии.

Цифровая подпись PDF-документа

Например, можно подписать PDF-документ личной ЭЦП владельца токена.

Для этого сначала подключаем к компьютеру токен SafeNet eToken 5300, в котором содержится ранее созданный сертификат. В программе Adobe Acrobat Reader в разделе инструментов выбираем пункт «Сертификаты», после чего нажимаем кнопку «Поставить цифровую подпись».

Рисунок 14. Начало процедуры подписания PDF-документа в Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Начало процедуры подписания PDF-документа в Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Выбираем цифровое удостоверение для подписи, предоставляемое SafeNet eToken 5300, и нажимаем кнопку «Продолжить».

Рисунок 15. Выбор сертификата для подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Выбор сертификата для подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Предварительно просматриваем оформление подписи и содержимое документа.

Рисунок 16. Просмотр подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Просмотр подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Вводим PIN-код токена SafeNet eToken 5300, являющегося хранилищем сертификата, по запросу прикасаемся к датчику, после чего в PDF-файл интегрируется ЭЦП нашего тестового пользователя.

Рисунок 17. Завершение процедуры подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Завершение процедуры подписи PDF-файла в интерфейсе Adobe Acrobat Reader с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Аутентификация в операционной системе

После записи сертификата в токен связка SafeNet eToken 5300 с ПО SafeNet Authentication Client позволяет осуществлять двухфакторную аутентификацию при входе в систему. На рисунке ниже показан пример выполнения данной процедуры в условиях использования сторонних средств защиты информации.

Рисунок 18. Двухфакторная аутентификация в VPN-клиенте при входе в систему с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Двухфакторная аутентификация в VPN-клиенте при входе в систему с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Шифрование файлов

С использованием SafeNet eToken 5300 и ПО SafeNet Authentication Client можно также реализовать процедуру шифрования файлов под управлением ОС Windows.

Для начала нужно инициировать эту процедуру в ОС посредством подтверждения сертификата, содержащегося на токене.

Рисунок 19. Подтверждение сертификата шифрования файлов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Подтверждение сертификата шифрования файлов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Далее потребуется выбрать каталоги для зашифрования, ввести PIN-код токена и прикоснуться к нему.

Рисунок 20. Зашифрование выбранных каталогов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

 Зашифрование выбранных каталогов в ОС Windows с помощью SafeNet eToken 5300 и ПО SafeNet Authentication Client

Выводы

В современном мире, предъявляющем к сотрудникам компаний и ведомств повышенные требования по мобильности и в целом по готовности к удалённой работе, ИТ-инфраструктура организации должна быть способна выдерживать баланс между безопасностью и удобством. Многие компании по-прежнему используют простые имена учётных записей и пароли в качестве единственной защиты от нарушителей, пытающихся получить доступ к сетям связи и личным данным пользователей. Гораздо более высокий уровень безопасности цифровой среды может быть обеспечен с помощью инфраструктуры открытых ключей (PKI).

Реализация на базе электронного ключа SafeNet eToken 5300 представляет собой программно-аппаратный комплекс для аутентификации и хранения ключевой информации, призванный обеспечить повышенный уровень безопасности при сохранении удобства работы пользователей.

SafeNet eToken 5300 является компактным USB-устройством, в котором помимо двух обязательных традиционных факторов аутентификации (владения и знания) предлагается усиление в виде фактора присутствия пользователя. Для входа в систему или подписания документа пользователю необходимо не только предъявить ключ и ввести PIN-код, но и прикоснуться к устройству для выполнения операций. Применение такого механизма позволяет исключить возможность удалённой атаки на пользователей, которые оставляют электронные ключи в компьютерах и ноутбуках.

ПО SafeNet Authentication Client используется в составе продукта для локального администрирования SafeNet eToken 5300 при выполнении базовых операций, таких как инициализация, смена PIN-кода, задание политик. Кроме того, этот клиент реализует ряд функций по обеспечению информационной безопасности, включая работу с ЭЦП, аутентификацию пользователя и шифрование диска. SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи в SafeNet eToken 5300 и других аутентификаторах на основе смарт-карт и токенов.

Актуальная версия ПО для ОС Windows — SafeNet Authentication Client 10.8 (R2). Основные изменения после предыдущей версии заключаются в приведении пользовательского интерфейса ПО к общему стилю продуктов группы компаний Thales, устранении известных ошибок, поддержке новых смарт-карт, а также улучшении локализации продукта.

Функциональность связки SafeNet eToken 5300 с ПО SafeNet Authentication Client в части формирования и проверки ЭЦП с неизвлекаемым ключом, строгой двухфакторной аутентификации пользователей, безопасного хранения пользовательских данных и объектов в защищённой энергонезависимой памяти позволяет ему быть востребованным в информационных системах различных типов.

Достоинства:

  • Возможность использования USB-подключений любого типа.
  • Совместимость с широким множеством программных продуктов сторонних производителей (операционные системы, браузеры, средства электронной цифровой подписи, VPN, IDM, SSO, CA, PBA и др.) на основе сертификатов.
  • Поддержка токенов в двух компактных форм-факторах: «мини» и «микро».
  • Возможность использования смарт-карт IDPrime MD, включая поддержку нескольких слотов.
  • Обеспечение повышенного уровня безопасности за счёт наличия датчика для проверки присутствия пользователя.
  • Сертификация FIPS 140-2 и в соответствии с «Общими критериями» EAL 6+ (в процессе завершения).
  • Поддержка функциональности PKI (электронная цифровая подпись, шифрование документов) без необходимости многократного ввода пароля, посредством прикосновения к токену.

Недостатки:

  • Электронный ключ eToken 5300 непосредственно поддерживает только западную криптографию. Для реализации российских криптографических алгоритмов необходимо использовать внешний криптопровайдер от российских разработчиков.
  • Отсутствие пользовательской документации на русском языке.
  • Мелкие огрехи пользовательского интерфейса (опечатки, произвольное неотображение всплывающих подсказок, недостаточно информативные сообщения об ошибках).
  • Нет сертификата ФСТЭК России (заметим, впрочем, что недавно был получен сертификат соответствия программно-аппаратного комплекса аутентификации и хранения ключевой информации «Электронный ключ SafeNet eToken 10» требованиям безопасности информации по 6-му уровню доверия, действие которого распространяется на токены и смарт-карты SafeNet eToken 5110 с ПО SafeNet Authentication Client; в ближайших планах — сертификация и SafeNet eToken 5300).

Понравилась статья? Поделить с друзьями:
  • Safeline индикаторная отвертка 5 в 1 инструкция
  • Safefix system клей инструкция по применению
  • Safe t alert инструкция на русском
  • Safe start для аквариума инструкция по применению
  • Safe slice mandoline инструкция на русском по применению