Рутокен Плагин
Рутокен Плагин представляет собой решение для электронной подписи, шифрования и двухфакторной аутентификации для Web- и SaaS-сервисов. В продукте используется аппаратная реализация российских криптографических алгоритмов «на борту» устройств Рутокен ЭЦП, Рутокен Web и Рутокен PINPad. Рутокен Плагин совместим с решениями российских производителей СКЗИ и может применяться в информационных системах, в которых используются цифровые сертификаты и инфраструктура PKI.
- Описание
- Назначение
- Архитектура
- Характеристики
- Разработчику
Что такое Рутокен Плагин
В Рутокен Плагин в качестве средства криптографической защиты и строгой двухфакторной аутентификации выступает USB-токен или другое устройство, в котором аппаратно реализованы российские криптографические алгоритмы. Для работы в контексте браузера используется кроссплатформенный и мультибраузерный плагин — специальное расширение функциональности, поддерживаемое всеми браузерами. Рутокен Плагин реализует следующие механизмы защиты информации:
- двухфакторную аутентификацию в Web-сервисе по USB-токену,
- шифрование обмена данными между браузером и Web-сервисом по ГОСТ 28147-89,
- электронную подпись данных по ГОСТ Р 34.10-2001,
- контроль целостности данных посредством вычисления хэш-функции по ГОСТ Р 34.11-94,
- разграничение доступа к ресурсам Web-сервиса на основе цифровых сертификатов.
Для интеграции с системами, использующими цифровые сертификаты и инфраструктуру PKI, в продукте реализована поддержка:
- цифровых сертификатов формата Х.509,
- запросов на сертификаты PKCS#10,
- подписи и шифрования данных в формате CMS.
Рутокен Плагин использует только встроенные в браузер API и не требует установки дополнительных компонентов, фреймворков и платформ, таких как Java, Microsoft Silverlight и другие.
Взаимодействие с USB-устройствами
Рутокен Плагин поддерживает работу с устройствами Рутокен ЭЦП, Рутокен Web и Рутокен PINPad. Наиболее частым является использование плагина вместе с USB-токенами. При этом USB-токены работают через стандартный драйвер, который имеется в составе современных операционных систем. Для того чтобы операционная система опознала токен, достаточно подключить его к USB-порту компьютера.
Рутокен Плагин представляет собой стандартное расширение функциональности браузеров — Active X для IE и NPAPI-плагин для остальных браузеров. Программа установки плагина реализована в виде
one-click-installer, то есть не требует выбора пользователем никаких опций. Также для установки плагина не требуются права системного администратора. При заходе пользователя на сайт плагин загружается на Web-страницу, и после этого его функции могут вызываться из скриптов страницы.
При шифровании, хэшировании и электронной подписи плагин обращается непосредственно к токену, и все криптографические операции происходят на аппаратном уровне. Следует отметить, что в плагине имеется возможность программного шифрования и вычисления хэш-функции для ускорения операций. Так как криптооперации производятся «на борту» устройства, то ключи являются неизвлекаемыми (не загружаются в оперативную память компьютера), и их невозможно украсть без физического изъятия токена у пользователя. Но даже в этом случае злоумышленник будет ограничен необходимостью знания уникального PIN-кода.
Помимо работы с USB-токенами Рутокен Плагин поддерживает работу с Рутокен PINPad — устройством класса TrustScreen для дистанционного банковского обслуживания, что позволяет выполнять наиболее критичные транзакции с их визуальным контролем в доверенной среде. Поскольку Рутокен PINPad в том числе выполняет функции криптографического токена, то его взаимодействие с Рутокен Плагин аналогично взаимодействию USB-токена и плагина.
Безопасность систем ДБО
Важной сферой применения Рутокен Плагин является безопасность систем дистанционного банковского обслуживания (ДБО). Решение обеспечивает:
- строгую аутентификацию клиента при доступе в личный кабинет,
- подтверждение платежей и транзакций с помощью электронной подписи,
- шифрование платежных поручений,
- визуальный контроль платежных документов перед подписью в доверенной среде (при использовании с Рутокен PINPad),
- надежное хранение ключей от личного кабинета пользователя.
Флагманским устройством для банковского сектора является Рутокен PINPad, который позволяет успешно противостоять всем известным атакам на клиентские места систем ДБО. Рутокен PINPad совмещает в себе функции криптографического токена и TrustScreen-устройства для просмотра платежек перед их подписанием, а также для безопасного ввода PIN-кода. Рутокен Плагин позволяет интегрировать Рутокен PINPad в системы ДБО с Web-интерфейсом.
Защита персональных данных
При использовании Рутокен Плагин совместно с Рутокен ЭЦП в качестве средства криптографической защиты информации (СКЗИ) и средства защиты от несанкционированного доступа (НСД) выступает сертифицированный USB-токен:
- Рутокен ЭЦП имеет сертификат ФСТЭК по ндв4, что позволяет использовать его для защиты информации от НСД в ИСПДН до 1 класса включительно в соответствии с требованиями ФСТЭК и нормами ФЗ-152, а также в информационных системах до класса защищенности 1Г включительно;
- Рутокен ЭЦП сертифицирован в ФСБ как СКЗИ по классу КС2, что позволяет использовать его в качестве шифровального средства в соответствии с ПКЗ2005 для защиты конфиденциальной информации и персональных данных;
- Рутокен ЭЦП сертифицирован на соответствие 63-ФЗ и требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27 декабря 2011 г. № 796, что позволяет использовать его в качестве средства квалифицированной электронной подписи при организации юридически значимого электронного документооборота.
Таким образом, Рутокен Плагин может использоваться для защиты информации в соответствии с требованиями регуляторов и законодательства. Сферами его применения являются:
- защита персональных данных пациентов медицинских учреждений,
- защита персональных данных учащихся школ и ВУЗов,
- защита информации в системах предоставления госуслуг и муниципальных услуг в электронном виде,
- безопасность и придание юридической значимости корпоративному электронному документообороту.
Лицензирование доступа
В ряде случаев Web-сервисы предоставляют доступ к базам знаний, в которых содержится интеллектуальная собственность компании. Эта интеллектуальная собственность имеет определенную цену, поэтому доступ к ней ограничен и предоставляется за плату. Компания заинтересована в том, чтобы одной выданной лицензией на доступ могло воспользоваться только одно лицо.
Использование в Web-сервисе двухфакторной аутентификации посредством USB-токена позволяет существенно затруднить доступ к одному аккаунту нескольких лиц, так как для этого им нужно будет постоянно обмениваться самим устройством. В отличие от аутентификации с помощью связки «логин-пароль» в ряде случаев это может оказаться непреодолимым препятствием, а сложность решения проблемы приведет к покупке дополнительных аккаунтов.
| Инсталляция |
|
|---|---|
| Поддерживаемые платформы |
|
| Поддерживаемые браузеры |
|
| Поддерживаемые устройства | |
| Используемые криптографические алгоритмы и форматы |
|
Комплект разработчика Рутокен Плагин
Для помощи программистам при встраивании Рутокен Плагин предоставляется бесплатный Комплект разработчика (SDK), в состав которого входят:
- Инструкция «Описание применения», в котором отражены возможности продукта, состав и условия функционирования;
- Инструкция «Руководство разработчика», в котором содержится описание программных интерфейсов плагина;
- Примеры Web-страниц, демонстрирующие основные сценарии работы плагина.
Подробная информация о Рутокен Плагин находится на Портале документации Рутокен. Пример серверной части предоставляется по запросу, отправленному на адрес info@rutoken.ru.
