Одному из сотрудников нашей компании понадобилось зарегистрироваться на портале Госуслуг. Как известно, на портале сейчас есть возможность входить в личный кабинет по логину/паролю, либо по электронной подписи. Вариант с логином/паролем был отброшен в силу профессиональной паранойи, и поехал сотрудник в УЦ Ростелекома — оператора системы -получать сертификат. В УЦ ему в качестве носителя электронной подписи/аппаратного СКЗИ не предложили Рутокен ЭЦП. В силу корпоративного патриотизма сотрудник решил не форсировать события, а попробовать-таки зайти на Госуслуги, используя для электронной подписи Рутокен ЭЦП.
Что из этого получилось, описано под катом.
Метка «рутокен эцп»
Авторизация на портале Госуслуг с помощью Рутокен ЭЦП
2014-04-17 в 11:07, admin, рубрики: Блог компании Компания «Актив», госуслуги, информационная безопасность, рутокен плагин, рутокен эцп, скб контур, электронное правительство, ЭП, метки: госуслуги, рутокен плагин, рутокен эцп, скб контур, электронное правительство, ЭПБерем под контроль криптографию в облачном хранилище MEGA
2013-04-15 в 14:07, admin, рубрики: javascript, Mega, Mega.co.nz, Блог компании Компания «Актив», информационная безопасность, рутокен web, рутокен эцп, метки: javascript, Mega, Mega.co.nz, информационная безопасность, рутокен web, рутокен эцп После запуска в какой-то мере скандального сервиса MEGA разговоры о его защищенности немного побурлили и затихли. На сегодняшний день сервис живет своей жизнью и его никто даже не поломал. Из всех разговоров почему-то был упущен термин «User Controlled Encryption» (UCE, или Контролируемая пользователем криптография), которой кичится MEGA. Под словом «упущен» я подразумеваю тот факт, что мы не рассмотрели все возможности, которые дает нам криптографический движок, выполняющийся в JavaScript на стороне клиента.
Конечно, сам сервис MEGA под этим подразумевает всего лишь то, что ключи шифрования не хранятся на сервере, а вся их криптография выполняется в контексте браузера. При этом после запуска сервиса было много разговоров о том, что в нем используются нестойкие криптографические алгоритмы и что вообще все плохо и мы все умрем, а наши файлы прочитает ФСБ. Это подтолкнуло меня на мысль расширить понятие «UCE» и действительно взять криптографию под свой контроль, а именно — заменить или дополнить некоторые механизмы обеспечения безопасности сервиса.
В этой статье я частично разложу по полочкам магию, которая происходит в двух мегабайтах JavaScript-кода MEGA и покажу, как можно переопределить некоторые методы, чтобы перестать волноваться и полюбить криптографию. В результате мы получим сервис облачного хранения файлов с двухфакторной аутентификацией и аппаратным шифрованием критически важной информации. Читать полностью »
Настройка Kerberos-аутентификации с использованием смарт-карт
2013-02-27 в 12:05, admin, рубрики: kerberos, linux, pam, Блог компании Компания «Актив», информационная безопасность, рутокен эцп, метки: kerberos, linux, pam, информационная безопасность, рутокен, рутокен эцп В продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.Читать полностью »
Рутокен WEB PKI Edition
2012-11-21 в 7:12, admin, рубрики: cms, PKCS#10, аутентификация, Блог компании Компания «Актив», информационная безопасность, плагин, рутокен web, рутокен эцп, электронная подпись, метки: cms, PKCS#10, аутентификация, плагин, рутокен web, рутокен эцп, электронная подписьРешение Рутокен WEB уже достаточно известно на рынке и внедрено в ряд систем ЭДО и web-сервисов. Для интеграции с системами, использующими цифровые сертификаты, нашей компанией создано решение Рутокен WEB PKI Edition, основные характеристики которого представлены ниже:
- работает в браузере
- кроссплатформенность и мультибраузерность
- для установки не требуются права системного администратора
- поддержка российских криптографических алгоритмов (хэш по ГОСТ Р 34.11-94, электронная подпись по ГОСТ Р 34.10-2001)
- поддержка запросов на сертификаты PKCS#10, сертификатов X.509, подписанных сообщений CMS
Для демонстрации возможностей решения создан демонстрационный интернет-банк — pki.rutokenweb.ru
Подробности под катом.
Разработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S
2012-05-28 в 10:35, admin, рубрики: linux, open source, openssl, pam, rsa, Блог компании Компания «Актив», информационная безопасность, рутокен, рутокен эцп, эцп, метки: linux, open source, openssl, pam, rsa, рутокен, рутокен эцп, эцп
В этой статье мне бы хотелось рассказать о том, как приложения в Linux могут использовать систему Подключаемых Модулей Безопасности (Pluggable Authentication Modules) для прозрачной аутентификации пользователей. Мы немного покопаемся в истории развития механизмов аутентификации в Linux, разберемся с системой настроек PAM и разберем исходный код модуля аутентификации pam_p11, который позволяет проводить аутентификацию пользователей по смарт-картам.
В конце статьи мы рассмотрим на практике настройку и работу модуля аутентификации в сертифицированном по 3 классу защищенности СВТ и 2 уровню контроля отсутствия недекларированных возможностей дистрибутиве Astra Linux для аутентификации по USB-токенам Рутокен ЭЦП и Рутокен S. Учитывая то, что Рутокен S имеет сертификаты ФСТЭК по НДВ 3, а Рутокен ЭЦП по НДВ 4, это решение может применяться в информационных системах, обрабатывающих конфиденциальную информацию, вплоть до информации с грифом «С».
Читать полностью »
OpenSSL: архитектура, приложения, ГОСТы, USB-токены
2012-04-20 в 14:00, admin, рубрики: cms, openssl, pkcs10, pkcs7, SSL, TLS, информационная безопасность, рутокен, рутокен эцп, эцп, метки: cms, openssl, pkcs10, pkcs7, SSL, TLS, гост, рутокен, рутокен эцп, эцп
OpenSSL — мощный и современный криптографический пакет с открытым исходным кодом. В пакете реализованы различные криптографические алгоритмы, форматы и протоколы, что позволяет использовать OpenSSL для широкого круга прикладных задач.
OpenSSL является основным криптопровайдером — «поставщиком» криптографических функций — для приложений Open Source. VPN, электронная подпись, HTTPS, Удостоверяющий центр, защищенная почта и многое другое реализовано на базе OpenSSL и его приложений.
Архитектура OpenSSL позволяет расширять его возможности с помощью написания специальных библиотек — ENGINE. Именно таким способом в OpenSSL была добавлена поддержка российских криптографических алгоритмов ГОСТ, подключены USB-токены с аппаратной реализацией криптоалгоритмов.
Обзор возможностей и архитектуры OpenSSL, поддержки в нем ГОСТов и токенов под катом.
Безопасный ключ к «облаку»
2012-04-04 в 11:02, admin, рубрики: cloud, pinpad, pkcs10, pkcs7, Блог компании Компания «Актив», информационная безопасность, облако, рутокен, рутокен web, рутокен эцп, эцп, метки: cloud, pinpad, pkcs10, pkcs7, облако, рутокен, рутокен web, рутокен эцп, эцп
Концепция «облачных сервисов», к которым можно подключиться и получить определенную услугу, постепенно набирает популярность. Перевод ИТ-инфраструктуры организации в «облако» существенно снижает затраты на ее обслуживание. Правильная организация «облака» и способов взаимодействия с ним позволяют осуществить подобный переход практически безболезненно для конечных пользователей.
Не следует забывать, что при доступе к «облачным» сервисам пользователю необходимо предоставить
хотя бы минимальный «джентльменский набор», обеспечивающий безопасность использования сервиса.
В этот набор входят:
- безопасная регистрация получателя услуги в «облаке»
- аутентификация получателя услуги в «облаке»
- электронная подпись данных
- защита обмена информацией между получателем услуги и «облаком»
- защита от атак, связанных с подменой «облака» (фишинг, спуфинг и т. п.)
- обеспечение доверенной среды (операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ-шпионов и иного вредоносного софта, защищена от удаленного управления USB-over-IP, либо наиболее значимые операции следует производить на отдельно подключаемом устройстве)
Информационная безопасность / Защита RDP по ГОСТ с помощью Рутокен ЭЦП. Двухуровневый TLS
2012-02-20 в 10:05, admin, рубрики: openssl, pkcs11, rdp, remote desktop, SSL, stunnel, TLS, гост, рутокен, рутокен эцп, метки: openssl, pkcs11, rdp, remote desktop, SSL, stunnel, TLS, гост, рутокен, рутокен эцп Протокол RDP является протоколом прикладного уровня и поэтому для его защиты идеально подходит TLS, который работает над транспортным уровнем.
В данном топике с помощью open source приложений OpenSSL и sTunnel мы защитим RDP-соединения по протоколу TLS c поддержкой российских шифрсьютов (GOST2001-GOST89-GOST89), клиентская аутентификация по ГОСТ-вым сертификатам будет проводиться аппаратно на борту USB-токена Рутокен ЭЦП с выработкой ключа согласования по схеме VKO GOST 34-10.2001. При этом ключ аутентификации является неизвлекаемым и его невозможно украсть. Так же Рутокен ЭЦП будет использоваться в качестве аппаратного ДСЧ.
Для случая аутентификацииЧитать полностью »
Информационная безопасность / Авторизация в OpenVPN c помощью Рутокен ЭЦП
2012-01-31 в 8:49, admin, рубрики: Новости, метки: openvpn, pkcs11, vpn, рутокен эцп OpenVPN — кроссплатформенное, гибкое и удобное решение для организации VPN. Для допуска в виртуальную сеть, построенную на базе OpenVPN, клиент должен авторизоваться. В OpenVPN это можно сделать 3 способами:
по логину и паролю
по ключу и сертификату в файлах
по ключу и сертификату на «борту» криптографического USB-токена или смарт-карты
Последний способ является наиболее безопасным. В топике будет описана авторизация в OpenVPN с помощью криптографического USB-токена Рутокен ЭЦП. Рутокен ЭЦП надежно защищен PIN-кодом от несанкционированного доступа и блокируется при исчерпании попытокЧитать полностью »