Метка «рутокен web»

— Программно-аппаратный комплекс для криптографической защиты данных и строгой аутентификации в Web-сервисах

Хочу поделиться с вами нашим продуктом, над которым мы долго и упорно работали. Все началось с разработки системы для хранения и обмена конфиденциальной информацией «Secret Desk» в 2011 году, когда мы на 4м Московском Startup Weekend показали проект «CoSpace». После финальных презентаций четырем проектам «Главстарт» предложил инвестиции, включая наш проект. К сожалению, с инвестором мы не смогли договориться, наши взгляды разошлись.

Мы продолжили разрабатывать систему собственными силами и на собственные деньги. Мы думали, ломали и переделывали, в общем, работа кипела. Сделали сервис с необходимым функционалом, появились клиенты и отзывы.

Потом мы узнали про «Рутокен Web» и было принято решение использовать его в нашем проекте. Но функционала плагина для токена нам было недостаточно, и мы начали работу над собственным плагином.

Так появился новый продукт «Secret Desk Plugin»!

Читать полностью »

Берем под контроль криптографию в облачном хранилище MEGAПосле запуска в какой-то мере скандального сервиса MEGA разговоры о его защищенности немного побурлили и затихли. На сегодняшний день сервис живет своей жизнью и его никто даже не поломал. Из всех разговоров почему-то был упущен термин «User Controlled Encryption» (UCE, или Контролируемая пользователем криптография), которой кичится MEGA. Под словом «упущен» я подразумеваю тот факт, что мы не рассмотрели все возможности, которые дает нам криптографический движок, выполняющийся в JavaScript на стороне клиента.

Конечно, сам сервис MEGA под этим подразумевает всего лишь то, что ключи шифрования не хранятся на сервере, а вся их криптография выполняется в контексте браузера. При этом после запуска сервиса было много разговоров о том, что в нем используются нестойкие криптографические алгоритмы и что вообще все плохо и мы все умрем, а наши файлы прочитает ФСБ. Это подтолкнуло меня на мысль расширить понятие «UCE» и действительно взять криптографию под свой контроль, а именно — заменить или дополнить некоторые механизмы обеспечения безопасности сервиса.

В этой статье я частично разложу по полочкам магию, которая происходит в двух мегабайтах JavaScript-кода MEGA и покажу, как можно переопределить некоторые методы, чтобы перестать волноваться и полюбить криптографию. В результате мы получим сервис облачного хранения файлов с двухфакторной аутентификацией и аппаратным шифрованием критически важной информации. Читать полностью »

Решение Рутокен WEB уже достаточно известно на рынке и внедрено в ряд систем ЭДО и web-сервисов. Для интеграции с системами, использующими цифровые сертификаты, нашей компанией создано решение Рутокен WEB PKI Edition, основные характеристики которого представлены ниже:

  • работает в браузере
  • кроссплатформенность и мультибраузерность
  • для установки не требуются права системного администратора
  • поддержка российских криптографических алгоритмов (хэш по ГОСТ Р 34.11-94, электронная подпись по ГОСТ Р 34.10-2001)
  • поддержка запросов на сертификаты PKCS#10, сертификатов X.509, подписанных сообщений CMS

Для демонстрации возможностей решения создан демонстрационный интернет-банк — pki.rutokenweb.ru

Подробности под катом.

Читать полностью »

Аутентификация на Asp.net сайтах с помощью Rutoken WEB
Решение Рутокен WEB позволяет реализовать строгую аутентификацию для web-ресурсов, используя электронную подпись по ГОСТ Р 34-10.2001. Более подробно про алгоритмы можно прочитать в этой статье. Здесь покажем как сделан действующий вариант использования Рутокен WEB на сайтах под управлением Asp.net и приведем инструкцию по сборке.

Сделать так, чтобы все работало, действительно просто.

Читать полностью »

image
Концепция «облачных сервисов», к которым можно подключиться и получить определенную услугу, постепенно набирает популярность. Перевод ИТ-инфраструктуры организации в «облако» существенно снижает затраты на ее обслуживание. Правильная организация «облака» и способов взаимодействия с ним позволяют осуществить подобный переход практически безболезненно для конечных пользователей.

Не следует забывать, что при доступе к «облачным» сервисам пользователю необходимо предоставить
хотя бы минимальный «джентльменский набор», обеспечивающий безопасность использования сервиса.

В этот набор входят:

  • безопасная регистрация получателя услуги в «облаке»
  • аутентификация получателя услуги в «облаке»
  • электронная подпись данных
  • защита обмена информацией между получателем услуги и «облаком»
  • защита от атак, связанных с подменой «облака» (фишинг, спуфинг и т. п.)
  • обеспечение доверенной среды (операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ-шпионов и иного вредоносного софта, защищена от удаленного управления USB-over-IP, либо наиболее значимые операции следует производить на отдельно подключаемом устройстве)

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js