Верхнее

real russian token

Токены российские и не очень

Как известно, разработка, производство и распространение на территории Российской Федерации шифровальных (криптографических) средств требует наличие соответствующей лицензии. При этом, в соответствии с Постановлением правительства №313 от 16.04.2012 для токенов и смарт-карт (которые конечно же являются шифросредствами), а также в целом средств аутентификации и ЭП сделаны исключения:

3. Настоящее Положение не распространяется на деятельность с использованием:

в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;

д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах «е» — «и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;

Собственно, без таких послаблений многочисленные интернет-магазины так просто не смогли бы этим товаром торговать. Подробнее про Постановление №313 рассказано в моей презентации ещё от 2012 года, которую можно посмотреть по ссылке, а пока же хотел обратить внимание на другой аспект, связанный с токенами как с шифросредствами.

Речь о нотификациях (ФСБ). Про них у меня аналогичной презентации нет, но общая идея достаточно проста:

Нотификация является уведомлением изготовителя о технических и криптографических характеристиках товара (продукции), являющегося шифровальным (криптографическим) средством или содержащим в своем составе шифровальные (криптографические) средства, которые подпадают под действие Приложения N 1 к Положению о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств.

В упомянутом Приложении №1 смарт-карты (токены) есть и поэтому для пересечения ими границ Таможенного союза соответствующие нотификации должны быть оформлены (если, конечно, токены не едут как зелёный горошек).

Полный реестр нотификаций доступен на сайте Евразийской Экономической Комисси: http://www.eurasiancommission.org/ru/docs/Pages/notif.aspx Вернее, там доступен инструмент поиска по реестру.

Вот, например, некоторые нотификации на ключи и смарт-карты eToken компании SafeNet, обзор которых я недавно делал. Искал по наименованию товара с условием «Включает» и текстом «eToken»:

Нотификации eToken

Нотификации eToken

Есть в реестре и другие токены. Так, поиском по слову «token» можно найти:

  • eJava Token, StorePass PKI USB Token, InterPass PKI Token, BioPass PKI Token компании FEITIAN Technologies Co., Ltd, China
  • средства аутентификации FortiToken от FORTINET INC., USA
  • уже упомянутые выше представители семейства eToken, SafeNet Inc., USA
  • генераторы одноразовых паролей ActivIdentity, Activldentity Europe S.A., France
  • Токен ID Prove 100, токен Easy OTP Token v3, токен TOKEN Model GEMALTO ID Prove 100, Жемальто C.A., Франция
  • Pocket Token, Token V2, Token One, Keychain Token, HID Corporation Limited, United Kingdom
  • и некоторые другие.

В числе этих некоторых других (внезапно) оказались и ключи Rutoken:

Нотификация Rutoken RU0000011298

Нотификация Rutoken RU0000011298

Нотификации получены на Rutoken, Rutoken WEB, Rutoken ЭЦП и Rutoken Lite и предназначены они, как мне пояснили (хотя мог бы и сам догадаться) представители компании Актив-Софт, для экспорта данных моделей за пределы Таможенного союза. Обратите внимание на изготовителя товара, указанного в нотификациях — Закрытое акционерное общество «Актив-софт», Москва (страна по какой-то причине не указана). Всё честно, натуральный отечественный токен.

Других же отечественных токенов (Шипка или ESMART) в реестре я не нашёл, но зато обнаружил сразу несколько нотификаций на JaCarta, приведу наименование товаров из них (найдены поиском по наименованиям товаров, включающим «jacarta»):

  • Электронный USB-ключ (токен) с функциями шифрования JaCarta JCyxx, JaCarta LT JCyxx, где “y” – цифровой индекс от 0 до 9, обозначающий физические параметры ключа (тип корпуса: XL, Nano, Micro; тип разъема USB – Type A, microUSB), а «хх» — двузначное число от 00 до 99, соответствующее определенной конфигурации предустановленных апплетов и не влияющее на криптографические характеристики товара
  • Электронный ключ с функциями шифрования JaCarta LT JCxxx, XXX – цифровой индекс модели или модификации,не влияющий на криптографические характеристики товара
  • Смарт-карта с функциями шифрования JaCarta JCxxx, где XXX – цифровой индекс модели (в том числе обозначающий наличие одной или двух из радиометок частоты 125 кГц типа HID ISOProx II, EM4102, EM4450), не влияющий на криптографические характеристики товара
  • Карта MicroSD с функциями шифрования JaCarta MicroSD *, где * – любой набор символов в любом количестве, обозначающий модификацию, в т.ч. размер памяти типа Flash, не влияющий на криптографические характеристики товара
  • Электронный ключ с функциями шифрования JaCarta Flash (X)GB, где (X) – размер флэш-памяти в гигабайтах, не влияющий на криптографические характеристики товара
  • Электронный ключ с функциями шифрования JaCarta JCxxx, JaCarta Mini JCxxx, где XXX — цифровой индекс модели или модификации, не влияющий на криптографические характеристики товара
Нотификации JaCarta

Нотификации JaCarta

Примечательно, что во всех нотификациях на JaCarta в качестве изготовителя указана совсем не российская компания: Athena Smartcard Solutions, Inc. 1-14-16 Motoyokoyama-cho Hachioji-shi, Токио, 192-0063, Япония.

Какой-то не очень отечественный токен получается, хотя, кстати, беглым поиском я нигде и не обнаружил, что кто-то уверял, что это отечественный продукт. Видимо, просто мнение общественное само так сложилось, а ему никто мешать не захотел =)

Наверное, мне можно парировать, что в нотификациях далеко не все модели JaCarta и, возможно, это просто раньше что-то производила Athena, а сейчас всё не так, тем более, что большая часть нотификаций выдана в 2012 году.

Возможно, вот только если посмотреть технические характеристики, то можно увидеть, что JaCarta PKIJaCarta PKI/BIO, JaCarta PKI/ГОСТJaCarta PKI/FlashJaCarta PKI/ГОСТ/FlashJaCarta ГОСТJaCarta ГОСТ/FlashJaCarta LT — все используют защищённый смарт-карточный чип AT90SC25672RCT. Все, включая варианты JaCarta с ГОСТом.

Догадываетесь, кто производитель данного чипа? Как подсказывает всё тот же реестр нотификаций, это:

Athena SCS Limited, юридический адрес Tower Bridge House, St. Katharine’s Way, E1W 1DD, London, Великобритания, фактический адрес: 45 Beech Street, EC2Y 8AD, London, Великобритания. Контрактное производство: Inside Secure S.A., Space Antipolis 9, 2323 Chemin Saint Bernard, 06225 Vallauris Cedex, Франция

Нотификация чип AT90SC25672RCT

Нотификация чип AT90SC25672RCT

В данной нотификации указано контрактное производство компании Inside Secure S.A. и вообще не факт, что чипы для JaCarta ввозятся отдельно, а не в составе уже изготовленных Athena изделий, но в любом случае и у самого чипа и у упомянутых выше электронных ключей и смарт-карт JaCarta производитель указан достаточно конкретно и он не российский, как в случае того же Rutoken.

В общем, нет у меня объяснения фразе «JaCarta — это собственная разработка российской компании […], соответственно, все права на продукты, а также на товарный знак принадлежат компании» в свете того, что указано в официальных нотификациях. Хотя оно, наверное, есть.

Конечно, никто и не ожидал, что наладить собственное производство аппаратной части токена в России будет просто, да и с учётом современной смарт-карточной технологии Java Card на используемую в чипе виртуальную Java-машину можно загрузить свой апплет, снабдив токен нужными функциями, так что тут грань между аппаратной и программной частью весьма условна. Просто иногда маркетинговые материалы могут невольно вводить пользователя в ненужное заблуждение, тем более, что тема импортозамещения сейчас модная.

P.S. Нашёл-таки упоминание про производство: http://www.aladdin-rd.ru/catalog/jacarta/faq#q4 Цитата: «по их лицензии и технологии производим ридеры для смарт-карт и токены«. А вот, кстати, если ещё не встречали, брошюра про IDProtect Key от Athena — есть и ГОСТ и Biometric match-on-card и много ещё интересного.

, , , , , , , , , , , , ,