Токены российские и не очень
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Как известно, разработка, производство и распространение на территории Российской Федерации шифровальных (криптографических) средств требует наличие соответствующей лицензии. При этом, в соответствии с Постановлением правительства №313 от 16.04.2012 для токенов и смарт-карт (которые конечно же являются шифросредствами), а также в целом средств аутентификации и ЭП сделаны исключения:
3. Настоящее Положение не распространяется на деятельность с использованием: в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись; д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах "е" - "и" настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации; Собственно, без таких послаблений многочисленные интернет-магазины так просто не смогли бы этим товаром торговать. Подробнее про Постановление №313 рассказано в моей презентации ещё от 2012 года, которую можно посмотреть по ссылке, а пока же хотел обратить внимание на другой аспект, связанный с токенами как с шифросредствами. Речь о нотификациях (ФСБ). Про них у меня аналогичной презентации нет, но общая идея достаточно проста:Нотификация является уведомлением изготовителя о технических и криптографических характеристиках товара (продукции), являющегося шифровальным (криптографическим) средством или содержащим в своем составе шифровальные (криптографические) средства, которые подпадают под действие Приложения N 1 к Положению о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств. В упомянутом Приложении №1 смарт-карты (токены) есть и поэтому для пересечения ими границ Таможенного союза соответствующие нотификации должны быть оформлены (если, конечно, токены не едут как зелёный горошек). Полный реестр нотификаций доступен на сайте Евразийской Экономической Комисси: http://www.eurasiancommission.org/ru/docs/Pages/notif.aspx Вернее, там доступен инструмент поиска по реестру. Вот, например, некоторые нотификации на ключи и смарт-карты eToken компании SafeNet, обзор которых я недавно делал. Искал по наименованию товара с условием «Включает» и текстом «eToken»: [caption id="attachment_7844" align="aligncenter" width="650"] Нотификации eToken[/caption] Есть в реестре и другие токены. Так, поиском по слову "token" можно найти:В числе этих некоторых других (внезапно) оказались и ключи Rutoken: [caption id="attachment_7845" align="aligncenter" width="650"] Нотификация Rutoken RU0000011298[/caption] Нотификации получены на Rutoken, Rutoken WEB, Rutoken ЭЦП и Rutoken Lite и предназначены они, как мне пояснили (хотя мог бы и сам догадаться) представители компании Актив-Софт, для экспорта данных моделей за пределы Таможенного союза. Обратите внимание на изготовителя товара, указанного в нотификациях - Закрытое акционерное общество "Актив-софт", Москва (страна по какой-то причине не указана). Всё честно, натуральный отечественный токен. Других же отечественных токенов (Шипка или ESMART) в реестре я не нашёл, но зато обнаружил сразу несколько нотификаций на JaCarta, приведу наименование товаров из них (найдены поиском по наименованиям товаров, включающим "jacarta"):
- eJava Token, StorePass PKI USB Token, InterPass PKI Token, BioPass PKI Token компании FEITIAN Technologies Co., Ltd, China
- средства аутентификации FortiToken от FORTINET INC., USA
- уже упомянутые выше представители семейства eToken, SafeNet Inc., USA
- генераторы одноразовых паролей ActivIdentity, Activldentity Europe S.A., France
- Токен ID Prove 100, токен Easy OTP Token v3, токен TOKEN Model GEMALTO ID Prove 100, Жемальто C.A., Франция
- Pocket Token, Token V2, Token One, Keychain Token, HID Corporation Limited, United Kingdom
- и некоторые другие.
[caption id="attachment_7846" align="aligncenter" width="650"] Нотификации JaCarta[/caption] Примечательно, что во всех нотификациях на JaCarta в качестве изготовителя указана совсем не российская компания: Athena Smartcard Solutions, Inc. 1-14-16 Motoyokoyama-cho Hachioji-shi, Токио, 192-0063, Япония. Какой-то не очень отечественный токен получается, хотя, кстати, беглым поиском я нигде и не обнаружил, что кто-то уверял, что это отечественный продукт. Видимо, просто мнение общественное само так сложилось, а ему никто мешать не захотел =) Наверное, мне можно парировать, что в нотификациях далеко не все модели JaCarta и, возможно, это просто раньше что-то производила Athena, а сейчас всё не так, тем более, что большая часть нотификаций выдана в 2012 году. Возможно, вот только если посмотреть технические характеристики, то можно увидеть, что JaCarta PKI, JaCarta PKI/BIO, JaCarta PKI/ГОСТ, JaCarta PKI/Flash, JaCarta PKI/ГОСТ/Flash, JaCarta ГОСТ, JaCarta ГОСТ/Flash, JaCarta LT - все используют защищённый смарт-карточный чип AT90SC25672RCT. Все, включая варианты JaCarta с ГОСТом. Догадываетесь, кто производитель данного чипа? Как подсказывает всё тот же реестр нотификаций, это:
- Электронный USB-ключ (токен) с функциями шифрования JaCarta JCyxx, JaCarta LT JCyxx, где “y” – цифровой индекс от 0 до 9, обозначающий физические параметры ключа (тип корпуса: XL, Nano, Micro; тип разъема USB – Type A, microUSB), а «хх» - двузначное число от 00 до 99, соответствующее определенной конфигурации предустановленных апплетов и не влияющее на криптографические характеристики товара
- Электронный ключ с функциями шифрования JaCarta LT JCxxx, XXX – цифровой индекс модели или модификации,не влияющий на криптографические характеристики товара
- Смарт-карта с функциями шифрования JaCarta JCxxx, где XXX – цифровой индекс модели (в том числе обозначающий наличие одной или двух из радиометок частоты 125 кГц типа HID ISOProx II, EM4102, EM4450), не влияющий на криптографические характеристики товара
- Карта MicroSD с функциями шифрования JaCarta MicroSD *, где * – любой набор символов в любом количестве, обозначающий модификацию, в т.ч. размер памяти типа Flash, не влияющий на криптографические характеристики товара
- Электронный ключ с функциями шифрования JaCarta Flash (X)GB, где (X) – размер флэш-памяти в гигабайтах, не влияющий на криптографические характеристики товара
- Электронный ключ с функциями шифрования JaCarta JCxxx, JaCarta Mini JCxxx, где XXX - цифровой индекс модели или модификации, не влияющий на криптографические характеристики товара
Athena SCS Limited, юридический адрес Tower Bridge House, St. Katharine’s Way, E1W 1DD, London, Великобритания, фактический адрес: 45 Beech Street, EC2Y 8AD, London, Великобритания. Контрактное производство: Inside Secure S.A., Space Antipolis 9, 2323 Chemin Saint Bernard, 06225 Vallauris Cedex, Франция [caption id="attachment_7848" align="aligncenter" width="650"] Нотификация чип AT90SC25672RCT[/caption] В данной нотификации указано контрактное производство компании Inside Secure S.A. и вообще не факт, что чипы для JaCarta ввозятся отдельно, а не в составе уже изготовленных Athena изделий, но в любом случае и у самого чипа и у упомянутых выше электронных ключей и смарт-карт JaCarta производитель указан достаточно конкретно и он не российский, как в случае того же Rutoken. В общем, нет у меня объяснения фразе "JaCarta - это собственная разработка российской компании [...], соответственно, все права на продукты, а также на товарный знак принадлежат компании" в свете того, что указано в официальных нотификациях. Хотя оно, наверное, есть. Конечно, никто и не ожидал, что наладить собственное производство аппаратной части токена в России будет просто, да и с учётом современной смарт-карточной технологии Java Card на используемую в чипе виртуальную Java-машину можно загрузить свой апплет, снабдив токен нужными функциями, так что тут грань между аппаратной и программной частью весьма условна. Просто иногда маркетинговые материалы могут невольно вводить пользователя в ненужное заблуждение, тем более, что тема импортозамещения сейчас модная. P.S. Нашёл-таки упоминание про производство: http://www.aladdin-rd.ru/catalog/jacarta/faq#q4 Цитата: "по их лицензии и технологии производим ридеры для смарт-карт и токены". А вот, кстати, если ещё не встречали, брошюра про IDProtect Key от Athena - есть и ГОСТ и Biometric match-on-card и много ещё интересного.
Комментарии из Telegram
Комментарии ВКонтакте