Рутокен TLS

Рутокен TLS — это программно-аппаратный продукт, предназначенный для организации защищенного доступа к web-сервисам и работы с электронной подписью. Рутокен TLS базируется на аппаратной платформе Рутокен ЭЦП 2.0 Flash и работает под управлением интегрированного в USB-токен программного клиента.

Рутокен TLS позволяет решать следующие задачи:

  • Обеспечение доверенного доступа к web-сервисам с защитой канала на базе российских криптографических алгоритмов;
  • Безопасное хранение и использование ключевой информации;
  • Работа с квалифицированной и неквалифицированной электронной подписью.

Рутокен ТLS сертифицирован ФСБ России как средство криптографической защиты информации и как средство электронной подписи.

Рутокен TLS серт. ФСБ, стандартный корпус

Модель в классическом полноразмерном корпусе, который может быть выполнен в разнообразной цветовой гамме и на который можно нанести логотип заказчика.

Рутокен TLS серт. ФСБ, укороченный корпус

Модель в новом укороченном корпусе, функционально идентичная модели в стандартном корпусе. Доступны все возможности брендирования.

Рутокен TLS — это криптографический токен с Flash-памятью, предназначенный для использования в качестве клиента для безопасного доступа к удаленным ресурсам и работы с электронной подписью. Рутокен TLS позволяет хранить и использовать ключевую информацию и сертификаты для электронной подписи, аутентифицироваться на web-ресурсах, а также выступать в качестве TLS-клиента.

Рутокен TLS совместим с Рутокен ЭЦП 2.0 Flash, что позволяет использовать устройство в системах, где уже поддержаны устройства семейства Рутокен ЭЦП 2.0.

Помимо привычных интерфейсов работы с криптографическими токенами, Рутокен TLS предоставляет записанный на Flash-память программный клиент, после запуска которого работа с устройством возможна через браузер. Для работы достаточно подключить устройство к компьютеру и запустить клиент с Flash-памяти. Для работы с Рутокен TLS нет необходимости устанавливать драйверы и прикладное программное обеспечение: все необходимое уже есть на устройстве.

При работе Рутокен TLS контролирует целостность программного клиента и криптографических объектов на устройстве. Обновление криптографических объектов происходит по жестким правилам, контролируемым прошивкой устройства.

Программный клиент Рутокен TLS — это приложение для организации удаленного подключения с защитой канала по алгоритмам ГОСТ и администрирования устройства. Программный клиент позволяет строить защищенный канал по протоколу TLS v.1.2 на основе криптографических алгоритмов ГОСТ. Программный клиент хранится во Flash-памяти токена и защищен от модификации и подмены. Обновление программного клиента производится из зашифрованного и подписанного контейнера.

Программный клиент позволяет работать в парадигме «тонкого клиента», без необходимости установки какого-либо программного обеспечения или требования прав администратора в операционной системе пользователя. После запуска программного клиента пользователь может работать с удаленными ресурсами с помощью браузера:

HTTP-интерфейс, предоставляемый программным клиентом Рутокен TLS, позволяет web-браузеру работать через защищенный канал, аутентифицироваться в удаленных системах, создавать электронную подпись, шифровать данные.

Рутокен TLS позволяет устанавливать до четырех разных независимых друг от друга программных клиентов, предназначенных, например, для использования в различных операционных системах.

Задачи и особенности Рутокен TLS

Основная задача Рутокен TLS — организация безопасного доступа к государственным порталам, ГИС и банковским системам. Безопасность достигается путем реализации строгой двухфакторной аутентификации и надежным ГОСТ-шифрованием между удаленными системами и пользователем в соответствии с требованиями регуляторов и законодательства.

Следование принципам «тонкого клиента» позволяет использовать Рутокен TLS на любом компьютере с доступом в интернет: на рабочем или домашнем компьютере, на ноутбуке в командировке или из интернет-кафе.

Возможность удаленного администрирования и интегрированный программный клиент упрощают сценарии применения Рутокен TLS, что позволяет использовать устройство неподготовленными пользователями.

Совместимость

Рутокен TLS опирается на отраслевые стандарты, такие как ISO-7816, PKCS#11, TLS 1.2, что позволило получить совместимость «из коробки» со многими распространёнными решениями на рынке информационной безопасности. В частности, Рутокен TLS работает с криптопровайдерами и TLS-серверами от компаний КриптоПро и ИнфоТеКС, а также поддерживается в продуктах Рутокен Плагин и Рутокен Коннект.

Криптографические возможности
  • Поддержка алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит): генерация ключевых пар с проверкой качества, формирование и проверка электронной подписи, срок действия закрытых ключей до 3-х лет.
  • Поддержка алгоритмов ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012: вычисление значения хэш-функции данных, в том числе с возможностью последующего формирования ЭП.
  • Поддержка алгоритма ГОСТ 28147-89: генерация ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ).
  • Поддержка протокола Transport Layer Security (TLS v. 1.2, RFC 5246) с использованием российских криптографических стандартов
  • Выработка сессионных ключей (ключей парной связи): по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836), расшифрование по схеме EC El-Gamal.
  • Поддержка алгоритма RSA: поддержка ключей размером до 2048 бит, генерация ключевых пар с настраиваемой проверкой качества, импорт ключевых пар, формирование электронной подписи.
  • Генерация последовательности случайных чисел требуемой длины.
Аппаратные криптографические операции
  • Электронная подпись ГОСТ 34.10-2012 (256): 0,03 сек.
  • Электронная подпись ГОСТ 34.10-2012 (512): 0,12 сек.
  • Электронная подпись ГОСТ Р 34.10-2001: 0,03 сек.
  • Скорость хеширования ГОСТ Р 34.11-2012: до 186 КБ/сек.
  • Скорость хеширования ГОСТ Р 34.11-94: до 481 КБ/сек.
  • Скорость шифрования ГОСТ 28147-89: до 510 КБ/сек.
Специальные возможности
  • Импорт зашифрованных и подписанных образов программного клиента с последующим контролем целостности.
  • Импорт доверенных корневых сертификатов в CMS-конверте с проверкой электронной подписи на ранее импортированных сертификатах.
  • Обновление ключей проверки электронной подписи программного клиента при обновлении образа программного клиента.
  • Создание специальной неудаляемой ключевой пары устройства.
  • Ведение неубывающего счетчика операций электронной подписи.
  • Доверенное считывание значения неубывающего счетчика, подтвержденное электронной подписью.
  • Журналирование операций электронной подписи, фиксация критических параметров электронной подписи и окружения.
  • Доверенное получение журнала операций, подтвержденное электронной подписью.
Возможности аутентификации владельца
  • Поддержка трех ролей владельцев: Администратор, Пользователь, Гость.
  • Поддержка двух глобальных PIN-кодов: Администратора и Пользователя.
  • Поддержка локальных PIN-кодов для защиты конкретных объектов (например, контейнеров сертификатов) в памяти устройства.
  • Поддержка до пяти разделенных профилей пользователей устройства.
  • Настраиваемый минимальный размер PIN-кода (для любого PIN-кода настраивается независимо).
  • Поддержка комбинированной аутентификации: по схеме «Администратор или Пользователь» и аутентификация по глобальным PIN-кодам в сочетании с аутентификацией по локальным PIN-кодам.
  • Ограничение числа попыток ввода PIN-кодов.
  • Индикация факта смены глобальных PIN-кодов с PIN-кодов по умолчанию на оригинальные.
Файловая система
  • Встроенная файловая структура по ISO/IEC 7816-4.
  • Число файловых объектов внутри папки – до 255 включительно.
  • Использование File Allocation Table (FAT) для оптимального размещения файловых объектов в памяти.
  • Уровень вложенности папок ограничен объемом свободной памяти для файловой системы.
  • Хранение закрытых и симметричных ключей без возможности их экспорта из устройства.
  • Использование Security Environment для удобной настройки параметров криптографических операций.
  • Использование файлов Rutoken Special File (RSF-файлов) для хранения ключевой информации: ключей шифрования, сертификатов и т. п.
  • Использование предопределенных папок для хранения разных видов ключевой информации с автоматическим выбором нужной папки при создании и использовании RSF-файлов.
  • Возможность изменения политики смены PIN-кода пользователя. Смена может быть доступна Пользователю, Администратору или обеим ролям одновременно.
Интерфейсы
  • Протокол обмена по ISO 7816-12.
  • Поддержка USB CCID: работа без установки драйверов устройства в современных версиях ОС.
  • Поддержка PC/SC.
  • Microsoft Crypto API.
  • Microsoft SmartCard API.
  • PKCS#11 (включая российский профиль).
Встроенный контроль и индикация
  • Контроль целостности микропрограммы (прошивки) Рутокен TLS.
  • Контроль целостности записанных образов ПО.
  • Контроль целостности импортированных доверенных корневых сертификатов.
  • Контроль целостности системных областей памяти.
  • Проверка целостности RSF-файлов перед любым их использованием.
  • Счетчики изменений в файловой структуре и изменений любых PIN-кодов для контроля несанкционированных изменений.
  • Проверка правильности функционирования криптографических алгоритмов.
  • Светодиодный индикатор с режимами работы: готовность к работе, выполнение операции, нарушения в системной области памяти.
Управление Flash-памятью
  • Максимальное количество разделов: 4.
  • Возможные состояния разделов: только чтение (эмуляция CD-ROM), скрыт.
  • Единомоментно в пользовательской ОС может быть доступен только один раздел «только для чтения», эмулирующий CD-ROM, остальные разделы будут скрыты. Переключение активного раздела происходит циклически по команде извлечения (Eject) из пользовательской ОС.
Общие характеристики
  • Современный защищенный микроконтроллер.
  • Идентификация с помощью 32-битного уникального серийного номера.
  • Поддержка операционных систем:
    • Microsoft Windows 2022/11/10/8.1/2019/2016/2012R2/8/2012/7/2008R2/Vista/2008/XP/2003
    • GNU/Linux
    • Apple macOS/OSX
  • EEPROM память 256 КБ.
  • Интерфейс USB 1.1 и выше.
  • Размеры 58х16х8 мм.
  • Масса 7.4г.
Дополнительные возможности
  • Собственный Crypto Service Provider со стандартным набором интерфейсов и функций API.
  • Возможность интеграции в smartcard-ориентированные программные продукты.
  • Библиотека minidriver для интеграции с Microsoft Base SmartCard Cryptoprovider.

Сертификат на СКЗИ Рутокен TLS №СФ/124-4588 ФСБ РФ

Удостоверяет, что СКЗИ Рутокен TLS соответствует требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, требованиям к средствам ЭП, утвержденным приказом ФСБ России от 27.12.2011 №796, установленным для классов КС1, КС2, и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Сертификат на СКЗИ Рутокен TLS №СФ/124-4657 ФСБ РФ

Удостоверяет, что СКЗИ Рутокен TLS (исполнение 4) соответствует требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, требованиям к средствам ЭП, утвержденным приказом ФСБ России от 27.12.2011 №796, установленным для классов КС1, КС2, и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.