Токены российские и не очень

Токены российские и не очень



Как известно, разработка, производство и распространениеPна территории Российской Федерации шифровальных (криптографических) средств требует наличие соответствующей лицензии. При этом, в соответствии сP Постановлением правительства 313 от 16.04.2012 для токенов и смарт-карт (которые конечно же являются шифросредствами), а также в целом средств аутентификации и ЭП сделаны исключения:


3. Настоящее Положение не распространяется на деятельность с использованием:


в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;


д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах «е» — «и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;


Собственно, без таких послаблений многочисленные интернет-магазины так просто не смогли бы этим товаром торговать. Подробнее про Постановление 313 рассказано в моей презентации ещё от 2012 года, которую можно посмотреть по ссылке , а пока же хотел обратить внимание на другойPаспект, связанный с токенами как с шифросредствами.


Речь о нотификациях (ФСБ) . Про них у меня аналогичной презентации нет, но общая идея достаточно проста:


Нотификация являетсяPуведомлением изготовителя о технических и криптографических характеристиках товара (продукции), являющегося шифровальным (криптографическим) средством или содержащим в своем составе шифровальные (криптографические) средства, которые подпадают под действие Приложения N 1 к Положению о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств.


В упомянутом Приложении 1 смарт-карты (токены) есть и поэтому для пересечения ими границ Таможенного союза соответствующие нотификации должны быть оформлены (если, конечно, токены не едут как зелёный горошек).


ПолныйPреестр нотификаций доступен на сайте Евразийской Экономической Комисси: http://www.eurasiancommission.org/ru/docs/Pages/notif.aspx Вернее, там доступен инструмент поиска по реестру.


Вот, например, некоторые нотификации на ключи и смарт-карты eToken компании SafeNet, обзор которых я недавно делал .PИскал по наименованию товара с условием [Включаетk и текстом [eTokenk:


Нотификации eToken

Нотификации eToken


Есть в реестре и другие токены. Так, поиском по слову «token» можно найти:



  • eJava Token, StorePass PKI USB Token,PInterPass PKI Token, BioPass PKI Token компанииPFEITIAN Technologies Co., Ltd,PChina

  • средства аутентификации FortiToken от FORTINET INC., USA

  • уже упомянутые выше представители семейства eToken,PSafeNet Inc., USA

  • генераторы одноразовых паролей ActivIdentity,PActivldentity Europe S.A.,PFrance

  • Токен ID Prove 100, токен Easy OTP Token v3, токен TOKEN Model GEMALTO ID Prove 100,PЖемальто C.A., Франция

  • Pocket Token, Token V2, Token One, Keychain Token,PHID Corporation Limited,PUnited Kingdom

  • и некоторые другие.


В числе этих некоторых других (внезапно) оказались и ключи Rutoken:


Нотификация Rutoken RU0000011298

Нотификация Rutoken RU0000011298


Нотификации получены на Rutoken, Rutoken WEB, Rutoken ЭЦПPи Rutoken Lite и предназначены они, как мне пояснили (хотя мог бы и сам догадаться) представители компании Актив-Софт, для экспорта данных моделей за пределы Таможенного союза. Обратите внимание на изготовителя товара, указанного в нотификациях —PЗакрытое акционерное общество «Актив-софт», Москва (страна по какой-то причине не указана). Всё честно, натуральный отечественный токен.


Других же отечественных токенов (Шипка или ESMART) в реестре я не нашёл, но зато обнаружил сразу несколько нотификацийPна JaCarta , приведу наименование товаров из них (найдены поиском по наименованиям товаров, включающим «jacarta»):



  • Электронный USB-ключ (токен) с функциями шифрования JaCarta JCyxx, JaCarta LT JCyxx, где y цифровой индекс от 0 до 9, обозначающий физические параметры ключа (тип корпуса: XL, Nano, Micro; тип разъема USB Type A, microUSB), а [ххk — двузначное число от 00 до 99, соответствующее определенной конфигурации предустановленных апплетов и не влияющее на криптографические характеристики товара

  • Электронный ключ с функциями шифрования JaCarta LT JCxxx, XXX цифровой индекс модели или модификации,не влияющий на криптографические характеристики товара

  • Смарт-карта с функциями шифрования JaCarta JCxxx, где XXX цифровой индекс модели (в том числе обозначающий наличие одной или двух из радиометок частоты 125 кГц типа HID ISOProx II, EM4102, EM4450), не влияющий на криптографические характеристики товара

  • Карта MicroSD с функциями шифрования JaCarta MicroSD *, где * любой набор символов в любом количестве, обозначающий модификацию, в т.ч. размер памяти типа Flash, не влияющий на криптографические характеристики товара

  • Электронный ключ с функциями шифрования JaCarta Flash (X)GB, где (X) размер флэш-памяти в гигабайтах, не влияющийPна криптографические характеристики товара

  • Электронный ключ с функциями шифрования JaCarta JCxxx, JaCarta Mini JCxxx, где XXX — цифровой индекс модели или модификации, не влияющий на криптографические характеристики товара


Нотификации JaCarta

Нотификации JaCarta


Примечательно, что во всех нотификациях на JaCarta в качестве изготовителя указана совсем не российская компания:PAthena Smartcard Solutions, Inc. 1-14-16 Motoyokoyama-cho Hachioji-shi, Токио, 192-0063, Япония.


Какой-то не очень отечественный токен получается, хотя, кстати, беглым поискомPя нигде и не обнаружил, что кто-то уверял, что это отечественныйPпродукт. Видимо, просто мнение общественное само так сложилось, а ему никто мешать не захотел =)


Наверное, мне можно парировать, что в нотификациях далеко не все модели JaCarta и, возможно, это просто раньше что-то производила Athena, а сейчас всё не так, тем более, что большая часть нотификаций выдана в 2012 году.


Возможно, вот только если посмотреть технические характеристики, то можно увидеть, чтоP JaCarta PKI ,P JaCarta PKI/BIO , JaCarta PKI/ГОСТ ,P JaCarta PKI/Flash ,P JaCarta PKI/ГОСТ/Flash ,P JaCarta ГОСТ ,P JaCarta ГОСТ/Flash ,P JaCarta LT P— все используют защищённый смарт-карточный чип AT90SC25672RCT. Все, включая варианты JaCarta с ГОСТом.


Догадываетесь, кто производитель данного чипа? Как подсказывает всё тот же реестр нотификаций, это:


Athena SCS Limited, юридический адрес Tower Bridge House, St. Katharines Way, E1W 1DD, London, Великобритания, фактический адрес: 45 Beech Street, EC2Y 8AD, London, Великобритания. Контрактное производство: Inside Secure S.A., Space Antipolis 9, 2323 Chemin Saint Bernard, 06225 Vallauris Cedex, Франция


Нотификация чип AT90SC25672RCT

Нотификация чип AT90SC25672RCT


В данной нотификации указано контрактное производство компании Inside Secure S.A. и вообще не факт, что чипы для JaCarta ввозятся отдельно, а не в составе уже изготовленных Athena изделий, но в любом случае и у самого чипа и у упомянутых выше электронных ключей и смарт-карт JaCarta производитель указан достаточно конкретно и он не российский, как в случае того же Rutoken.


В общем, нет у меня объяснения фразе « JaCarta — это собственная разработка российской компанииP[…], соответственно, все права на продукты, а также на товарный знак принадлежат компании » в свете того, что указаноPв официальных нотификациях.PХотя оно, наверное, есть.


Конечно, никто и не ожидал, что наладить собственное производство аппаратной части токена в России будет просто, да и с учётом современной смарт-карточной технологии Java Card на используемую в чипе виртуальную Java-машину можно загрузить свойPапплет, снабдивPтокен нужнымиPфункциями, так что тут грань между аппаратной и программной частью весьма условна. Просто иногда маркетинговые материалы могут невольно вводить пользователя в ненужное заблуждение, тем более, что тема импортозамещения сейчас модная .


P.S. Нашёл-таки упоминание про производство: http://www.aladdin-rd.ru/catalog/jacarta/faq#q4 PЦитата: «по их лицензии и технологии производим ридеры для смарт-карт и токены«. А вот,Pкстати, если ещё не встречали, брошюра про IDProtect Key Pот Athena — есть и ГОСТ иPBiometric match-on-card и много ещё интересного.


Оригинал записи Токены российские и не очень опубликован на сайте ZLONOV.ru . Подписка на RSS-ленту: http://bit.ly/zlonov-RSS


информационная безопасность Athena eToken JaCarta Rutoken SafeNet Актив-Софт импортозамещение криптосредство нотификация смарт-карта Таможенный союз токен ФСБ шифросредство
Alt text
Комментарии для сайта Cackle

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.