Экран, вызывающий доверие

Экран, вызывающий доверие
Полгода назад я  написал о так называемых "трастскринах" - устройствах визуального контроля подписываемого с помощью смарт-карты (или токена) документа. По итогам того поста и дискуссии в комментариях Денис Калемберг (генеральный директор SafeTech) на одном из мартовских мероприятий передал мне производимое его компанией устройство "на опыты". Вот, наконец, дошли руки его пощупать и потестировать.
name='more'>
Коробка базовой модели SafeTouch ( остальные пока в разработке ) лаконична и скромна – самое то для бизнес-девайса:

В комплекте ничего лишнего: устройство, открепляемая подставка для вертикальной установки на стол и провод для подключения к USB. Провод коротковат, но так как разъёмы стандартные (USB и USB-mini), то проблем с его заменой/удлинением быть не должно:

Инструкции в коробке не обнаружилось, что для нерозничного продукта, в принципе, объяснимо, так что первым делом, как оно водится, сразу подключаем устройство к компьютеру. На короткое время экран и кнопки загорелись, показывая свою работоспособность, после чего всё погасло и SafeTouch перешёл в режим ожидания.

Через пару минут автоматически (спасибо поддержке спецификации USB CCID) установились драйвера и SafeTouch, судя по всему, стал готов к работе.

С устройством мне досталась и тестовая смарт-карта с уже записанным цифровым сертификатом. На её подключение SafeTouch реагировал всё тем же кратковременным включением экрана и больше ничего заметного не происходило.

Что ж, для полноценного тестирования явно нужно какое-то программное обеспечение. Пойдём на сайт разработчиков . На сайте обнаружился  специальный раздел для тестирования , но для работы с ним требуется установка специального плагина для браузера (Google Chrome в моём случае).

Несколько окон "Мастера установки" и готово. Кстати, прав администратора для установки плагин не запросил, что приятно.

Вот теперь всё подготовлено к тестам и можно приступать. Заполняем поля тестового платёжного поручения (странно, что в названии получателя можно использовать только латиницу - надеюсь, в боевой версии такого ограничения нет) и нажимаем кнопку "Подписать".

Устройство реагирует выводом содержимого ключевых полей на свой экран. 

Сверяем то, что видим на мониторе компьютера, с тем, что ушло на подпись в устройство, и выбираем: подписать или нет.

В зависимости от нажатой кнопки на устройстве, на мониторе компьютера видим результат подписи ("14 CD C7...") либо сообщение об ошибке ("Error in function..."), которое хочется посоветовать заменить на что-то более наглядное: "Подписание отклонено", например.

Не совсем понятным осталось - почему при одних и тех же исходных данных результат подписи получается каждый раз разный. Видимо, в подписываемые данные включается ещё и время с датой.

В целом, впечатления от практического тестирования SafeTouch положительные. Экран читаемый и его яркости при стандартном офисном освещении вполне хватает. Кнопки подтверждения/отмены разного размера, цвета и выпуклости - перепутать сложно.
Из-за резиновых ножек подставки устройство по столу не скользит даже при подключении/отключении смарт-карты. Отсутствие необходимости установки драйверов и простая установка плагина с правами пользователя тоже импонируют.

Относительно самой процедуры тестирования можно порекомендовать чуть подробнее расписать её сценарий на сайте, чтобы было нагляднее. Но, подозреваю, что к каждому, кто получает устройство на тестирование приставляется специально обученный человек, в деталях рассказывающий, что и как нажимать и что при этом происходит - и я тут просто исключение =)

P.S. Если вдруг обратили внимание на неидеально горизонтальное расположение дисплея устройства на фотографиях - не обращайте внимания: данный экземпляр я собственноручно уронил с высоты чуть более метра (собственно, после чего и получил его в подарок) на жёсткое напольное покрытие. Так что можно считать, что и краш-тест SafeTouch прошёл успешное: согласитесь, не каждый современный гаджет после такого обращения будет нормально работать.
трастскрин ЭЦП
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.