Компания объявила о выпуске нового продукта — защищенного ключевого носителя ESMART® Token, предназначенного для безопасного хранения и использования цифровых сертификатов, ключевой информации и юридически значимой электронной подписи (ЭЦП). Продукт уже участвовал в таком масштабном проекте, как московская Единая медицинская информационно-аналитическая система (ЕМИАС). В планах компания как интеграционные проекты со встраиванием ESMART® Token, так и обеспечение ключевыми носителями удостоверяющих центров, работающих с ЭЦП.
На российском рынке сертифицированных ключевых носителей ISBC станет третьим игроком — сейчас рынок делят московские компании «Актив» и «Аладдин Р.Д.». «Это рынок носителей для безопасного хранения ключей электронной подписи документов, — поясняет директор по развитию бизнеса ISBC Никита Кожемякин. — Основной потребитель таких ключей — удостоверяющие центры, которые выдают ЭП для сдачи отчетности в ФНС, ПФР, ФСС, участия в электронных торгах и госзакупках, а также для аутентификации на порталах госуслуг. Удостоверяющие центры приобретают ключевые носители у поставщиков и продают их со своей услугой по выпуску сертификата ЭЦП как юридическим, так и физическим лицам. По применению наш продукт аналогичен Rutoken S от «Актива» или eToken Pro Java от «Аладдин Р.Д.», а по цене сравним с ними или дешевле на 10-15%".
Новый продукт был впервые представлен на XI международной конференции по проблематике открытых ключей «PKI-Форум Россия 2013» в сентябре. А в октябре ESMART® Token получил сертификат соответствия ФСТЭК России сроком на три года, удостоверяющий, что аппаратное средство соответствует требованиям по 4 уровню контроля отсутствия недекларированных возможностей — это открывает перед продуктом перспективы использования в информационных системах персональных данных и в государственных организациях, где необходимы сертифицированные средства защиты информации.
Специальный криптографический чип для ESMART® Token изготавливается европейской компанией STMicroelectronics и имеет сертификат Common Criteria EAL5+. Чип обеспечивает высокую степень защиты за счет реализованных на аппаратном уровне международных стандартов криптозащиты информации, таких как RSA, DES, 3DES, AES. Российские криптографические алгоритмы (ГОСТ Р 34.10-2001,
ESMART® Token может выполняется в виде классического USB-токена или в формате стандартной пластиковой карты с индивидуальным дизайном заказчика — персонализированной любым современным способом: с полосой для подписи, микротекстом, голографическим изображением, лазерной гравировкой, логотипом компании
«У нас производство полного цикла: от имплантации чипа и оснащения бесконтактным интерфейсом до любой графической и электронной персонализации. Мощности производства — несколько миллионов карт в месяц. Больше ни у одного игрока на данном рынке нет таких возможностей, все они используют сторонние производственные мощности, — считает Кожемякин. — ESMART® Token в формате USB-токена имеет, на мой взгляд, более современный дизайн. Мы разработали стандартную палитру цветов и предлагаем клиенту выбрать свой цвет токена. На его поверхности можно нанести цветной логотип клиента, мы делаем это в партиях от 200 штук».
ISBC предполагает обеспечить заказчиков и необходимыми считывателями для смарт-карт, так как выступает дистрибьютором ведущих мировых производителей ACS, HID, Identive(SCM-micro) и имеет большой опыт по поставкам всего спектра популярных в России устройств — в том числе через собственный интернет-магазин, со сроком отгрузки до одного дня. По оценке компании, наибольшие преимущества это дает в интеграционных проектах по информационной безопасности.
Именно участие в интеграционных проектах, в которых могут применяться ESMART® Token, ISBC видит своей приоритетной задачей. Это проекты по информационной безопасности и управлению доступом пользователей или проекты, где ключевой носитель одновременно используется для строгой двухфакторной аутентификации и электронной подписи документов. Специалисты компании разработали ряд высокоуровневых API и криптографических интерфейсов, при помощи которых ключевые носители встраиваются в информационные системы с инфраструктурой открытых ключей PKI.
Одним из масштабных проектов с использованием ESMART® Token уже стала система ЕМИАС — Единая медицинская информационно-аналитическая система, реализованная в Москве, в которой токен используется в качестве средства аутентификации пользователей системы — лечащих врачей.
«Изнутри это был классический интеграционный проект, в котором требовалось провести много работ по интеграции в информационные системы заказчика. — рассказывает Кожемякин. — Надо отдать должное нашему техническому департаменту,благодаря которому стало возможно выполнить все требования заказчика и интегрировать ключевые носители в проект. За последнее время поддержку ESMART® Token в своих продуктах включили более десяти крупных российских вендоров решений в области информационной безопасности (КриптоПРО, Инфотекс, Avanpost, Indeed и др) и, я думаю, в течение полугода продукт поддержат все ключевые игроки».
Экспертное мнение по поводу нового продукта ISBC высказал один из разработчиков и производителей отечественных криптосредств и СКЗИ — зеленоградская компания АНКАД. Там полагают, что ESMART® Token должен пройти сертификационные исследования в ФСБ России для использования продукта как ключевого носителя в системах госорганов.
«Согласно российскому законодательству для изделий со встроенными криптографическими функциями (электронная подпись,шифрование, вычисление хэш-функций) необходима сертификация ФСБ России, а при использовании встроенных криптосредств — контроль встраивания, который подтверждается заключением ФСБ России по проведенным исследованиям, — считает заместитель генерального директора по маркетингу Елена Карпова. — Сертификация ФСТЭК не предполагает исследование криптографического функционала. Согласно федеральному закону № 63-ФЗ «Об электронной подписи» ESMART® Token можно использовать только для хранения и формирования «простой» электронной подписи, о сдаче отчетности в любой федеральный орган пока говорить не приходится. Перспективы у этого продукта, безусловно, есть — он может найти своего клиента, например, в банковской сфере. А после прохождения исследований в ФСБ России может составить серьезную конкуренцию двум основным на сегодняшний день поставщикам токенов для формирования и защиты ЭП: компании «Актив» (разработчик программно-аппаратных средств информационной безопасности и самый крупный производитель электронных ключей и USB-токенов в России — Рутокен), и компании «Аладдин Р.Д.» (ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных — eToken ГОСТ)».
В ISBC в ответ на это поясняют — ESMART® Token не содержит встроенной российской криптографии и, по мнению специалистов, не подлежит сертификации в ФСБ. «Наш носитель используется исключительно как безопасное хранилище ключей электронной подписи и не является средством ЭП сам по себе, — подчеркивает директор по маркетингу ISBC Group Ольга Петрова. -Такие носители и их аналоги, как например Rutoken S или eToken Pro Java, используются в основном в системах сдачи электронной отчетности в федеральные органы, а также как средство аутентификации на защищенных порталах. А вот как раз в банковской сфере, напротив, чаще всего применяются более сложные решения, содержащие аппаратно реализованные «на борту» российские криптоалгоритмы. Такие продукты требуют обязательной сертификации в ФСБ РФ. Мы пока не планируем выпуск таких решений, сосредоточив свои усилия в определенном секторе рынка токенов. Что же касается «простой» электронной подписи, то, в соответствии с 63-ФЗ, этот термин подразумевает использование паролей, одноразовых кодов и не имеет прямого отношения к обсуждаемой теме — ключевым носителям, чье основное предназначение — хранение ключей усиленной ЭП».
Информационная безопасность: зеленоградский центр компетенции
Компания ISBC Group — одно из зеленоградских предприятий, работающих в области информационной безопасности. С 2002 года ISBC выступает как технологический провайдер и разработчик средств ИБ, производитель смарт-карт и дистрибьютор оборудования для работы с ними, интегратор решений в области RFID.
«Несомненно, можно утверждать, что в Зеленограде сложился достаточно серьезный центр компетенции в области информационной безопасности», — считает Карпова и называет несколько других зеленоградских компаний, которые занимаются информационной безопасностью еще с 1990-х годов или даже унаследовали профильные наработки и компетенции, созданные в городе еще в советское время.
Это компания «ЭЛВИС-ПЛЮС» — один из ведущих системных интеграторов на рынке ИБ, ориентированный на выполнение проектов в интересах организаций и предприятий самых разных отраслей экономики. Фирма «АНКАД», которая более 23 лет успешно работает в сфере защиты информации и является на сегодняшний день одним из ведущих разработчиков в этой области. Компания «С-Терра СиЭсПи» с её уникальным опытом в области разработки продуктов сетевой защиты. И два основных производителя микроэлектроники — «НИИМЭ и Микрон», крупнейший в России и СНГ разработчик и производитель чипов, лидер на отечественных рынках микросхем промышленного применения, RFID — продуктов, телеком-карт, смарт-карт; и «Ангстрем», который располагает передовой промышленно-технологической базой, позволяющей заниматься разработкой защищенных комплексов и систем.
Ровно по этой причине, мы в свой продукт не могём встроить решения от КриптоПро, на котором "сидит" огромная куча наших клиентов, использующих иные (не мобильные) наши продукты. Отчего те сильно на нас кручинятся, но нам пофиг :)
Парни сознательно отказались от приоритетного, в последнее время, мобильного направления ?
В качестве ридера смарт-карт для мобильных устройств мы предлагаем считыватель DRD-10, подключающийся через разъем audio-jack: http://www.smart-card.ru/schityvatel-smart-kart-drd-10/
У того же Алладина в его СДК чёрным по-русски есть варнинг - какие либы можно включать в проекты с таргетом в маркет, а какие нет.
Какой смысл выходить с морально устаревшим продуктом на рынок, с которого он вытесняется более современными и надёжными решениями? У меня, наверное, паранойя, но это выглядит как подготовка к приказу по переводу всех электронных госуслуг исключительно на токены с извлекаемыми ключами. Гарантия победы в госзаказе - заявленное удешевление массового выпуска на 15% по сравнению с ближайшими конкурентами.
Оригинальное решение.
А перспектива такова, что в массовых масштабах (при сдаче отчетности, участии в электронных торгах и т.д.) используются самые простые ключи. Аппаратные токены пока применяются еще не так широко.
Этот продукт не устарел морально, и мы уверены что в ближайшие несколько лет этого также не произойдёт.
Оригинальное решение.
История знает великих по стойкости алгоритмов, которые оказались бесполезны, если их "ломали" с неожиданного боку.
Например (правда плохой пример), CSA (common scrambling algorithm).
Взломан? Публично нет.
Противостоит пиратству? Тоже, как ни странно, нет. Смотрят в обход этого CSA.
Посему не вижу поводов для радости. Ну вышла наша местная фирма на рынок с новым продуктом. Но на этот выход затрачены средства, шансы возврата которых совершенно не очевидны. Будет ли доход с этого продукта? Дальнейших перспектив роста не видно. Будет очень обидно, если данный шаг приведёт ещё одну зеленоградскую фирму в долговую яму.