(2020-07-20 23:27:59 отредактировано sanyo)

Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Пожалуйста, подскажите, можно ли использовать совместно:

https://www.aladdin-rd.ru/catalog/antifraud#specialist

Антифрод-терминал / DIGIPASS 920

Устройство Антифрод-терминал является ребрендированным компанией ЗАО «Аладдин Р.Д.» устройством DIGIPASS 920 компании VASCO.

Нотификация на ввоз Антифрод-терминал / DIGIPASS 920
    Наименование товара: Карт-ридер с дисплеем и клавиатурой c функциями шифрования (PinPad-терминал) DIGIPASS 920 xxx, где xxx – номер версии прошивки, не влияющий на криптографические характеристики товара
    Номер нотификации: RU0000013396
    Изготовитель товара: «VASCO Data Security N.V.», Koningin Astridlaan 164, B-1780 Wemmel, Бельгия. Тел.: +32 2 609 97 00
    Срок действия: 31.12.2020
    Дата регистрации нотификации: 15.04.2013

и вашу смарткарту:

https://www.rutoken.ru/products/catalogue/id_49.html

чтобы в результате использовать эту связку, например, в КриптоАРМ Plus по PKCS11 и чтобы каждая транзакция инициированная в КриптоАРМ проходила авторизацию на картридере Аладдин Антифрод Терминал?

https://developer.aladdin-rd.ru/antifra … eauth.html

Сценарий безопасной аутентификации при использовании смарт-карты

Антифрод-терминал содержит внутренний файрвол, который блокирует попытки ввода из приложения PIN-кода для подключенной смарт-карты, поддерживающей спецификацию EMV (в частности, JaCarta-2 ГОСТ или JaCarta ГОСТ). Такой файрвол защищает от попыток вредоносного ПО ввести перехваченный или подсмотренный PIN-код в карту программно из приложения. PIN-код для смарт-карты JaCarta ГОСТ, подключенной к Антифрод-терминалу, разрешается вводить только на самом терминале. Для этого предусмотрена специальная команда, которую прикладное ПО должно отправить на терминал, который в ответ на эту команду запросит у пользователя ввести PIN-код на своей клавиатуре и попытается “залогиниться” на смарт-карте с использованием этого PIN-кода.

https://developer.aladdin-rd.ru/antifra … /sign.html

Поддерживаемые типы средств ЭП

На платформах macOS и Linux в качестве средства ЭП в связке с Антифрод-терминалом могут быть использованы только смарт-карты ISO 7816 (рекомендуются JaCarta-2 ГОСТ или JaCarta ГОСТ), которые подключаются непосредственно к Антифрод-терминалу.

Прикладное ПО обращается к USB-токену или смарт-карте как к средству ЭП, а к Антифрод-терминалу – как к средству безопасной аутентификации и доверенного подтверждения ключевых реквизитов документов.

Совместимы ли Антифрод Терминал + смарткарта Рутокен с PKCS 11?

Реализация PKCS11 Аладдин:
https://developer.aladdin-rd.ru/archive … index.html
, наверно, ненужна в случае использования смарткарты Рутокен ЭЦП 2?

Или, может быть, хотя бы вот эти считыватели:

https://www.usmartcards.com/gemalto-id- … eader.html

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Здравствуйте, sanyo.
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.
Можем предложить попробовать использовать SafeTouch PRO(https://safe-tech.ru/safetouch-pro/), данное устройство работает с Рутокен и PKCS#11.

(2020-07-20 23:30:40 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Приветствую Николай,

https://www.windows-soft.ru/catalog/pro … pnoy-tsene

Основными областями применения "Антифрод-терминала" являются:

    защита систем электронного документооборота и электронных сервисов от атак киберпреступников, направленных на подписание поддельных документов на ключах ЭП легального пользователя и последующее навязывание этих документов системе или сервису.

Разве это не то?

В SafeTouch PRO опять (как и в случае с Антифрод Терминалом Аладдина) упоминается ДБО, которое (на данный момент времени) в контексте такой защиты мне ненужно.

На странице проектов одни банки:
https://safe-tech.ru/en/category/projects/

На форуме банкиров

Хотя на странице:
https://zlonov.ru/catalog/safetouch-pr%D0%BE/
все же упоминаются и системы документооборота, но опять в контексте кастом встраивания.

Использование SafeTouch PRO в системах ДБО и ЭДО
По запросу, сразу после заключения договора технологического партнерства, предоствляется комплект разработчика (SafeTouch SDK) с подробными примерами встраивания SafeTouch PRO в системы дистанционного банковского обслуживания и электронного документоооборота.

Для чего нужно встраивание? Для отображения текста подписываемого сообщения на экране?
Уже есть паблик ЭДО типа Диадок или СБИС, куда УЖЕ встроен SafeTouch или АнтифродТерминал?

Без кастом встройки под определенный вид ЭДО SafeTouch все равно будет работать хотя бы без отображения текста подписываемого документа на экране? Тогда можно ориентироваться хотя бы по времени транзакции аналогично Rutoken ECP2 Touch и количеству нажатий, что уже очень хорошо даже без отображения на экране, проверить, что подписалось можно хотя бы постфактум самостоятельно через минуту после подписания.
Лучше бы конечно заранее проверить на интегрированном дисплее, но где они эти готовые встройки в КриптоАРМ, Диадок и т.п.?

Где расписано, как использовать SafeTouch PRO с КриптоАРМ Плюс и по аналогии можно догадаться про cryptcp, Диадок и МИГ24?

(2020-07-20 19:45:42 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Николай Киблицкий пишет:

Здравствуйте, sanyo.
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.

https://www.windows-soft.ru/catalog/pro … pnoy-tsene

Основными областями применения "Антифрод-терминала" являются:
    защита систем электронного документооборота и электронных сервисов от атак киберпреступников, направленных на подписание поддельных документов на ключах ЭП легального пользователя и последующее навязывание этих документов системе или сервису.

Сценарии использования устройства

"Антифрод-терминал" в зависимости от способа интеграции в прикладное ПО может использоваться:

    совместно со средством ЭП (USB-токеном, смарт-картой или программным СКЗИ) — для безопасного подтверждения ключевых данных подписываемых электронных документов и безопасного ввода PIN-кода;

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Зачастую от систем ЭДО и тому подобных сервисов требуется дополнительная интеграция функциональных возможностей, для работы с такими thrust-screen считывателями.
Для сравнения характеристик thrust-screen считывателей нужно обратиться к производителю данных устройств.

(2020-07-22 19:58:12 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Насколько я понял для SafeTouch PRO интеграция нужна только для отображения заголовка документа на дисплее терминала, а авторизация по кнопке "в слепую" будет работать и без интеграции?

Почему для "АнтиФрод Терминал" Аладдина иначе?

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

sanyo пишет:

Насколько я понял для SafeTouch PRO интеграция нужна только для отображения заголовка документа на дисплее терминала, а авторизация по кнопке "в слепую" будет работать и без интеграции?

Почему для "АнтиФрод Терминал" Аладдина иначе?

Данные вопросы вам нужно уточнять у разработчиков этих устройств.

(2020-07-24 18:32:28 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Их поддержка ответила следующее:

1.                  Проектов встраивания устройств SafeTouch, кроме как в системы ДБО, в нашей практике не было. Это и не удивительно – данное устройство разрабатывалось для защиты транзакций в системах ДБО. Поэтому специальных действий для поддержки SafeTouch PRO в системе «Крипто АРМ» не производилось.

2.                  Если, тем не менее, при работе с системой «Крипто АРМ» Вы подключите USB-токен или смарт-карту не напрямую, а через SafeTouch PRO, то сможете использовать аппаратную кнопку на устройстве как «спусковой механизм» при подписании документов и транзакций. Единственное ограничение — Вы не увидите на экране устройства тех данных, которые были переданы для подписи в токен или смарт-карту.

И еще похожее обсуждение, если кому интересно:

https://www.cryptopro.ru/forum2/default … post117402

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Интересная ссылка по теме обсуждения:

Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить

(2020-07-27 06:01:37 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Пожалуйста, уточните, ваш USB Token:

Новинка Рутокен USB ЭЦП 2.0 3000, серт. ФСБ

Работает через современную версию SafeTouch PRO с USB разъемом для токенов?

Вы проверяли работоспособность КриптоПро5+ФКН2+SafeTouch PRO и авторизацию транзакций кнопкой?

Планируется ли выпуск смарткарты  Рутокен ЭЦП 2.0 3000, серт. ФСБ ?


SafeTouch PRO работает наподобие deep packet inspection firewall ?

Если для смарткарт он инспектирует протокол APDU, то как он инспектирует протокол USB тля токенов с интегрированным считывателем?

(2020-07-27 07:36:20 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Еще вопрос, как временный вариант такое будет работать?

Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.
Подключить его через SoftTouch PRO к КриптоАРМ стандарт.

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Можно ли настроить КриптоПро CSP, чтобы он не кэшировал такой ключ в оперативке, а каждый раз подгружал его с токена, чтобы нужно было нажатие кнопки авторизации на считывателе SoftTouch PRO?

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

sanyo пишет:

Вы проверяли работоспособность КриптоПро5+ФКН2+SafeTouch PRO и авторизацию транзакций кнопкой?

Да, мы проверяли КриптоПро5+ФКН2+SafeTouch PRO — это работает

sanyo пишет:

Планируется ли выпуск смарткарты  Рутокен ЭЦП 2.0 3000, серт. ФСБ ?

Да, планируется.

sanyo пишет:

Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.

Уточните, что вы имеете ввиду?

sanyo пишет:

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Нет, только с неизвлекаемыми ключами.

Остальные вопросы вам нужно адресовать производителю считывателей.

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Пожалуйста, подскажите, с какими смарткартами работает старый SafeTouch (НЕ pro) 2015 года выпуска?

Насколько я знаю, любой SafeTouch работает только с ГОСТ алгоритмами.

Старый SafeTouch 2015 не работает со смарткартами Рутокен.

Судя по рекламе работает со смарткартами eToken ГОСТ.

А что с более новыми eToken? JaCarta ГОСТ 2 будет работать в SafeTouch 2015 ?

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

sanyo, ваши вопросы нужно адресовать производителям данных устройств.

(2020-10-07 20:11:25 отредактировано sanyo)

Re: Аладдин Антифрод Т. + смарткарта Рутокен ЭЦП 2 = Рутокен ЭЦП 2 Touch ?

Николай Киблицкий пишет:

Здравствуйте, sanyo.
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.
Можем предложить попробовать использовать SafeTouch PRO(https://safe-tech.ru/safetouch-pro/), данное устройство работает с Рутокен и PKCS#11.

Пожалуйста, уточните, почему вы думаете, что Антифрод терминал не будет корректно работать с вашей смарткартой Rutoken 2100 по PKCS11 ?

Судя по:
http://web.archive.org/web/202010071602 … pt/2670/12

Например, смарткарта Nitrokey SC-HSM работает со считывателями Reiner Cyberjack, у которых есть цифровая клавиатура, причем поддержка производителя смарткарт утверждает, что работает даже набор пин кодов на миниклавиатуре считывателя, и все это работает даже для  OpenSSH+OpenSC, т.е. теоретически даже в OpenBSD ! Мало того, обмен данными по каналу USB в ней шифруется как и в Rutoken 3000, но по другому протоколу BSI TR-03110, используемому также в зарубежных национальных паспортах и картах eID.

Кстати, если карта УЭК сделана на базе Rutoken 2151, то значит, она уязвима к атакам по каналам ПЭМИ?
И еще интересно, все же когда ваши смарткарты 2151 заработают с OpenSC и соответственно предположительно в OpenBSD тоже? Причем, при использовании алгоритма RSA2048 карта Rutoken 2151  уязвима по ПЭМИ даже в плане утечки приватного ключа при инициализации, а не только данных в канале при ее использовании.

Будет ли ваша смарткарта Rutoken 2100 аналогично работать со считывателем Reiner Cyberjack? Т.е., чтобы пин код набирался на миниклавиатуре считывателя, а не на большой клавиатуре компьютера?
Если это будет работать, то в обоих случаях и с вашей проприетарной библиотекой PKCS11 и открытой библиотекой PKCS11 в комплекте пакета OpenSC?

От чего вообще это зависит, работает миниклавиатура считывателя или нет? От так называемой интеграции? Тогда, получается, что считыватель Reiner Cyberjack интегрирован в библиотеку OpenSC или в открытый драйвер CCID? А другие считыватели типа ACS разве неинтегрированы с открытым драйвером CCID? Или они только частично реализовали функциональные возможности своих считывателей, а например возможность работы с миниклавиатурами считывателй ACS специально не стали включать в свой драйвер?

На странице:
http://web.archive.org/web/202010071617 … ipass-920/
утверждается, что Антифрод терминал - это перемаркированный DIGIPASS 920.

А на страинце:
https://ccid.apdu.fr/ccid/shouldwork.html
утверждается, что DIGIPASS 920 должен работать с открытым драйвером CCID причем с поддержкой PIN PAD:

In CCID release: 1.3.12
VASCO DIGIPASS 920
USB descriptor: readers/Vasco_Digipass920.txt
Manufacturer URL: VASCO DIGIPASS 920
Features: PIN Verification, PIN Modification
In CCID release: 1.4.3

Что может этому помешать?
Кастомная прошивка Аладдин, например, если они залочили свои терминалы только на свои смарткарты типа eToken и Jacarta? Обратно в оригинальный VASCO DIGIPASS 920 перешить АФ терминал нельзя?