Скрытое применение Рутокена Web

Здравствуйте!

Хотим дополнить авторизацию на сайте (пара логин/пароль) дополнительной проверкой через подпись ЭЦП с применением Рутокен Web.
Но чтобы это проходило "прозрачно" - без ввода PIN-кода! Цель - пресечь передачу логинов/паролей между пользователями подсистемы.

Подскажите, пожалуйста, как это возможно осуществить?

Re: Скрытое применение Рутокена Web

Здравствуйте!

1. При использовании технологий электронной подписи (Рутокен Web) пару логин-пароль использовать нет смысла. Технология Рутокен Web полностью заменяет логин-пароль, обеспечивая гораздо более высокую степень защиты.
2. Ввод PIN-кода необходим для использования закрытого ключа электронной подписи, отключить его нет технической возможности. Для пользователя интерфейс ввода PIN-кода выглядит примерно так же, как ввод пароля.

Поэтому мы можем только рекомендовать отказаться от использования логина и пароля, заменив их на Рутокен Web, защищенный PIN-кодом.

Re: Скрытое применение Рутокена Web

Добрый день.

Чисто технически мы можем реализовать возможность работы с токеном по некоему PIN-коду по умолчанию, и сделать так, чтобы PIN-код не запрашивался. При этом все криптографические возможности, такие как проверка подписи при аутентификации, сохранятся.

Однако стоит помнить, что аутентификация становится по сути однофакторной. Т.е. единственным признаком подлинности пользователя становится наличие у него токена. Фактор знания некоего секрета утрачивается. В этом случае кража токена фактически означает кражу доступа к данным аккаунта.

На реализацию потребуется некоторое время. Детали можно обсудить.

С уважением,
Алексей Лазарев

Re: Скрытое применение Рутокена Web

Добрый день.

8-го апреля Вы спрашивали на нашем форуме forum.rutoken.ru о возможности использования Рутокен WEB без необходимости ввода PIN-кода. Мы реализовали такую возможность. Если в утилите администрирования заменить PIN-код на 12345678, то окно ввода PIN-кода не будет появляться при операциях, для которых PIN-код необходим.

Новую версию плагина можно скачать здесь: https://www.rutoken.ru/support/download/rutoken-web/

Подробнее о новой возможности здесь: http://developer.rutoken.ru/pages/viewp … Id=7995609

Новая документация разработчика Рутокен WEB находится здесь: http://developer.rutoken.ru/pages/viewp … Id=2621444

С уважением, Алексей Лазарев
Компания "Актив"

(2014-05-07 09:47:43 отредактировано light)

Re: Скрытое применение Рутокена Web

Здравствуйте!
Проблема похожая, поэтому пишу в эту тему.
Задача: проверить что после авторизации токен не был извлечен из компьютера. При этом нельзя каким-то образом беспокоить пользователя, так как проверка будет периодической. rtwIsTokenPresentAndOK позволяет это, но ввиду того что все выполняется в JavaScript злоумышленник может симулировать наличие токена модифицировав страницу на стороне браузера. Есть ли надежный способ проверки наличия токена без ввода пин-кода, например подписыванием некоего текста? Смена пин-кода на 12345678 к сожалению не подходит для нашего проекта.
Нет ли возможности сделать запрос ПИН-кода однократным? Например чтобы при входе запрашивался ПИН, а при последующих подписях нет? (или хотя бы если между подписями проходит менее часа)

Re: Скрытое применение Рутокена Web

Здравствуйте. К сожалению, плагин Рутокен WEB не обладает возможностью кеширования PIN-кода на время сессии. Такая возможность, по словам разработчиков, есть у нашего крипто-плагина Рутокен, который также работает с Рутокен WEB. Однако, у этих двух плагинов есть существенные отличия в API.

Я постараюсь исследовать в ближайшее время этот вопрос и напишу сюда подробный отчет по результатам.

Сам плагин находится здесь: https://www.rutoken.ru/support/download/rutoken-plugin/

Справка по API плагина Рутокен здесь:  http://dev.rutoken.ru/pages/viewpage.ac … Id=3801092

С уважением, Алексей Лазарев
Компания "Актив"

Re: Скрытое применение Рутокена Web

Добрый день. Проведенные исследования по возможности использования устройства Рутокен Web с крипто-плагином Рутокен показали следующие вещи:
1. Успешно формируется ключевая пара, производится подпись и ее проверка.
2. PIN-код вводится один раз при вызове функции login.
3. Контейнеры образца Рутокен WEB не поддерживаются криптоплагином Рутокен.
4. API криптоплагина Рутокен предназначено в большей степени для работы с сертификатами открытых ключей в инфраструктуре PKI.
5. Соответственно, не поддерживается механизм восстановления доступа в привычном для Рутокен WEB виде.

Тем не менее, практически весь функционал криптоплагина Рутокен можно использовать с устройствами Рутокен WEB.

Демонстрационная площадка, показывающая возможности криптоплагина находится здесь: http://demo.rutoken.ru/