JaCarta
Общее описание
JaCarta — это серия аппаратных криптографических токенов, разработанных компанией «Код безопасности» (ООО «НПЦ Код Безопасности»), предназначенная для: - безопасного хранения закрытых ключей; - формирования и проверки электронной подписи по ГОСТ Р 34.10-2012/2001; - шифрования данных; - двухфакторной аутентификации; - интеграции с государственными и корпоративными системами.
Токены JaCarta используются в организациях России и стран СНГ, где требуется соответствие требованиям ФСБ РФ и Минцифры по защите информации. Поддерживают работу с КриптоПро CSP, КриптоАРМ, 1С, ЕГАИС, ФНС, Диадок, СБИС, Контур.Эвотор, а также другими системами, использующими российские стандарты криптографии.
Основные функции
1. Хранение закрытых ключей
- Закрытые ключи никогда не покидают пределов устройства.
- Возможность генерации ключевых пар непосредственно на токене.
- Поддержка нескольких ключевых пар на одном устройстве.
2. Поддержка ГОСТ-криптографии
- Полная поддержка следующих алгоритмов:
- ГОСТ Р 34.10-2012 / ГОСТ Р 34.10-2001 – цифровая подпись
- ГОСТ Р 34.11-2012 / ГОСТ Р 34.11-94 – хэширование
- ГОСТ 28147-89 – симметричное шифрование
3. Формирование и проверка ЭЦП
- Совместимость с российскими стандартами ЭЦП.
- Интеграция с КриптоАРМ, КриптоПро CSP, Льгота CSP и др.
4. Шифрование и расшифрование данных
- Поддержка как симметричного, так и асимметричного шифрования.
- Использование открытого ключа для шифрования, закрытого — для расшифровки.
5. Двухфакторная аутентификация
- Доступ возможен только при наличии:
- физического токена
- правильного PIN-кода
6. Работа с PKCS#11
- Совместимость с Linux через PKCS#11 API.
- Возможность использования в СБИС, Диадок, ЕГАИС, SAP и других системах.
Модели JaCarta
| Модель | Особенности |
|---|---|
| JaCarta 01 | Базовая модель для работы с ЭЦП по ГОСТ |
| JaCarta 02 | Универсальная модель, поддерживает ГОСТ и RSA |
| JaCarta GOST | Только ГОСТ-алгоритмы, без RSA |
| JaCarta Web | Токен с поддержкой WebAuthn / FIDO2 |
| JaCarta USB-C | Версия с интерфейсом USB Type-C |
Архитектура и компоненты
1. USB-интерфейс
- Все модели подключаются через USB-порт (USB 2.0 или 3.0).
- Автоматическое определение устройства в Windows/Linux/macOS (при наличии драйверов).
2. Криптопровайдер
- Интеграция с Microsoft CryptoAPI/CNG.
- Совместимость с КриптоПро CSP, Льгота CSP, Валента CSP и др.
3. PKCS#11 библиотека
- Используется в Linux и приложениях, поддерживающих стандарт PKCS#11.
4. Управление PIN-кодом
- Защита от несанкционированного доступа.
- Блокировка токена после нескольких попыток ввода неверного PIN.
Требования к окружению
| Компонент | Требования |
|---|---|
| ОС | Windows 7 SP1 и выше, Linux (Debian, Ubuntu, Astra Linux и др.), macOS (частично) |
| USB-порт | USB 2.0 и выше |
| Криптопровайдер | КриптоПро CSP, Льгота CSP, Валента CSP и др. |
| Программное обеспечение | drivers.kbsecurity.ru, pkcs11-tool (Linux), КриптоАРМ |
Установка и настройка
На Windows:
Шаг 1. Подключение токена
Вставьте JaCarta в USB-порт.
Шаг 2. Установка драйверов
- Перейдите на официальный сайт.
- Скачайте и установите:
- JaCarta Drivers — драйверы для Windows
- JaCarta Tools — утилиты для управления токеном
- Java Card Platform — если используется Java-карта
Шаг 3. Проверка работы
- Откройте "certmgr.msc"
- В разделе "Личное" → "Сертификаты" должен отображаться сертификат, связанный с токеном.
Шаг 4. Интеграция с криптопровайдером
- Убедитесь, что установлен и активирован КриптоПро CSP.
- Используйте КриптоАРМ или другие программы для работы с ЭЦП.
Инструменты диагностики и управления
| Утилита | Назначение |
|---|---|
certmgr.msc |
Управление сертификатами Windows |
csptest.exe |
Диагностика КриптоПро CSP |
cspclean.exe |
Очистка остаточных данных криптопровайдера |
pkcs11-tool (Linux) |
Работа с токеном через PKCS#11 |
jcarttool |
Утилита для сброса PIN, изменения метаданных |
gost2012diag.exe |
Диагностика ГОСТ-совместимости |
Интеграция с приложениями
| Приложение | Поддержка JaCarta |
|---|---|
| КриптоАРМ | Да, через КриптоПро CSP |
| 1С (ЕГАИС, ФНС, ПФР) | Да |
| СБИС++ | Да, через PKCS#11 |
| Диадок | Да |
| ЕГАИС | Да |
| WebAuthn / FIDO2 | Да, через JaCarta Web |
| СКЗИ Валента | Да |
| Льгота CSP | Да |
Особенности использования в терминальных средах
- При использовании на серверах с Remote Desktop Services (RDS):
- Требуется перенаправление токена на клиентскую машину
- Установка драйвера и криптопровайдера в контексте каждого пользователя
- Использование профилей с правами администратора
Безопасность
- Закрытые ключи невозможно извлечь из токена.
- PIN-защита предотвращает несанкционированный доступ.
- Токены соответствуют требованиям ФСБ РФ и Минцифры.
- Поддержка сертификатов УЦ Минцифры, ФСБ, Контур, СКБ Контур и др.
Примечание: Для полноценной работы с JaCarta необходимо наличие: - драйверов и утилит - установленного криптопровайдера (например, КриптоПро CSP) - сертификата ЭЦП, импортированного на токен