• Как при помощи токена сделать Windows домен безопаснее? Часть 1

    • Tutorial

    Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.

    Читать дальше →
  • Как я настраивал новые утилиты по работе с электронной подписью в Linux

    • Tutorial


    Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

    Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».
    Читать дальше →
  • Вакансии компании «Актив»

  • Многофакторный LastPass



      Относительно недавно у компании LastPass, разработчика одноименного менеджера паролей, произошла утечка данных пользователей и возникла опасность доступа злоумышленников к мастер-паролям (хоть они и не были украдены в открытом виде). Этот инцидент нанес серьезный удар по их имиджу, хотя стоит признать, что такое могло произойти и с любым из их конкурентов.

      Впрочем, LastPass предоставляет своим пользователем возможность обеспечить дополнительную защиту в виде многофакторной аутентификации различных видов. Используя несколько факторов для доступа к сохраненным паролям, можно обезопасить себя от утечек мастер-паролей с сервера разработчика.

      В этой статье я хотел бы описать настройку и использование многофакторной аутентификации в менеджере паролей LastPass.
      Читать дальше →
    • Не PKI единым или соцпакеты для сотрудников

        Привет, Habrahabr!
        Наша компания известна прежде всего своими решениями в области информационной безопасности. Мы выпускаем такие продукты, как электронные идентификаторы Рутокен и электронные ключи для защиты софта Guardant.
        Обычно наши статьи носят сугубо технический характер, но на этот раз речь пойдет о нашей внутренней системе учета социальных выплат для сотрудников.

        Несколько слов о предыстории вопроса. Мы — современная российская ИТ-компания, и, как наверное любая ИТ-компания, мы очень любим все автоматизировать. Помимо прочих, в нашей компании существует компенсация выплат на проезд, походы в театр и фитнес. Долгое время сотрудники были вынуждены собирать и хранить билеты, в нужный день предоставлять их в бухгалтерию, а затем получать свои деньги. В конце концов это процедура нам надоела и мы решили написать максимально простое решение для автоматизации этого процесса. Получившуюся систему мы успешно применяем у себя в компании и сегодня передаем ее в Open source.
        Читать дальше →
        • +12
        • 7,7k
        • 3
      • Выписываем цифровой сертификат и проверяем подпись с помощью BouncyCastle

          Флагманским продуктом нашей компании является Рутокен ЭЦП — устройство с российской криптографией «на борту». Для интеграции устройства с браузерами был выпущен Рутокен Плагин. Демонстрацию возможностей плагина можно посмотреть на тестовых площадках. Некоторые из них предполагают работу с цифровыми сертификатами, хранящимися на устройствах. Например, Демо-банк при регистрации пользователей выписывает пользовательский сертификат, а при логине в систему запрашивает его и проверяет. Для реализации данных задач на сервере используется библиотека BouncyCastle.


          В данной статье будут рассмотрены примеры ее использования для выписки сертификатов по запросу PKCS#10, а также для проверки подписи CMS, выработанной по российским криптоалгоритмам.
          Читать дальше →
        • Электронная подпись в доверенной среде на базe загрузочной Ubuntu 14.04 LTS и Рутокен ЭЦП Flash

            Процедура наложения электронной подписи, призванная обеспечить подтверждение целостности подписанного документа и его авторства, сама по себе может быть небезопасной.
            Основные атаки на ЭП — это кража ключа и подмена подписываемой информации, а также несанкционированный доступ к средству ЭП (например, USB-токену) посредством кражи его PIN-кода.

            Реализуются данные атаки различными способами и на различных уровнях. На уровне ОС это внедрение вредоносного ПО (вирусы, программы-шпионы, руткиты и т.п.), которое способно похищать ключи, PIN-коды и делать подмену документов посредством чтения и/или подмены данных в памяти системного процесса, используя различные механизмы «хака», заложенные в ОС.
            Если мы говорим о подписи в браузере, то к данным атакам добавляется возможность проведения атаки man-in-the-middle, направленной на модификацию подписываемых данных на web-странице или на кражу PIN-кода или на перехват secure token для возможности злоумышленнику прикинуться абонентом системы. Кроме того, на сайтах возможна атака типа CSS, обусловленная безалаберностью разработчиков сайта.

            Очевидно, что максимально защитить клиента при проведении процедуры ЭП возможно лишь комплексом мер.
            К данным мерам можно отнести:
            • применение для электронной подписи криптографических смарт-карт/USB-токенов с неизвлекаемыми ключами
            • использование правильной реализации протокола TLS на сайте
            • правильное конфигурирование этой правильной реализации протокола TLS
            • использование специальных аппаратных средств для визуализации подписываемых данных перед наложением подписи (trustscreen)
            • корректная реализация браузерных плагинов и расширений, которые обеспечивают ЭП в браузере
            • регламентирование процедуры подписи для пользователя с учетом встроенных в браузер механизмов безопасности
              • проверка сертификата TLS-сервера пользователем перед ЭП
              • запуск браузерных плагинов и расширений только на доверенном сайте (сейчас правильно настроенные браузеры предупреждают пользователя о запуске)
              • ввод PIN-кода токена по запросу только доверенного сайта
              • реагирование на предупреждение браузера о получении «смешанного» контента — часть по HTTPS, часть по HTTP
            • защита ОС от вредоносного ПО (создание доверенной среды)

            Некоторое время назад наша компания выпустила новый Рутокен ЭЦП Flash. Это устройство «два в одном» — криптографический токен и управляемая FLASH-память в едином корпусе. При этом контроллер позволяет настраивать FLASH-память таким образом, что атрибуты настройки нельзя изменить без знания PIN-кода к устройству.

            В данной статье мы сделаем кастомную Ubuntu 14.04 LTS, в которую «упакуем» смарткарточные драйвера и Рутокен Плагин. Эту ОС запишем на FLASH-память Рутокен ЭЦП Flash (USB-live) и специальными средствами сделаем ее read-only, так, что без знания PIN-кода злоумышленник не сможет снять этот атрибут.

            Таким образом, получим загрузочное устройство, при загрузке с которого пользователь сразу получит возможность подписи документов в браузере на неизвлекаемых ключах в доверенной среде, целостность которой гарантируется управляющим контроллером USB-токена.
            Читать дальше →
          • Конструируем локальный криптографический TLS-прокси c HTTP API электронной подписи



              Электронные торги, госуслуги, системы корпоративного электронного документооборота, дистанционного банковского обслуживания и другие подобные системы находятся в сфере интересов регуляторов и вынуждены использовать российские криптосредства для обеспечения конфиденциальности и юридической значимости.

              Основным средством взаимодействия пользователя и информационной системы медленно, но верно становится браузер.
              Если внимательно рассмотреть вопрос интеграции популярных браузеров и российских криптосредств, то вырисовываются следующие проблемы:
              • Браузеры используют совершенно различные криптографические библиотеки (MS Crypto API, NSS, openssl). Универсального криптосредства, которое «добавляет» ГОСТы во все эти библиотеки нет
              • Механизмы встраивания многих криптосредств в операционную систему и в браузер «завязаны» на версию ОС. С выходом обновления ОС работоспособность криптосредства может кончиться
              • Google Chrome отказывается от поддержки плагинов, работающих через NPAPI. А многие российские вендоры криптосредств разработали плагины, используя именно данный механизм
              • На мобильных платформах браузеры не поддерживают плагины


              В данной ситуации наиболее универсальным решением представляется вынести реализацию TLS-ГОСТ и функций ЭЦП в отдельное сетевое приложение, которое принимает запросы от браузера на localhost, позволяет «туннелировать» соединения между браузером и удаленными web-серверами (real proxy), а также предоставляет HTTP API для функционала ЭЦП, работы с сертификатами, токенами и т.п.
              Не скажу, что идея является новой, но давайте попробуем сделать некоторый конструктор для ее реализации.

              Деталями конструктора будут:


              Любители модульных архитектурных экпериментальных решений приглашаются под кат.

              Читать дальше →
            • Библиотека для встраивания электронной подписи в приложения С++

              • Tutorial


              Наша компания продолжает развивать линейку библиотек, которые позволяют встраивать электронную подпись с использованием российских криптоалгоритмов в информационные системы различного типа.

              Некоторое время назад мы поддержали Рутокен ЭЦП в openssl, затем выпустили кроссплатформенный плагин для браузера, а теперь сделали высокоуровневую криптобиблиотеку для встраивания в С++ приложения.

              Концептуально данные решения выполнены идентично: используется аппаратная реализация российских криптоалгоритмов на чипе Рутокен ЭЦП, обеспечивается поддержка цифровых сертификатов X.509, запросов на сертификаты PKCS#10, подписанных и зашифрованных сообщений CMS.

              Новая библиотека пригодится тем, кто пишет «толстые клиенты», десктопные приложения, свои браузерные плагины и т.п.

              Поддерживаемые устройства:
              • USB-токен Рутокен ЭЦП
              • Смарт-карта Рутокен ЭЦП
              • Bluetooth-токен Рутокен ЭЦП
              • Trustscreen-устройство Рутокен PINPad
              • USB-токен Рутокен WEB (HID)


              Основные сценарии применения библиотеки с примерами кода под катом.
              Читать дальше →
            • Встраивание электронной подписи в системы с WEB-интерфейсом с помощью браузерного плагина и openssl

              • Tutorial


              Несколько лет назад нашей компанией был выпущен продукт Рутокен Плагин, который предназначен для встраивания электронной подписи в системы с web-интерфейсом. Основываясь на полученном опыте интеграции продукта в реальные проекты мне хочется отметить, что нередко разработчики для реализации серверной части предпочитают использовать поддерживающий российские криптоалгоритмы openssl.

              В данной статье будет расписана типичная схема подобной интеграции, основанная на следующих сценариях использования плагина:

              • Регистрация на портале (с выдачей сертификата или по имеющемуся сертификату)
              • Строгая аутентификация на портале
              • Электронная подпись данных и/или файлов в формате CMS
              • Шифрование данных и/или файлов в формате CMS


              Данные сценарии предполагают клиент-серверное взаимодействие, написание клиентских скриптов на JavaScript и соответствующих им серверных вызовов openssl.

              Подробности под катом.
              Читать дальше →
              • +16
              • 15k
              • 4
            • Криптографические решения. От облачной подписи к доверенной среде

                Данная статья является продолжением статьи «Криптографические решения. От криптопровайдеров до браузерных плагинов» и охватывает криптографические решения:

                • облачная подпись
                • отдельные браузеры с российской криптографией
                • отдельные почтовые клиенты с российской криптографией
                • российская криптография в фреймворках, платформах, интерпретаторах
                • настольные криптографические приложения
                • средства формирования доверенной среды

                Читать дальше →
                • +11
                • 13,9k
                • 9