Vpn key tls что это
Система безопасного доступа к web-сервисам на базе «ФПСУ-TLS» и специализированного USB-устройства «VPN-Key-TLS»
Описание VPN-Key-TLS
VPN-Key-TLS – это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно «тонкого» клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.
Ключевая система устройств полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).
На сегодняшний день семейство представлено базовым устройством VPN-Key-TLS и двумя интерактивными устройствами — VPN-Key-TLS Touch (с сенсором) и VPN-Key-TLS Screen (с экраном).
Основные характеристики устройств
- Процессор: семейство Atmel, ARM-архитектура
- Операционная система: собственная
- Защищенная память EEPROM
- Флеш-диск
- Форм-фактор VPN-Key-TLS и VPN-Key-TLS Touch : USB-токен
• Размеры: длина 60 мм, ширина 16 мм, высота 7 мм.
• Вес: 7 гр. - Форм-фактор VPN-Key-TLS Screen : a-la навигатор или смартфон
• Размеры: длина 95 мм, ширина 85 мм, высота 15 мм.
• Вес: 140 гр. - Реализация интерактивных функций
• VPN-Key-TLS Touch : сенсорное подтверждение выполняемой операции
• VPN-Key-TLS Screen : тач-скрин
Базовые возможности
Возможности VPN-Key-TLS Touch
Возможности VPN-Key-TLS Screen
Преимущества
Нажимая кнопку «Принять» посетитель соглашается на использование файлов cookie. Подробнее.
VPN-Key TLS
VPN-Key-TLS реализует технологию функционального ключевого носителя и поддерживается в СКЗИ «КриптоПро CSP», начиная с версии 5.0. В этой связке VPN-Key-TLS может использоваться:
- ✔ для сдачи отчетности в электронном виде в различные государственные учреждения;
- ✔ для хранения сертификатов для работы в системе электронных государственных, муниципальных и ведомственных услуг;
- ✔ для обеспечения защиты юридически значимого электронного документооборота;
- ✔ в системах дистанционного банковского обслуживания;
- ✔ для безопасной работы с электронной почтой;
- ✔ для участия в электронных торгах.
Характеристики
- ✔ Поддержка алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит): генерация ключевых пар, формирование и проверка электронной подписи
- ✔ Поддержка алгоритмов ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012: вычисление значения хэш-функции данных, в том числе с возможностью последующего формирования ЭП
- ✔ Поддержка алгоритма ГОСТ 28147-89: генерация ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ)
- ✔ Поддержка протокола Transport Layer Security (TLS v. 1.2, RFC 5246) с использованием российских криптографических стандартов
- ✔ Выработка сессионных ключей (ключей парной связи): по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836)
- ✔ Генерация последовательности случайных чисел требуемой длины
Аппаратные криптографические операции
- ✔ Электронная подпись ГОСТ 34.10-2012 (256): скорость 18.25 мсек
- ✔ Электронная подпись ГОСТ 34.10-2012 (512): скорость 88.98 мсек
- ✔ Электронная подпись ГОСТ 34.10-2001: скорость 30.0 мсек
- ✔ Скорость хеширования ГОСТ Р 34.11-2012: в составе HTTP API ~20 мб/сек
- ✔ Скорость шифрования ГОСТ 28147-89: в составе HTTP API ~20 мб/сек
Возможности аутентификации владельца
- ✔ Двухфакторная аутентификация: по предъявлению самого идентификатора и по предъявлению пароля
- ✔ Восстановление PIN-кода по PUK-коду
- ✔ Ограничение числа попыток ввода пароля
- ✔ Windows 7
- ✔ Windows 8.1
- ✔ Windows 10
- ✔ Windows 11
- ✔ MacOS Catalina 10.15
- ✔ MacOS BigSur 11
- ✔ MacOS Monterey 12;
- ✔ MacOS Ventura 13
- ✔ ubuntu 16.04 LTS x64
- ✔ ubuntu 18.04 LTS x64
- ✔ ubuntu 20.04 LTS x64
- ✔ ubuntu 22.04 LTS x64
- ✔ Alt workstation 9 x64
- ✔ Alt workstation 10 x64
- ✔ CentOS Stream 8 x64
- ✔ Debian 10 x64
- ✔ Debian 11 x64
- ✔ Fedora Linux 36
- ✔ Mcst Elbrus 6
- ✔ REDOS 7.3 MUROM x64
- ✔ Astra Linux C2 x64
- ✔ Astra Linux SE 1.7.0 x64
- ✔ Обновление микропрограммы (прошивки)
- ✔ Установка во внутреннее хранилище токена корневых сертификатов в CMS-конвертах, подписанных корневыми сертификатами из числа ранее установленных на токен.
Встроенный контроль и индикация
- ✔ Контроль целостности микропрограммы (прошивки)
- ✔ Контроль целости исполняемых модулей на ПК
- ✔ Контроль целостности системных областей памяти
- ✔ Светодиодный индикатор с режимами работы
- ✔ Плагин для 1С
- ✔ Плагин для работы с ЭЦП в браузере
- ✔ Встроенный ВЭБ-интерфейс администрирования, позволяющий осуществлять контроль встроенного доверенного хранилища сертификатов, администрирование учётных записей токена, подключение к защищаемым ВЭБ-ресурсам и локальное выполнение основных криптоопераций с файлами (подписание, проверка подписи, зашифрование для внешнего получателя, расшифрование зашифрованного на адрес нашего токена)
- ✔ Размеры — 50*15*7 мм
- ✔ Масса — 20 г
- ✔ Версия USB — 1.х, 2.0
- ✔ Соответствие RoHS
VPN-Key-TLS
VPN-Key-TLS – это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно «тонкого» клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.
Основные характеристики устройств (на сентябрь 2018 года)
- Процессор: семейство Atmel, ARM-архитектура
- Операционная система: собственная
- Защищенная память EEPROM
- Флеш-диск
- Форм-фактор VPN-Key-TLS и VPN-Key-TLS Touch : USB-токен
- Размеры: длина 60 мм, ширина 16 мм, высота 7 мм.
- Вес:7 гр.
- Размеры: длина 95 мм, ширина 85 мм, высота 15 мм.
- Вес: 140 гр.
- VPN-Key-TLS Touch : сенсорное подтверждение выполняемой операции
- VPN-Key-TLS Screen : тач-скрин
Базовые возможности (на сентябрь 2018 года)
- Доступ к ключевым данным и криптографическим функциям по предъявлению PIN-кода
- Размещение до 5 ключевых контейнеров, защищенных различными PIN-кодами
- Генерация ключевой информации на устройстве, выдача запроса на сертификат
- Обеспечение доверенной доставки запроса на сертификат до Удостоверяющего Центра
- Аппаратная реализация функции электронной цифровой подписи (ЭЦП), в том числе квалифицированной
- Аппаратная реализация протокола TLS 1.1 (включая шифрование трафика)
- Функции абонентского шифрования и ЭЦП файлов
- Защищенное доверенное хранилище сертификатов:
- Загрузка сертификата только после проверки его подписи на одном из уже хранящихся на устройстве сертификатов
- Загрузка и обработка CRL
- Поддержка механизмов, снижающих риск компрометации ключа Удостоверяющего Центра
Преимущества
- Совместим с любым стандартным персональным компьютером с USB-интерфейсом
- Является устройством стандартного класса CCID и работает с использованием встроенных драйверов операционных систем Windows XP, Windows Vista, Windows 7/8/10
- Web – интерфейс ко всем пользовательским и прикладным функциям устраняет необходимость в установке дополнительного программного обеспечения и облегчает встраивание в Web-приложения. Не требуется использование Java-апплетов или ActiveX-элементов, что важно для абсолютно «тонких» клиентов
- Функционал может дополняться до «толстого» клиента при помощи специальных библиотек, обеспечивающих повышенную производительность криптографических функций и интеграцию со сторонними прикладными системами через развитый программный API .
- Функционирование основано на стандартных интернет-технологиях
- Используется браузер по умолчанию
При работе с ключами VPN-Key-TLS в терминальной сессии. Ключ подключен к USBoverIP концентратору, на клиентской машине (виртуальная машина на Windows) он виден, но после запуска выдаёт следующую ошибку: «ошибка не удается открыть infocrypt hwdssl dev
Система работы с токенами VPN-Key-TLS предусматривает защиту от удаленного обращения к ключу, поэтому если попытаться запустить ключ из удаленного рабочего стола (когда ключ вставлен в сервер, а запустить его пытается клиент RDP), то будет выдаваться эта ошибка, и ключ работать не будет.
1. Подключать ключ к клиенту по usboverip и после этого подключаться к серверу терминалов.
2. Или использовать не RDP, а программы типа VNC, Radmin и подобные для консольного доступа.
Для Вашей схемы подключения VPN-Key-TLS рекомендуем:
1. Подключить ключ по USB over IP к ПК клиента (в свойствах подключения разрешить подключение портов и дисков (или диска Infocrypt HWDSSL)).
2. Подключиться к серверу по RDP
3. Открыть диск соответствующий диску Infocrypt HWDSSL
4. Запустить start.exe
Процесс подключения или его часть можно автоматизировать скриптом:
1. Подключаемся к серверу VPN.
2. Включаем питание USB порта.
3. Подключаем ключ
4. Подключаемся к серверу RDP
6. По завершении сессии RDP отключаем питание USB порта.
Так же, для обеспечения безопасности, рекомендуется принять дополнительные меры (VPN канал, авторизация и т.д.)