JC-WebClient

Продукт
Разработчики: Аладдин Р.Д. (Aladdin R.D.)
Дата последнего релиза: 2020/06/29
Технологии: ИБ - Аутентификация

Содержание

JC-WebClient - продукт предназначен для организации безопасного входа пользователя в личный кабинет на удалённом сервере.

2020

Выпуск версии 4.3

29 июня 2020 года компания "Аладдин Р.Д." сообщила о выпуске следующей версии продукта JC-WebClient для работы с USB-токенами и смарт-картами JaCarta в Web-приложениях и облачных сервисах.

JC-WebClient 4.3 позволяет реализовать строгую взаимную двухфакторную аутентификацию пользователя и Web-сервера, формирование и проверку усиленной или усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и Web-сервером, а также безопасное подтверждение транзакций с помощью Trust Screen-устройства "Антифрод-терминал".

JC-WebClient 4.3 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого Web-ресурса, после чего работает в фоновом режиме и не требует каких-либо действий от пользователя.

JC-WebClient 4.3 поддерживает работу USB-токенов и смарт- карт JaCarta-2 SE (JaCarta-2 SE/PKI/ГОСТ), JaCarta-2 PKI/ГОСТ, JaCarta-2 ГОСТ, в которых реализованы российские криптографические алгоритмы для работы с электронной подписью и для шифрования данных. Устройства сертифицированы по требованиям ФСБ России.Метавселенная ВДНХ 3.4 т

В JC-WebClient 4.3 также обеспечена поддержка USB-токенов и смарт-карт JaCarta PRO и ранее выпускавшихся eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы. Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Возможности, ставшие доступными в JC-WebClient 4.3:

  • реализована поддержка сценариев работы в терминальных сессиях на терминальных серверах (RDS);
  • добавлена поддержка нескольких подписей в рамках одного CMS-конверта;
  • добавлена функциональность присоединения к подписи системного времени.

JC-WebClient 4.3 также включает в себя встроенное Web-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и зашифрования/расшифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с Web-приложением с разных компьютеров без необходимости осуществлять настройки системных хранилищ на каждом из них.

Для встраивания JC-WebClient в Web-приложения доступен комплект разработчика JC-WebClient SDK, включающий подробное руководство по встраиванию и демонстрационный пример с исходным кодом.

Поддержка JaCarta-2 ГОСТ и JaCarta-2 SE для входа в личный кабинет налогоплательщика для ИП

25 июня 2020 года компании "Аладдин Р.Д." сообщила о том, что на официальном сайте ФНС России в рамках обновления JC-WebClient до версии 4.2 полностью интегрированы USB-токены и смарт-карты семейства JaCarta (JaCarta-2 ГОСТ , JaCarta-2 SE, JaCarta-2 PKI/ГОСТ и JaCarta-2 PRO/ГОСТ) для работы в личном кабинете налогоплательщика для индивидуальных предпринимателей. Подробнее здесь.

2019: Выпуск версии 4.2

11 декабря 2019 года компания «Аладдин Р.Д.» сообщила о выпуске очередной версии продукта JC-WebClient для работы с USB-токенами и смарт-картами JaCarta в Web-приложениях и облачных сервисах.

Со слов разработчика, JC-WebClient 4.2 позволяет реализовать строгую взаимную двухфакторную аутентификацию пользователя и Web-сервера, формирование и проверку усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и Web-сервером, а также безопасное подтверждение транзакций с помощью Trust Screen-устройства «Антифрод-терминал».

JC-WebClient

Согласно заявлению разработчика, JC-WebClient 4.2 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого Web-ресурса, после чего работает в фоновом режиме и не требует каких-либо действий от пользователя.

JC-WebClient 4.2 поддерживает работу USB-токенов и смарт- карт JaCarta-2 ГОСТ, в котором реализованы криптографические алгоритмыГОСТ Р 34.11 2012 и ГОСТ Р 34.10-2012. Данные устройства сертифицированы по обновленным требованиям ФСБ России, подчеркнули в «Аладдин Р.Д.».

Представленная версия JC-WebClient также поддерживает работу с USB-токенами и смарт-картами JaCarta PRO и eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы (3DES, AES-128, SHA-1 и RSA-1024). Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Возможности JC-WebClient 4.2, отмеченные разработчиком:

  • добавлена функциональность «Получение данных клиентского ПК», позволяющая собирать с пользовательского устройства следующие данные: IP-адреса, MAC-адреса, hostname, перечень активных сетевых соединений, системные дата и время др.;
  • добавлена функциональность «TLS по ГОСТ», позволяющая устанавливать Web-приложению защищённое TLS-соединение с удалённым TLS-сервером по ГОСТ (при использовании USB-токенов или смарт-карт модели JaCarta-2 ГОСТ). Обеспечивает строгую двухфакторную взаимную или одностороннюю аутентификацию пользователя и TLS-сервера, а также шифрование данных Web-приложения в канале связи по ГОСТ 28147-89;
  • добавлена поддержка средства доверенного отображения подписываемых данных при использовании апплета Криптотокен-2 ЭП и SaveTouch PRO;
  • добавлена поддержка «доверенных сайтов», которым разрешается работать с подключенными токенами. Такая дополнительная функциональность предотвращает попытки фишинговых сайтов взаимодействовать с токеном;
  • добавлена поддержка операционных систем Mac OS 10.15, Debian 9.5, Ubuntu 18.04;
  • добавлена возможность добавления пользовательскийх атрибутов в запрос на выдачу сертификата.

Как отметили в «Аладдин Р.Д.», JC-WebClient 4.2 также включает в себя встроенное Web-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и зашифрования/расшифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с Web-приложением с разных компьютеров без необходимости делать настройки системных хранилищ на каждом из них.

Для встраивания JC-WebClient в Web-приложения доступен комплект разработчика JC-WebClient SDK, включающий подробное руководство по встраиванию и демонстрационный пример с исходным кодом.

2017: Выпуск версии 4.0

12 октября 2017 года компания "Аладдин Р.Д." сообщила о выпуске версии 4.0 технологии JC-WebClient. Продукт ориентирован на встраивание функций работы с USB-токенами и смарт-картами JaCarta в веб-приложения и облачные сервисы.

JC-WebClient 4.0 помогает реализовать взаимную двухфакторную аутентификацию пользователя и веб-сервера, формирование и проверку усиленной или усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и веб-сервером, безопасное подтверждение транзакций с помощью Trust Screen-устройства "Антифрод-терминал".

JC-WebClient 4.0 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого веб-ресурса, после чего работает в фоновом режиме, не требуя действий от пользователя.

Особенность версии JC-WebClient 4.0 - поддержка поколения USB-токенов и смарт-карт JaCarta-2 ГОСТ, в котором реализованы криптографические алгоритмы — ГОСТ Р 34.11 2012 и ГОСТ Р 34.10-2012. Устройства сертифицированы по требованиям ФСБ России. Для встраивания криптографических функций JaCarta-2 ГОСТ в прикладное ПО JC-WebClient использует только проверенные и включенные в разрешённый "белый" список безопасные (сертифицированные) команды, не допускающие криптографически опасных последствий при неправильном встраивании и использовании.


Добавленные возможности

  • Высокая скорость подписания — при формировании ЭП значение хэш-функции от подписываемого документа теперь вычисляется с использованием сертифицированной программной библиотеки, при этом уровень безопасности не снижается благодаря тому, что хэш в токен передаётся по защищённому каналу.
  • Шифрование сообщений (документов) по ГОСТ 28147-89 в формате CMS, согласно Рекомендациям Технического комитета 026, которое осуществляется не на микроконтроллере токена, а на более производительном процессоре ПК, что обеспечивает быструю обработку больших документов.
  • Поддержка работы с хранилищем доверенных объектов JaCarta-2 ГОСТ, в которое Администратор безопасности предварительно записывает доверенные открытые ключи, выполняющие роль открытых ключей доверенных Удостоверяющих центров.
  • Встроенная защита от подмены подписываемых документов и перехвата PIN- и PUK-кодов в канале между приложением JC-WebClient и токеном JaCarta-2 ГОСТ за счёт автоматического установления защищённого соединения между ними.
  • Возможность установить сеанс исключительной работы между приложением JC-WebClient и токеном JaCarta-2 ГОСТ, при котором устройство блокирует попытки любых сторонних приложений получить доступ к его функциям.
  • Возможность установить дополнительный PIN-код на формирование ЭП, что повышает безопасность, снижает вероятность ошибочных действий пользователей, защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.
  • Разблокирование PIN-кода пользователя по PUK-коду, позволяющая разблокировать устройство JaCarta-2 ГОСТ без обращений к Администратору.
  • Версия JC-WebClient включает в себя встроенное веб-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и шифрования/дешифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с веб-приложением с разных компьютеров без необходимости делать настройки системных хранилищ на каждом из них.

JC-WebClient 4.0 поддерживает работу с USB-токенами и смарт-картами JaCarta PRO и eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы (3DES, AES-128, SHA-1 и RSA-1024). Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Для встраивания JC-WebClient в веб-приложения доступен комплект разработчика JC-WebClient SDK.

2016

Выпуск версии 3.0

6 июля 2016 года компания "Аладдин Р.Д." сообщила о выпуске версии JC-WebClient 3.0 для поддержки СКЗИ в веб-приложениях.

Решение:

  • позволяет решить задачи безопасности для веб-приложений;
  • поддерживает все популярные браузеры;
  • работает на единой стабильной технологии, не зависящей от "зоопарка" технологий плагинов и расширений, свойственных различным браузерам;
  • обратно совместимо с предыдущим поколением JC-WebClient 2.x, использовавшим технологию плагинов.

Возможности JC-WebClient

JC-WebClient помогает встроить в веб-приложения функции:

  • двухфакторной взаимной аутентификации пользователя и веб-сервера;
  • формирования и проверки электронной подписи по ГОСТ Р 34.10-2001;
  • шифрования данных, передаваемых между клиентским ПК и веб-сервером, по ГОСТ 28147-89.

Необходимо проверить подлинность, как пользователя, так и сервера. Реализовать возможность безопасного формирования и проверки электронной подписи для обеспечения юридической значимости электронного взаимодействия. Такая необходимость может возникнуть при:

  • отправке платёжных поручений в банк;
  • удалённом заключении договоров, соглашений;
  • участии в электронных торгах;
  • подписании документов на исполнение в системах электронного документооборота;
  • направлении юридически значимых копий документов для получения гос. услуг;
  • и т.д.
  • Обеспечить конфиденциальность данных, передаваемых по каналу связи.

Перечисленные задачи решаются с использованием средств криптографической защиты информации (далее - СКЗИ), выполненных в виде токенов, подключаемых к USB-порту компьютера.

Однако браузеры "в чистом виде" не предоставляют коду веб-страниц доступ к устройствам, подключаемым к USB-порту. Для реализации такого доступа требуется разработка специальных расширений/плагинов для браузеров или использование иных технологий. Как правило, использовались технологии NPAPI (для Google Chrome, Mozilla Firefox, Apple Safari, Яндекс.Браузер, Opera) и ActiveX (для Microsoft Internet Explorer).

Однако в связи с уязвимостями технологии NPAPI, Google в 2015 году отключила в Chrome поддержку NPAPI. Яндекс.Браузер отключил поддержку NPAPI по умолчанию. Браузер Opera, работающий на том же движке, что и Google Chrome, сохранил временную поддержку NPAPI на переходный период и также планирует отключить в будущем.

Google предложил взамен альтернативную технологию – Native Messaging. Однако она не является обратно совместимой с NPAPI (нет поддержки синхронных методов).

Mozilla Firefox также планирует отключить поддержку NPAPI до конца 2016 года и предлагает использовать собственную технологию WebExtensions.

Браузер Apple Safari стал требовать подтверждение доверия к NPAPI-плагину от пользователя, затруднив тем самым его использование. Поэтому есть основания полагать, что Apple предложит свою собственную технологию расширений, также отказавшись от поддержки NPAPI.

Браузер Edge в Microsoft Windows 10 пока вообще не предоставляет API для разработки плагинов и расширений. Судя по всему, Microsoft для этого браузера предложит свою новую технологию, отличную от ActiveX.

Перед разработчиками веб-приложений возникла необходимость адаптировать веб-приложения под каждый тип браузера и поддерживать "зоопарк" различных технологий, свойственных различным браузерам. Такой подход усложнил задачу поддержки СКЗИ для реализации функций безопасности, создал большое число потенциальных точек отказа, а также стал причиной возникновения проблем с обратной совместимостью.

Схема взаимодействия JC-WebClient, (2015)

В составе JC-WebClient по состоянию на июль 2016 года: Приложение JC-WebClient – реализует технологию локального веб-сервера

  • Предоставляет веб-страницам JavaScript API для доступа к функциям токена
  • Работает в фоновом режиме, не предоставляя никаких элементов управления пользователю

Сервис мониторинга – запускает приложение JC-WebClient при загрузке операционной системы

  • Контролирует целостность приложения и при возникновении нештатных ситуаций в операционной

системе перезапускает его

  • Обеспечивает надёжность и отказоустойчивость решения

Токен – USB-токен/смарт-карта JaCarta ГОСТ или eToken ГОСТ

  • Является персональным средством аутентификации и усиленной квалифицированной электронной

подписи с неизвлекаемым ключом и реализует российские криптоалгоритмы

"Антифрод-терминал" – Trust Screen-устройство (опция JC-WebClient)

  • Обеспечивает усиленную защиту от атак на электронную подпись при работе пользователя в недоверенной среде. Поддерживает режимы работы со смарт-картой и с USB-токеном



СМ. ТАКЖЕ (5)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (846)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Softline (Софтлайн) (3)
  СэйфТек (SafeTech) (3)
  Инфосистемы Джет (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  ОКТРОН (3)
  Другие (54)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (2)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (470, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Konica Minolta (Коника Минолта) (1, 1)
  Shenzhen Chainway Information Technology (1, 1)
  ГК ОТР (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Right line (Райт лайн) (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  3-D Secure (3D-Secure) - 23
  PayControl - 23
  Avanpost IDM Access System - 20
  Другие 270

  PayControl - 3
  МегаФон Мобильный ID - 2
  Multifactor Сервис многофакторной аутентификации - 1
  JaCarta Authentication Server (JAS) - 1
  Samsung Knox - 1
  Другие 3

  Indeed Access Manager (Indeed AM) - 6
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Indeed PAM - Indeed Privileged Access Manager - 2
  Avanpost IDM Access System - 1
  Solar webProxy Шлюз веб-безопасности - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  PayControl - 3
  Shenzhen Chainway C-серия RFID-считывателей - 2
  IT-Lite: IDM.Управление учетными данными - 1
  VK ID - 1
  ESMART Token - 1
  Другие 7