JC-WebClient

JC-WebClient - продукт предназначен для организации безопасного входа пользователя в личный кабинет на удалённом сервере.

2020

Выпуск версии 4.3

29 июня 2020 года компания "Аладдин Р.Д." сообщила о выпуске следующей версии продукта JC-WebClient для работы с USB-токенами и смарт-картами JaCarta в Web-приложениях и облачных сервисах.

JC-WebClient 4.3 позволяет реализовать строгую взаимную двухфакторную аутентификацию пользователя и Web-сервера, формирование и проверку усиленной или усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и Web-сервером, а также безопасное подтверждение транзакций с помощью Trust Screen-устройства "Антифрод-терминал".

JC-WebClient 4.3 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого Web-ресурса, после чего работает в фоновом режиме и не требует каких-либо действий от пользователя.

JC-WebClient 4.3 поддерживает работу USB-токенов и смарт- карт JaCarta-2 SE (JaCarta-2 SE/PKI/ГОСТ), JaCarta-2 PKI/ГОСТ, JaCarta-2 ГОСТ, в которых реализованы российские криптографические алгоритмы для работы с электронной подписью и для шифрования данных. Устройства сертифицированы по требованиям ФСБ России.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.9 т

В JC-WebClient 4.3 также обеспечена поддержка USB-токенов и смарт-карт JaCarta PRO и ранее выпускавшихся eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы. Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Возможности, ставшие доступными в JC-WebClient 4.3:

• реализована поддержка сценариев работы в терминальных сессиях на терминальных серверах (RDS);
• добавлена поддержка нескольких подписей в рамках одного CMS-конверта;
• добавлена функциональность присоединения к подписи системного времени.

JC-WebClient 4.3 также включает в себя встроенное Web-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и зашифрования/расшифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с Web-приложением с разных компьютеров без необходимости осуществлять настройки системных хранилищ на каждом из них.

Для встраивания JC-WebClient в Web-приложения доступен комплект разработчика JC-WebClient SDK, включающий подробное руководство по встраиванию и демонстрационный пример с исходным кодом.

Поддержка JaCarta-2 ГОСТ и JaCarta-2 SE для входа в личный кабинет налогоплательщика для ИП

25 июня 2020 года компании "Аладдин Р.Д." сообщила о том, что на официальном сайте ФНС России в рамках обновления JC-WebClient до версии 4.2 полностью интегрированы USB-токены и смарт-карты семейства JaCarta (JaCarta-2 ГОСТ , JaCarta-2 SE, JaCarta-2 PKI/ГОСТ и JaCarta-2 PRO/ГОСТ) для работы в личном кабинете налогоплательщика для индивидуальных предпринимателей. Подробнее здесь.

2019: Выпуск версии 4.2

11 декабря 2019 года компания «Аладдин Р.Д.» сообщила о выпуске очередной версии продукта JC-WebClient для работы с USB-токенами и смарт-картами JaCarta в Web-приложениях и облачных сервисах.

Со слов разработчика, JC-WebClient 4.2 позволяет реализовать строгую взаимную двухфакторную аутентификацию пользователя и Web-сервера, формирование и проверку усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и Web-сервером, а также безопасное подтверждение транзакций с помощью Trust Screen-устройства «Антифрод-терминал».

Согласно заявлению разработчика, JC-WebClient 4.2 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого Web-ресурса, после чего работает в фоновом режиме и не требует каких-либо действий от пользователя.

JC-WebClient 4.2 поддерживает работу USB-токенов и смарт- карт JaCarta-2 ГОСТ, в котором реализованы криптографические алгоритмы — ГОСТ Р 34.11 2012 и ГОСТ Р 34.10-2012. Данные устройства сертифицированы по обновленным требованиям ФСБ России, подчеркнули в «Аладдин Р.Д.».

Представленная версия JC-WebClient также поддерживает работу с USB-токенами и смарт-картами JaCarta PRO и eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы (3DES, AES-128, SHA-1 и RSA-1024). Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Возможности JC-WebClient 4.2, отмеченные разработчиком:

• добавлена функциональность «Получение данных клиентского ПК», позволяющая собирать с пользовательского устройства следующие данные: IP-адреса, MAC-адреса, hostname, перечень активных сетевых соединений, системные дата и время др.;
• добавлена функциональность «TLS по ГОСТ», позволяющая устанавливать Web-приложению защищённое TLS-соединение с удалённым TLS-сервером по ГОСТ (при использовании USB-токенов или смарт-карт модели JaCarta-2 ГОСТ). Обеспечивает строгую двухфакторную взаимную или одностороннюю аутентификацию пользователя и TLS-сервера, а также шифрование данных Web-приложения в канале связи по ГОСТ 28147-89;
• добавлена поддержка средства доверенного отображения подписываемых данных при использовании апплета Криптотокен-2 ЭП и SaveTouch PRO;
• добавлена поддержка «доверенных сайтов», которым разрешается работать с подключенными токенами. Такая дополнительная функциональность предотвращает попытки фишинговых сайтов взаимодействовать с токеном;
• добавлена поддержка операционных систем Mac OS 10.15, Debian 9.5, Ubuntu 18.04;
• добавлена возможность добавления пользовательскийх атрибутов в запрос на выдачу сертификата.

Как отметили в «Аладдин Р.Д.», JC-WebClient 4.2 также включает в себя встроенное Web-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и зашифрования/расшифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с Web-приложением с разных компьютеров без необходимости делать настройки системных хранилищ на каждом из них.

Для встраивания JC-WebClient в Web-приложения доступен комплект разработчика JC-WebClient SDK, включающий подробное руководство по встраиванию и демонстрационный пример с исходным кодом.

2017: Выпуск версии 4.0

12 октября 2017 года компания "Аладдин Р.Д." сообщила о выпуске версии 4.0 технологии JC-WebClient. Продукт ориентирован на встраивание функций работы с USB-токенами и смарт-картами JaCarta в веб-приложения и облачные сервисы.

JC-WebClient 4.0 помогает реализовать взаимную двухфакторную аутентификацию пользователя и веб-сервера, формирование и проверку усиленной или усиленной квалифицированной электронной подписи (ЭП), шифрование данных, передаваемых между клиентским компьютером и веб-сервером, безопасное подтверждение транзакций с помощью Trust Screen-устройства "Антифрод-терминал".

JC-WebClient 4.0 работает со всеми популярными браузерами и операционными системами. Приложение JC-WebClient устанавливается на компьютере при первом посещении защищаемого веб-ресурса, после чего работает в фоновом режиме, не требуя действий от пользователя.

Особенность версии JC-WebClient 4.0 - поддержка поколения USB-токенов и смарт-карт JaCarta-2 ГОСТ, в котором реализованы криптографические алгоритмы — ГОСТ Р 34.11 2012 и ГОСТ Р 34.10-2012. Устройства сертифицированы по требованиям ФСБ России. Для встраивания криптографических функций JaCarta-2 ГОСТ в прикладное ПО JC-WebClient использует только проверенные и включенные в разрешённый "белый" список безопасные (сертифицированные) команды, не допускающие криптографически опасных последствий при неправильном встраивании и использовании.

Добавленные возможности

• Высокая скорость подписания — при формировании ЭП значение хэш-функции от подписываемого документа теперь вычисляется с использованием сертифицированной программной библиотеки, при этом уровень безопасности не снижается благодаря тому, что хэш в токен передаётся по защищённому каналу.
• Шифрование сообщений (документов) по ГОСТ 28147-89 в формате CMS, согласно Рекомендациям Технического комитета 026, которое осуществляется не на микроконтроллере токена, а на более производительном процессоре ПК, что обеспечивает быструю обработку больших документов.
• Поддержка работы с хранилищем доверенных объектов JaCarta-2 ГОСТ, в которое Администратор безопасности предварительно записывает доверенные открытые ключи, выполняющие роль открытых ключей доверенных Удостоверяющих центров.
• Встроенная защита от подмены подписываемых документов и перехвата PIN- и PUK-кодов в канале между приложением JC-WebClient и токеном JaCarta-2 ГОСТ за счёт автоматического установления защищённого соединения между ними.
• Возможность установить сеанс исключительной работы между приложением JC-WebClient и токеном JaCarta-2 ГОСТ, при котором устройство блокирует попытки любых сторонних приложений получить доступ к его функциям.
• Возможность установить дополнительный PIN-код на формирование ЭП, что повышает безопасность, снижает вероятность ошибочных действий пользователей, защищает от атак, связанных с удалённым использованием состояния "залогиненности" токена для подписи поддельных документов.
• Разблокирование PIN-кода пользователя по PUK-коду, позволяющая разблокировать устройство JaCarta-2 ГОСТ без обращений к Администратору.
• Версия JC-WebClient включает в себя встроенное веб-приложение для загрузки, удаления и просмотра сертификатов УЦ в хранилище на токене. Сертификаты УЦ, загруженные на устройство, используются JC-WebClient для автоматического построения цепочек доверия при операциях проверки подписи и шифрования/дешифрования документов. Это позволяет отказаться от использования системных хранилищ сертификатов Microsoft Windows, Apple macOS и Linux, что предоставляет пользователю возможность работать с веб-приложением с разных компьютеров без необходимости делать настройки системных хранилищ на каждом из них.

JC-WebClient 4.0 поддерживает работу с USB-токенами и смарт-картами JaCarta PRO и eToken PRO (Java), в которых реализованы зарубежные криптоалгоритмы (3DES, AES-128, SHA-1 и RSA-1024). Это предоставляет свободу выбора разработчикам, если не стоит задача работы с усиленной квалифицированной ЭП, которая требует использования сертифицированного СКЗИ и аккредитованного УЦ.

Для встраивания JC-WebClient в веб-приложения доступен комплект разработчика JC-WebClient SDK.

2016

Выпуск версии 3.0

6 июля 2016 года компания "Аладдин Р.Д." сообщила о выпуске версии JC-WebClient 3.0 для поддержки СКЗИ в веб-приложениях.

Решение:

• позволяет решить задачи безопасности для веб-приложений;
• поддерживает все популярные браузеры;
• работает на единой стабильной технологии, не зависящей от "зоопарка" технологий плагинов и расширений, свойственных различным браузерам;
• обратно совместимо с предыдущим поколением JC-WebClient 2.x, использовавшим технологию плагинов.

Возможности JC-WebClient

JC-WebClient помогает встроить в веб-приложения функции:

• двухфакторной взаимной аутентификации пользователя и веб-сервера;
• формирования и проверки электронной подписи по ГОСТ Р 34.10-2001;
• шифрования данных, передаваемых между клиентским ПК и веб-сервером, по ГОСТ 28147-89.

Необходимо проверить подлинность, как пользователя, так и сервера. Реализовать возможность безопасного формирования и проверки электронной подписи для обеспечения юридической значимости электронного взаимодействия. Такая необходимость может возникнуть при:

• отправке платёжных поручений в банк;
• удалённом заключении договоров, соглашений;
• участии в электронных торгах;
• подписании документов на исполнение в системах электронного документооборота;
• направлении юридически значимых копий документов для получения гос. услуг;
• и т.д.
• Обеспечить конфиденциальность данных, передаваемых по каналу связи.

Перечисленные задачи решаются с использованием средств криптографической защиты информации (далее - СКЗИ), выполненных в виде токенов, подключаемых к USB-порту компьютера.

Однако браузеры "в чистом виде" не предоставляют коду веб-страниц доступ к устройствам, подключаемым к USB-порту. Для реализации такого доступа требуется разработка специальных расширений/плагинов для браузеров или использование иных технологий. Как правило, использовались технологии NPAPI (для Google Chrome, Mozilla Firefox, Apple Safari, Яндекс.Браузер, Opera) и ActiveX (для Microsoft Internet Explorer).

Однако в связи с уязвимостями технологии NPAPI, Google в 2015 году отключила в Chrome поддержку NPAPI. Яндекс.Браузер отключил поддержку NPAPI по умолчанию. Браузер Opera, работающий на том же движке, что и Google Chrome, сохранил временную поддержку NPAPI на переходный период и также планирует отключить в будущем.

Google предложил взамен альтернативную технологию – Native Messaging. Однако она не является обратно совместимой с NPAPI (нет поддержки синхронных методов).

Mozilla Firefox также планирует отключить поддержку NPAPI до конца 2016 года и предлагает использовать собственную технологию WebExtensions.

Браузер Apple Safari стал требовать подтверждение доверия к NPAPI-плагину от пользователя, затруднив тем самым его использование. Поэтому есть основания полагать, что Apple предложит свою собственную технологию расширений, также отказавшись от поддержки NPAPI.

Браузер Edge в Microsoft Windows 10 пока вообще не предоставляет API для разработки плагинов и расширений. Судя по всему, Microsoft для этого браузера предложит свою новую технологию, отличную от ActiveX.

Перед разработчиками веб-приложений возникла необходимость адаптировать веб-приложения под каждый тип браузера и поддерживать "зоопарк" различных технологий, свойственных различным браузерам. Такой подход усложнил задачу поддержки СКЗИ для реализации функций безопасности, создал большое число потенциальных точек отказа, а также стал причиной возникновения проблем с обратной совместимостью.

Схема взаимодействия JC-WebClient, (2015)

В составе JC-WebClient по состоянию на июль 2016 года: Приложение JC-WebClient – реализует технологию локального веб-сервера

• Предоставляет веб-страницам JavaScript API для доступа к функциям токена
• Работает в фоновом режиме, не предоставляя никаких элементов управления пользователю

Сервис мониторинга – запускает приложение JC-WebClient при загрузке операционной системы

• Контролирует целостность приложения и при возникновении нештатных ситуаций в операционной

системе перезапускает его

• Обеспечивает надёжность и отказоустойчивость решения

Токен – USB-токен/смарт-карта JaCarta ГОСТ или eToken ГОСТ

• Является персональным средством аутентификации и усиленной квалифицированной электронной

подписи с неизвлекаемым ключом и реализует российские криптоалгоритмы

"Антифрод-терминал" – Trust Screen-устройство (опция JC-WebClient)

• Обеспечивает усиленную защиту от атак на электронную подпись при работе пользователя в недоверенной среде. Поддерживает режимы работы со смарт-картой и с USB-токеном