Feitian ePass
Feitian ePass — это семейство аппаратных токенов и смарт-карт для двухфакторной аутентификации и криптографической защиты данных, выпускаемых китайской компанией Feitian Technologies Co., Ltd. (основана в 1998 году, штаб-квартира в Пекине). Устройства предназначены для хранения закрытых ключей, выполнения операций электронной подписи и аутентификации пользователей в информационных системах, в том числе в государственных, банковских и корпоративных сетях. Feitian ePass поддерживает стандарты PKCS#11, Microsoft CryptoAPI, CNG (Cryptography Next Generation) и интерфейсы токенов PKI (инфраструктура открытых ключей).
История и развитие
Компания Feitian Technologies начала разработку аппаратных токенов в начале 2000-х годов, ориентируясь на растущий спрос в Китае на средства криптографической защиты информации. Первые модели ePass (например, ePass 1000) представляли собой простые USB-токены с поддержкой алгоритмов RSA и DES. В 2005 году была выпущена линейка ePass 2000, которая стала одной из наиболее массовых в сегменте бюджетных PKI-токенов.
С 2010-х годов Feitian активно расширяла функциональность: появились модели с поддержкой алгоритмов ГОСТ Р 34.10-2012 (для российского рынка), сенсорных датчиков отпечатков пальцев (ePass FIDO), а также токены с поддержкой протоколов FIDO2 и WebAuthn. В 2020 году компания представила линейку ePass 3000 с улучшенной защитой от физических атак (EAL5+).
На российском рынке устройства Feitian ePass распространяются через партнёров (например, «КриптоПро», «Аладдин Р.Д.») и сертифицированы ФСБ России и ФСТЭК России для использования в государственных информационных системах.
Классификация и модели
По форм-фактору
- USB-токены — устройства в виде флеш-накопителя с USB-разъёмом (тип A или C). Наиболее распространённая форма.
- Смарт-карты — пластиковые карты с контактным или бесконтактным интерфейсом (ISO 7816, ISO 14443).
- Комбинированные — токены с поддержкой USB и NFC (например, ePass NFC).
По уровню безопасности
- Базовый (EAL4+) — модели ePass 1000, ePass 2000. Предназначены для корпоративного использования, не требуют сертификации по высшим уровням.
- Средний (EAL5+) — линейка ePass 3000, ePass 4000. Имеют защиту от физического взлома, считывания памяти и атак по побочным каналам.
- Высокий (EAL6+) — модели для государственных нужд, например, ePass 5000 с поддержкой российских криптоалгоритмов.
По функциональности
- PKI-токены — стандартные устройства для хранения сертификатов и ключей электронной подписи (ePass 2000, ePass 3000).
- FIDO-токены — поддерживают протоколы FIDO U2F и FIDO2 для беcпарольной аутентификации (ePass FIDO, ePass FIDO2).
- Биометрические — оснащены сканером отпечатка пальца (ePass Bio, ePass FIDO Bio).
- С поддержкой OTP — генерируют одноразовые пароли (ePass OTP).
Устройство и характеристики
Аппаратная платформа
В основе токенов Feitian ePass лежат микроконтроллеры с защищённой памятью (обычно производства Infineon, NXP или STMicroelectronics). Ключевые компоненты:
- Криптопроцессор — выполняет операции шифрования, хеширования и подписи без выгрузки ключа в основную память.
- Защищённое хранилище — энергонезависимая память (EEPROM или Flash) с аппаратным шифрованием и защитой от чтения.
- USB-контроллер — обеспечивает интерфейс с хост-системой.
Поддерживаемые криптоалгоритмы
- Симметричные: AES (128/192/256 бит), DES, 3DES, ГОСТ 28147-89.
- Асимметричные: RSA (до 4096 бит), ECC (P-256, P-384, P-521), ГОСТ Р 34.10-2012 (256 и 512 бит).
- Хеш-функции: SHA-1, SHA-2 (256/384/512), ГОСТ Р 34.11-2012 («Стрибог»).
- Протоколы: PKCS#11, Microsoft CAPI/CNG, OpenSC, PKCS#15.
Физические характеристики
- Размеры: типично 48×12×5 мм (USB-токен).
- Вес: 5–10 г.
- Рабочая температура: от 0 до 70 °C.
- Срок службы: не менее 100 000 циклов записи/стирания.
Применение
Электронная подпись
Feitian ePass широко используется для формирования квалифицированной электронной подписи (КЭП) в России. Токены сертифицированы для работы с криптопровайдерами «КриптоПро CSP», «ViPNet CSP» и «Signal-COM CSP». Применяются в системах:
- Электронный документооборот (1С-Документооборот, Directum, TESSA).
- Государственные порталы (Госуслуги, ЕГАИС, ФНС).
- Банковские системы (Банк-Клиент, АБС).
Аутентификация
- Двухфакторная аутентификация (2FA) — в корпоративных сетях, VPN, веб-приложениях.
- Беcпарольная аутентификация — через протоколы FIDO2/WebAuthn (поддержка в Windows Hello, Google Chrome, Microsoft Edge).
- Сетевая аутентификация — в RADIUS-серверах, Active Directory, Cisco ISE.
Защита данных
- Шифрование файлов и дисков (BitLocker, VeraCrypt, TrueCrypt).
- Защита электронной почты (S/MIME, PGP).
- Хранение паролей и секретов (встроенное приложение ePass Manager).
Интеграция и совместимость
Операционные системы
- Windows (7, 8, 10, 11, Server 2008–2022) — полная поддержка через драйверы.
- Linux (ядро 2.6+) — работа через библиотеки OpenSC, pcsc-lite.
- macOS (10.12+) — ограниченная поддержка, требуется установка драйверов.
- Android (4.4+) — через USB OTG или NFC (для моделей с NFC).
Программные интерфейсы
- PKCS#11 — стандартный интерфейс для криптографических токенов.
- Microsoft CAPI/CNG — для интеграции с Windows-приложениями.
- FIDO2/CTAP2 — для WebAuthn-аутентификации.
- OpenSC — для Linux/Unix-систем.
Сертификация и стандарты
Международные
- FIPS 140-2 Level 3 (для моделей ePass 3000 и выше).
- Common Criteria EAL4+ / EAL5+ (сертификаты BSI).
- FIDO Certified (для FIDO-токенов).
Российские
- Сертификат ФСБ России (СФ/СКЗИ) — для использования в государственных информационных системах.
- Сертификат ФСТЭК России (по профилю защиты СВТ).
- Соответствие ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012.
Критика и ограничения
Основные недостатки Feitian ePass, отмечаемые пользователями и экспертами:
- Отсутствие полной совместимости с macOS — драйверы для macOS обновляются редко, что приводит к проблемам с подключением на новых версиях ОС.
- Ограниченная поддержка российских криптоалгоритмов в старых моделях — только модели, специально сертифицированные для РФ, поддерживают ГОСТ.
- Отсутствие встроенного дисплея — в отличие от некоторых конкурентов (например, SafeNet eToken 5100), пользователь не может визуально подтвердить операцию подписи.
- Цена — на российском рынке токены Feitian ePass стоят дороже аналогов от «Рутокен» или «JaCarta» (на 20–40 %), что связано с импортными пошлинами и логистикой.
Интересные факты
- Feitian Technologies является одним из крупнейших производителей аппаратных токенов в мире: по данным компании на 2023 год, суммарный объём продаж ePass превысил 50 миллионов устройств.
- В 2018 году Feitian выпустила токен ePass FIDO, который стал первым устройством, сертифицированным FIDO Alliance для работы с протоколом FIDO2.
- В России токены Feitian ePass используются в системах электронного голосования (например, в Москве на выборах 2021–2023 годов).
- Некоторые модели ePass (например, ePass 2000) поддерживают режим «эмуляции смарт-карты» — при подключении к USB устройство определяется как смарт-карта, что упрощает интеграцию с ПО.
Источники
- Feitian Technologies. Официальная документация по продуктам ePass (2023).
- КриптоПро. Руководство по интеграции аппаратных токенов Feitian ePass (2022).
- ФСТЭК России. Реестр сертифицированных средств защиты информации (2023).
- Common Criteria Portal. Сертификаты EAL4+ и EAL5+ для устройств Feitian (2021).
- FIDO Alliance. Certified Products List (2023).
- Журнал «Information Security». Обзор рынка аппаратных токенов в России (2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →