JaCarta - убийца eToken?

Все новые посты на ZLONOV.RU

Обновления прошлых постов (включая этот) тоже только там.

Всегда с интересом читаю пресс-релизы, касающиеся вопросов, в которых я в силу своего рода занятий немного разбираюсь. Вдумчивое изучение текстов, вышедших из-под пера PR-менеджеров, и дальнейшее активное "гугление" порой дают неожиданные результаты. Сегодня применим этот метод к новости о том, что "Встраиваемый модуль безопасности TSM от «Аладдин Р.Д.» сертифицирован ФСТЭК".

Текст содержит интересный пассаж о (внимание!) трёхфакторной аутентификации:

TSM обеспечивает защиту от несанкционированного доступа с помощью трехфакторной аутентификации, осуществляемой по наличию аппаратного идентификатора (eToken, iButton), присутствию на нем специального логического идентификатора и знанию пользователем PIN-кода доступа.

Оставим, впрочем, на совести автора тот факт, что при краже аппаратного идентификатора злоумышленник заодно получает и записанный на нём логический идентификатор, что, вообще говоря, не позволяет говорить о двух разных факторах. UPD 24.07.2012 На сайте "трехфакторной" поменяли на "двухфакторной", но перечисляется по-прежнему три сущности.

Меня больше заинтересовало, почему пресс-релиз не совместный с Kraftway (ведь сертифицированный модуль работает только на их компьютерах)? Быть может, они выпустили отдельный пресс-релиз?

В пресс-центре на сайте Kraftway данной новости обнаружено не было, но упоминание самого модуля есть в описании моделей с его поддержкой (например, Kraftway Credo KC38 и Kraftway Credo VV18). Как оказалось, поддержка данных модулей реализована уже достаточно давно, а сотрудничество в этом направлении компании и вовсе ведут с конца 2010 года.

Есть на сайте Kraftway и сертификат на TSM, но особый интерес вызывает, конечно же, подробное описание характеристик и функционала TSM, взятое, судя по всему, из технический условий или паспорта изделия. Буквально в самом начале видим:

TSM взаимодействует с идентифицирующими устройствами (ИУ), в качестве которых выступают ключи eToken или JaCarta в форм-факторе USB-ключа или смарт-карты. (См. Update в конце поста.)

Ключи eToken - понятное дело, но, позвольте, а что за зверь такой JaCarta? В пресс-релизе Аладдин Р.Д. такое не упоминается. Google и Яндекс по запросу "jacarta" выдают явно не относящиеся к делу ссылки, да ещё и предлагают исправить написание на "jakarta", что уж совсем не из нашей оперы.

"Помощь пришла откуда не ждали" - упоминание JaCarta нашлось на сайте Аладдин Р.Д. И пусть ссылка не открывается, нам теперь понятно, что искать дальше.

Опущу лишние подробности и тонкости поиска, перейдя сразу к фактам.

• Домен jacarta.ru был зарегистрирован 04 апреля 2011 года на "Aladdin Software Security R.D. Ltd.", читай - ЗАО "Аладдин Р.Д."
• На официальном сайте Аладдин Р.Д. действительно присутствует (присутствовал) раздел "/catalog/jacarta/", но его поисковая индексация запрещена.
• Сайт jacarta.ru (набирать без www) наполнен смесью контента с официального сайта Аладдин Р.Д. и содержит упоминание некоей ООО "Алеро-Сервис" с контактами самого Аладдин Р.Д.
• У Алеро-Сервис есть свой сайт (заполненный пока всё тем же промежуточным контентом) и даже логотип.
• ООО "Алеро-Сервис" 06 октября 2011 года получило Лицензию на деятельность по разработке и (или) производству средств защиты конфиденциальной информации, что отражено в соответствующем реестре ФСТЭК.
• Сама компания зарегистрирована ещё 03 августа 2007 года и её генеральным директором является Груздев Сергей Львович (его полный тёзка является генеральным директором ЗАО "Аладдин Р.Д.")
• У компаний ООО "Алеро-Сервис" и ЗАО "Документальные Системы" есть дочернее предприятие ООО "СИС" (Сертифицированные информационные системы).

Что же получается? В свете непростой ситуациии в России с дистрибьюцией ключей eToken и использованием торговой марки "Aladdin" руководство Аладдин Р.Д. через ООО "Алеро-Сервис" подготовило себе запасной аэродром в виде доли в ООО "СИС" с одной стороны (напомню, что именно эту компанию SafeNet, купивший бизнес eToken, сделал российским дистрибьютором по данному направлению) и разработки аналога под названием JaCarta с другой?

Что ж, если это так, то ход вполне себе закономерный: кормясь от продаж eToken, инвестировать в конкурирующую разработку, прописывать её потихоньку в сертификаты, с тем, чтобы со временем получить возможность полностью переключиться на новый носитель JaCarta и убить рынок сертифицированных eToken за счёт контроля над всеми сертификатами eToken и своих связей с заказчиками и партнёрами.

Возможно, конечно, что у вас сложится свой взгляд на картину происходящего, но факты остаются фактами - дело только за их интерпретацией.

Интересно, глаза кому и на чьи маленькие секреты и хитрости откроет этот пост? =)

UPD 09.02.2012. Данный пост, очевидно, прочитали и сайт http://jacarta.ru более недоступен (редиректится). Предвидя такой поворот событий, сохранил пару скриншотов. Вот они:

Кстати, из результатов поиска на aladdin-rd.ru убрали всякое упоминание о "jacarta", но скриншот с тем, что выдавалось ещё буквально вчера, есть выше в самом посте.

Вас такое тщательное заметание следов не наводит на мысль о верности сделанного выше предположения?

UPD 20.02.2012. Слушайте, всё становится ещё интереснее: теперь с сайта Kraftway убрали упоминание о поддержке JaCarta в модуле TSM! Вот так всё выглядело раньше:

А вот здесь целиком исходный текст страницы в html-виде. Кэш Яндекса пока тоже выдаёт вариант с JaCarta, но, боюсь, это временно.

Изображение: http://recuerdosinventados.blogspot.com/2008/03/killer-cat-periodismo-patritico.html

Все новые посты на ZLONOV.RU

Обновления прошлых постов (включая этот) тоже только там.