Для успешного входа в ОС с использованием двухфакторной аутентификации пользователь должен:
- подсоединить свой электронный ключ к ПК;
- ввести PIN-код электронного ключа.
ОС аутентифицирует пользователя на основе данных, размещённых в защищённой памяти электронного ключа:
- электронный сертификат (как выпущенный центром сертификации (далее по тексту – ЦС), так и самоподписанный);
- профиль учётной записи пользователя, содержащий логин и пароль.
2.1. Поддерживаемые устройства аутентификации
Для надежного хранения ключевой информации могут быть использованы следующие модели устройств аутентификации (токенов, электронных ключей):
- JaCarta 2 ГОСТ;
- JaCarta PRO;
- JaCarta PRO/ГОСТ;
- JaCarta-2 PRO/ГОСТ;
- JaCarta PKI;
- JaCarta PKI/Flash;
- JaCarta PKI/ГОСТ/Flash;
- JaCarta-2 PKI/ГОСТ;
- JaCarta PKI/ГОСТ;
- JaCarta SF/ГОСТ;
- JaCarta SecurBIO;
- Aladdin LiveOffice;
- Рутокен ЭЦП 2.0/3.0;
- eToken PRO (Java).
2.2. Требования к пользовательским сертификатам
Для успешной двухфакторной аутентификации с использованием сертификатов необходимо выполнение следующих условий:
1) на токен необходимо записать открытый ключ (сертификат) и закрытый ключ пользователя, помещенные в один контейнер;
2) пользовательские сертификаты должны содержать следующие поля:
- «Поставщик (Issuer)» – поле идентификации ЦС, выдавшего сертификат владельцу:
- CN (CommonName) – наименование поставщика, подписывающего сертификат;
- DC (DomainComponent) – компонент DNS имени (адреса) владельца сертификата, указывается несколько раз, в каждом случае как часть DNS пути;
Примечание. Пример заполненного поля Issuer:
CN = DC_WIN-CA
DC = dc
DC = test
- «Субъект (Subject)» – поле идентификации субъекта (владельца) сертификата:
- CN (CommonName) – наименование субъекта (владельца) сертификата;
- DC (DomainComponent) – компонент DNS имени (адреса) владельца сертификата, указывается несколько раз, в каждом случае как часть DNS пути;
Примечание. Пример заполненного поля Subject:
CN = Domain User Test
DC = dc
DC = test
- дополнительное имя субъекта SAN (SubjectAltName) – дополнительные реквизиты владельца сертификата:
- OtherName (Другое имя) – логин и домен пользователя по следующему шаблону: Principal Name=login@domain.ru.
Примечание. Пример заполненного поля SubjectAlternativeName | Other Name:
Principal Name=d_user@dc.test
- у сертификата должен быть установлен период действия;
- в сертификате должны быть указаны CRL или OCSP (при наличии).
2.3. Принципы безопасной работы программы
К основным принципам безопасной работы программы относятся:
- выполнение ограничений по эксплуатации SecurLogon согласно разделу 2;
- контроль физической сохранности ПК с установленным SecurLogon;
- сохранение в секрете пароля (PIN-кода) пользователя;
- исключение доступа посторонних лиц к персональному идентификатору (электронному ключу) пользователя.
2.4. Режимы функционирования программы
Программа функционирует в следующих режимах:
- штатный режим, при котором SecurLogon должен исправно функционировать в круглосуточном режиме и обеспечивать выполнение своих функций в полном объёме;
- сервисный режим, необходимый для проведения обслуживания (обновления) SecurLogon.
Основным режимом функционирования SecurLogon является штатный режим.
Аварийный режим работы SecurLogon при отказах/сбоях серверного оборудования и/или общесистемного/специального ПО не предусматривается.