Tessera Access · вход по сертификатам

Офлайн-вход по сертификатам с управляемым делегированием

Персонализированный и подотчётный вход инженеров и подрядчиков на любые устройства под Astra Linux и другими Linux — от банкоматов и POS-терминалов до промышленных контроллеров. Все права — внутри сертификата, вся проверка — на самом устройстве. Сеть в момент доступа не нужна вообще.

Офлайн устройство само проверяет сертификат, срок, отзыв и рамки — без сети
Личность каждый вход привязан к конкретному инженеру — даже входы подрядчиков
В бою уже работает в производственной эксплуатации в банкоматных сетях банков
Разработано в России Astra Linux SE: МКЦ и ЗПС ГОСТ · Rutoken / JaCarta Открытое ядро агента Windows — в планах

01 · Как это работает

Делегирование: каждое звено может только сузить права

Владелец парка выдаёт обслуживающей организации сертификат с жёсткими рамками. Организация выдаёт инженеру ещё более узкий сертификат смены. Выйти за рамки невозможно.

Владелец парка

Банк, промпредприятие, КИИ-субъект. Корень доверия — только он решает, кому и что можно.

права: весь парк

Сертификат организации

  • устройства: только регион «Север»
  • роли: только «обслуживание»
  • срок выдаваемых: ≤ 30 дней

права сужены до рамок подрядчика

Обслуживающая организация

Подрядчик. Сам выдаёт удостоверения своим инженерам — но только внутри полученных рамок.

права: регион · 1 роль

Сертификат смены инженера

  • устройство: только ATM-0042
  • роль: «обслуживание»
  • срок действия: 8 часов

права сужены до одной смены

Инженер

Приезжает на объект с сертификатом на флешке или токене. Сеть ему не нужна.

права: 1 устройство · 8 ч

least privilege на входе

Устройство

Любое устройство под Linux / Astra Linux. Проверяет подписи, рамки, срок и отзыв — без единого обращения в сеть.

офлайн-проверка

Гарантия — на самом устройстве. Даже если центр выдачи подрядчика скомпрометирован, он не выпустит рабочий сертификат за пределами своих рамок: южный банкомат отвергнет сертификат «северного» подрядчика сам, офлайн, по собственным подписанным данным.

02 · Выпуск сертификатов

Сертификат смены — за минуту, из кабинета

Никакой ручной криптографии: диспетчер подрядчика выпускает сертификат в веб-кабинете, система сама держит его в рамках.

Кабинет владельца парка

Выдаёт подрядчикам сертификаты организаций с рамками: группы устройств, роли, потолок уровня и срока.

Кабинет обслуживающей организации

Диспетчер выпускает сертификаты смен своим инженерам под конкретный наряд — форма не даст выйти за рамки организации.

Сразу на носитель

Запись на флешку или токен (Rutoken / JaCarta) на рабочем месте диспетчера; короткий срок жизни — потерянный носитель протухает сам.

Инженер довозит обновления

Рядом с сертификатом кабинет кладёт свежий список отзыва, конфигурацию и обновления — устройство применит их при входе само, проверив подпись.

Каждая выдача — в журнале

Кто, кому, на какое устройство и с какими правами выпустил — и кто какое обновление привёз. Для интеграций в планах — CLI и API.

03 · Эксплуатация

Управляется из одного центра, живёт без него

Парк — хоть десятки тысяч устройств: доставка подписанными файлами любым каналом, вход никогда не ждёт сеть.

Центральное управление

Роли, политики, отзыв (CRL) и инвентарь всего парка — в одном Tessera Control; администратор ≠ аудитор. Начать можно и без сервера: роли и ключи — в образ устройства.

Tessera Control · standalone тоже можно

Astra Linux — родная платформа

Уровень прав = уровень МКЦ (мандатного контроля целостности): сессия открывается с точной меткой, проверка — битовая. Подписанные компоненты, штатная работа при включённой ЗПС (замкнутой программной среде), вход через родной экран fly-dm.

SE «Воронеж»+, МКЦ, ЗПС

Аудит на устройстве

Каждый вход, выход и отказ — событие в сцепленном журнале (hash-chain): подмена или вырезание видны. Выгрузка в Control при связности; для изолированных объектов — экспорт на носитель инженера.

tamper-evident · работает офлайн

Простая установка и поддержка

Установка — пакет + файлы конфигурации; самопроверка готовности устройства (doctor). Ядро агента — открытый код: ваша служба ИБ видит, что именно работает на устройствах.

без БД · без демонов в пути входа

Нужен вход без токенов, по телефону инженера? Это Tessera Codes — включается на том же агенте, без переустановки. Подробнее → Ролевые учётки, группы и sudoers на этих устройствах декларативно готовит Census — открытый продукт той же платформы. Подробнее →

Следующий шаг — пилот на вашем парке

Несколько устройств, ваши сценарии обслуживания, ваши подрядчики — и сравнение аудита «до / после».