Table of Contents |
---|
Общая информация информация
Смарт-карта Рутокен Рутокен ЭЦП 3.0 NFC — это устройство, предназначенное для хранения формирования и использования безопасного хранения электронной подписи и настройки строгой двухфакторной , а также двухфакторной аутентификации.
Она выглядит следующим образом:
Все ее технические характеристики указаны в специальном разделе.
Со С этой смарт-картой можно работать, как на компьютере, так и на мобильном устройстве.
Для работы со смарт-картой:
- на компьютере
...
- . Необходим контактный или
...
- бесконтактный считыватель для смарт-
...
- карт;
- на мобильном устройстве
...
- . Необходим специальный NFC-
...
- модуль (
...
- это можно проверить в описании его параметров
...
- ).
Для смарт-карты заданы два PIN-кода: PIN-код Пользователя и PIN-код Администратора.
...
Warning |
---|
При первом использовании смарт-карты PIN-коды необходимо изменить. |
В этой инструкции описаны процедуры работы со смарт-картой Рутокен ЭЦП 3.0 NFC в различных мобильных и настольных ОС, а именно:
Работа со смарт-картой на компьютере
Для подключения смарт-карты к компьютеру используется считыватель смарт-карт.
К USB-порту компьютера можно подключить как пустой считыватель, так и считыватель со вставленной смарт-картой.
Подключение смарт-карты к компьютеру
Чтобы подключить смарт-карту Для подключения смарт-карты к компьютеру:
- Если считыватель контактный, то вставьте в него смарт-карту.
- Если считыватель бесконтактный, то приложите к нему смарт-карту.
- Подключите считыватель к USB-порту компьютера. Если смарт-карта подключена корректно, то на считывателе начнет светиться индикатор. Если смарт-карта подключена к считывателю некорректно, то индикатор на считывателе может мигать или не светиться (зависит от модели считывателя).
В ОС Windows
Изменение PIN-кода
...
Работа со смарт-картой в различных ОС
Tip |
---|
В этом разделе описаны процедуры работы со смарт-картой |
...
После установки комплекта драйверов на компьютере появится специальная программа для обслуживания устройств Рутокен. Она называется — Панель управления Рутокен.
Для того, чтобы изменить PIN-код Пользователя или Администратора:
- Откройте Панель управления Рутокен.
- В раскрывающемся списке Подключенные Рутокен выберите NFC карту.
- Нажмите Ввести PIN-код.
- Установите переключатель в положение Администратор, введите PIN-код Администратора и нажмите ОК.
- В разделе Управление PIN-кодами нажмите Изменить.
- Установите переключатель в необходимое положение, введите два раза новый PIN-код и нажмите ОК. В результате выбранный PIN-код будет изменен.
Просмотр сведений об устройстве
В Панели управления Рутокен можно узнать следующую информацию об устройстве:
- наименование модели;
- уникальный цифровой идентификатор;
- версию прошивки и флаги состояния;
- общий объем памяти;
- объем свободной памяти;
- политику для смены PIN-кода Пользователя;
- возможность использования UTF-8 в PIN-кодах;
- возможность работы с КриптоПро Рутокен CSP по защищенному каналу ФКН;
- подключен ли он по RDP.
Для просмотра сведений об устройстве Рутокен:
...
Просмотр версии установленного комплекта драйверов Рутокен
Для просмотра версии установленного комплекта драйверов:
- Откройте Панель управления Рутокен.
- Перейдите на вкладку О программе. В поле Версия драйверов Рутокен указан номер версии комплекта драйверов, который установлен на компьютере.
Выбор криптопровайдера, используемого по умолчанию, для устройства Рутокен
Криптопровайдер — это динамически подключаемая библиотека, реализующая криптографические функций со стандартизованным интерфейсом.
У каждого криптопровайдера могут быть собственные наборы алгоритмов и собственные требования к формату ключей и сертификатов.
Чтобы выбрать криптопровайдер, который будет использоваться для Рутокена по умолчанию:
- Открой Панель управления Рутокен.
- Перейдите на вкладку Настройки.
- В разделе Настройки криптопровайдера нажмите Настройка.
- В раскрывающемся списке Семейство Рутокен ЭЦП выберите название криптопровайдера.
- Чтобы применить изменения и продолжить работу с настройками нажмите Применить.
- Чтобы подтвердить выбор криптопровайдера нажмите ОК.
- В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.
Выбор метода генерации ключевых пар RSA (для устройства Рутокен ЭЦП)
Warning |
---|
Не следует использовать для генерации ключевых пар криптопровайдер Microsoft, если нет уверенности в безопасности компьютера. |
Для выбора криптопровайдера для генерации ключевых пар RSA:
- Откройте Панель управления Рутокен.
- Перейдите на вкладку Настройки.
- В разделе Настройки криптопровайдера нажмите Настройка.
- В разделе Настройки криптопровайдера Aktive Co. Rutoken CSP v1.0 выберите способ генерации ключевых пар RSA 2048 бит для Рутокен ЭЦП. Для этого установите переключатель в необходимое положение.
- Чтобы применить изменения и продолжить работу с настройками нажмите Применить.
- Чтобы подтвердить выбор криптопровайдера нажмите ОК.
- В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.
Выбор настроек для PIN-кода
В Панели управления Рутокен можно задать настройки для PIN-кода. Перечень настроек указан в таблице 1.
Таблица 1
...
Рутокен ЭЦП 3.0 NFC в различных мобильных и настольных ОС. Чтобы перейти к работе со смарт-картой, выберите свою ОС: |
Технические характеристики смарт-карты Рутокен ЭЦП 3.0 NFC
Критерий | Характеристика смарт-карты |
---|---|
Основные характеристики | |
Аппаратная часть | Защищенный микроконтроллер со встроенной энергозависимой памятью |
EEPROM память | 128 Кбайт |
Габаритные размеры | 85,6 x 53,98 x 0,76 мм |
Масса | 5,5 г |
Поддерживаемые ОС |
|
Поддерживаемые интерфейсы и стандарты | |
PKCS#11 версии 2.20, включая российский профиль (2.30 draft) | да |
Microsoft Crypto API | да |
PC/SC | да |
Microsoft Smartcard API | да |
USB CCID (работа без установки драйверов) | да |
ISO/IEC 7816 |
|
Криптопровайдер | собственный Crypto Service Provider |
Сертификаты X.509 версии 3 на уровне программного обеспечения | да |
Криптографические возможности | |
Поддержка алгоритма ГОСТ 28147-89 | да, аппаратная реализация |
Поддержка алгоритма ГОСТ Р 34.12-2015 (Магма) | да, аппаратная реализация |
Поддержка алгоритма ГОСТ Р 34.12-2015 (Кузнечик) | да, аппаратная реализация |
Режим шифрования |
|
Режим выработки имитовставки | да |
Генерация ключей шифрования | да |
Импорт ключей шифрования | нет |
Запрет экспорта ключей шифрования | да |
Поддержка алгоритма ГОСТ Р 34.10-2012 | да, аппаратная реализация |
Формирование и проверка ЭП | да |
Генерация ключевых пар | да, с проверкой качества |
Импорт ключевых пар | да, с помощью ключа эмитента |
Запрет экспорта ключевых пар | да |
Срок действия закрытых ключей | до 3 лет |
Размер закрытого ключа | 256 и 512 бит |
Поддержка алгоритма ГОСТ 34.11-2012 (256 и 512 бит) | аппаратная реализация |
Вычисление значения хэш-функции | да, в т. ч. с возможностью последующего формирования ЭП |
Формирование и проверка ЭП | да |
Генерация ключевых пар | да, с проверкой качества |
Импорт ключевых пар | да |
Запрет экспорта ключевых пар | да |
Срок действия закрытых ключей | до 3 лет |
Поддержка алгоритма ГОСТ 34.11-94 | аппаратная реализация |
Выработка сессионных ключей (ключей парной связи) | да
|
Расширение по схеме EC El-Gamal | да |
Поддержка алгоритма RSA | аппаратная реализация расшифрования и подписи (RSA-1024, RSA-2048, RSA-4096) |
Формирование электронной подписи | да |
Генерация ключевых пар | да, с проверкой качества |
Импорт ключевых пар | да |
Запрет экспорта ключевых пар | да |
Размер ключей | до 4096 бит |
Поддержка алгоритма ECDSA | да, кривые secp256k1 и secp256r1 |
Поддержка алгоритмов DES (3DES), AES, RC2, RC4, MD4, MD5, SHA-1, SHA-256 | хранение экспортируемых ключей в EF, SHA-1, SHA-256, MD5 в PKCS#11, RC4, MD4, MD5, SHA-1, SHA-256, 3DES, AES в minidriver |
Формирование электронной подписи | да |
Генерация ключевых пар | да, с проверкой качества |
Импорт ключевых пар | да |
Работа с СКЗИ «КриптоПро 5.0» по протоколу защиты канала SESPAKE (ФКН2). | да |
Сведения о сертификации | |
Наличие сертификата ФСТЭК | да |
Наличие сертификата ФСБ | да |
Файловая система | |
Файловая структура | встроенная, по стандарту ISO/IEC 7816-4 |
Тип размещения файловых объектов в памяти (архитектура файловой системы) | использование File Allocation Table (FAT) |
Количество папок и уровень их вложенности | уровень ограничен объемом свободной памяти |
Число файловых объектов внутри папки | до 255 включительно |
Хранение ключевой информации |
|
Запрет экспорта закрытых и симметричных ключей | да |
Шифрование файловой системы | да, прозрачное, алгоритм ГОСТ 28147-89, уникальный ключ шифрования для каждого экземпляра устройства |
Дополнительно | использование Security Environment для удобной настройки параметров криптографических операций |
Аутентификация и конфиденциальность | |
Двухфакторная аутентификация | да, предъявление токена + ввод PIN-кода |
Уровни доступа |
|
Разграничение доступа к файловым объектам в соответствии с уровнем доступа | да |
Ограничение числа попыток ввода PIN-кода | да, настраиваемое |
Поддержка PIN-кодов |
|
Ограничение минимального размера PIN-кода | да, настраивается независимо для любого PIN-кода |
Дополнительно |
|
Возможность встраивания радиочастотной метки | да |
Поддерживаемые типы меток | Работа с системами контроля и управления доступом, поддерживающими протокол NFC |
Встроенный контроль и индикация | |
Контроль целостности прошивки | да |
Контроль целостности системных областей памяти | да |
Проверка целостности RSF-файлов перед использованием | да |
Типы счетчиков |
|
Проверка правильности функционирования криптографических алгоритмов | да |
Режимы работы светодиодного индикатора |
|
PIN-код вводится один раз при первом использовании устройства Рутокен в приложении
Эта настройка позволяет уменьшить количество вводов PIN-кода в прикладных приложениях за счет кратковременного хранения их криптопровайдером в зашифрованной памяти.
Warning |
---|
Не следует использовать данную настройку, если нет уверенности в безопасности компьютера. |
...
PIN-код может состоять из кириллических символов
Эта настройка позволяет безопасно использовать PIN-коды, содержащие кириллические символы.
Чтобы выбрать настройки для PIN-кода:
- Откройте Панель управления Рутокен.
- Перейдите на вкладку Настройки.
- В разделе Настройки PIN-кода нажмите Настройка.
- Установите флажки рядом с названиями необходимых настроек.
- Чтобы применить изменения и продолжить работу с настройками нажмите Применить.
- Чтобы подтвердить выбор настроек нажмите ОК.
- В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.
Указание Пользователем имени устройства Рутокен
Для того чтобы различать устройства Рутокен между собой следует задать имя каждому устройству. Оно не всегда будет отображаться в сторонних приложениях.
Рекомендуется указать имя и фамилию владельца устройства или краткое наименование области применения устройства.
Для указания имени устройства Рутокен:
- Откройте Панель управления Рутокен.
- В раскрывающемся списке Подключенные Рутокен выберите устройство Рутокен.
- Нажмите Ввести PIN-код.
- Установите переключатель в положение Пользователь.
- Введите PIN-код Пользователя.
- Нажмите ОК.
- В разделе Имя токена нажмите Изменить.
- В поле Имя укажите имя устройства Рутокен.
- Нажмите ОК.
Разблокировка Администратором PIN-кода Пользователя
PIN-код Пользователя блокируется в том случае, если пользователь несколько раз подряд ввел его с ошибкой.
PIN-код Пользователя может разблокировать только администратор.
После того как PIN-код Пользователя будет разблокирован, счетчик неудачных попыток аутентификации примет исходное значение (заданное при форматировании устройства Рутокен).
После разблокировки PIN-код Пользователя не изменится. Администратор может задать новый PIN-код Пользователя только при форматировании устройства Рутокен.
Для того чтобы разблокировать PIN-код Пользователя:
...
В ОС семейства GNU\Linux
В macOS
Работа со смарт-картой на мобильном устройстве
В ОС Android
В iOS
Warning |
---|
Работа со смарт-картой возможна если соблюдаются два условия:
|
При работе со смарт-картой на мобильном устройстве отображается специальное окно с сообщением, которое предупреждает, что карту необходимо приложить.
Смарт-карта прикладывается к мобильному устройству следующим образом:
Верхняя часть смартфона должна находиться в нескольких миллиметрах от смарт-карты.
Смарт-карту необходимо держать так до того момента, пока на экране смартфона отобразится сообщение о том, что работа с NFC картой завершена:
Процесс подписания документа в приложении состоит из следующих шагов:
- Откройте приложение, в котором необходимо подписать документ.
- Откройте документ.
- Нажмите Подписать.
- Введите PIN-код Пользователя и нажмите Продолжить.
- Приложите смарт-карту и дождитесь окончания процесса подписания документа. В результате документ будет подписан.
...