Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Общая информация информация 

Смарт-карта Рутокен Рутокен ЭЦП 3.0 NFC — это устройство, предназначенное для хранения формирования и использования безопасного хранения электронной подписи и настройки строгой двухфакторной , а также двухфакторной аутентификации. 

Она выглядит следующим образом:

Image Modified

Все ее технические характеристики указаны в специальном разделе.

Со С этой смарт-картой можно работать, как на компьютере, так и на мобильном устройстве.

Для работы со смарт-картой:

  • на компьютере

...

  • . Необходим контактный или

...

  • бесконтактный считыватель для смарт-

...

  • карт;
  • на мобильном устройстве

...

  • . Необходим специальный NFC-

...

  • модуль (

...

  • это можно проверить в описании его параметров

...

  • ).

Для смарт-карты заданы два PIN-кода: PIN-код Пользователя и PIN-код Администратора.

...

Warning

При первом использовании смарт-карты PIN-коды необходимо изменить.

В этой инструкции описаны процедуры работы со смарт-картой Рутокен ЭЦП 3.0 NFC в различных мобильных и настольных ОС, а именно:

Работа со смарт-картой на компьютере

Для подключения смарт-карты к компьютеру используется считыватель смарт-карт.

К USB-порту компьютера можно подключить как пустой считыватель, так и считыватель со вставленной смарт-картой.

Подключение смарт-карты к компьютеру

Чтобы подключить смарт-карту Для подключения смарт-карты к компьютеру:

  1. Если считыватель контактный, то вставьте в него смарт-карту.
  2. Если считыватель бесконтактный, то приложите к нему смарт-карту.
  3. Подключите считыватель к USB-порту компьютера. Если смарт-карта подключена корректно, то на считывателе начнет светиться индикатор. Если смарт-карта подключена к считывателю некорректно, то индикатор на считывателе может мигать или не светиться (зависит от модели считывателя)

В ОС Windows

Изменение PIN-кода 

...

Работа со смарт-картой в различных ОС

Tip

В этом разделе описаны процедуры работы со смарт-картой

...

После установки комплекта драйверов на компьютере появится специальная программа для обслуживания устройств Рутокен. Она называется — Панель управления Рутокен.

Для того, чтобы изменить PIN-код Пользователя или Администратора:

  1. Откройте Панель управления Рутокен.
    Image Removed
  2. В раскрывающемся списке Подключенные Рутокен выберите NFC карту.
    Image Removed
  3. Нажмите Ввести PIN-код.
  4. Установите переключатель в положение Администратор, введите PIN-код Администратора и нажмите ОК.
    Image Removed
  5. В разделе Управление PIN-кодами нажмите Изменить.
    Image Removed
  6. Установите переключатель в необходимое положение, введите два раза новый PIN-код и нажмите ОК. В результате выбранный PIN-код будет изменен.
    Image Removed

Просмотр сведений об устройстве

В Панели управления Рутокен можно узнать следующую информацию об устройстве:

  • наименование модели;
  • уникальный цифровой идентификатор;
  • версию прошивки и флаги состояния;
  • общий объем памяти;
  • объем свободной памяти;
  • политику для смены PIN-кода Пользователя;
  • возможность использования UTF-8 в PIN-кодах;
  • возможность работы с КриптоПро Рутокен CSP по защищенному каналу ФКН;
  • подключен ли он по RDP.

Для просмотра сведений об устройстве Рутокен:

...

Просмотр версии установленного комплекта драйверов Рутокен

Для просмотра версии установленного комплекта драйверов:

  1. Откройте Панель управления Рутокен.
  2. Перейдите на вкладку О программеВ поле Версия драйверов Рутокен указан номер версии комплекта драйверов, который установлен на компьютере.
    Image Removed

Выбор криптопровайдера, используемого по умолчанию, для устройства Рутокен

Криптопровайдер — это динамически подключаемая библиотека, реализующая криптографические функций со стандартизованным интерфейсом.

У каждого криптопровайдера могут быть собственные наборы алгоритмов и собственные требования к формату ключей и сертификатов.

Чтобы выбрать криптопровайдер, который будет использоваться для Рутокена по умолчанию:

  1. Открой Панель управления Рутокен.
  2. Перейдите на вкладку Настройки.
  3. В разделе Настройки криптопровайдера нажмите Настройка.
    Image Removed
  4. В раскрывающемся списке Семейство Рутокен ЭЦП выберите название криптопровайдера.
    Image Removed
  5. Чтобы применить изменения и продолжить работу с настройками нажмите Применить
  6. Чтобы подтвердить выбор криптопровайдера нажмите ОК.
  7. В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.

Выбор метода генерации ключевых пар RSA (для устройства Рутокен ЭЦП)

Warning

Не следует использовать для генерации ключевых пар криптопровайдер Microsoft, если нет уверенности в безопасности компьютера.

Для выбора криптопровайдера для генерации ключевых пар RSA:

  1. Откройте Панель управления Рутокен.
  2. Перейдите на вкладку Настройки.
  3. В разделе Настройки криптопровайдера нажмите Настройка.
    Image Removed 
  4. В разделе Настройки криптопровайдера Aktive Co. Rutoken CSP v1.0 выберите способ генерации ключевых пар RSA 2048 бит для Рутокен ЭЦП. Для этого установите переключатель в необходимое положение.
    Image Removed
  5. Чтобы применить изменения и продолжить работу с настройками нажмите Применить
  6. Чтобы подтвердить выбор криптопровайдера нажмите ОК.
  7. В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.

Выбор настроек для PIN-кода

В Панели управления Рутокен можно задать настройки для PIN-кода. Перечень настроек указан в таблице 1.

Таблица 1

...

Рутокен ЭЦП 3.0 NFC в различных мобильных и настольных ОС.

Чтобы перейти к работе со смарт-картой, выберите свою ОС:

Технические характеристики смарт-карты Рутокен ЭЦП 3.0 NFC

Критерий Характеристика смарт-карты
Основные характеристики
Аппаратная частьЗащищенный микроконтроллер со встроенной энергозависимой памятью
EEPROM память128 Кбайт
Габаритные размеры85,6 x 53,98 x 0,76 мм
Масса5,5 г
Поддерживаемые ОС
  • Microsoft Windows 10/8.1/2019/2016/2012R2/8/2012/7/2008R2/Vista/2008,
  • GNU/Linux (в том числе отечественные),
  • Apple macOS 10.15/10.14/10.13/10.12/10.11/10.10/10.9,
  • Android 5 и новее,
  • iOS 13 и новее.
  • Аврора
Поддерживаемые интерфейсы и стандарты 
PKCS#11 версии 2.20, включая российский профиль (2.30 draft)да
Microsoft Crypto APIда
PC/SCда
Microsoft Smartcard APIда
USB CCID (работа без установки драйверов)да
ISO/IEC 7816
  • ISO/IEC 7816-3, протокол T=0 и T=1 для контактной микросхемы,
  • ISO 14443 (NFC) для бесконтактной микросхемы
Криптопровайдерсобственный Crypto Service Provider
Сертификаты X.509 версии 3 на уровне программного обеспеченияда
Криптографические возможности
Поддержка алгоритма ГОСТ 28147-89да, аппаратная реализация
Поддержка алгоритма ГОСТ Р 34.12-2015 (Магма)да, аппаратная реализация
Поддержка алгоритма ГОСТ Р 34.12-2015 (Кузнечик)да, аппаратная реализация
Режим шифрования
  • простая замена,
  • гаммирование,
  • гаммирование с обратной связью
Режим выработки имитовставкида
Генерация ключей шифрованияда
Импорт ключей шифрованиянет
Запрет экспорта ключей шифрованияда
Поддержка алгоритма ГОСТ Р 34.10-2012да, аппаратная реализация
Формирование и проверка ЭПда
Генерация ключевых парда, с проверкой качества
Импорт ключевых парда, с помощью ключа эмитента
Запрет экспорта ключевых парда
Срок действия закрытых ключейдо 3 лет
Размер закрытого ключа256 и 512 бит
Поддержка алгоритма ГОСТ 34.11-2012 (256 и 512 бит)аппаратная реализация
Вычисление значения хэш-функциида, в т. ч. с возможностью последующего формирования ЭП
Формирование и проверка ЭПда
Генерация ключевых парда, с проверкой качества
Импорт ключевых парда
Запрет экспорта ключевых парда
Срок действия закрытых ключейдо 3 лет
Поддержка алгоритма ГОСТ 34.11-94аппаратная реализация
Выработка сессионных ключей (ключей парной связи)

да

  • по схеме VKO GOST R 34.10-2001 согласно RFC 4357
  • по схеме VKO GOST R 34.10-2012 согласно RFC 7836
Расширение по схеме EC El-Gamalда
Поддержка алгоритма RSAаппаратная реализация расшифрования и подписи (RSA-1024, RSA-2048, RSA-4096)
Формирование электронной подписида
Генерация ключевых парда, с проверкой качества
Импорт ключевых парда
Запрет экспорта ключевых парда
Размер ключейдо 4096 бит
Поддержка алгоритма ECDSAда, кривые secp256k1 и secp256r1
Поддержка алгоритмов DES (3DES), AES, RC2, RC4, MD4, MD5, SHA-1, SHA-256хранение экспортируемых ключей в EF,
SHA-1, SHA-256, MD5 в PKCS#11, RC4, MD4, MD5, SHA-1, SHA-256, 3DES, AES в minidriver
Формирование электронной подписида
Генерация ключевых парда, с проверкой качества
Импорт ключевых парда
Работа с СКЗИ «КриптоПро 5.0» по протоколу защиты канала SESPAKE (ФКН2).да
Сведения о сертификации
Наличие сертификата ФСТЭКда
Наличие сертификата ФСБда
Файловая система
Файловая структуравстроенная, по стандарту ISO/IEC 7816-4
Тип размещения файловых объектов в памяти (архитектура файловой системы)использование File Allocation Table (FAT)
Количество папок и уровень их вложенностиуровень ограничен объемом свободной памяти
Число файловых объектов внутри папкидо 255 включительно
Хранение ключевой информации
  • использование файлов Rutoken Special File (RSF-файлов)для хранения ключей шифрования, сертификатов,
  • использование предопределенных папок для хранения разных видов ключевой информации с автоматическим выбором нужной папки при создании и использовании RSF-файлов
Запрет экспорта закрытых и симметричных ключейда
Шифрование файловой системыда, прозрачное, алгоритм ГОСТ 28147-89, уникальный ключ шифрования для каждого экземпляра устройства
Дополнительноиспользование Security Environment для удобной настройки параметров криптографических операций
Аутентификация и конфиденциальность
Двухфакторная аутентификацияда, предъявление токена + ввод PIN-кода
Уровни доступа
  • Гость,
  • Пользователь,
  • Администратор
Разграничение доступа к файловым объектам в соответствии с уровнем доступада
Ограничение числа попыток ввода PIN-кодада, настраиваемое
Поддержка PIN-кодов
  • глобальные PIN-коды: Администратора и Пользователя,
  • локальные PIN-коды (для защиты конкретных объектов в памяти устройства, например, контейнеров сертификатов),
  • Настраиваемые аппаратные политики качества PIN-кодов
Ограничение минимального размера PIN-кодада, настраивается независимо для любого PIN-кода
Дополнительно
  • поддержка комбинированной аутентификации:
    • аутентификация по глобальным PIN-кодам,
    • аутентификация по глобальным PIN-кодам в сочетании с аутентификацией по локальным PIN-кодам.
  • возможность одновременного контроля прав доступа, заданных до 7-ю локальными PIN-кодами,
  • индикация факта смены глобальных PIN-кодов с умалчиваемых на оригинальные
Возможность встраивания радиочастотной меткида
Поддерживаемые типы меток

Работа с системами контроля и управления доступом, поддерживающими протокол NFC

Встроенный контроль и индикация
Контроль целостности прошивкида
Контроль целостности системных областей памятида
Проверка целостности RSF-файлов перед использованиемда
Типы счетчиков
  • счетчик изменений файловой системы,
  • счетчик изменений PIN-кодов,
  • счетчики последовательных неудачных попыток ввода PIN-кодов,
  • счетчик успешных операций электронной подписи
Проверка правильности функционирования криптографических алгоритмовда
Режимы работы светодиодного индикатора
  • готовность к работе,
  • выполнение операции,
  • нарушение в системной области памяти

PIN-код вводится один раз при первом использовании устройства Рутокен в приложении

Эта настройка позволяет уменьшить количество вводов PIN-кода в прикладных приложениях за счет кратковременного хранения их криптопровайдером в зашифрованной памяти.

Warning
Не следует использовать данную настройку, если нет уверенности в безопасности компьютера.

...

PIN-код может состоять из кириллических символов

Эта настройка позволяет безопасно использовать PIN-коды, содержащие кириллические символы. 

Чтобы выбрать настройки для PIN-кода:

  1. Откройте Панель управления Рутокен.
  2. Перейдите на вкладку Настройки.
  3. В разделе Настройки PIN-кода нажмите Настройка.
     Image Removed
  4. Установите флажки рядом с названиями необходимых настроек.
    Image Removed
  5. Чтобы применить изменения и продолжить работу с настройками нажмите Применить
  6. Чтобы подтвердить выбор настроек нажмите ОК.
  7. В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.

Указание Пользователем имени устройства Рутокен

Для того чтобы различать устройства Рутокен между собой следует задать имя каждому устройству. Оно не всегда будет отображаться в сторонних приложениях.

Рекомендуется указать имя и фамилию владельца устройства или краткое наименование области применения устройства.

Для указания имени устройства Рутокен:

  1. Откройте Панель управления Рутокен.
  2. В раскрывающемся списке Подключенные Рутокен выберите устройство Рутокен.
  3. Нажмите Ввести PIN-код.
  4. Установите переключатель в положение Пользователь.
  5. Введите PIN-код Пользователя.
  6. Нажмите ОК.
    Image Removed
  7. В разделе Имя токена нажмите Изменить.
    Image Removed
  8. В поле Имя укажите имя устройства Рутокен.
    Image Removed
  9. Нажмите ОК.

Разблокировка Администратором PIN-кода Пользователя

PIN-код Пользователя блокируется в том случае, если пользователь несколько раз подряд ввел его с ошибкой.

PIN-код Пользователя может разблокировать только администратор.

После того как PIN-код Пользователя будет разблокирован, счетчик неудачных попыток аутентификации примет исходное значение (заданное при форматировании устройства Рутокен).

После разблокировки PIN-код Пользователя не изменится. Администратор может задать новый PIN-код Пользователя только при форматировании устройства Рутокен.

Для того чтобы разблокировать PIN-код Пользователя:

...

В ОС семейства GNU\Linux

В macOS

Работа со смарт-картой на мобильном устройстве

В ОС Android

В iOS

Warning

Работа со смарт-картой возможна если соблюдаются два условия:

  • версия iOS от 13 и выше;
  • одна из следующих моделей iPhone: XR; XS; 11; 11 Pro; 11 Pro Max; 12; 12 mini; 12 Pro; 12 Pro Max.

При работе со смарт-картой на мобильном устройстве отображается специальное окно с сообщением, которое предупреждает, что карту необходимо приложить.

Смарт-карта прикладывается к мобильному устройству следующим образом:

Image Removed

Верхняя часть смартфона должна находиться в нескольких миллиметрах от смарт-карты.

Смарт-карту необходимо держать так до того момента, пока на экране смартфона отобразится сообщение о том, что работа с NFC картой завершена:

Image Removed

Процесс подписания документа в приложении состоит из следующих шагов:

  1. Откройте приложение, в котором необходимо подписать документ.
  2. Откройте документ.
  3. Нажмите Подписать.
    Image Removed
  4. Введите PIN-код Пользователя и нажмите Продолжить.
    Image Removed
  5. Приложите смарт-карту и дождитесь окончания процесса подписания документа. В результате документ будет подписан.

...