Портал документации Рутокен

Page tree

Versions Compared

Old Version 2

changes.mady.by.user Ксения Шаврова

Saved on

compared with

New Version 3

changes.mady.by.user Ксения Шаврова

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

Неэкспортируемый ключ неизвлекаемый ключ.   

Неэкспортируемые ключи ЭП ненадолго извлекаются в оперативную память компьютера при работе с ними программного криптопровайдера. При этом копирование неизвлекаемых ключей полностью исключено.  

Panel
bgColortransparent

Доступ к закрытому ключу 

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.  
 

Теперь поговорим о том, какие бывают ключевые носители. 


Panel
bgColortransparent

Виды защищенных ключевых носителей 

Пассивные ключевые носители выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя – Рутокен Lite. 

 

Активные ключевые носители. Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства -- встроенного микрокомпьютера. Ключи сгенерированные в криптоядре - неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям 

Пример активного носителя —  Рутокен ЭЦП 2.0 2100. 

 

Функциональный ключевой носитель (ФКН) c защитой канала — это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.  

Пример такого устройства — Рутокен ЭЦП 2.0 3000, который также поддерживает активный и пассивный режимы. 



Warning
titleВажно понимать

1) Криптографические возможности активных и ФКН-носителей встроенный КриптоПро CSP. Если требуется работа с КриптоПро CSP, нужно приобрести лицензию на этот продукт. Вне зависимости от вида ключевого носителя и формата ключей ЭП на нем. 

2) Конвертация ключей из одного формата в другой невозможна. Если ключи были созданы извлекаемыми, то их нельзя перевести в формат неизвлекаемых ключей и наоборот. 

Panel
bgColor

...

transparent

Средства генерации ключевых пар 

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен: 

Извлекаемые ключи

  • СКЗИ КриптоПро CSP версии 4.0 и новее. При генерации нужно выбрать "режим CSP". Ключи будут созданы в защищённой памяти любой из моделей Рутокен. 
  • При использовании СКЗИ VipNet CSP или Signal-COM CSP, режим выбирать не надо: извлекаемые ключи будут созданы на пассивных ключевых носителях. 

Неизвлекаемые ключи  

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. 
Например, вся линейка продуктов Рутокен ЭЦП 2.0 содержит в себе возможности аппаратной криптографии. 

Для генерации ключей формата PKCS#11 можно использовать инструменты от компании Актив:  

  • Генератор запроса на сертификат из комплекта Драйверов Рутокен. 
  • Рутокен SDK, содержащий примеры использования кроссплатформенной библиотеки rtpkcs11ecp).  

Или воспользоваться программными ГОСТ-криптопровайдерами:  

  • СКЗИ КриптоПро CSP версии 5.0 R2и новее - при генерации ключей надо выбрать режим "Активный токен". 
     
  • СКЗИ Signal-COM CSP или VipNet CSP - на активные ключевые носители из линейки Рутокен ЭЦП 2.0 автоматически генерируются неизвлекаемые ключи. 
     

ФКН-ключи 

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели семейства Рутокен ЭЦП 2.0 3000 - именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее. 


Panel
bgColortransparent

Сертификация устройств 

Немного о сертификации ключевых носителей.  

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России. 

Чтобы проще было запомнить: 

  • ФСТЭК России сертифицирует средство защиты информации (устройство). 
  • ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ). 

Таким образом, в случае с извлекаемыми ключами, сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России. 

В случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.   


Panel
bgColortransparent

Итог  

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на "борту", такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена.