Портал документации Рутокен

Page tree

Versions Compared

Old Version 15

changes.mady.by.user Ксения Шаврова

Saved on

compared with

New Version 16

changes.mady.by.user Ксения Шаврова

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Expand
titleОглавление
Table of Contents
Panel
bgColortransparent

В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП). 

Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей. 

Термины 

Часть терминов в статье подается в упрощенном виде для простоты понимания.  

Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.  

Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. 
Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. 
Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.   

Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами. 

Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер). 

...

Info

Неэкспортируемый ключ неизвлекаемый ключ.   

Неэкспортируемые ключи ЭП ненадолго извлекаются в оперативную память компьютера при работе с ними программного криптопровайдера. При этом копирование неизвлекаемых ключей полностью исключено.  


Panel
bgColortransparent

Доступ к закрытому ключу 

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.  
 

Теперь поговорим о том, какие бывают ключевые носители. 


Panel
bgColortransparent

Виды защищенных ключевых носителей 

Пассивные ключевые носители

Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя – Рутокен Lite. 

Активные ключевые носители

Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства -- встроенного микрокомпьютера. Ключи сгенерированные в криптоядре - неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям 

Пример активного носителя —  Рутокен ЭЦП 2.0 2100. 

Функциональный ключевой носитель (ФКН)

С защитой канала — это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.  

Пример такого устройства — Рутокен ЭЦП 2.0 3000, который также поддерживает активный и пассивный режимы. 

...

Warning
titleВажно понимать

1) Криптографические возможности активных и ФКН-носителей встроенный КриптоПро CSP. Если требуется работа с КриптоПро CSP, нужно приобрести лицензию на этот продукт. Вне зависимости от вида ключевого носителя и формата ключей ЭП на нем. 

2) Конвертация ключей из одного формата в другой невозможна. Если ключи были созданы извлекаемыми, то их нельзя перевести в формат неизвлекаемых ключей и наоборот. 


Panel
bgColortransparent

Средства генерации ключевых пар 

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен: 

Извлекаемые ключи

  • СКЗИ КриптоПро CSP версии 4.0 и новее. При генерации нужно выбрать "режим CSP". Ключи будут созданы в защищённой памяти любой из моделей Рутокен. 
  • При использовании СКЗИ VipNet CSP или Signal-COM CSP, режим выбирать не надо: извлекаемые ключи будут созданы на пассивных ключевых носителях. 

Неизвлекаемые ключи  

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. 
Например, вся линейка продуктов Рутокен ЭЦП 2.0 содержит в себе возможности аппаратной криптографии. 

Для генерации ключей формата PKCS#11 можно использовать инструменты от компании Актив:  

  • Генератор запроса на сертификат из комплекта Драйверов Рутокен. 
  • Рутокен SDK, содержащий примеры использования кроссплатформенной библиотеки rtpkcs11ecp).  

Или воспользоваться программными ГОСТ-криптопровайдерами:  

  • СКЗИ КриптоПро CSP версии 5.0 R2и новее - при генерации ключей надо выбрать режим "Активный токен". 
     
  • СКЗИ Signal-COM CSP или VipNet CSP - на активные ключевые носители из линейки Рутокен ЭЦП 2.0 автоматически генерируются неизвлекаемые ключи. 

ФКН-ключи 

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели семейства Рутокен ЭЦП 2.0 3000 - именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее. 


Panel
bgColortransparent

Сертификация устройств 

Немного о сертификации ключевых носителей.  

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России. 

Чтобы проще было запомнить: 

  • ФСТЭК России сертифицирует средство защиты информации (устройство). 
  • ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ). 

Таким образом, в случае с извлекаемыми ключами, сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России. 

В случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.   


Panel
bgColortransparent

Заключение

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на "борту", такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена. 

...