Page tree
Skip to end of metadata
Go to start of metadata

Названия режимов работы

Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.

Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:

  • ПассивныйКонтейнер генерируется через программный криптопровайдер КриптоПро CSP. В таком режиме контейнер с ключом ЭП и сертификатом хранится на токене или смарт-карте и передается криптопровайдеру, работающему в операционной системе, который уже решает, что с ним делать. Такой контейнер будет неэкспортируемым, если при его создании будут выполнены специальные настройки. Если контейнер будет создан как экспортируемый, то его можно скопировать на другой носитель. 
    Данный режим создает извлекаемые ключи.
  • Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме контейнер тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
    Активные носители имеют возможность хранить контейнеры в пассивном режиме, что снижает безопасность ключа.

    Этот режим не всегда активен, дополнительная настройка может потребоваться в следующих случаях:
             - Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется обновление КриптоПро CSP до версии 5.0 R2.

             - Если на компьютерах с ОС Linux или macOS выполняется установка КриптоПро CSP, то необходимо после ее реализации установить библиотеку rtpkcs11ecp.

    Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется первичная установка КриптоПро CSP 5.0 R2, то все необходимые настройки выполнятся автоматически.



  • Функциональный ключевой носитель (ФКН) В таком режиме добавлена поддержка работы с неизвлекаемыми ключами по протоколу SESPAKE. Этот протокол позволяет реализовать процесс аутентификации не передавая PIN-код в открытом виде. Также SESPAKE позволяет установить шифрованный канал для обмена сообщениями между криптопровайдером и носителем.
    Устройства типа ФКН можно использовать как устройства типа Активный и Пассивный.

Ключевые носители Рутокен и поддерживаемые ими режимы работы

Каждый Рутокен работает в одном, двух или трех режимах.

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.

Модель РутокенаВерсия КриптоПро CSP
4.05.05.0 R2
Рутокен 2151ПассивныйПассивный/АктивныйПассивный/Активный
Рутокен SПассивныйПассивныйПассивный
Рутокен LiteПассивныйПассивныйПассивный
Рутокен ЭЦП PKI
Пассивный/АктивныйПассивный/Активный
Рутокен ЭЦППассивныйПассивный/АктивныйПассивный/Активный
Рутокен ЭЦП 2.0ПассивныйПассивный/АктивныйПассивный/Активный
Рутокен ЭЦП 2.0 TouchПассивныйПассивный/АктивныйПассивный/Активный
Рутокен ЭЦП 2.0 2100ПассивныйПассивный/АктивныйПассивный/Активный
Рутокен ЭЦП 2.0 3000ПассивныйПассивный/Активный/ФКНПассивный/Активный/ФКН
Рутокен ЭЦП BluetoothПассивныйПассивный/АктивныйПассивный/Активный
Рутокен ЭЦП 2.0 FlashПассивныйПассивный/АктивныйПассивный/Активный
Смарт-карта Рутокен 2151ПассивныйПассивный/АктивныйПассивный/Активный
Смарт-карта Рутокен ЭЦП 2.0 2100ПассивныйПассивный/АктивныйПассивный/Активный
Смарт-карта Рутокен ЭЦП 3.0 NFC

Канал NFCФКН

Контактный считыватель

Пассивный/Активный/ФКН

Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.

Использование Пассивного режима 

Хранение ЭП в защищенной файловой системе Рутокен

Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи. 

Использование Активного режима 

Подписание документов будет происходить на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Устройства в режиме ФКН можно использовать как устройства в режиме Активный.

Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0

Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0 R2

Использования ФКН режима 

В КриптоПро CSP и Рутокенах с поддержкой ФКН реализован криптографический протокол SESPAKE. При работе будет устанавливаться зашифрованный канал для обмена сообщениями между криптопровайдером и носителем. 

Генерация контейнера ФКН на Рутокен ЭЦП 2.0 3000 с помощью КриптоПро CSP 5.0

Как проверить, что ключи на Рутокен ЭЦП 2.0 3000 сгенерированы в формате ФКН?

Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2

Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?

  • No labels