Названия режимов работы
Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.
Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:
- Пассивный. Контейнер генерируется через программный криптопровайдер КриптоПро CSP. В таком режиме ключ хранится только на токене или смарт-карте и передается криптопровайдеру, работающему в операционной системе, который уже решает, что с ним делать. Такой ключ будет неэкспортируемым, если при его создании будут выполнены специальные настройки. Если ключ будет создан как экспортируемый, то его можно скопировать на другой носитель. В данном случае ключ является извлекаемым.
Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме ключ тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
Активные носители имеют возможность хранить ключ в извлекаемом виде, но это значительно понижает безопасность ключа.Этот режим не всегда активен, дополнительная настройка может потребоваться в следующих случаях:
- Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется обновление КриптоПро CSP до версии 5.0 R2.
- Если на компьютерах с ОС Linux или macOS выполняется установка КриптоПро CSP, то необходимо после ее реализации установить библиотеку rtpkcs11ecp.
Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется первичная установка КриптоПро CSP 5.0 R2, то все необходимые настройки выполнятся автоматически.- Функциональный ключевой носитель (ФКН). В таком режиме добавлена поддержка работы с неизвлекаемыми ключами по протоколу SESPAKE. Этот протокол позволяет реализовать процесс аутентификации не передавая PIN-код в открытом виде. Также SESPAKE позволяет установить шифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Устройства типа ФКН можно использовать как устройства типа Активный и Пассивный.
Ключевые носители Рутокен и поддерживаемые ими режимы работы
Каждый Рутокен работает в одном, двух или трех режимах.
В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.
На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.
| Модель Рутокена | Версия КриптоПро CSP | |||
| 4.0 | 5.0 | 5.0 R2 | ||
| Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен S | Пассивный | Пассивный | Пассивный | |
| Рутокен Lite | Пассивный | Пассивный | Пассивный | |
| Рутокен ЭЦП PKI | Пассивный/Активный | Пассивный/Активный | ||
| Рутокен ЭЦП | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 Touch | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 3000 | Пассивный | Пассивный/Активный/ФКН | Пассивный/Активный/ФКН | |
| Рутокен ЭЦП Bluetooth | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Рутокен ЭЦП 2.0 Flash | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
| Смарт-карта Рутокен ЭЦП 3.0 NFC | Канал NFC | ФКН | ||
Контактный считыватель | Пассивный/Активный/ФКН | |||
Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.
Использование Пассивного режима
Хранение ЭП в защищенной файловой системе Рутокен
Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи.
Использование Активного режима
Подписание документов будет происходить на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Устройства в режиме ФКН можно использовать как устройства в режиме Активный.
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0 R2
Использования ФКН режима
В КриптоПро CSP и Рутокенах с поддержкой ФКН реализован криптографический протокол SESPAKE. При работе будет устанавливаться зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Генерация контейнера ФКН на Рутокен ЭЦП 2.0 3000 с помощью КриптоПро CSP 5.0
Как проверить, что ключи на Рутокен ЭЦП 2.0 3000 сгенерированы в формате ФКН?
Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2
Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?