Названия режимов работы

Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.

Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:

• Пассивный. Контейнер генерируется через программный криптопровайдер КриптоПро CSP. В таком режиме контейнер с ключом ЭП и сертификатом хранится на токене или смарт-карте и передается криптопровайдеру, работающему в операционной системе, который уже решает, что с ним делать. Такой контейнер будет неэкспортируемым, если при его создании будут выполнены специальные настройки. Если контейнер будет создан как экспортируемый, то его можно скопировать на другой носитель. 
  Данный режим создает извлекаемые ключи.

• Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме контейнер тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
  Активные носители имеют возможность хранить контейнеры в пассивном режиме, что снижает безопасность ключа.
  

• Функциональный ключевой носитель (ФКН).  В таком режиме добавлена поддержка работы с неизвлекаемыми ключами по протоколу SESPAKE. Этот протокол позволяет реализовать процесс аутентификации не передавая PIN-код в открытом виде. Также SESPAKE позволяет установить шифрованный канал для обмена сообщениями между криптопровайдером и носителем.
  Устройства типа ФКН можно использовать как устройства типа Активный и Пассивный.

Ключевые носители Рутокен и поддерживаемые ими режимы работы

Каждый Рутокен работает в одном, двух или трех режимах.

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.

Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.

Использование Пассивного режима 

Хранение ЭП в защищенной файловой системе Рутокен

Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи. 

Использование Активного режима 

Подписание документов будет происходить на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Устройства в режиме ФКН можно использовать как устройства в режиме Активный.

Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0

Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0 R2

Использования ФКН режима 

В КриптоПро CSP и Рутокенах с поддержкой ФКН реализован криптографический протокол SESPAKE. При работе будет устанавливаться зашифрованный канал для обмена сообщениями между криптопровайдером и носителем. 

Генерация контейнера ФКН на Рутокен ЭЦП 2.0 3000 с помощью КриптоПро CSP 5.0

Как проверить, что ключи на Рутокен ЭЦП 2.0 3000 сгенерированы в формате ФКН?

Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2

Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?