Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.
Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:
Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме контейнер тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
Активные носители имеют возможность хранить контейнеры в пассивном режиме, что снижает безопасность ключа.
Каждый Рутокен работает в одном, двух или трех режимах.
В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.
На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.
Модель Рутокена | Версия КриптоПро CSP | |||
4.0 | 5.0 | 5.0 R2 | ||
Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен S | Пассивный | Пассивный | Пассивный | |
Рутокен Lite | Пассивный | Пассивный | Пассивный | |
Рутокен ЭЦП PKI | Пассивный/Активный | Пассивный/Активный | ||
Рутокен ЭЦП | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен ЭЦП 2.0 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен ЭЦП 2.0 Touch | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен ЭЦП 2.0 3000 | Пассивный | Пассивный/Активный/ФКН | Пассивный/Активный/ФКН | |
Рутокен ЭЦП Bluetooth | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Рутокен ЭЦП 2.0 Flash | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Смарт-карта Рутокен 2151 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Смарт-карта Рутокен ЭЦП 2.0 2100 | Пассивный | Пассивный/Активный | Пассивный/Активный | |
Смарт-карта Рутокен ЭЦП 3.0 NFC | Канал NFC | ФКН | ||
Контактный считыватель | Пассивный/Активный/ФКН |
Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.
Хранение ЭП в защищенной файловой системе Рутокен
Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи.
Подписание документов будет происходить на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Устройства в режиме ФКН можно использовать как устройства в режиме Активный.
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0 R2
В КриптоПро CSP и Рутокенах с поддержкой ФКН реализован криптографический протокол SESPAKE. При работе будет устанавливаться зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Генерация контейнера ФКН на Рутокен ЭЦП 2.0 3000 с помощью КриптоПро CSP 5.0
Как проверить, что ключи на Рутокен ЭЦП 2.0 3000 сгенерированы в формате ФКН?
Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2
Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?