Самым безопасным вариантом хранения контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.
Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:
Активный. Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме контейнер тоже хранится на токене или смарт-карте. Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
Активные носители имеют возможность хранить контейнеры в пассивном режиме, что снижает безопасность ключа.
Каждый Рутокен работает в одном, двух или трех режимах.
В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.
На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.
Устройство Рутокен | КриптоПро 4.0R4 | КриптоПро 5.0 11455 | КриптоПро 5.0 R2 12000 (в т.ч. сборка с PKCS#11 модулями) | КриптоПро 5.0 R3 12234 |
---|---|---|---|---|
Рутокен S | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) |
Рутокен Lite | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) |
Рутокен ЭЦП 2.0 2000 | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) |
Режим Активный токен без защиты канала (rutoken_crypt) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | ||
Рутокен ЭЦП 2.0 2100 | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) |
Режим Активный токен без защиты канала (rutoken_crypt) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | ||
Рутокен ЭЦП 2.0 3000 | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) | Пассивный режим (CSP) |
Режим ФКН c защитой канала (rutoken_fkc) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | ||
Режим ФКН c защитой канала (rutoken_fkc) | Режим ФКН c защитой канала (rutoken_fkc) | |||
Смарт-карта Рутокен ЭЦП 3.0 NFC (бесконтактное подключение) | Не поддерживается | Не поддерживается | Режим Активный токен (pkcs11_rutoken_ecp)* | Режим Активный токен (pkcs11_rutoken_ecp)* |
Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) | |||
Смарт-карта Рутокен ЭЦП 3.0 NFC (контактное подключение) | Не поддерживается | Не поддерживается | Пассивный режим (CSP)* | Пассивный режим (CSP)* |
Режим Активный токен (pkcs11_rutoken_ecp)* | Режим Активный токен (pkcs11_rutoken_ecp)* | |||
Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) |
*не работает с Android, iOS
Носители в режиме Активный появились в КриптоПро CSP начиная с версии 5.0.
Хранение ЭП в защищенной файловой системе Рутокен
Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи.
Подписание документов будет происходить на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Устройства в режиме ФКН можно использовать как устройства в режиме Активный.
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0
Генерация неизвлекаемых ключей на Рутокенах в КриптоПро CSP 5.0 R2
В КриптоПро CSP и Рутокенах с поддержкой ФКН реализован криптографический протокол SESPAKE. При работе будет устанавливаться зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Генерация контейнера ФКН на Рутокен ЭЦП 2.0 3000 с помощью КриптоПро CSP 5.0
Как проверить, что ключи на Рутокен ЭЦП 2.0 3000 сгенерированы в формате ФКН?
Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2
Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?