Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.
На устройстве объемом 64 Кб можно хранить до 15 ключевых контейнеров.
Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.
Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).
Совместимость подтверждается сертификатами совместимости.
В КриптоПро CSP 5.0 и новее появился режим, в котором Рутокен выступает как средство формирования электронной подписи – «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.
Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.
Режимы работы с Рутокенами, доступные в КриптоПро 5.0 R2
1. Работа с внутренним криптоядром Рутокена через библиотеку PKCS#11
- Если на компьютере с ОС Windows установлены Драйверы Рутокен, и производится первичная установка КриптоПро CSP 5.0 R2, то необходимая настройка системы будет выполнена автоматически.
- При обновлении программы с предыдущих версий КриптоПро CSP, нужно:
1) Установить актуальную версию «Драйверов Рутокен» (или библиотеку rtpkcs11ecp для Linux и macOS)
2) Запустить «КриптоПро CSP» с правами Администратора
3) Выбрать «Оборудование» - «Настроить считыватели» - «Считыватель смарт-карт PKCS#11»
Работа теперь возможна через библиотеку rtpkcs11ecp. В этом режиме ключи создаются сразу в защищенной памяти устройства.
Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Ключи и сертификаты, созданные в этом режиме полностью совместимы с ключами, созданными, например, через Рутокен Плагин.
При создании ключей необходимо выбирать считыватель PKCS#11.
Для работы со смарт-картой Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать режим "Работа с внутренним криптоядром Рутокена с обеспечением защиты канала".
2. Работа с внутренним криптоядром Рутокена с обеспечением защиты канала
В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который поддерживается в сертифицированной модели Рутокен ЭЦП 2.0 3000 и смарт-карте Рутокен ЭЦП 3.0 NFC.
Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: "ФКН с защитой канала (rutoken_fkc_xxxxxxxx)".
3. Хранение в защищенной файловой системе Рутокен
Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.
Для генерации такого типа ключей надо выбирать режим работы: "CSP (rutoken_xxxx_xxxxxxxx)".
Полезные знания и руководства:
- Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3.0 NFC с помощью КриптоПро CSP 5.0 R2
- Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?
- Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
- Тестирование целостности контейнера через КриптоПро CSP
- Установка личного сертификата
- Срок действия этой версии КриптоПро CSP истек / Как ввести серийный номер КриптоПро CSP?
- Изменение максимального количества контейнеров в КриптоПро CSP