Безопасная флешка. Миф или реальность / Хабр

Безопасная флешка. Миф или реальность / Хабр Электронная цифровая подпись

Что могут предложить флешки в плане защиты?

Первый, самый очевидный вариант, флешки с аппаратной защитой и без внешнего программного управления, у них обычно клавиатура на корпусе — все в них вроде бы неплохо, но стоят они в большинстве своем совершенно диких денег, может быть за счет своей малосерийности, а может быть и жадности продавцов. Очевидно, ввиду высокой стоимости, особого распространения не нашли.

Второй вариант — навесная программная защита для обычной флешки.

Вариантов много (их можно легко нагуглить), но все они имеют явный плюс в виде почти нулевой стоимости и неизбежные ограничения, связанные с необходимостью установки специального программного обеспечения на компьютер. Но главный минус навесной защиты — это ее слабость.

В чем же слабость — спросите вы.

А дело в том, что любая шифрующая диски программа использует в качестве ключа шифрования последовательность полученную по особому алгоритму, например PBKDF, из пароля, который вы будете использовать для разблокировки. И что-то мне подсказывает, что вряд ли пароль, который придется часто набирать, будет длинным и сложным.

А если пароль короткий и простой, то подобрать его по словарю будет не таким уж и сложным делом.

Злоумышленник, завладев вашей зашифрованной флешкой даже на короткое время, может скопировать с нее криптоконтейнер. Вы так и будете думать, что данные по-прежнему в безопасности. А на самом деле все это время кто-то усиленно подбирает ключ к вашему контейнеру и с каждой минутой подходит все ближе к своей цели.

Поэтому, если вы не враг самому себе, то пароль должен быть «стойким». Но поскольку вам же потом этот же «стойкий» пароль придется многократно набирать — это начинает противоречить утверждению на предыдущей строке.

Что же делать — спросите вы.

Можно ли поставить между защищаемой флеш-памятью и компьютером аппаратную защиту так, чтобы это было удобно, надежно и более-менее доступно? Чтобы хотя бы можно было обойтись без монструозного корпуса с аппаратными кнопками.

Оказывается, да, можно, если вы российский производитель устройств электронной подписи (токенов и смарт-карт).

Etoken или флешка? что выбрать для защиты своих ключей эцп? | электронный документооборот. мнения

Все процессы СЭД всегда связаны с защитой данных. Однако, многие владельцы сертификатов ЭЦП, необходимой для осуществления электронного обмена документацией, пытаются сэкономить на защите своих данных. Бывает так, что носитель с ЭЦП клиента приходит в негодность. Ну а что, сами этому поспособствовали!

Портятся в основном дискеты или диски, которые быстро размагничиваются или, соответственно, царапаются и проглатывают данные, теряются флеш-карты с записанными на них ключевыми парами. Да! совсем забыла: по невнимательности многие владельцы ЭЦП просто стирают ключи с флешки методом shift delete! Упс! И что дальше? Естественно, заново получать сертификат ЭЦП — а это лишняя трата денег, времени, нервов. Вот последнее, по моему мнению, самое дорогое. Не хочется потом засыпать только с помощью “Новопассита”.

Когда клиенты приобретают ЭЦП, в Удостоверяющем центре им предлагают приобрести и специальный носитель, называющийся eToken ( либо ruToken). Но клиенту бывает просто жалко денег на такое устройство: 900 рублей за какую-то флешечку на 72кб!

“Я лучше флешку на 16 гигов куплю и буду комфортно пользоваться ей!”, — в сердцах говорит клиент специалистам Удостоверяющего центра, которые так и хотят содрать с клиента как можно больше денег. И клиенту не важно, что именно этот носитель создан специально для хранения ключей электронной подписи. Я могу на это сказать так: скупой платит дважды!

Раскрою секрет, почему Удостоверяющие центры предлагают устройства eToken для защиты ключей подписи:

Во-первых, пока ещё не придумали ничего надежнее и практичнее, чем это устройство защиты ключей электронной подписи. Как говорит производитель eToken-ов: электронные ключи eToken базируются на высокозащищенной платформе, разработанной для производства смарт-карт — области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Поэтому ключи eToken фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение Ваших персональных данных и надежно защищенным от несанкционированного вмешательства.У стройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и защищают Вашу информацию.

Читайте также:  Csptest описание команд windows

Во-вторых, если eToken ненароком сломается, то Удостоверяющий центр его стопроцентно заменит: БЕСПЛАТНО!

В-третьих, 900 рублей вы платите за пользование Token-ом всю жизнь (ну или пока он не сломается: см. пункт выше).

Как оказалось, секрет и не был таким уж секретом. Все это знают, но сознательно хотят сэкономить. А в итоге получается следующая схема:

носитель стал непригодным для использования (нет больше ЭЦП!)—>поход в Удостоверяющий центр за новой ЭЦП (как же выделить время!)—> оформление документов (паста в ручке закончилась, надо купить новую ручку!)—> оплата счета (ОПЯТЬ!)—>ожидание своей ЭЦП (сроки горят!)—>получение ЭЦП (наконец-то!…).

Мне кажется, вывод очевиден: выгоднее заплатить 900 рублей за надежность. Тем более, если компания приобретает дорогостоящую ЭЦП, сумма eToken-а явно покажется незначительной по отношению к стоимости подписи.

Безопасная флешка все-таки существует

В устройствах Рутокен ЭЦП 2.0 Flash флеш-память подключена через специальный защищенный контроллер, прошивка которого, карточная операционная система Рутокен, целиком и полностью разработана специалистами компании «Актив» (карточная ОС Рутокен находится в реестре отечественного ПО Минкомсвязи).

Безопасная флешка. Миф или реальность / Хабр

В эту прошивку встроен специальный управляющий модуль, который контролирует потоки данных, входящие на флешку и выходящие из нее.

А так как в карточной операционной системе Рутокен испокон веков есть функциональность, обеспечивающая доступ к криптографическим ключам электронной подписи по PIN-кодам, мы реализовали в ней своего рода «вентиль», который может быть открыт, закрыт или открыт в одностороннем режиме (например, только для чтения). Вентиль этот как раз и управляется PIN-кодом. Не зная его, этот вентиль невозможно повернуть.

Теперь представьте, что такой вентиль по умолчанию находится в положении «закрыт». А чтобы открыть его, нужно предъявить PIN-код, который знаете только вы. Причем, вентиль автоматически закрывается при извлечении устройства из компьютера. И количество попыток ввода неправильного PIN-кода жестко ограничено. Причем, устройство защищено от физического взлома и извлечения флеш-карты.

Получается вполне безопасная, надежная и удобная система. Мы реализовали ее в виде небольшой управляющей программы, которая называется — «Рутокен Диск».

Флеш-память устройства Рутокен ЭЦП 2.0, на котором работает «Рутокен Диск», разбита на 2 области: одна служебная, для эмулирующего CD-ROM раздела с управляющей программой; вторая — для пользовательских данных.

При подключении такого устройства к компьютеру вы увидите два физических диска. CD-ROM раздел сразу доступен для чтения и автоматически монтируется, а в операционных системах Windows еще и всплывает симпатичное окошко.

Защищенный раздел выглядит как ридер карт памяти, но без вставленной в него карты, доступа к данным нет.

Однако, запустив приложение и введя простой PIN-код, вы моментально получаете доступ к своим файлам.

Сам токен уже много лет продаётся и возможность реализации защищённой флешки в нем была изначально. На токен для организации безопасного доступа загружено приложение Рутокен. Диск.

Вместо резюме:

Если вы доверяете свою информацию обычной флешке — храните её, как зеницу ока. В случае же с Рутокеном ЭЦП 2.0 Flash и Рутокен.Диском — можно быть гораздо спокойнее за конфиденциальность своих данных. Хотя и полностью расслабляться никогда не стоит.

Заранее отвечу на некоторые вопросы, которые обязательно у кого-нибудь появятся:

Остальные вопросы, пожелания и замечания оставляйте в комментариях — постараемся ответить на все вопросы.

Как работает токен?

Токен внешне очень похож на обычный USB-накопитель, однако он имеет защищенную паролем карту памяти, на которой и хранится информация для генерации подписи. Чтобы идентифицировать себя, хозяин ЭП должен вставить токен в USB-разъем компьютера и ввести пароль. Преимущество токена перед флешкой заключается в том, что информацию об ЭП не может узнать постороннее лицо.

Как скопировать публичный ключ с рутокена на флешку

Некоторые пользователи из соображений безопасности не желают переносить программные средства ЭП с Рутокен в реестр операционной системы персонального компьютера. Тем не менее им бывает необходимо пользоваться цифровой подписью на своем или чужом рабочем месте при обмене цифровыми документами с другими участниками ЭДО. Для этого достаточно продублировать с USB-токена на flash-накопитель только личный открытый сертификат.

Читайте также:  Raspberry Pi3 - Omnikey 5022 - PCSC_SCAN - SCardEstablishContext: Service not available · Issue #68 · LudovicRousseau/PCSC · GitHub

Как скопировать публичный ключ с Рутокен на флешку:

  1. Вставляем оба устройства в USB-разъемы.
  2. См. инструкцию № 2. Выполняем пп. 2-12.
  3. Указываем имя файла и путь к нему: латинскую букву, обозначающую flash-накопитель в системе, и папку, в которую нужно продублировать данные.

Заканчиваем операцию — см. пп. 14-15.

Как скопировать сертификат из хранилища ос на флешку через криптопро

Участнику ЭДО, который часто работает на разных машинах (ПК, ноутбуках, серверах) с многопользовательским доступом, может потребоваться перенос публичного ключа на на flash-накопитель. Это удобно, если получателю (например, сотруднику ФНС РФ) требуется верифицировать цифровую подпись, которой завизированы документы отправителя, а прописывать свои личные ключи в операционную систему на чужой или корпоративной машине он не желает.

Как скопировать сертификат из хранилища ОС на флешку через КриптоПро:

  1. Подключаем flash-накопитель через USB-разъем ПК.
  2. Действуем согласно инструкции № 2, размещенной в предыдущем разделе этой статьи. Следуем пунктам 2-5.
  3. При выборе контейнера в колонке «Считыватель» выделяем строку «Реестр».
  4. Выполняем пп. 7-12.
  5. Указываем имя файла и путь к нему — латинскую букву, обозначающую flash-накопитель в системе и, при необходимости, название папки, в которую репродуцируются сведения.

Заканчиваем операцию — см. пп. 14-15.

Как скопировать эцп с компьютера на флешку

Если ваш USB-токен вышел из строя, но вы успели перенести программные средства ЦП на компьютер, имеет смысл продублировать сведения на запоминающее устройство.

Предупреждение! Описываемая операция хороша как временная мера. Flash-накопитель — это незащищенный носитель. Ваши данные могут быть украдены злоумышленниками.

Как скопировать ЭЦП с ПК, ноутбука, сервера на флешку:

  1. Подключаем flash-накопитель через USB-разъем.
  2. См. инструкцию № 1. Выполняем пп. 2-6.
  3. При выборе контейнера в списке «Считыватель» выделяем строку «Реестр».
  4. Указываем пароль к закрытому контейнеру в хранилище ОС (если он ранее был установлен).
  5. Выполняем пп. 10-11.
  6. Указываем букву, обозначающую запоминающее устройство в системе.

Заканчиваем операцию — см. пп. 13-17.

Как скопировать эцп с флешки на компьютер или рутокен

Сразу оговоримся, что флешкой иногда называют не только классический flash-накопитель с USB-разъемом, но и защищенный USB-токен, выданный заявителю уполномоченным сотрудником удостоверяющего центра (УЦ). Чаще всего, это Рутокен — комбинированное решение, состоящее из двух компонентов: USB-ключа и flash-памяти.

Итак, вы получили в УЦ аппаратно-программные средства генерации и верификации цифровой подписи. Как скопировать ЭЦП с флешки или защищенного носителя на компьютер? Сначала следует подготовить рабочее место.

Первое. Вам понадобится загрузить и инсталлировать на ноутбук, ПК или сервер СКЗИ КриптоПро CSP и драйверы для Рутокен.

Второе. Чтобы прописать личный открытый сертификат, понадобится инсталляция корневого сертификата (КС) УЦ в соответствующий раздел ОС. Если этого не сделать, система выдаст сообщение об ошибке.

Примечание 1. Уполномоченный сотрудник УЦ обычно записывает КС на USB-токены или смарт-карты, выдаваемые пользователям, или на USB-flash-накопитель заявителя (по требованию). Электронный формат КС — это файл с расширением .cer.

Примечание 2. Все инструкции в ОС Windows следует выполнять из системного профиля с правами администратора.

Прописываем КС в реестр ОС Windows 10:

  1. Двойным щелчком левой кнопки мышки открываем файл, содержащий КС УЦ. Внимательно проверяем отображенные сведения.
  2. Щелкаем «Установить сертификат» —> «OK» —> «Далее».
  3. Отмечаем птичкой «Поместить все сертификаты в следующее хранилище».
  4. Жмем «Обзор».
  5. В перечне с каталогами раскрываем «Доверенные корневые центры сертификации», отмечаем птичкой опцию «Показать физические хранилища»: выделяем «Реестр» для ограничения доступа к КС всем, кроме текущего пользователя, или «Локальный компьютер», если предполагается использование КС всеми пользователями ОС.
  6. Читаем системное предупреждение о безопасности —> «Да».
  7. Утилита импорта сообщит о завершении работы. Щелкаем «Готово».
  8. Дожидаемся соответствующего оповещения —> «OK».

Обычное запоминающее устройство можно открыть и просмотреть его содержимое в обозревателе ОС — например, Windows Explorer. На нем вы обнаружите файл с расширением .cer и папку закрытого (секретного) ключа. Она содержит 6 файлов. Один из них — header.key — и есть ваш открытый ключ.

Программные средства ЭП, записанные на USB-токен, можно просмотреть и продублировать на ПК только с помощью СКЗИ КриптоПро CSP (об этом ниже).

Третье. Проверяем, указаны ли токен, смарт-карта или запоминающее устройство в списке установленных считывателей для КриптоПро CSP:

  1. Запускаем криптопровайдер.
  2. Переходим в «Оборудование».
  3. Щелкаем «Настроить считыватели…».
  4. Откроется окошко со списком, который должен содержать строку «Все считыватели смарт-карт», если подключен Рутокен. Если ключевым носителем является запоминающее устройство, перечень должен содержать строку «Все съемные диски».
  5. При отсутствии в вышеуказанном списке актуального ключевого носителя, нажимаем «Добавить…» и дополняем перечень необходимым считывателем.
Читайте также:  Простая эцп госуслуги

Рабочее место настроено.

Инструкция № 1. Репродуцируем данные с Рутокен в ОС Windows:

  1. Вставляем устройство в USB-разъем.
  2. Запускаем криптопровайдер.
  3. Переходим к опции «Сервис».
  4. Щелкаем «Скопировать».
  5. В окошке экспорта контейнера закрытого ключа строку «Имя…» оставляем пустой.
  6. Нажимаем «Обзор».
  7. Откроется окошко с перечнем найденных ключевых контейнеров. Выделяем нужный — в колонке «Считыватель» выделяем Рутокен.
  8. «OK» —> «Далее».
  9. Вводим PIN-код (по умолчанию — 12345678).
  10. Криптопровайдер вернет нас к окошку экспорта. Придумываем и вводим название контейнера-дубликата.
  11. Кликаем «Готово».
  12. В новом окошке в качестве носителя контейнера закрытого ключа в левом списке «Устройства» выделяем «Реестр» —> «OK».
  13. Криптопровайдер предложит установить пароль. Придумываем и вводим.
  14. Подтверждаем его —> «OK».
  15. Если вы уверены, что доступ к ПК не получит посторонний, оставляйте строку пароля пустой.
  16. Если на ПК работают и другие пользователи, установите надежный пароль. По возможности держать его следует в недоступном месте. Если вы потеряете пароль, использовать контейнер станет невозможно.

По окончании операции криптопровайдер вернется на вкладку «Сервис».

Инструкция № 2. Просматриваем и дублируем на ПК только публичный ключ:

  1. Подключаем Рутокен.
  2. Запускаем криптопровайдер.
  3. Открываем «Сервис».
  4. Вызываем опцию «Просмотреть сертификаты».
  5. Строку «Имя…» не заполняем, жмем «Обзор».
  6. В новом окошке просматриваем список и выделяем нужный — в перечне «Считыватель» выделяем Рутокен.
  7. «OK» —> «Далее».
  8. В окне просмотра внимательно верифицируем отображенные сведения.
  9. Кликаем «Свойства».
  10. Выбираем вкладку «Состав» —> «Копировать в файл» —> «OK».
  11. Помечаем птичкой опцию «Нет, не экспортировать закрытый ключ» —> «Далее».
  12. В качестве формата отмечаем птичкой «Файлы Х.509 (.CER) в кодировке DER» —> «Далее».
  13. Щелкаем «Обзор» и указываем имя файла, куда выгружаем информацию, и путь к нему.
  14. «Далее» —> «Готово».
  15. Дожидаемся оповещения о завершении операции —> «OK».

Многие пользователи хотят узнать, как скопировать электронную подпись с флешки на Рутокен. Этот интерес продиктован желанием максимально обезопасить личную информацию от кражи. Как правило, заявители, получившие программные средства ЭП на обычном USB-носителе, позже принимают решение перенести сведения на токен или смарт-карту.

Несмотря на внешнее сходство (форм-фактор, разъем для подключения к ПК), разница между этими устройствами весьма существенна. Основное назначение USB-flash-накопителя — хранение данных. Электронно-вычислительная машина (ЭВМ) воспринимает его как внешний диск. USB-flash-накопитель выдерживает до 10 тыс. циклов перезаписи.

Основное назначение Рутокен — хранение конфиденциальной информации, в том числе личных ключевых контейнеров. Любой USB-токен — это микро-ЭВМ, теми или иными (например, криптографическими) методами обеспечивающая выполнение процесса аутентификации.

Как скопировать сертификаты с флешки на Рутокен:

  1. Подключите оба носителя через USB-разъемы к рабочей машине.
  2. Последовательно выполните шаги 2 – 6 инструкции №1.
  3. Переходите к пункту 7: в колонке “Считыватель” выделите латинскую букву, которая обозначает usb-флеш-накопитель в системе. После этого выполните пункты 8 – 11.
  4. Переходите к шагу 12: укажите Рутокен в поле «Вставленный носитель».

Выполните шаги 13 – 17 инструкции №1 и завершите операцию.

Рутокен и криптопро: как скопировать информацию на флешку

Предупреждение! Операция, о которой пойдет речь, потенциально опасна. Последствием ее выполнения может стать кража злоумышленниками ваших персональных данных с незащищенного носителя. Если вы осознаете риски, но обстоятельства требуют, например, передачи копии программных средств ЭП доверенному лицу, вы можете воспользоваться инструкцией ниже.

Как скопировать закрытый ключ с Рутокен на флешку с помощью КриптоПро:

  1. Вставляем в USB-разъемы оба устройства.
  2. См. инструкцию № 1. Выполняем пп. 2-11.
  3. В поле «Вставленный носитель» указываем flash-накопитель.
  4. Заканчиваем операцию — см. пп. 13-17.

Предупреждение! Эксперты не рекомендуют держать личную информацию в доступных для посторонних лиц местах: на корпоративных рабочих машинах или незащищенных flash-накопителях. Персональные данные могут быть похищены.

Чему этот инцидент меня научил?

В первую очередь — бережнее относиться к своим вещам, а во вторую — тому, что любую информацию, которую хоть каким-либо даже косвенным образом можно использовать во вред тебе, необходимо защищать.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector