- Что вы узнаете
- Почему обычная флешка не подойдет
- Виды токенов
- Токены без СКЗИ
- Рутокен Lite
- Рутокен Lite micro
- Токены с СКЗИ
- Рутокен ЭЦП 2
- Рутокен ЭЦП 2. 0 Type-c
- JaCarta-2 SE
- Смарт-карты
- Bluetooth-токены
- Установка и настройка КриптоПро
- Чтобы проверить, какой контейнер соответствует сертификату
- Неизвлекаемые ключи
- Если у Вас сертификат ЕГАИС или «Ключ для маркировки 2.
- Копирование ключей электронной подписи
- Технические требования
- Термины
- Виды ЭЦП
- Извлекаемые ключи
- Главные функции
- Защита информации
- Создание ключей шифрования
- Формирование ПИН-кода
- Защита информации от случайных или преднамеренных потерь
- Защита от вредоносного кода и целенаправленного взлома
- Извлекаемые ключи
- Если контейнер находится на токене
- Функциональный ключевой носитель (ФКН)
- Пассивные ключевые носители
- Возможности
- Сертификат ФСБ
- Токены
- Требования к USB-токенам
- Какие бывают USB-токены
- Почему нужен токен, а не флешка
- Что такое смарт-карта
- Что такое bluetooth-токен
- Как выбрать
- В каких есть СКЗИ
- Есть ли разница, с СКЗИ или без
- Как с ними работать
- Возможные ошибки
- Какой носитель выбрать
- Windows или Unix
- Активные ключевые носители
- Если контейнер записан в реестр
- Как получить
- Необходимые документы
- Инструкция
- Цены
- Если контейнер находится на флеш-накопителе или жестком диске
- Преимущества решений КриптоПро
- Назначение
- Рутокен ЭЦП 2
- Для чего нужна
- Как работает
- Модели
- Ключевые функции
- Аутентификация
- Электронная подпись
- Безопасное хранение ключевой информации
- Защита персональных данных
- Корпоративное использование
- Характеристики
- USB-токены
- Смарт-карты
- Сертификаты
- Сертификация устройств
- Неизвлекаемые ключи
- Немного о ключах
- Установка и настройка КриптоПро для работы с электронной подписью
- Как установить КриптоПро – как установить сертификат в КриптоПро?
- Плагин КриптоПро не установлен в браузер
- Как установить ЭЦП
- Программы
- Плагины
- Функциональный ключевой носитель
- Если ключевой носитель выбран правильно
Что вы узнаете
- Почему нужен токен, а не флешка
- Какие есть виды токенов
- Что такое смарт-карта
- Что такое bluetooth-токен
Почему обычная флешка не подойдет
Токен напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль, сертификацию ФСТЭК/ФСБ, на продвинутых моделях встроено средство криптографической защиты информации (СКЗИ). Если его нет — нужно установить специальную программу на ПК. Чаще всего используют СКЗИ «КриптоПро». Программа покупается отдельно.
Виды токенов
Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.
В таблице — сравниваем основные характеристики токенов.
Расскажем подробнее о каждом носителе.
Токены без СКЗИ
Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, токены не подойдут для работы с алкоголем в ЕГАИС.
Рутокен Lite
Это самый бюджетный вариант токена. В нем нет дополнительных функций, но есть все необходимое для работы. Сертифицирован ФСТЭК.
Рутокен Lite micro
Та же модель, но в мини-версии. Удобна для тех, кто работает с ноутбука. СКЗИ приобретается отдельно (для работы в СБИС СКЗИ не требуется).
Токены с СКЗИ
Обладают высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. В них уже встроено средство криптографической защиты информации, поэтому для использования не нужно устанавливать программу на ПК.
Главное различие таких носителей — в наличии дополнительного пин-кода и возможности восстановления при блокировке.
Рутокен ЭЦП 2
Это базовая и самая популярная модель. На токене стоит ограничение по введению неправильного пин-кода. После нескольких попыток носитель заблокируется. Подходит для работы в ЕГАИС.
Рутокен ЭЦП 2. 0 Type-c
Та же модель, но с другим разъемом. Подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года). Подходит для работы в ЕГАИС.
JaCarta-2 SE
В отличие от Рутокена, JaCarta-2 SE имеет 2 преимущества:
- На модель можно установить 2 пин-кода. Один пин-код пользователь вводит, когда заходит в систему (стандартно для продвинутых токенов), второй — когда проводит транзакции или подписывает документы. Это снижает риск ошибочных действий и повышает безопасность данных.
- В JaCarta реализован новый механизм защиты от блокировки. Носитель не заблокируется, если несколько раз ввести неверный пин, — такое происходит на моделях Рутокен.
Если пользователь несколько раз ввел неправильный код, количество попыток аннулируется. Верный пароль можно будет ввести через определенное время — этот промежуток устанавливается заранее. Не нужно обращаться в УЦ, чтобы разблокировать носитель.
Смарт-карты
Это пластиковая карта со встроенной микросхемой. Такой вид носителей используется реже, так как для его использования нужен считыватель карт, — это главное отличие от USB-токенов. Смарт-карты также сертифицированы ФСТЭК и ФСБ.
Однако производители предлагают альтернативный вариант — карты с бесконтактной технологией NFC: в качестве считывателя подойдет любой смартфон или планшет. Чтобы подписать документы, достаточно приложить смарт-карту к мобильному устройству — электронная подпись будет получена, даже если на телефоне или планшете нет интернета.
На рынке защищенных носителей известны смарт-карты Рутокен и электронные удостоверения JaCarta.
Bluetooth-токены
Такие токены можно подключать:
- по USB к компьютеру;
- по Bluetooth к смартфону или планшету.
Одним из ведущих производителей является Рутокен. Модель Рутокен ЭЦП Bluetooth удобна для «мобильных сотрудников»: пользователь может подписывать электронные документы, не доставая токен из кармана или сумки. Устройство соединяется с телефоном или планшетом по Bluetooth, для начала работы требует код активации. Он защищает токен от случайного подключения к другому устройству.
Установка и настройка КриптоПро
- На официальном сайте cryptopro.ru необходимо приобрести нужную версию утилиты и установить криптопровайдер. Запустить КриптоПро CSP и, используя подсказки инсталлятора, осуществить установку утилиты на компьютер.
- Далее необходимо установить драйвер поддержки электронного идентификатора. Закрытые ключи могут храниться на дискетах, смарт-картах и других электронных носителях, но наиболее удобным аналогом считаются токены в виде USB-брелока (eToken, Рутокен). Для корректной работы носителя ставим соответствующий драйвер.
- Затем нужно настроить считыватели. Запускаем КриптоПро от имени администратора и в открывшемся окне находим вкладку «Оборудование» и нажимаем «Настроить считыватели». В открывшемся окне «Управление считывателями» жмем «Добавить». Выбираем нужный считыватель (например, для eToken выберем AKS ifdh 0). После установки нажмем «Готово».
- Переходим к установке личного сертификата пользователя ЭЦП. Во вкладке «Сервис» нажимаем «Установить личный сертификат». Укажем путь к файлу сертификата с расширением.cer.
- Далее вставляем токен в USB-разъем компьютера, указывая контейнер хранения закрытого ключа. Для настройки в автоматическом режиме можно поставить галочку у надписи «Найти контейнер автоматически». Система предложит ввести PIN-код и поместить личный сертификат в хранилище. После установки нажмем Готово.
- Перейдем к настройке браузера для работы с порталом госзакупки. Сайт zakupki.gov.ru работает только с браузером Internet Explorer.
В свойствах браузера необходимо выбрать вкладку «Безопасность» в которой следует выбрать «Надежные сайты» и нажать «Сайты». В открывшемся окне необходимо прописать следующие веб-сайты:
- Далее необходимо перейти на сайт госзакупки и в левой колонке меню в разделе «Дополнительно» найти пункт «Документы» и нажать «Файлы для настройки рабочего места». Скачать все выведенные файлы и установить.
Читайте также:
Льготы ветеранам труда во владимирской области в 2020 году
Чтобы проверить, какой контейнер соответствует сертификату
Необходимо:
- Если Вы используете «Референт»:
- запустить «Диагностику рабочего места»;
- открыть вкладку «Проверка криптографии»;
- в разделе «Список сертификатов» кликнуть по ссылке «Таблица соответствия сертификатов и закрытых ключей в системе».
- Если Вы используете «Онлайн-Спринтер», «Такском-Доклайнер» или «1С-Спринтер», необходимо найти нужный носитель с помощью подбора.
Неизвлекаемые ключи
Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.
Для генерации ключей формата PKCS#11 можно использовать инструменты от компании Актив:
- Генератор запроса на сертификатиз комплекта Драйверов Рутокен.
- содержащий примеры использования кроссплатформенной библиотеки rtpkcs11ecp).
Или воспользоваться программными ГОСТ-криптопровайдерами:
- СКЗИ КриптоПро CSP версии 5.0 R2 – при генерации ключей надо выбрать режим “Активный токен”.
- СКЗИ Signal-COM CSP– на активные ключевые носители из линейки Рутокен ЭЦП 3.0 автоматически генерируются неизвлекаемые ключи.
Если у Вас сертификат ЕГАИС или «Ключ для маркировки 2.
Чтобы просмотреть информацию о данных сертификатах, необходимо открыть драйвер вашего токена. Если у Вас:
- JaCarta SE, необходимо:
- Запустить «Единый клиент JaCarta»;
- Перейти на вкладку «ГОСТ».
Чтобы посмотреть информацию:- об открытой части сертификата, перейти в раздел «Ключи и сертификаты»;
- о закрытой части сертификата, нажать «Ввести PIN-код» в правом нижнем углу и ввести PIN-код от ГОСТ части токена (по умолчанию 1234567890).
В «Едином клиенте JaCarta» две вкладки «ГОСТ». Чтобы посмотреть информацию о сертификате, необходимо проверить их обе.
- “Рутокена ЭЦП 2.0”:
- Запустить «Панель управления Рутокен»;
- Перейти на вкладку «Сертификаты».
Чтобы посмотреть информацию:- об открытой части сертификата, перейти в раздел «Личные сертификаты»;
- о закрытой части сертификата, нажать «Ввести PIN-код» в правом верхнем углу и ввести PIN-код пользователя (по умолчанию 12345678).
Дополнительно. Зарегистрировать открытую часть сертификата ЕГАИС на “Рутокене ЭЦП 2.0” можно при помощи драйвера токена. Для этого необходимо:
- Проверить, установлена ли на вашем рабочем месте «КриптоПро CSP» 5.0.
Если нет, ее можно загрузить с сайта разработчика («Скачать» – «КриптоПро») и установить. - Открыть «Панель управления Рутокен» – «Сертификаты».
- Выбрать нужный сертификат и поставить галку в столбце «Зарегистрирован».
Если снять галку в столбце «Зарегистрирован», сертификат будет удален из хранилища «Личные».
*Контейнер (ключевой контейнер) – способ хранения закрытых ключей, реализованный продуктом «КриптоПро». Представляет из себя 6 файлов с расширением .key.
Копирование ключей электронной подписи
Важно:
- Сертификаты:
- Выданные УЦ ФНС,
- ЕГАИС,
- «Лес-ЕГАИС»
являются некопируемыми.
- Сертифицированные ФСТЭК токены, с которых так же отсутствует возможность скопировать сертификат: «JaCarta SF/ГОСТ», «JaCarta ГОСТ», JaCarta PKI, «Рутокен ЭЦП 2.0», «Рутокен ЭЦП 2.0 Flash», «Рутокен 2151», «Рутокен ЭЦП PKI».
Для копирования ключевого контейнера:
- В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите «Скопировать».
- Нажмите «Обзор» и выберите ключевой контейнер (сертификат) для копирования.
- Нажмите «Далее» и укажите новое произвольное имя для копии контейнера.
- Нажмите «Готово» и в открывшемся окне укажите носитель, на который будет скопирован контейнер (реестр компьютера, внешний носитель Х-диск, Рутокен, Jakarta и пр.):
- Укажите пароль для создаваемого контейнера (поле «пароль» можно оставить пустым) и нажмите «Ок».
Копирование в реестр
Копирование на внешний носитель
Копирование на Рутокен
Копирование на токен Jakarta
Если нужный носитель отсутствует:
- Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Оборудование» — «Настроить считыватели».
- Нажмите кнопку «Добавить».
- В открывшемся окне нажмите «Далее».
- Выберите в списке нужный носитель и нажмите «Далее» — «Готово».
Важно! Чтобы использовать созданный ключевой носитель, переустановите сертификат из скопированного контейнера:
- Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере».
- Нажмите «Обзор», отметьте нужный контейнер, нажмите «Ок» и «Далее».
- Нажмите «Установить».
- На вопрос о замене сертификата необходимо ответьте утвердительно.
- Нажмите «Готово» и «Ок».
Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.
Видеоинструкция по созданию копии ключевого контейнера.
Технические требования
У каждого типа носителей свои требования к операционной системе.
Тип носителя | Операционная система | ||
Windows | Linux | MacOS | |
Рутокен ЭЦП 2.0 2100 | Microsoft Windows версии 11, 10, 8.1, 7, Vista, XP, Server 2022, 2019, 2016, 2012 R2, 2012, 2008 R2, 2003 |
| MacOS версии 12, 11, 10.15, 10.14, 10.13, платформы Intel/ARM64 |
Рутокен ЭЦП 2.0 3000 | |||
Рутокен Lite | |||
Рутокен S |
| ||
JaCarta-2 SE JaCarta-2 ГОСТ JaCarta-2 PKI/ГОСТ JaCarta LT | Microsoft Windows версии 10, 8.1, 8, 7 SP1, Server 2019, 2016, 2012, 2012 R2, 2008 SP2 (32/64-бит), 2008 R2 SP1, 2003 SP2 | CentOS 7, 8, Альт 8 СП, 9, Astra Linux SE Smolensk 1.5, 1.6, Ред ОС 7.2, 7.3, Ubuntu 16.04, 18.04, 20.04, Debian 9, 10 и другие | macOS 11, 10.15, 10.14, 10.13, 10.12 |
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Термины
Часть терминов в статье подается в упрощенном виде для простоты понимания.
Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.
Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.
Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.
Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).
Виды ЭЦП
На практике используется несколько вариантов ЭЦП.
Простая ЭЦП
не содержит элементов криптографической защиты. Безопасность обеспечивается путём использования логина, пароля и кодов подключения.
В целом, используется только для фактической идентификации пользователя, но не используется для защиты конкретного документа.
Такая подпись всё же может заверять документы, однако, для этого необходимо выполнение определённых условий
:
- добавление в конкретный документ;
- использование соответствует внутренним правилам документооборота;
- наличие данных о личности отправителя файла.
Неквалифицированная
относится к усиленной подписи, но степень её защиты меньше, чем у квалифицированной. Однако, в данном случае уже используются криптографические методы защиты. Использование такой подписи позволяет не только подписать документ, но и внести в него изменения с последующим их подтверждением.
Квалифицированна
я считается наиболее защищенным вариантом. Используются криптографические методы защиты, подтверждение которых производится специальными органами. Использование на практике сложно, но при этом есть несомненный плюс – надёжность. Подключить такую подпись можно только в специальном удостоверяющем центре.
Извлекаемые ключи
Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).
Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.
Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.
Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.
Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.
Таким образом, извлекаемые экпортируемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.
А извлекаемые неэкспортируемые ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.
Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается. При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметры изменить нельзя.
Главные функции
Защита информации
Программа защищает ЭП от вредоносных вирусов и несанкционированного взлома
Создание ключей шифрования
Допускается использование разных типов носителей
Формирование ПИН-кода
Эта функция используется, чтобы обеспечить пользователя дополнительной защитой и усложнить работу злоумышленнику
Защита информации от случайных или преднамеренных потерь
Последние версии КриптоПро показали надежность софта
Защита от вредоносного кода и целенаправленного взлома
Извлекаемые ключи
- СКЗИ КриптоПро CSP версии 4.0 и новее. При генерации нужно выбрать “режим CSP”. Ключи будут созданы в защищённой памяти любой из моделей Рутокен.
- СКЗИ VipNet CSP или Signal-COM CSP, режим выбирать не надо: извлекаемые ключи будут созданы на пассивных ключевых носителях.
Если контейнер находится на токене
Переустановите драйвера для токена:
- RuToken
Драйвер можно загрузить из «Личного кабинета» («Управление услугами» – «АРМ» – «Дистрибутивы программ» – Rutoken) или с сайта производителя в разделе «Центр загрузок». - JaCarta SE 2.0
Необходимо установить:- «Единый клиент JaCarta»;
- Конфигурационную утилиту JaCarta (ЕГАИС).
Загрузить файлы можно с сайта производителя.
На всех этапах установки необходимо нажимать «Далее»
Функциональный ключевой носитель (ФКН)
Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.
Пример такого устройства — Рутокен ЭЦП 3.0 3100, который также поддерживает активный и пассивный режимы.
Пассивные ключевые носители
Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя – Рутокен Lite.
Возможности
- Поддерживает всю функциональность СКЗИ КриптоПро CSP 3.9 .
- Обеспечивает полную интеграцию с инфраструктурой PKI, основанную на «КриптоПро УЦ».
- Работает также со стандартной моделью Рутокен ЭЦП 2.0
. - С использованием аппаратных ресурсов Рутокен КП или Рутокен ЭЦП 2.0 выполняются следующие криптографические операции:
- генерация ключевых пар ГОСТ Р 34.10-2001;
- формирование электронной подписи по ГОСТ Р 34.10-2001;
- вычисление ключа согласования Диффи-Хеллмана (RFC 4357).
- Обеспечивает безопасное хранение и использование закрытых ключей внутри ключевого носителя без возможности извлечения.
Сертификат ФСБ
Во многих информационных системах (особенно государственных) одно из главных и обязательных требований – наличие на ПО сертификата соответствия ФСБ. На данный момент сертифицированы версии 3.6, и 4.0.
Версия КриптоПро CSP 4.0 имеет сертификаты ФСБ по классам защиты и для операционных систем от Windows Vista до Windows 10.
КриптоПро CSP 3.9 R2 КриптоПро CSP 4.0 R2 поддерживающие работу в Windows 10 в на сегодняшний день получили положительное заключение ФСБ.
Токены
Токен — небольшое устройство, которое используется для защиты информации, подтверждения личности владельца, защищенного удаленного доступа к конфиденциальным данным.
Токен представляет собой цифровой ключ для получения доступа к защищенной информации.
Аппаратные носители имеют небольшие размеры и позволяют переносить их с собой в кармане пиджака или кошельке либо на связке ключей в виде брелока.
Отдельные виды электронных ключей являются носителями электронных подписей и биометрических данных, защищенных криптографическими алгоритмами шифрования.
Современные криптоконтейнеры изготавливаются в формате USB-флешек, банковских карт либо беспроводных устройств, связывающихся с компьютерными терминалами по Bluetooth.
Когда электронный ключ подключен к ПК, устройство генерирует уникальную последовательность символов, при помощи которых происходит авторизация в программных СКЗИ (средствах криптографической защиты информации) и предоставляется доступ к зашифрованным данным.
Требования к USB-токенам
Токен с СКЗИ в формате USB-накопителей должен соответствовать требованиям:
- сертификация носителя в ФСБ и ФСТЭК;
- формат подключения — USB-A.
При соответствии этим требованиям ФНС РФ сможет выполнить запись сертификата ЭЦП (электронной цифровой подписи) на защищенный носитель.
Перечисленным требованиям соответствуют такие токены:
- Рутокен ЭЦП 2.0, S, Lite;
- JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), LT, ГОСТ, PKI/ГОСТ, PKI;
- ESMART Token, Token ГОСТ.
Какие бывают USB-токены
USB-токены делятся на две группы: активные и пассивные.
Пассивные не имеют собственных систем защиты и выступают в роли защищенного хранилища КЭП. Для работы с ними на ПК необходимо установить криптопровайдер — программу по работе с токенами для подписания документов ЭЦП. Например, КриптоПро CSP.
Пример такого хранилища — Рутокен Lite.
Активные токены оснащаются собственными чипами шифрования и для работы с ними не требуется стороннее ПО. Все задачи по наложению электронной подписи выполняются за счет встроенного защищенного программного обеспечения токена.
Пример носителей такого типа — Рутокен ЭЦП 2.0, JaCarta SE.
Почему нужен токен, а не флешка
Токены только напоминают традиционные USB-флешки, но ими не являются. Электронные ключи защищаются паролями, в них содержатся файлы сертификации ФСТЭК и ФСБ, некоторые модели оснащаются собственными чипами криптозащиты.
То есть на носитель ключей нельзя просто скопировать файлы. Также и внешний накопитель не станет токеном, если на него отправить копию ЭЦП.
Что такое смарт-карта
Смарт-карта имеет вид обычной банковской кредитки с контактной площадкой встроенного чипа на задней поверхности. Этот вид токена используется не так часто, как USB-носители, из-за необходимости оснащения рабочего ПК специальным считывателем. Смарт-карты также проходят сертификацию в ФСТЭК и ФСБ.
Альтернативный вариант — карточки с дополнительным NFC-чипом, позволяющим совершать бесконтактные операции с токеном. Например, для подписания документов можно использовать смартфон с поддержкой технологии бесконтактной оплаты и установленной мобильной версией КриптоПро. Чтобы подписать документ, достаточно открыть криптосредство СКЗИ на телефоне и приложить к его задней стороне смарт-карту.
Такие носители производятся под торговыми марками Рутокен и JaCarta.
Что такое bluetooth-токен
Это современное устройство, имеющее аналогичный принцип работы с USB-токенами, но не требующее физического подключения к ПК или смартфону. Подключение происходит посредством Bluetooth-соединения. Некоторые типы беспроводных токенов имеют USB-штекеры для подключения к ПК.
Беспроводной носитель удобен тем, что может быть спрятан в месте, не доступном для злоумышленников. При этом связь с токеном не обрывается до тех пор, пока пользователь находится в радиусе зоны действия встроенного в носитель приемника сигналов.
Единственный нюанс работы с Bluetooth-токенами – необходимо каждую проводимую операцию подтверждать ПИН-кодом, чтобы исключить вероятность перехвата сигнала посторонними лицами.
Как выбрать
Чтобы выбрать подходящий вариант токена для хранения ЭЦП, нужно определиться с:
- наиболее удобным для использования форматом устройства;
- оснащением носителя (наличие либо отсутствие чипа криптозащиты).
Для компаний, которые ведут выездные работы, а сотрудники часто ездят в командировки, подойдут Bluetooth-токены.
Если работа ведется на стационарных компьютерах (бухгалтерия предприятия), лучшим вариантом будут USB-токены.
Индивидуальные предприниматели, для которых оформление токена и установка криптопровайдера нужны только для соблюдения норм закона, могут оформить простую смарт-карту с беспроводным модулем. Такой вариант носителя является самым доступным из имеющихся.
В каких есть СКЗИ
Встроенными чипами криптозащиты оснащаются такие типы токенов:
- JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
- Рутокен ЭЦП 2.0, Рутокен S;
- ESMART Token, ESMART Token ГОСТ.
Есть ли разница, с СКЗИ или без
Электронные контейнеры ключей со встроенным СКЗИ обеспечивают высокий уровень защиты информации, сертифицируются ФСТЭК, ФСБ. Работать с таким типом токенов можно без криптопровайдера на ПК.
Носители с СКЗИ позволяют подписывать документы, касающиеся криптографической защиты информации. Например:
- машиночитаемые доверенности для загрузки на портал ФБУ «Росавтотранс»;
- подписание документации в ЕГАИС «Лес»;
- работа с отчетностью в ЕГАИС «Алкоголь».
Носители без СКЗИ подходят для подачи финансовой отчетности, авторизации компании в государственных торгах, подписания документации по ЭДО, регистрационных действий для Честного знака.
Токены без активной защиты могут применяться в тех случаях, когда работа ведется с информацией в открытом виде, а носители с СКЗИ – когда информация должна быть скрыта от посторонних.
Как с ними работать
Для работы с токенами и файлами ЭЦП, хранящимися в памяти носителей, нужно:
- установить на ПК криптопровайдер для работы с электронной документацией;
- вставить носитель в разъем USB;
- установить драйвер токена;
- добавить носитель в список активных носителей в СКЗИ.
После того как перечисленные действия будут выполнены, пользователь получит возможность использовать контейнер ключа для подписи документов, работы с госпорталами, участия в тендерах.
Обратите внимание! Несмотря на то что активные токены могут работать самостоятельно, без программного СКЗИ, наличие криптопровайдера на ПК обязательно – это требование Федеральной налоговой службы.
Возможные ошибки
При работе с носителями ключей периодически могут возникать ошибки. Некоторые из них исправляет владелец токена, а для устранения других необходимо обратиться в организацию, изготовившую носитель.
Рассмотрим основные проблемы, которые возникают с контейнерами ключей и Рутокенами в том числе:
- «Сертификат ненадежен / Не удалось проверить статус отзыва».
Проблема появляется при устаревании драйверов оборудования. Достаточно обновить драйверы либо повторно установить сертификат, чтобы снова сделать его доверенным. - Токен не определяется СКЗИ.
Возможны проблемы с гнездом подключения либо беспроводным интерфейсом. Если отключение носителя и повторное подключение не решили проблему, нужно проверить работоспособность материнской платы либо токена. - Токен не отображается в панели управления ПК.
Проблема может иметь программный характер либо проявляться из-за физической поломки ПК. Если не помогает переустановка драйверов, извлечение и повторная вставка носителя, следует также обратиться за диагностикой ПК либо проверить целостность встроенного чипа токена.
Какой носитель выбрать
- Для подписи ФНС требуется сертифицированный защищенный носитель Рутокен.
- Для торговых площадок, госпорталов, СМЭВ — любой защищенный флеш-накопитель.
- Для ЭДО и прочих применений — защищенный или обычный флеш-накопитель, реестр, мобильный телефон (только для работы в СБИС). Рекомендуем использовать Рутокен, Рутокен ЭЦП 2.0 или JaCarta-2 SE, так как эти устройства:
- физически надежны — поддерживают множество циклов перезаписи и обеспечивают высокую скорость подписания пакетов документов;
- имеют функцию защиты информации — если вы потеряете носитель, никто не сможет им воспользоваться, потому что для доступа требуется ПИН-код. Когда ПИН-код несколько раз вводится неправильно, устройство блокируется, лишая мошенников возможности получить ваши конфиденциальные данные.
Windows или Unix
Если вы выбираете версию 3.6, то нужно определиться, на какую операционную систему будет установлено ПО, – на Windows или Unix-подобную. Такое деление есть только в версии КриптоПро СSP 3.6 и более ранних. Если вы приобретаете версию или , то не имеет значения, на какую операционную систему вы планируете ее устанавливать – Windows или Unix-подобную.
Внедрение современных средств идентификации личности – огромный шаг в развитии электронного документооборота. Многие считают, что развитие подобного направления не имеет практического смысла, что использование подобных средств необходимо лишь небольшому количеству пользователей и ничто не превысит простую подпись в надёжности и удобстве, но это далеко не так.
Электронная цифровая подпись позволяет определить достоверность личности при цифровом документообороте, что существенно повышает его эффективность и позволяет экономить время и деньги.
Электронная цифровая подпись (или ЭЦП) – это, по сути, электронный реквизит
, который позволяет защитить цифровую версию какого-либо документа от подделки. Законодатель определяет ЭЦП как аналог собственноручной подписи, который используется с целью идентификации личности при электронном документообороте.
Активные ключевые носители
Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре – неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям
Пример активного носителя — Рутокен ЭЦП 3.0 3100.
Если контейнер записан в реестр
- Запустите редактор реестра («Пуск» – «Выполнить» – regedit);
Перед редактированием реестра необходимо создать его резервную копию:- Нажать «Файл» – «Экспорт»;
- Ввести название резервной копии в поле «Имя файла»;
- Указать путь для сохранения файла с расширением .reg;
- Выбрать «Весь реестр»;
- Нажать «Сохранить».
- Экспортируйте ветки реестра в произвольный каталог:
- HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5…( сид пользователя)\Keys (для x64 систем);
- HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Crypto Pro\Settings\Users\S-1-5…( сид пользователя)\Keys (для 32-битных систем);
- Откройте выгруженный файл реестра с помощью «Блокнота»;
- Измените пути к ветке реестра на:
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS \ S-1-5…( сид пользователя)\Keys (для x64 систем);
- HKEY_LOCAL_MACHINE\SOFTWARE\ Crypto Pro\Settings\USERS \S-1-5…( сид пользователя)\Keys (для 32-битных систем);
- Сохраните изменения;
- Запустите файл реестра;
- Согласитесь с внесением изменений в реестр.
Важно! Сертификат ЕГАИС и «Ключ для маркировки 2.0» не отображаются в «КриптоПро».
Как получить
Приобрести Рутокен можно несколькими способами:
- Оформить заказ на официальном сайте производителя по адресу: rutoken.ru.
- Обратиться к одному из бизнес-партнеров производителя, список которых размещен на сайте в разделе «Где купить».
- Заказать в одном из специализированных интернет-магазинов (cryptostore.ru, xcomspb.ru, infosecurity.ru).
- Обратиться к официальному дистрибьютору (1С:Дистрибьюция, АКСОФТ, Treolan).
Оптимальный вариант – заказать напрямую у производителя, который гарантирует качество продукции, наличие токенов в нужном количестве на складе, сертификацию продукции.
Необходимые документы
Для оформления заказа на носители со встроенным чипом СКЗИ для юридического лица понадобится:
- документ, удостоверяющий личность руководителя или доверенного лица, отвечающего за закупку носителей;
- доверенность с мокрой печатью на сотрудника, который занимается закупкой;
- код ИНН организации;
- ОГРН юридического лица или ОГРНИП;
- код КПП;
- юридический адрес организации;
- адрес доставки.
Если токен заказывает физическое лицо, понадобится:
- паспорт гражданина РФ;
- копия СНИЛС;
- ИНН заявителя.
Инструкция
Чтобы заказать токены на официальном сайте, нужно выполнить несколько действий:
- Перейти на официальный сайт rutoken.ru, открыть раздел «Заказ» и выбрать подраздел «Цены и заказ».
- Чтобы выбрать рутокен с СКЗИ или без, на открывшейся странице необходимо выбрать раздел «Аппаратные ключи для ЕГАИС» или «Носители для получения электронной подписи в УЦ ФНС» соответственно. В списке «Продукты Рутокен для ЕГАИС» выбрать нужный товар и его количество. Нажать кнопку «Enter» на клавиатуре компьютера. После чего графа для ввода количества товара изменится на надпись «Товар в корзине», на которую нужно нажать левой кнопкой мыши.
- На следующей странице будет отображен список продуктов, добавленных в заказ. Подтверждают заказ нажатием на кнопку «Оформить заказ».
- В появившуюся форму заказа вписывают данные компании, ФИО и контактную информацию ответственного лица, адрес доставки токенов. Подтверждают заказ нажатием на кнопку «Отправить заказ».
- Когда заявка будет обработана, на связь с ответственным лицом выйдет представитель компании-производителя для согласования условий поставки, формы оплаты и сроков изготовления.
Справка. Доставка заказа выполняется в течение 5 рабочих дней с момента его оплаты.
Цены
Стоимость Рутокен 2.0 у официального поставщика и дилеров идентична. Это объясняется политикой регулирования цен на продукцию.
В таблице приведены примеры расценок на популярных интернет-площадках.
Наименование носителя | Официальный сайт, рублей | cryptostore.ru, рублей | 1С: Дистрибьюция, рублей |
Рутокен ЭЦП 2.0 2100, серт. ФСБ | 2364 | 2360 | 2364 |
Рутокен ЭЦП 2.0 2100 micro серт. ФСБ | 2364 | 2360 | 2364 |
Рутокен ЭЦП 2.0 2100 Type-C серт. ФСБ | 2380 | 2380 | 2380 |
Хранение файлов ЭЦП в открытом доступе на ПК или внешнем носителе небезопасно. Для защиты пользовательских данных ФНС РФ рекомендует применять в работе защищенные носители, ключи на которых шифруются. Самым распространенным типом хранилища ключей являются USB-токены. При этом наиболее современным считается носитель в формате смарт-карты с NFC для беспроводного и удобного соединения со смартфонами и другими мобильными устройствами.
Для подписи документов с открытыми данными (документация для торгов) используются пассивные токены, ключи которых генерируются программными СКЗИ. Для передачи конфиденциальной информации применяются активные носители с собственными криптографическими чипами.
Если контейнер находится на флеш-накопителе или жестком диске
Убедитесь, что папка с контейнером находится в корневой папке. Контейнер должен иметь вид Имя контейнера.XXX, где XXX – произвольный номер из трех цифр.
Если папка с контейнером и резервная копия отсутствуют, Вам необходимо получить новый сертификат. Если вам необходим сертификат:
- Для представления отчетности, действуйте согласно статье.
- Для ЭТ, вам нужно приобрести новый сертификат.
Преимущества решений КриптоПро
Большой опыт в информационной безопасности
Программа широко распространена среди бизнес сообщества для работы с ЭЦП
Совместимость с альтернативным софтом
Прочитать сертификат можно даже если для его установки использовалось другое ПО. Совместимо с операционными системами Mac, Linux и Windows. Для корректного использования не нужны эмуляторы или дополнительные способы запуска софта
Техническая поддержка
Если пользователь ЭЦП не знает, как обращаться с софтом, можно проконсультироваться с техподдержкой криптопровайдера.
Использование ключей, хранящихся на облачном сервисе
В КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS
Назначение
СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии цифровой подписи. В том числе:
- в системах клиент-банк при подписи платежных поручений;
- в системах защищенного документооборота;
- в системах сбора отчетности для предоставления в электронном виде;
- в органах власти и управления на федеральном и региональном уровнях;
- во всех других случаях, где необходимо обеспечить повышенную защиту ключей пользователя.
Рутокен ЭЦП 2
Рутокен – торговая марка программных и аппаратных продуктов в области защиты информации, которые разрабатываются и производятся в РФ, сертифицируются ФСБ и ФСТЭК. Это такой же носитель ключей защиты, как и традиционный токен. Однако для криптографической защиты информации в рутокенах используются отечественные алгоритмы по ГОСТ Р 34.10-2012 с длиной ключа 256/512 бит и ГОСТ Р 34.11-2012.
Формат выпуска рутокенов: смарт-карточки, USB-носители и контейнеры с интерфейсом подключения Type-C.
Все операции независимо от модели российского носителя выполняются без копирования ключей в память ПК.
Рутокен с СКЗИ применяется в государственных и частных организациях, где необходимо обеспечение высокого уровня безопасности передаваемой информации (например, ЕГАИС, Маркировка и пр.).
Для чего нужна
Рутокен ЭЦП 2.0 используется для обеспечения защищенного электронного документооборота в таких направлениях:
- дистанционное обслуживание, проведение удаленных финансовых операций в банковской сфере;
- безопасная передача конфиденциальной информации в государственном секторе экономики;
- работа с системами ЕГАИС ФСРАР.
При помощи Рутокен ЭЦП 2.0 можно проходить авторизацию в личном кабинете частного предпринимателя на госпортале ФНС.
Как работает
Рутокен ЭЦП 2.0, как и традиционные токены с неизвлекаемыми ключами, используется для двухфакторной авторизации. Чтобы выполнить процедуру идентификации пользователя, нужно вставить носитель в ПК и подтвердить личность PIN-кодом разблокировки. Такой подход обеспечивает более высокий уровень безопасности данных по сравнению с традиционным введением логина и пароля.
Основой Рутокен ЭЦП 2.0 является микрочип с функцией криптографической защиты данных, модуль невзламываемой памяти для хранения ключей доступа, ЭЦП, сертификатов.
Отечественный носитель ключей может работать с российскими и международными алгоритмами безопасности, что позволяет встраивать поддержку токена в большинство приложений и информационных систем.
Модели
Все модели Рутокен 2.0 обеспечивают безопасность ключей на носителе и отвечают новым стандартам криптографической защиты:
- ГОСТ Р 34.10-2012 — генерация и тестирование ЭЦП;
- ГОСТ Р 34.11-2012 — алгоритм и порядок вычисления Hash-функций;
- VKO ГОСТ Р 34.10-2012 — алгоритмы генерации одноразовых ключей сессий.
Также все версии Рутокен 2.0 сохранили за собой поддержку предыдущих криптографических стандартов: ГОСТ Р 34.10-2001, ГОСТ 34.11-94 и ГОСТ 28147-89.
В таблице приведены все вариации Рутокен 2.0 с кратким описанием.
Версии Рутокена | Описание |
Базовый | Базовая модель в полноразмерном корпусе |
С сертификацией ФСБ | Токен поставляется с сертификатом, подтверждающим лицензирование ФСБ |
Экспортный, сертифицированный ФСБ | Носитель, который пользователь может вывозить за пределы российской территории. В этой версии отключена поддержка некоторых стандартов, что позволило получить сертификацию ФСБ и исключить нарушение государственной тайны. |
Сертифицированный ФСТЭК | Токен поставляется с сертификатом, подтверждающим лицензирование ФСТЭК |
2100 | Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя |
2100, сертифицированный ФСБ | Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя и с сертификацией ФСБ |
Смарт-карта Рутокен ЭЦП 2.0, сертифицированная ФСБ | Токен в виде смарт-карты, который поддерживает современные криптографические стандарты ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, VKO ГОСТ Р 34.10-2012 (RFC 7836) с длиной библиотеки ключей 256 и 512 бит. Процедура подписи документа выполняется за 0,3 сек. Сертификация ФСБ по классам безопасности КС1 и КС2. |
Type-C | Традиционный Рутокен ЭЦП 2.0, но с современным разъемом USB Type-C. Носитель можно подключить к новым мобильным устройствам с портами USB Type-C 3.0 или Thunderbolt 3. |
2100 Type-C | Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя c разъемом USB Type-C. Носитель подключается к современным ноутбукам с портами USB Type-C 3.0 или Thunderbolt 3. |
Micro | Полноценный Рутокен 2.0, но в миниатюрном корпусе. Удобен в использовании с ноутбуками и планшетами. Корпус носителя имеет такой же вид, как приемник для беспроводных мышек, и выступает за пределы USB-гнезда на 5–6 мм. |
Micro, сертифицированный ФСБ | Версия Micro, но с сертификацией ФСБ и сопроводительной документацией |
Micro, сертифицированный ФСТЭК | Версия Micro, но с сертификацией ФСТЭК и сопроводительной документацией |
2100 Micro | Версия Micro, построенная на контроллере смарт-карточек |
Touch | Носитель в полноразмерном корпусе с сенсорной кнопкой для подтверждения операций с ЭЦП. Применяется в тех случаях, когда требуется обеспечить высокий уровень безопасности проводимых операций. Сертифицируется ФСБ. |
RF | Рутокен ЭЦП 2.0 со встроенной RFID-меткой. Носитель позволяет не только подтверждать проводимые операции с ЭЦП, но и получать доступ к закрытым помещениям с ограниченным доступом. Рутокен ЭЦП RF комплектуется RFID-метками EM-Marine, Mifare, HID. |
Собственным блоком криптозащиты оснащаются Рутокены ЭЦП 2.0 c сертификатами ФСБ версий: 2100 (USB), 2100 Micro, 2100 Type-C.
Таким образом, чтобы определить, является ли рутокен носителем СКЗИ, достаточно обратить внимание на его версию и проверить наличие сертификата ФСБ.
Ключевые функции
Все функции, которые могут быть выполнены при помощи Рутокен 2.0, делятся на несколько категорий:
- аутентификация пользователя;
- электронная подпись для документов;
- безопасное хранение ключевой информации;
- защита персональных данных;
- корпоративные возможности.
Аутентификация
Использование Рутокена упрощает авторизацию пользователя в различных сервисах:
- на почтовых серверах, в базах данных, прочих удаленных хранилищах;
- вместо традиционного доступа к личным кабинетам на государственных порталах посредством ввода логина и пароля можно пользоваться двухфакторной авторизацией при помощи ЭЦП;
- защищенная аутентификация при удаленном доступе к ПК (например, если администратору нужно подключиться к рабочему компьютеру сотрудника).
Электронная подпись
При помощи Рутокена и аналогичных носителей ЭЦП реализуется возможность подписывать электронные документы при помощи файлов ЭЦП.
Безопасное хранение ключевой информации
Сюда входит:
- применение ключей для выполнения криптографических операций, но без копирования ключей с носителя;
- защита ключей, находящихся в памяти токена, от копирования;
- защита безопасности данных в случае утери носителя, так как для разблокировки функций нужно ввести ПИН-код.
Защита персональных данных
Включает в себя:
- шифровку переписок по электронной почте;
- обеспечение безопасности доступа к компьютеру и другим терминалам, которые подключены к локальной сети;
- защиту отдельных файлов или папок на диске компьютера путем криптографического шифрования.
Корпоративное использование
Рутокен используется:
- в качестве индивидуального ключа для подписи документов в разных корпоративных информационных системах, программах документооборота (например, СБИС, Бифит);
- в качестве личного ключа для доступа к личной информации, паролям, ключам шифрования, цифровым сертификатам.
Характеристики
Рутокен 2.0 в зависимости от формата (USB и смарт-карт) имеет незначительные отличия в технических характеристиках.
USB-токены
Основные характеристики Рутокен 2.0 в формате USB:
- микроконтроллер криптографической защиты с энергозависимым накопителем EEPROM объемом 64 Кб;
- поддерживаемые подключения – USB 1.1 и выше;
- габаритные размеры: 5,8 х 1,6 х 0,8 см;
- вес: 6,3 г;
- генерируемый серийный номер с длиной библиотеки шифрования в 32 бит;
- поддержка ОС Windows, Linux, Apple macOS.
Рутокен 2.0 USB может взаимодействовать с интерфейсами:
- PKCS#11 2.20, 2.30;
- Microsoft Crypto API;
- Microsoft SmartCard API;
- PS/CS;
- ISO/IEC 7816-4, 7816-8, 7816-12.
Отечественный носитель ключей может работать без установки драйверов по стандарту USB CCID.
Смарт-карты
Основные характеристики Рутокен 2.0 в формате SmartCard:
- микроконтроллер криптографической защиты с энергонезависимым накопителем EEPROM объемом 128 Кб;
- генерируемый серийный номер с длиной библиотеки шифрования в 32 бит;
- габаритные размеры: 8,56 х 5,4 х 0,1 см;
- вес: 5,5 г;
- поддержка ОС Windows, Linux, Apple macOS, Android 5.0 и выше, iOS 13 и выше.
Рутокен 2.0 SmartCard может взаимодействовать с интерфейсами:
- PKCS#11 2.20, 2.30;
- Microsoft Crypto API (ms_key);
- Microsoft SmartCard API;
- PS/CS;
- ISO/IEC 7816-3;
- ISO 14443 (NFC);
Накопитель может связываться со смартфонами по беспроводному протоколу NFC.
Сертификаты
Оба типа токенов отечественного производства (USB, SmartCard) после лицензирования ФСТЭК и ФСБ получают сертификаты соответствия государственного образца.
Сертификат ФСТЭК РФ подтверждает, что носители ключей признаются программно-техническими средствами, которые отвечают требованиям по безопасности информации и установленным уровням доверия к средствам технической защиты информации.
Сертификат от ФСБ подтверждает, что токен соответствует требованиям таких нормативных актов:
- Требования к средствам ЭЦП, утвержденные Приказом ФСБ РФ № 796 от 27.12.2011 г.
- Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
Наличие такого сертификата говорит о том, что токен может быть использован для критографической защиты информации, шифрования данных и использования ЭЦП.
Сертификация устройств
Немного о сертификации ключевых носителей.
Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.
Чтобы проще было запомнить:
- ФСТЭК России сертифицирует средство защиты информации (устройство).
- ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ).
Таким образом, в случае с извлекаемыми ключами, сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.
В случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.
Неизвлекаемые ключи
Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.
Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”.
Используя стандартизированный программный интерфейс (API) библиотеки PKCS#11, приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.
У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми “ФКН-ключами”. Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол SESPAKE (протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера наьютере компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.
Немного о ключах
Чтобы получить собственную ЭЦП необходимо обратиться в сертифицированный удостоверяющий центр (УЦ), который выдает корневой сертификат, а также открытый и закрытый ключ.
Корневой сертификат УЦ
– это файл с расширением.cer, позволяющий системе идентифицировать удостоверяющий центр.
Открытый ключ абонента
– это именной файл владельца электронного ключа, используемый для проверки достоверности и подлинности подписанного документа. Открытый ключ может быть опубликован и отослан как угодно и кому угодно, он является публичной информацией.
Закрытый ключ абонента
– это набор шифрованных файлов, хранящихся на электронном носителе. Владелец закрытого ключа использует секретный пин-код для авторизации в системе, потому в случае его утери абонент должен немедленно отозвать свой ключ через удостоверяющий центр.
После получения электронной подписи необходимо установить программное обеспечение на компьютере для работы с ЭЦП. Программа-криптопровайдер КриптоПро 3.6 поддерживает государственные стандарты РФ: ГОСТ Р 34.10–2001, ГОСТ Р 34.11–94 и ГОСТ Р 34.10–94.
Установка и настройка КриптоПро для работы с электронной подписью
Для участия в электронных торгах каждый предприниматель должен иметь собственную электронно-цифровую подпись. ЭЦП выступает в роли аналога собственноручной подписи, придающей электронному документу юридическую силу. Для участия в электронных аукционах на сайтах госзакупок необходимо обеспечить высокие гарантии достоверности и подлинности предъявленной подписи в заявке на участие в тендере и во всей сопутствующей документации. С целью аутентификации лиц, подписывающих электронные документы, была создана криптографическая утилита КриптоПро, позволяющая генерировать и проверять ЭЦП.
Как установить КриптоПро – как установить сертификат в КриптоПро?
КриптоПРО представляет собой криптопровайдер, позволяющий генерировать электронно-цифровую подпись и дающий возможность работать с сертификатами ключа. Процессу установки КриптоПРО на персональный компьютер и посвящена настоящая статья. Рассмотрим детально, как установить КриптоПро CSP бесплатно.
Описание этого процесса содержится в руководстве пользователя на официальном сайте, также прилагается при приобретении лицензии. Разберем процедуру пошагово.
Плагин КриптоПро не установлен в браузер
Перед началом работы пользователю необходимо удостовериться, не установлена ли на его ПК устаревшая версия продукта. Проверка производится в меню, если пункт КриптоПРО отсутствует, следовательно плагин КриптоПро не установлен в браузер
.
Если интересующий пункт в меню найден нужно проверить, не устарела ли версия. Для этого запускаем КриптоПРО, во вкладке Управление Лицензиями в правом окне смотрим номер версии и срок действия лицензии.
Скачать КриптоПРО CSP
После того как выяснится, что не установлен КриптоПро эцп browser plug in
, приступаем к скачиванию КриптоПРО CSP и установке его на свой ПК.
Так как провайдер является средством криптографической защиты информации, соответственно его распространение фиксируется в определенных надзорных органах. Для того чтобы скачать программу нужно будет пройти регистрацию. Далее обратиться к ссылке, направленной на вашу почту. Перейдя по ней, выбираем из списка продуктов КриптоПРО CSP.
Установка КриптоПРО на компьютер
Скачивание установочного файла производится перед тем, как установить КриптоПРО на компьютер.
Чтобы произвести установку осуществляем запуск файла. Если система безопасности выдает предупреждение, то нужно разрешить программе внести изменения на ваш ПК. Далее нажимает «Установить» и ожидаем несколько минут. Участия пользователя на этом этапе не требуется. После установки рекомендуется произвести перезагрузку компьютера.
Лицензионный ключ КриптоПРО
Теперь вводим лицензионный ключ.
- В программах ищем КриптоПРО, выбираем КриптоПРО CSP
- Вводим серийный номер.
Проверьте, чтобы установленная версия совпадала с приобретенной вами. Если у вас версия 4.0, то, соответственно, выбираем КриптоПРО CSP 4.0. Эта версия рекомендуется для Windows 10.
Решение КриптоПро Рутокен CSP – это совместная разработка компаний «КриптоПро» и «Актив», в которой интегрированы возможности криптопровайдера КриптоПро CSP и USB-токенов Рутокен. Важной особенностью технологии ФКН является разделение криптографических мощностей между криптопровайдером КриптоПро CSP и Рутокен КП – специально адаптированной под технологию ФКН моделью криптографического USB-токена, выполненной на базе Рутокен ЭЦП
.
Рутокен КП используется в технологии ФКН для генерации ключевых пар, выработки ключей согласования, осуществления электронной подписи и т. п. Выполнение этих операций на борту токена обеспечивает максимально высокую степень сохранности ключевой информации. Рутокен КП используется и поставляется только в составе КриптоПро Рутокен CSP, отдельно этот USB-токен не распространяется.
В новой версии КриптоПро Рутокен CSP, помимо Рутокен КП, есть поддержка стандартной модели Рутокен ЭЦП 2.0 для генерации и надежного хранения ключевых пар и контейнеров КриптоПро CSP. Ключевая информация хранится на Рутокен ЭЦП 2.0 без возможности ее извлечения. Использование Рутокен ЭЦП 2.0 в составе КриптоПро Рутокен CSP дает оптимальную по стоимости и возможностям конфигурацию решения для случаев, когда повышенные требования к уровню защиты каналов связи с ключевым носителем не предъявляются.
Решение КриптоПро Рутокен CSP является преемником СКЗИ КриптоПро CSP и поддерживает все его возможности. Также оно полностью интегрируется в инфраструктуру открытых ключей, базирующуюся на удостоверяющем центре «КриптоПро УЦ».
Как установить ЭЦП
Чтобы установить ЭП на ПК, потребуется загрузить соответствующее ПО и следовать инструкции.
Программы
В первую очередь, нужно инсталлировать на компьютер программу КриптоПро CSP
. Далее:
- Запустить программу любым из способов. Как вариант – открыть Панель управления, меню «Программы» и найти там нужное, либо найти её через поиск, если месторасположение не известно. Запуск производится от имени администратора.
- После запуска программы появится окно, в котором необходимо найти вкладку «Сервис».
- Далее ищём меню «Просмотреть сертификаты в контейнере».
- Появляется окно «Обзор», в котором можно ознакомиться с информацией по поводу имени контейнера и считывателя. Нажимаем Ок.
- В следующем окне «Сертификаты в контейнере закрытого ключа» не нужно производить никаких действий. Просто пропускаем его, нажав Далее.
- Появится окно с данными пользователя. Нужно выбрать «Свойства».
- Устанавливаем новый Сертификат, для этого выбираем «Установить сертификат».
- В следующем окне ничего не производим и просто жмём «Далее».
- Далее нужно выбрать пункт «Поместить все сертификаты в одно хранилище», для этого жмём «Обзор» и выбираем папку «Личное».
- Последний шаг – нажимаем «Готово».
Плагины
Существует также полезный плагин от КриптоПро, который позволяет производить создание и проверку подписи на веб-страницах. КриптоПро ЭЦП Browser plug-in
может работать с любым современным браузером, включая Хром и Яндекс.
- Подписывать документы для электронного документооборота.
- Заверять данные веб-форм.
- Заверять любые файлы, отправляемые с компьютера пользователя.
- Подписывать сообщения.
С помощью плагина можно проверить как обычную ЭП, так и усовершенствованную. Важный плюс в том, что он распространяется совершенно бесплатно.
Для установки плагина не потребуется никаких особых навыков, всё происходит в автоматическом режиме. Нужно лишь запустить файл установщика, затем выбирать «Выполнить», «Далее» и «Ок». Программа всё сделает сама.
Копирование материалов допускается только при использовании активной ссылки на этот сайт.
Функциональный ключевой носитель
Архитектура ФКН реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе.
Кроме формирования электронной подписи и генерации ключей шифрования непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи.
Если ключевой носитель выбран правильно
Необходимо переустановить личный сертификат.
Если затруднение сохранилось, необходимо:
1. удалить информацию об использованных съемных носителях:
1.1. Запустить «КриптоПро CSP» («Пуск» – «Настройка» – «Панель управления» – «КриптоПро CSP»);
1.2. На вкладке «Сервис» нажать «Удалить запомненные пароли»;
1.3. В разделе «Удалить информацию об использованных съемных носителях» отметить графу «Пользователя» и нажать кнопку «ОК».
Если кнопка «Удалить запомненные пароли» неактивна, необходимо запустить «КриптоПро» от имени администратора. Если пароль отсутствует, поля в блоке «Удалить запомненные пароли» будут неактивны.
2. Если сертификат записан на токен, необходимо установить драйвер токена, загрузив дистрибутив с сайта производителя. Если драйвер установлен – переустановить.
3. Переустановить «КриптоПро CSP».