Квалифицированная подпись — где использовать и как получить

Носитель рутокен

Электронная цифровая подпись (ЭЦП), выдаваемая удостоверяющим центром, хранится на специальном носителе. Называет он токен. Выглядит носитель как обычная USB-флешка, но отличается внутренним программным устройством. Токены бывают нескольких видов, а пользователь и производитель несут одинаковую ответственность за использование электронного носителя.

Что такое токен

Выбирая носитель ключа электронной подписи, нужно убедиться в том, что у производителя или официального дилера имеется лицензия на выпуск и продажу устройства. Покупают Рутокен, исходя из области его применения: если он предназначен для работы в частной фирме со служебной информацией или с государственными органами, то лучше выбрать сертифицированный токен с комплектом драйверов и дополнительных утилит. USB-устройство должна обязательно сопровождать эксплуатационная информация.

Если пользователь предполагает использовать Рутокен для хранения нескольких сертификатов, то лучше выбрать накопитель с большим объемом памяти. Модели с пометкой «‎ЭЦП» отличаются встроенной криптографией и не требуют дополнительной установки криптопровайдера. Однако они могут работать только с ПО, предусмотренным протоколом PKCS11. Для использования Рутокена только в Единой государственной автоматизированной информационной системе (ЕГАИС) подойдет самый простой флэш-накопитель версии 2.0.

Безопасность использования USB-токенов

Дома и на работе при использовании почтовых программ и доступе к корпоративным ресурсам нам приходится пользоваться паролями. Чаще всего пароли для разных программ и ресурсов различаются, и необходимо запоминать множество непростых символьных сочетаний либо записывать их на бумаге, что явно не рекомендуется службами безопасности вашей компании. В меньшей степени это относится к использованию компьютера дома, но и здесь бывает необходимо защитить определенные ресурсы и программы от доступа.

Вместо использования доступа по паролю к корпоративным ресурсам, для входа в домен и при использовании корпоративной почты можно использовать аппаратную аутентификацию и защиту электронной переписки в сетях, построенных на базе Windows 2000/ХР/2003. В предлагаемом решении используются встроенные инструменты безопасности Windows и электронные идентификаторы Rutoken в качестве носителей ключевой информации.

Что обеспечивается при использовании этого продукта? Авторизация пользователей (вход в домен при подключении токена и блокирование сессии после его отсоединения). При работе с почтой — электронная цифровая подпись почтовых сообщений и их шифрование. Доступ к корпоративным ресурсам по предъявлении токена и, конечно, надежное хранение и использование сертификатов. Часть из перечисленных задач может быть использована и на домашнем компьютере, например, при работе с почтой, а также для удаленного подключения к корпоративным ресурсам. Давайте разберем, что и как необходимо выполнить для реализации перечисленных задач.

Токен как дополнительное устройство не может быть опознан операционной системой, поскольку он не является стандартным оборудованием. Невозможна и установка токена посредством inf-файла, поскольку для корректной установки требуется измерение некоторых параметров для автоматической конфигурации драйвера. Поэтому приходится для установки использовать специальное программное обеспечение. И вот что еще следует помнить. Не подключайте токен к компьютеру до того, как вы установите драйвер. Если все же подключение будет выполнено ранее, остановите работу стандартного мастера установки USB-устройств, извлеките ключ из порта и установите драйвер. Помимо драйверов в процессе инсталляции на диск будут скопированы и утилиты для работы с токеном (утилита администрирования и браузер сертификатов). Количество одновременно используемых токенов зависит от операционной системы и количества USB-портов.

Электронный идентификатор Rutoken — персональное средство аутентификации и хранения данных (сертификатов в данном случае). В нем имеется аппаратная реализация российского стандарта шифрования. Этот токен также совместим и с сертифицированными российскими криптопровайдерами от компаний “Крипто-Про”, “Анкад”, “Сигнал-Ком”.

Прежде чем приступить к настройке корпоративной сети и ее ресурсов для работы с токенами и цифровыми сертификатами, предлагаю провести небольшое тестирование этого продукта, для чего получить электронный сертификат и подключить его для работы с почтой, например с почтовым клиентом The Bat!.

Опять же, чтобы не развертывать в своей сети службы сертификации (их можно развернуть только на серверных платформах), можно воспользоваться услугами тестовых удостоверяющих центров, например тестовым центром сертификации “Крипто-Про” либо тестовым центром сертификации e-Notary компании “Сигнал-Ком”. Если вы выбрали последний, вам будет предложено вначале познакомиться с “Соглашением на изготовление тестовых сертификатов удостоверяющим центром e-Notary”. В случае согласия будет предложено выбрать вариант подачи запроса на изготовление сертификата: либо путем передачи файла с сформированным предварительно запросом, либо путем генерации ключей и формирования запроса встроенными средствами браузера. Для простоты выберем второй вариант.

Подключите к USB-порту ваш токен. Обратите внимание, что все токены изначально имеют одинаковый PIN-код пользователя — 12345678. Пока вы занимаетесь тестированием, этот код можно не менять, но при организации нормальной работы лучше, если вы его замените, чтобы никто иной не мог получить доступ к вашему закрытому ключу. (Именно закрытый ключ используется для формирования подписи и расшифровывания данных.) Для изменения кода воспользуйтесь программой администрирования. С ее же помощью вашему токену можно присвоить и уникальное имя.

Выбрав вариант формирования запроса через браузер, вы попадете на страницу, где вам потребуется заполнить о себе некоторые данные (для тестовых целей они не критичны, и обязательными являются лишь два поля — имя и почтовый адрес). Далее — выбор параметров ключевой пары. Здесь вы должны выбрать из выпадающего списка криптопровайдер Aktiv Rutoken CSP v1.0 (можно взять и любой иной, но мы же тестируем токен). Затем выбрать вариант использования ключей — для обмена данными, для их подписи или для обоих вариантов (выбирайте последний). Далее — выбор размера ключа. Выбранный на предыдущем шаге криптопровайдер позволяет формировать ключи длиной от 512 до 16 384 байт. (Чем больше значение длины ключа, тем меньше вероятность взлома зашифрованных данных.)

Из остальных опций рекомендую выбрать “Пометить ключ как экспортируемый”. В этом случае после его установки вы сможете создать резервную копию пары ключей и сертификата и сохранить их в виде файла. Зачем? На случай утраты токена или его повреждения. Остальные опции можно не изменять и далее запустить процесс формирования запроса. После того как запрос будет обработан, вы сможете установить сертификат на компьютер. Обратите внимание на следующий момент. Давайте откроем браузер сертификатов (мы уже говорили, что он устанавливается вместе с драйверами). После того как вы сформируете запрос, на токене появится новый контейнер с парой ключей. В параметрах ключа будет указана его длина, область применения и значение открытого (публичного) ключа. После установки сертификата информация изменится. В контейнере будет уже не только ключ, но и сертификат со всем своими характеристиками: имя владельца, его почтовый адрес, иная информация, указанная вами при формировании запроса. Кроме того что сертификат будет помещен на токен, он также будет установлен в личное хранилище сертификатов, где его можно будет просмотреть через свойства браузера.

Теперь у нас есть ключи и сертификат, с помощью которых можно подписывать и шифровать корреспонденцию. Посмотрим, как это можно сделать в почтовом клиенте The Bat! (про использование подписи и шифрования в MS Outlook подробно рассказано в документации на рассматриваемый продукт).

Откройте свойства вашего почтового ящика и на вкладке “Общие сведения” кликните по кнопке “Сертификаты”. Откроется стандартное окно для просмотра сертификатов. Убедитесь, что полученный вами сертификат в тестовом УЦ доступен. Перейдите на вкладку “Параметры”. Здесь можно отключить опцию “Авто — OpenPGP”, оставив лишь “Авто — S/Mime”. Кроме того, отметьте опции, которые вы хотите использовать: “Подписать перед отправкой” и “Зашифровать перед отправкой”. Вторую опцию лучше не выбирать до тех пор, пока вы не обменяетесь открытыми ключами с теми, с кем будете вести переписку с шифрованием.

Итак, если вы будете подписывать свое письмо, то после того, как вы нажмете кнопку “Сохранить” или “Отправить”, будет вызван диалог выбора сертификата, на котором вы будете выполнять подпись. Обратите внимание, что сертификат привязан к почтовому адресу. Поэтому, если почтовый адрес, с которого вы пишете и отправляете письмо, отличается от того, что включен в сертификат, почтовый клиент не сможет подписать письмо. Если адреса совпадают, письмо будет подписано и отправится вашему респонденту вместе с сертификатом и открытым ключом. С их помощью ваш респондент сможет проверить подлинность подписи (не изменилось ли письмо во время доставки) и убедиться, что именно вы подписали это письмо. Для того чтобы использовать этот сертификат и ключ для шифрования писем в ваш адрес, ваш респондент должен будет импортировать полученный сертификат в хранилище. Аналогичным образом он пришлет вам свой сертификат, после чего вы сможете не только подписывать письма, но и шифровать их в адрес друг друга.

На этом проверку работы с токеном можно считать завершенной и переходить к настройке сети вашей организации и корпоративных приложений. Первое, с чего следует начать, — установка службы сертификации Microsoft. С ее помощью вы будете выписывать сертификаты сотрудникам, сохранять их на токенах и выдавать в работу. Для удобства можно будет создать шаблоны сертификатов и использовать их.

Для использования цифровой подписи и шифрования почтовых сообщений необходимо будет выполнить настройку почтовых клиентов. Для обеспечения доступа пользователей в домен по своим сертификатам потребуется выдавать сертификаты типа “Пользователь со смарт-картой” или “Вход со смарт-картой”. Далее необходимо настроить учетные записи пользователей домена, установив в параметрах учетной записи флаг “Для интерактивного входа в сеть нужна смарт-карта”.

Дополнительные настройки требуются и для создания защищенного подключения к веб-ресурсам организации (в документации приводится пример настройки веб-ресурса под управлением IIS), можно настроить доступ по сертификатам к терминальному серверу, к сетям VPN. Степень защиты доступа в таких случаях существенно возрастает.

В основном все настройки выполняются администратором сети, настройка рабочих мест требует существенно меньших усилий. Поэтому внедрение системы аппаратной аутентификации, цифровой подписи и шифрования не будет представлять особых сложностей для сотрудников. К тому же невелика и величина расходов по созданию такой системы. Для начала работы вполне достаточно одного стартового комплекта, включающего руководство по внедрению, утилиты для работы с токенами, драйвера и собственно один электронный идентификатор Rutoken. Стартового комплекта достаточно, для того чтобы произвести все необходимые настройки в сети и подготовиться к переходу от обычной парольной защиты к надежной двухфакторной аутентификации на основе Rutoken. Для такой миграции потребуется лишь приобрести необходимое количество идентификаторов Rutoken.

Рутокен что это такое

Электронная цифровая подпись (ЭЦП) выдается удостоверяющим центром и сохраняется на специальном носителе — токене (рутокен эцп, rutoken).

Все данные, входящие в рутокен эцп защищены паролем и дополнительными средствами безопасности. Согласно требованиям 63-ФЗ каждый рутокен эцп имеет сертификацию Федеральной службы по техническому и экспертному контролю и Федеральной службы безопасности (ФСБ).

Токен, это по сути, обычная USB-флешка с определенным внутренним программным устройством. Токены бывают разных видов, а пользователи и производители несут одинаковую ответственность за использование ключевого носителя. Для чего используется рутокен ЭЦП? Главная задача для рутокен ЭЦП — хранение электронной подписи и цифрового сертификата.

Все ваши данные, загруженные на рутокен ЭЦП, буду находиться под надежной защитой, благодаря шифрованию и размещаться в защищенной памяти. Даже если носитель будет утерян, то воспользоваться им без пин-кода никто не сможет. Если ввести пин-код неправильно несколько раз, то программа автоматически заблокирует рутокен эцп, тем самым не допустив мошенников до ваших конфиденциальных данных.

Виды USB-токенов

• Рутокен ЭЦП 2.0Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП. Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы. Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код. Единственная модель Рутокена, которая подходит для работы с ЕГАИС.

  Проверка и создание ЭЦППроцедура исчисления хэш-функцииАлгоритм исчисления функции хэширования

• Проверка и создание ЭЦП
• Процедура исчисления хэш-функции
• Алгоритм исчисления функции хэширования
• Рутокен ЭЦП 2.0 Type-CТот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года). Подходит для работы с алкоголем в ЕГАИС.
• Рутокен SДля обеспечения двухэтапной проверки идентификации владельца, сохранения ключей шифрования и ЭЦП, цифровых сертификатов. Используется в электронном документообороте государственных организаций. Все встроенные в рутокен эцп S алгоритмы полностью соответствуют требованиям регуляторов. Для работы с ключами в сбис необходимо установить СКЗИ и СБИС Плагин.
• Рутокен LiteРутокен Lite — защищенный носитель базового уровня. На нем можно хранить секретные ключи или цифровые идентификаторы. Для работы с ЭП установите СКЗИ. Носитель готов к работе сразу после подключения к компьютеру и не требуют установки специальных драйверов.
• Рутокен ЭЦП BluetoothДля сохранения сертификатов ЭЦП и заверения электронных документов, которые создаются на мобильных устройствах с операционными системами (ОС) iOS и Android. Выполняет функции стандартного токена, но работает по беспроводному протоколу Bluetooth. Сложные алгоритмы и шифрование обеспечивают безопасность передачи данных по рутокен эцп Bluetooth.
• Рутокен PINPadДля выведения информации на экран до проставления электронной цифровой подписи. Защитные функции данного устройства:

  любые виды интернет-мошенничества;информационные атаки на удаленном управлении;защита от возможных изменений в документ при отправке его на подпись.

• любые виды интернет-мошенничества;
• информационные атаки на удаленном управлении;
• защита от возможных изменений в документ при отправке его на подпись.

Для чего используется встроенная память Рутокена PINPad?

• Загрузка Облегченная загрузка ОС
• АвтономностьЗапуск приложений при подключении цифрового носителя в автономном режиме
• ДистрибутивыСохранность дистрибутивов ПО

Рутокен PINPad также помогает установить новую оперативную систему, проверить ее исправность и целостность по итоговым суммам, прописанным в зашифрованной части ключа.

Принципы работы рутокена ЭЦП

Главная задача рутокена ЭЦП — это обеспечение двухфакторной аутентификации, в первую очередь это касается компьютерных систем.

Необходимо выполнение двух условий для доступа к данным носителя:

• ввод пин-кода;
• наличие носителя на руках (рутокен эцп физически);

Именно двухфакторная авторизация помогает защитить те объекты и данные, где одного только пароля недостаточно.
Рутокен ЭЦП состоит из специальных микроконтроллеров и защищенной памяти для хранения конфиденциальных данных. Токинг легко интегрируется и встраивается в различные IT-системы, благодаря поддержке российских и международных стандартов в сфере ИБ.

Как правильно выбрать носитель ключа ЭЦП

При производстве на каждый рутокен эцп устанавливается одинаковый пароль – 1234567890. Для активации носителя пользователю необходимо сначала ввести стандартный пароль, а потом в обязательном порядке поменять его код на личный код. Это обеспечит безопасное использование рутокен эцп и защиту ПК от мошеннических действий.
Пользователь обязан хранить рутокен ЭЦП в надежном месте и обеспечивать его сохранность от любых внешних повреждений.

Материал является собственностью bicotender.ru. Любое использование статьи без указания источника – bicotender.ru запрещено в соответствии со статьей 1259 ГК РФ

Время на прочтение

Добрый день! Хочу поделиться своим опытом по данной теме.

Рутокен — это аппаратные и программные решения в области аутентификации, защиты информации и электронной подписи. По сути это такая флешка, которая может хранить в себе аутентификационные данные, которые пользователь использует для входа в систему.

В данном примере используется Рутокен ЭЦП 2.0.

Для работы с этим Рутокеном необходимо установить драйвер на windows.

Для windows, установка одного лишь драйвера, обеспечивает установку всего, что нужно, чтобы ОС увидела ваш Рутокен и с ним можно было работать.

С Рутокеном можно взаимодействовать различными способами. Можно получить доступ к нему из серверной части приложения, а можно сразу из клиентской. В данном примере будет рассмотрено взаимодействие с Рутокеном из клиентской части приложения.

Все, теперь мы можем взаимодействовать с Рутокеном из клиентской части приложения.

В данном примере рассмотрена идея реализации алгоритма авторизации пользователя в системе с использованием схемы chеllange-response.

Суть идеи в следующем:

• Клиент отправляет запрос на авторизацию на сервер.
• Сервер в ответ на запрос от клиента отправляет случайную строку.
• Клиент дополняет эту строку случайными 32 битами.
• Клиент подписывает полученную строку своим сертификатом.
• Клиент отправляет на сервер полученное закодированное сообщение.
• Сервер проверяет подпись, получая исходное не закодированное сообщение.
• Сервер отсоединяет последние 32 бита от полученного не закодированного сообщения.
• Сервер сравнивает полученный результат с тем сообщением, которое было отправлено при запросе на авторизацию.
• Если сообщения одинаковые, то авторизация считается успешной.

В приведенном выше алгоритме есть такое понятие, как сертификат. В рамках данного примера нужно понимать некоторую криптографическую теорию. На Хабре есть отличная статья на эту тему.

В данном примере будем использовать асимметричные алгоритмы шифрования. Для реализации асимметричных алгоритмов необходимо иметь ключевую пару и сертификат.

Ключевая пара состоит из двух частей: приватный ключ и публичный ключ. Приватный ключ, как следует из его названия, должен быть секретным. Мы его используем для расшифровки информации. Публичный ключ можно раздать кому угодно. Этот ключ используется для шифрования данных. Таким образом любой пользователь может зашифровать данные, используя публичный ключ, но только владелец приватного ключа может расшифровать эту информацию.

Сертификат — это электронный документ, который содержит в себе информацию о пользователе, которому принадлежит сертификат, а также публичный ключ. Имея сертификат, пользователь может подписать любые данные и отправить их на сервер, который может проверить эту подпись и расшифровать данные.

Чтобы правильно можно было подписать сообщение сертификатом, нужно правильно его создать. Для этого на Рутокене сначала создается ключевая пара, а потом к публичному ключу этой ключевой пары должен привязываться сертификат. Сертификат должен иметь именно тот публичный ключ, который находится на Рутокене, это важно. Если мы просто создадим ключевую пару и сертификат сразу на клиентской части приложения, то каким образом потом сервер сможет расшифровать это зашифрованное сообщение? Ведь он совсем ничего не знает ни о ключевой паре, ни о сертификате.

Если глубже окунуться в эту тему, то можно найти интересную информацию в интернете. Существуют некие удостоверяющие центры, которым мы заведомо доверяем. Эти удостоверяющие центры могут выдавать сертификаты пользователям, они эти сертификаты устанавливают на свой сервер. После этого, когда клиент обращается к этому серверу, он видит этот самый сертификат, и видит, что он был выдан удостоверяющим центром, а значит этому серверу можно доверять. Подробнее про то, как правильно все настроить, в интернете тоже полно информации. К примеру можно начать с этого.

Если вернуться к нашей задаче, то решение кажется очевидным. Нужно каким-то образом сделать свой удостоверяющий центр. Но перед этим нужно разобраться, а на основании чего удостоверяющий центр должен выдавать сертификат пользователю, ведь он о нем ничего не знает. (Например его имя, фамилия и т.д.) Есть такая штука, которая называется запрос на сертификат. Подробнее про этот стандарт можно глянуть, например, на википедии ru.wikipedia.org/wiki/PKCS
Мы будем использовать версию 1.7 — PKCS#10.

Опишем алгоритм формирования сертификата на Рутокене (первоисточник — документация):

• На клиенте создаем ключевую пару и сохраняем ее на Рутокен. (сохранение происходит автоматически)
• На клиенте создаем запрос на сертификат.
• С клиента отправляем этот запрос на сервер.
• При получении запроса на сертификат на сервере, выписываем сертификат своим удостоверяющим центром.
• Отправляем этот сертификат на клиент.
• На клиенте сохраняем сертификат на Рутокен.
• Сертификат должен привязаться к той ключевой паре, которая была создана на первом шаге.

Теперь становится понятно, как сервер сможет расшифровать подпись клиента, ведь он сам выдал ему сертификат.

В следующей части мы подробно рассмотрим, как настроить свой удостоверяющий центр на основе полноценной криптографической библиотеки с открытым исходным кодом openSSL.

Возможность совершать онлайн все юридически значимые действия полезна для индивидуальных предпринимателей и юридических лиц. Такой подход значительно экономит время для оформления бумаг и в целом упрощает взаимодействие с контрагентами и контролирующими органами. КЭП для юридических лиц и ИП нужно не только, чтобы сдавать отчетность в электронном виде, но и для подписания важных документов сторонами, находящимися в разных городах. Подписанные КЭП документы будут обладать той же юридической силой, что и документы, подписанные лично на бумажном носителе.

С января 2023 года прекращают действие подписи ИП и директора, выданные коммерческими центрами. В этой статье расскажем как и где получить новую подпись в 2023 году.

Для чего нужна электронная подпись

Непосредственно сама услуга получения КЭП в налоговой для юридических лиц и ИП с 1 июля 2021 стала бесплатной. Однако затраты на получение действующей подписи остаются:

• USB-токен (флешка) для хранения подписи. Токен для КЭП отличается от обычной флешки наличием защиты: пароля и криптографического алгоритма. Купить такой носитель можно за 1500-2000 рублей.
• Программа по работе с КЭП. Например, КриптоПро CSP будет стоить либо 1200 рублей в год, либо 2500 рублей навсегда. Однако существуют и другие программы, среди которых можно найти как более дешевые варианты, так и те, что будут значительно дороже.

Если токен и программа уже были куплены ранее, то КЭП через налоговую будет полностью бесплатной.

Как получить КЭП в налоговой

Для получения КЭП заявителю необходимо будет лично обратиться в подразделение налоговой, осуществляющее услугу (либо офис доверенного лица ФНС), с паспортом и токеном.

Какой токен купить и где

Как уже говорилось, токен для хранения КЭП отличается от обычной флешки более высоким уровнем защиты данных. Купить его можно в любой организации, сам токен должен быть сертифицирован ФСТЭК или ФСБ России. Важно, чтобы USB токена имел формат Тип-А. Если вы получаете подпись в Москве в МИФНС №46, для удобства заявителей на первом этаже здания, где осуществляется выдача подписей, токен можно приобрести в вендинговом автомате.

Как подать заявление в ФНС

Можно заранее сформировать заявление на выдачу КЭП через личный кабинет ИП или юрлица на сайте ФНС. Последний вариант наиболее удобный. Необходимо совершить следующие действия:

При подаче заявления офлайн нужно взять с собой в налоговую паспорт, СНИЛС и токен. Если заявление подается онлайн, лично посетить налоговую тоже придётся, чтобы записать КЭП на токен. В обоих случаях необходима предварительная запись.

Документы для получения КЭП

Перечень документов, необходимых для окончательного получения подписи, включает в себя:

• Паспорт гражданина РФ.
• СНИЛС. Обычно достаточно знать только номер, но лучше, на всякий случай, взять с собой документ.
• Заявление на получение токена. Если заявление сформировано ранее, можно взять его с собой, но это необязательно.
• ИНН. Важно знать свой ИНН и ИНН организации, если вы получаете КЭП как руководитель юридического лица.
• Сертификат соответствия для токена. Рекомендуется взять с собой документы на токен на тот случай, если у сотрудника УЦ ФНС возникнут сомнения, что носитель является сертифицированным.

Если получить новую подпись в ФНС можно только при личном обращении, продлить ранее выданную налоговой подпись можно уже онлайн. Такая услуга стала доступна в личных кабинетах юридических лиц и ИП.

Вывод

Итак, КЭП (квалифицированная электронная подпись) относится к самым надёжным формам электронной подписи и представляет собой цифровой код, записанный на физическом носителе. Для ее использования необходимо приобрести сам физический носитель или токен, обладающий высокой степенью защиты данных, а также программу для его использования. Для подписания с помощью КЭП файл с подписью прикрепляется к файлу с документом. Юридические лица и ИП должны получать КЭП в подразделениях налоговой, имеющих специальные удостоверяющие центры.