Рутокен ЭЦП PKI / Все продукты / Продукты / Рутокен

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Что такое флешка и токен электронной подписи

Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт.

Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.

На флешке тоже можно установить пароль, но уровень ее защиты намного ниже токена. На большинстве токенов стоят средства криптографической защиты информации (СКЗИ), которые проходят проверку в ФСБ. Они есть, например, на Рутокене ЭЦП 2.0 и JaCarta SF.

А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней. 

Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть

. Он это

. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Что такое рутокен эцп 2.0 flash

Важной особенностью электронного идентификатора Рутокен ЭЦП 2.0 Flash является наличие управляемой Flash-памяти. Она может быть поделена на разделы, доступ к которым разграничивается с помощью PIN-кодов. Предусмотрена возможность создания скрытых и CD-ROM разделов.

Доступ и управление доступом к Flash-памяти осуществляется непосредственно через микропроцессор токена без использования каких-либо дополнительных электронных компонентов (хабов, контроллеров и т. п. ). Для каждого раздела Flash-диска определяются индивидуальные права доступа на чтение и запись, которые могут быть изменены «на лету» прямо во время работы устройства.

Встроенную Flash-память можно использовать для надежного хранения конфиденциальной информации, дистрибутивов программного обеспечения, автоматического запуска приложений при подключении токена, а также доверенной загрузки операционной системы.

Рутокен ЭЦП 2.0 Flash сочетает в себе всю функциональность сертифицированного средства криптографической защиты информации Рутокен ЭЦП 2.0 с интегрированной управляемой Flash-памятью.

  • Безопасность Рутокен ЭЦП 2.0 Flash базируется на сертифицированном ФСБ СКЗИ Рутокен ЭЦП 2.0. Управление разделами Flash-памяти производится при помощи защищенного контроллера Рутокен ЭЦП 2.0 и основано на его внутренних политиках безопасности. Каждый отдельный раздел может быть защищен своим собственным PIN-кодом. Верификация PIN-кодов для доступа к разделам производится сертифицированными алгоритмами, встроенными в Рутокен ЭЦП 2.0.
  • Удобство Сочетание двух типов устройств в одном корпусе позволяет пользователю не заботиться о физическом разделении информации. Пользовательские данные, необходимое для работы программное обеспечение, персональная информация и криптографические ключи всегда будут находиться в одном месте, удобном и безопасном.
  • УнификацияРутокен ЭЦП 2.0 Flash базируется на Рутокен ЭЦП 2.0 и может использоваться во всех информационных системах, рассчитанных на применение электронных идентификаторов Рутокен ЭЦП 2.0. Дополнительная функциональность никак не сказывается на типовом применении электронного идентификатора, но добавляет дополнительные полезные функции.
  • БыстродействиеРутокен ЭЦП 2.0 Flash обладает непревзойденными скоростными характеристиками, позволяющими «на лету» шифровать, расшифровывать, хешировать и подписывать большие объемы данных. Объем EEPROM-памяти для сертификатов и ключей увеличен до 128 Кб, а быстрый 32-разрядный процессор позволяет достичь скорости проходного симметричного шифрования до 320 Кб/с и хеширования до 230 КБ/с.

Что такое рутокен lite

Устройства Рутокен Lite — это защищенные носители закрытых ключей электронной подписи для электронного документооборота. На ключевом носителе Рутокен Lite можно хранить секретные ключи или цифровые идентификаторы и считывать их при необходимости по предъявлении пользователем PIN-кода.

Рутокен Lite обеспечивает двухфакторную аутентификацию в компьютерных системах безопасного использования квалифицированной электронной подписи и защиту от несанкционированного доступа. Для успешной аутентификации требуется выполнение двух условий: знание пользователем уникального пароля — PIN-кода и обладание им уникальным предметом — самим устройством. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю.

Аутентификация

  • Замена парольной аутентификации при доступе к БД, Web-серверам, VPN-сетям и security-ориентированным приложениям на двухфакторную программно-аппаратную аутентификацию.
  • Аутентификация при доступе к почтовым серверам, серверам баз данных, Web-серверам, файл-серверам.
  • Надежная аутентификация при удаленном администрировании и т. п.

Безопасное хранение ключевой информации

  • Использование ключевой информации для выполнения криптографических операций на самом устройстве без возможности выдачи наружу закрытой ключевой информации.
  • Сгенерированные на токене ключи не могут быть скопированы.
  • При утере или краже токена безопасность не нарушается: для доступа к информации требуется PIN-код.

Драйвер рутокен егаис: в чем отличие от jacarta и etoken

USB-токены JaCarta и eToken выполняют аналогичные функции и так же пользуются популярностью на рынке. Поэтому возникает вопрос: в чем отличия и что выбрать?

Основное отличие между ними в том, что программные компоненты для Рутокен ЭЦП 2.0 придется скачивать и устанавливать отдельно (в т. ч. для взаимодействия с ЕГАИС), в то время как у его аналогов нужное для работы ПО уже включено в единый программный модуль PKI Client.

Еще одно отличие – цена. У Рутокен она в среднем на 300-500 руб. ниже.

В остальном же разница незначительна. Все три представленных носителя имеют двухфакторную аутентификацию для защиты доступа к учетной записи. Поддерживают шифрование с помощью аппаратной криптографии – во время использования ключ не покидает носитель, поэтому данные недоступны посторонним лицам. Подходят для ОС Windows, Mac, Linux.

Примечание: JaCarta не совместим с некоторыми версиями Windows. Компьютер «не видит» носитель. Перед покупкой уточняйте этот вопрос.

Защита персональных данных

  • Защита электронной переписки: шифрование почты, электронная подпись почтовых отправлений.
  • Защита доступа к компьютеру и в домен локальной сети.
  • Возможность шифрования данных на дисках.

Как записать сертификат в личном кабинете

Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра. Сервис попросит пройти аутентификацию: введите номер телефона, который указали в заявлении на получение ЭП. В течение двух минут на этот номер придет одноразовый пароль для входа. Этот пароль будет действовать только 5 минут, если вы не успеете ввести его за это время — запросите пароль еще раз.
  2. Затем вставьте в компьютер носитель, на который вы хотите записать сертификат ЭП — флешку или токен.
  3. В личном кабинете найдите нужный сертификат и нажмите на кнопку «Перейти к выпуску». Система автоматически проверит ваш компьютер и предупредит, если на него нужно установить дополнительные программы.
  4. Следуйте указаниям системы, чтобы выпустить сертификат.
  5. Если вы записываете ЭП на флешку, придумайте и установите на нее пароль в открывшемся окне.
    Если вы записываете ЭП на токен со стандартным паролем — пропустите этот пункт. Но если вы меняли стандартный пароль на собственный — введите его в открывшемся окне.
  6. После выпуска сертификат можно установить на носитель. Для этого нажмите на кнопку «Установить сертификат».

Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра.
  2. Выберите сертификат электронной подписи, который хотите записать.
  3. Вставьте флешку или токен в компьютер. 
  4. Нажмите на кнопку «Сделать резервную копию».
  5. Выберите носитель, на который сервис запишет сертификат.
  6. Если вы копируете ЭП на флешку придумайте пароль и установите его в открывшемся окне. Этот пароль нужно вводить каждый раз, когда вы используете ЭП. Забытый пароль нельзя восстановить, однако мы не рекомендуем пропускать этот шаг — без пароля ваши данные останутся без защиты.
    Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы задавали на токене собственный пароль — введите его в специальном окне.
  7. После ввода пароля система запишет сертификат ЭП на носитель.

Как записать электронную подпись на флешку

Записать сертификат ЭП на флешку или токен можно тремя способами:

  • в личном кабинете удостоверяющего центра;
  • с помощью криптопровайдера КриптоПро CSP;
  • с помощью средств Windows;
  • в профиле Контур.Диагностики.

Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.

Как записать эп в профиле контур.диагностики

  1. Зайдите на страницу «Копирование сертификатов» Контур.Диагностики.
  2. Вставьте в компьютер флешку, на которую хотите записать сертификат.
  3. Выберите нужный сертификат из списка и нажмите кнопку «Скопировать». 
  4. Введите пароль от контейнера при необходимости.
  5. Выберите носитель, на который программа запишет сертификат ЭП.
  6. Придумайте название для нового контейнера и нажмите кнопку «Далее».
Читайте также:  Ключ электронной подписи: что это и как получить || Не определяется ключ эцп

Как записать эп с помощью криптопро csp

  1. На компьютере откройте меню «Пуск», выберите выберите пункт «Панель управления» и нажмите на иконку «КриптоПро CSP».
  2. Во вкладке «Сервис» нажмите на кнопку «Скопировать». 
  3. В открывшемся окне нажмите на кнопку «Обзор» и выберите контейнер закрытого ключа ЭП, который хотите скопировать на флешку. 
  4. Укажите имя контейнера, на который программа скопирует сертификат.
  5. Вставьте флешку компьютер и укажите в программе на какой носитель записать ЭП.
  6. Если вы копируете ЭП на флешку, придумайте и установите пароль в специальном окне. Не пропускайте этот шаг, если хотите защитить свои данные. Без пароля любой пользователь, взявший флешку, сможет воспользоваться вашей подписью. Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы меняли пароль на токене на собственный — введите его в специальном окне.
  7. После этого программа скопирует контейнер на токен или флешку и вернется во вкладку «Сервис».

Как записать эп с помощью средств windows

  1. Найдите папку с закрытым ключом ЭП на компьютере. В этой папке должно быть шесть файлов с расширением.key. 
  2. Скопируйте эту папку на выбранную флешку. Проверьте, чтобы в папке на флешке оказались все шесть файлов.

Как пользоваться электронной подписью с флешки и токена

Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке. 

Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную. 

От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:

Чтобы подписать документ ЭП с флешки или токена:

  1. Проверьте, чтобы подписываемый документ был в окончательной редакции: вы не сможете исправить его после подписания.
  2. Вставьте флешку или токен с ЭП в компьютер. 
  3. Откройте программу, с помощью которой хотите подписать документ. В зависимости от выбранной программы вам нужно будет загрузить документ в сервис или просто открыть его.
  4. Выберите формат подписи, если это необходимо.
  5. Выберите сертификат, который установлен на флешке или токене.
  6. Нажмите на кнопку «Подписать».  
  7. Если на контейнере закрытого ключа стоит пароль, введите его, чтобы подписать документ. 

Какой должен быть объем у флешки для электронной подписи

Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.

Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.

В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.

Получить электронную подпись

Комплект разработчика / для разработчика / рутокен

Каркасы мобильных приложений с реализованными модулями подписания и обнаружения USB-токенов и смарт-карт, а также бесконтактных NFC- и Bluetooth-устройств:

Конфигурация тестового стенда


Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):

  1. ОС MS Windows 7 SP1
  2. СКЗИ КриптоПРО CSP 3.9.8423
  3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2020, WHQL-certified
  4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
  5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:

  1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
  2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Корпоративное использование

  • Использование в качестве интеллектуального ключевого носителя в разнообразных информационных системах, использующих технологии электронной подписи.
  • Использование в качестве полноценного устройства шифрования и электронной подписи в криптографических сервис-провайдерах, системах защищенного документооборота, в ПО для шифрования логических дисков и т. д.
  • Использование в корпоративных системах для надежного хранения служебной информации, персональной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой конфиденциальной информации.
  • Использование в качестве единого идентификационного устройства для доступа пользователя к разным элементам корпоративной системы.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

  1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
  2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
  3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
  4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
  5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

исходный ключевой документ

. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

рабочие ключевые документы

. После этого уничтожим

исходный ключевой документ

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Модели:

  • Рутокен ЭЦП 2.0 
  • Базовая модель в полноразмерном корпусе, который может быть выполнен в разнообразной цветовой гамме и брендирован нанесением полноцветного изображения с одной или с двух сторон корпуса.

Можно ли использовать рутокен в качестве флешки?

Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.

Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.

Получить электронную подпись

На какие носители можно записать электронную подпись

Сертификат электронной подписи можно записать:

  • в память компьютера: в реестр или на жесткий диск;
  • токен;
  • флешку;
  • съемный жесткий диск.

Последние два носителя практически не отличаются друг от друга по свойствам.  Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.

Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.

Опыт применения технологии рутокен для регистрации и авторизации пользователей в системе (часть 1)

Добрый день! Хочу поделиться своим опытом по данной теме.

Рутокен — это аппаратные и программные решения в области аутентификации, защиты информации и электронной подписи. По сути это такая флешка, которая может хранить в себе аутентификационные данные, которые пользователь использует для входа в систему.

В данном примере используется Рутокен ЭЦП 2.0.

Для работы с этим Рутокеном необходимо установить драйвер на windows.

Для windows, установка одного лишь драйвера, обеспечивает установку всего, что нужно, чтобы ОС увидела ваш Рутокен и с ним можно было работать.

С Рутокеном можно взаимодействовать различными способами. Можно получить доступ к нему из серверной части приложения, а можно сразу из клиентской. В данном примере будет рассмотрено взаимодействие с Рутокеном из клиентской части приложения.

Клиентская часть приложения взаимодействует с рутокеном через рутокен плагин. Это программа, которая отдельно устанавливается на каждый браузер. Для windows необходимо просто скачать и установить плагин, находящийся по данной ссылке.

Все, теперь мы можем взаимодействовать с Рутокеном из клиентской части приложения.

В данном примере рассмотрена идея реализации алгоритма авторизации пользователя в системе с использованием схемы chеllange-response.

Суть идеи в следующем:

  1. Клиент отправляет запрос на авторизацию на сервер.
  2. Сервер в ответ на запрос от клиента отправляет случайную строку.
  3. Клиент дополняет эту строку случайными 32 битами.
  4. Клиент подписывает полученную строку своим сертификатом.
  5. Клиент отправляет на сервер полученное закодированное сообщение.
  6. Сервер проверяет подпись, получая исходное не закодированное сообщение.
  7. Сервер отсоединяет последние 32 бита от полученного не закодированного сообщения.
  8. Сервер сравнивает полученный результат с тем сообщением, которое было отправлено при запросе на авторизацию.
  9. Если сообщения одинаковые, то авторизация считается успешной.

В приведенном выше алгоритме есть такое понятие, как сертификат. В рамках данного примера нужно понимать некоторую криптографическую теорию. На Хабре есть

Читайте также:  Как пользоваться электронной подписью: область

отличная статья на эту тему

.

В данном примере будем использовать асимметричные алгоритмы шифрования. Для реализации асимметричных алгоритмов необходимо иметь ключевую пару и сертификат.

Ключевая пара состоит из двух частей: приватный ключ и публичный ключ. Приватный ключ, как следует из его названия, должен быть секретным. Мы его используем для расшифровки информации. Публичный ключ можно раздать кому угодно. Этот ключ используется для шифрования данных. Таким образом любой пользователь может зашифровать данные, используя публичный ключ, но только владелец приватного ключа может расшифровать эту информацию.

Сертификат — это электронный документ, который содержит в себе информацию о пользователе, которому принадлежит сертификат, а также публичный ключ. Имея сертификат, пользователь может подписать любые данные и отправить их на сервер, который может проверить эту подпись и расшифровать данные.

Чтобы правильно можно было подписать сообщение сертификатом, нужно правильно его создать. Для этого на Рутокене сначала создается ключевая пара, а потом к публичному ключу этой ключевой пары должен привязываться сертификат. Сертификат должен иметь именно тот публичный ключ, который находится на Рутокене, это важно. Если мы просто создадим ключевую пару и сертификат сразу на клиентской части приложения, то каким образом потом сервер сможет расшифровать это зашифрованное сообщение? Ведь он совсем ничего не знает ни о ключевой паре, ни о сертификате.

Если глубже окунуться в эту тему, то можно найти интересную информацию в интернете. Существуют некие удостоверяющие центры, которым мы заведомо доверяем. Эти удостоверяющие центры могут выдавать сертификаты пользователям, они эти сертификаты устанавливают на свой сервер. После этого, когда клиент обращается к этому серверу, он видит этот самый сертификат, и видит, что он был выдан удостоверяющим центром, а значит этому серверу можно доверять. Подробнее про то, как правильно все настроить, в интернете тоже полно информации. К примеру можно начать с этого.

Если вернуться к нашей задаче, то решение кажется очевидным. Нужно каким-то образом сделать свой удостоверяющий центр. Но перед этим нужно разобраться, а на основании чего удостоверяющий центр должен выдавать сертификат пользователю, ведь он о нем ничего не знает. (Например его имя, фамилия и т.д.) Есть такая штука, которая называется запрос на сертификат. Подробнее про этот стандарт можно глянуть, например, на википедии ru.wikipedia.org/wiki/PKCS
Мы будем использовать версию 1.7 — PKCS#10.

Опишем алгоритм формирования сертификата на Рутокене (первоисточник — документация):

  1. На клиенте создаем ключевую пару и сохраняем ее на Рутокен. (сохранение происходит автоматически)
  2. На клиенте создаем запрос на сертификат.
  3. С клиента отправляем этот запрос на сервер.
  4. При получении запроса на сертификат на сервере, выписываем сертификат своим удостоверяющим центром.
  5. Отправляем этот сертификат на клиент.
  6. На клиенте сохраняем сертификат на Рутокен.
  7. Сертификат должен привязаться к той ключевой паре, которая была создана на первом шаге.

Теперь становится понятно, как сервер сможет расшифровать подпись клиента, ведь он сам выдал ему сертификат.

В следующей части мы подробно рассмотрим, как настроить свой удостоверяющий центр на основе полноценной криптографической библиотеки с открытым исходным кодом openSSL.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Применение

  • Применяется в системах защиты от несанкционированного доступа к служебной информации, персональной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой конфиденциальной информации.

Проведение тестирования

1. Создадим

исходный ключевой документ

2.Сформируем

рабочие ключевые документы

3.Уничтожим исходный ключевой документ

4. Скопируем ключевую информацию из

рабочих ключевых документов

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Простота и удобство

Многие программные и аппаратные СКЗИ, а также другие приложения в области информационной безопасности не предусматривают использования криптографических возможностей современных токенов. Однако при этом нуждаются в защищенных средствах для хранения ключевой информации.

Такие средства хранения должны быть существенно надежнее и безопаснее флэшек или реестра Windows, но экономичнее токенов с полным набором криптографических возможностей. В данном случае кроме безопасности пользователям важны надежность носителя и простота в установке и настройке.

Электронные идентификаторы обычно используются в комплексе с соответствующими программно-аппаратными средствами. Рутокен Lite поддерживает основные промышленные стандарты, что позволяет без труда использовать его в уже существующих системах информационной безопасности.

Для работы с Рутокен Lite используется CCID драйвер, уже входящий в состав современных операционных систем, а также не требуется установка какого-либо дополнительного программного обеспечения, кроме тех СКЗИ и приложений, которые должны с ним работать.

Рутокен

1

Устройства Рутокен используются для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений и других данных.

Устройство Рутокен в формате USB-токена подключается к USB-порту компьютера. Устройство Рутокен с разъемом Type-C подключается к порту USB Type-C компьютера или мобильного устройства. 

Для работы со смарт-картами Рутокен необходим считыватель смарт-карт. Для работы с NFC-картой необходимо устройство со встроенным NFC-модулем.

Для работы со смарт-картами и USB-токенами Рутокен Lite и Рутокен ЭЦП должен быть установлен CCIDдрайвер, который обычно входит в стандартную поставку операционной системы Windows.

Для ОС Microsoft Windows XP/2000/2003 может потребоваться дополнительная установка CCID-драйвера. 

Для работы с Рутокен S в ОС Windows необходимо установить специальный комплект “Драйверы Рутокен для Windows”. Для работы в СКЗИ КриптоПро CSP со всеми смарт-картами и USB-токенами, кроме Рутокен S, установка комплекта драйверов не является обязательной.

Подробные технические характеристики можно изучить тут.

Рутокен – российское средство аутентификации

Рутокен — это аппаратные и программные решения в области аутентификации, защиты информации и электронной подписи. Устройства Рутокен являются основными ключевыми носителями в массовых российских проектах, базирующихся на технологиях ЭП и инфраструктуре открытых ключей (PKI). Продукты на базе Рутокен широко используются в коммерческих и государственных проектах.

Рутокен 2.0 драйвер – как установить и настроить

Инсталляцию Рутокен драйвера выполняют на ПК, подключенном к Сети. Процесс состоит из следующих этапов:

  1. Установка софта.
  2. Его настройка.
  3. Формирование RSA-ключа, загрузка УТМ.

Рассмотрим, как установить ПО на компьютере с ОС Windows.

Рутокен lite

3

Семейство ключевых носителей для различных программных и аппаратных средств криптографической защиты информации. Рутокен Lite можно использовать для безопасного хранения ключей шифрования и электронной подписи, паролей и других данных во встроенной защищенной памяти устройства.

Рутокен Lite поставляется в форм-факторе USB-токена, микро-токена или карты памяти microSD. Обладает интерфейсом CCID и не требует установки драйверов. Совместим с КриптоПро CSP, что позволяет этим решениям работать вместе без дополнительного программного обеспечения.

Рутокен lite micro

Вся функциональность электронного идентификатора Рутокен Lite в миниатюрном исполнении. Этот форм-фактор удобен для использования в компактных устройствах: ноутбуках, нетбуках, планшетах. Вес и размеры устройства позволяют держать его постоянно подключенным и не извлекать по окончании работы.

Рутокен lite micro ндв4 фстэк

Модель USB-токена Рутокен Lite в миниатюрном форм-факторе micro имеет всю необходимую документацию, подтверждающую отсутствие программных закладок и недекларированных возможностей.

Рутокен lite rf

Модель Рутокен Lite в форм-факторе токена с интегрированной RFID-меткой. Одно устройство позволяет решить 2 задачи: доступ пользователя к информационным ресурсам и физический доступ в охраняемые помещения.

Рутокен lite sd

Устройство Рутокен Lite, выполненное в виде карты памяти microSD, предназначено для работы на смартфонах и планшетах на базе Android. Рутокен Lite SD содержит независимую от защищенной памяти токена Flash-память общего назначения объемом 8 ГБ, где можно хранить любые пользовательские данные.

Читайте также:  Как получить и установить ЭЦП для Сбербанк АСТ? — АСТ Сбербанк

Рутокен lite ндв4 фстэк

Сертифицированная версия USB-токена Рутокен Lite, в поставку которого входит вся необходимая документация, подтверждающая отсутствие программных закладок и недекларированных возможностей.

Рутокен s micro

Рутокен S micro по функциональности ничем не отличается от базовой модели Рутокен S.  Миниатюрность исполнения позволяет использовать его в компактных устройствах: ноутбуках, нетбуках, планшетах. При этом вес и размеры устройства позволяют держать его постоянно подключенным к мобильному устройству и не извлекать по окончании работы.

Рутокен s micro ндв3 фстэк

Устройство в форм-факторе микро-токена, которое может быть использовано при работе с информацией, имеющей гриф «С», и в системах обрабатывающих конфиденциальную информацию. В поставку устройства входит вся документация, подтверждающая отсутствие недекларированных возможностей.

Рутокен s micro ндв4 фстэк

Устройство выполнено в форм-факторе микро-токена. Является средством защиты информации от несанкционированного доступа (НСД) с классификацией по 4-му уровню контроля отсутствия недекларированных возможностей (ндв4). Поставка комплектуется соответствующим сертификатом ФСТЭК РФ.

Рутокен s rf

Модель Рутокен S с интегрированной в его корпус RFID-меткой. Одно устройство позволяет решить 2 задачи: доступ пользователя к информационным ресурсам и физический доступ в охраняемые помещения. Представлено несколько вариантов Рутокен S RF, отличающихся поддержкой разных стандартов RFID-считывателей: EM-Marine, Mifare, HID.

Рутокен s ндв3 фстэк

Сертифицированная версия USB-токена Рутокен S, в поставку которого входит вся необходимая документация, подтверждающая отсутствие программных закладок и недекларированных возможностей. Рутокен S можно использовать при работе с информацией, имеющей гриф «С», и в системах, обрабатывающих конфиденциальную информацию.

Рутокен s ндв4 фстэк

Поставка комплектуется сертификатом, который удостоверяет, что Рутокен S является средством защиты информации от несанкционированного доступа (НСД) с классификацией по 4-му уровню контроля отсутствия недекларированных возможностей (ндв4).

Рутокен эцп 2.0

Рутокен ЭЦП 2.0 — электронный идентификатор с поддержкой новых российских криптографических стандартов ГОСТ Р 34.10-2020, ГОСТ Р 4.11-2020, VKO ГОСТ Р 34.10-2020 (RFC 7836) с длиной ключа 256 и 512 бит. Рутокен ЭЦП 2.0 широко применяется в информационных системах с самыми высокими требованиями к информационной безопасности, такими как: дистанционное банковское обслуживание, электронный документооборот в государственном секторе, система ЕГАИС.

Сертифицирован ФСБ России как средство криптографической защиты информации и средство электронной подписи. Обеспечивает высокую скорость выполнения криптографических операций. Срок действия закрытых ключей — до 3 лет.

Рутокен эцп 2.0 2100

Модификация модели Рутокен ЭЦП 2.0, построенная на защищенном смарт-карточном микроконтроллере в полноразмерном корпусе, который может быть выполнен в разнообразной цветовой гамме и брендирован нанесением полноцветного изображения с одной или с двух сторон корпуса.

Рутокен эцп 2.0 2100 micro

Полнофункциональный USB-токен Рутокен ЭЦП 2.0 2100 в миниатюрном исполнении. Построен на защищенном смарт-карточном микроконтроллере. Ориентирован на пользователей ноутбуков, нетбуков и планшетов. В подключенном состоянии выступает за пределы компьютера чуть более чем на 5 мм.

Рутокен эцп 2.0 2100 type-c

Рутокен ЭЦП 2.0 2100 с разъемом USB Type-C. Построен на защищенном смарт-карточном микроконтроллере. Подходит для современных компьютеров, ноутбуков и мобильных устройств, оборудованных портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2020 года).

Рутокен эцп 2.0 2100, сертифицированный фсб

Модификация модели Рутокен ЭЦП 2.0, построенная на защищенном смарт-карточном микроконтроллере. В комплект поставки модели входит набор необходимой документации, подтверждающей соответствие требованиям к средствам криптографической защиты информации и средствам электронной подписи.

Рутокен эцп 2.0 micro

Полнофункциональный USB-токен Рутокен ЭЦП 2.0 в миниатюрном исполнении. Ориентирован на пользователей ноутбуков, нетбуков и планшетов. В подключенном состоянии выступает за пределы компьютера чуть более чем на 5 мм.

Рутокен эцп 2.0 micro сертифицированный фсб

Полнофункциональный USB-токен Рутокен ЭЦП 2.0 в миниатюрном исполнении. Для пользователей ноутбуков, нетбуков и планшетов. В подключенном состоянии выступает за пределы компьютера чуть более чем на 5 мм. В комплект поставки входит набор документации, подтверждающей соответствие требованиям к СКЗИ и средствам электронной подписи.

Рутокен эцп 2.0 micro сертифицированный фстэк

Полнофункциональный USB-токен Рутокен ЭЦП 2.0 в миниатюрном исполнении. Для пользователей ноутбуков, нетбуков и планшетов. В подключенном состоянии выступает за пределы компьютера чуть более чем на 5 мм. В комплект поставки входит набор документации, подтверждающей соответствие требованиям к защите от НСД.

Рутокен эцп 2.0 rf

Модель Рутокен ЭЦП с интегрированной в его корпус RFID-меткой. Единое устройство позволяет решить задачу как разграничения доступа к информационным ресурсам, так физического доступа в охраняемые помещения. Рутокен ЭЦП RF комплектуется RFID-метками EM-Marine, Mifare или HID.

Рутокен эцп 2.0 touch

Предназначен для строгой двухфакторной аутентификации и работы с электронной подписью. Оснащен сенсорной кнопкой для подтверждения пользователем операций ЭП.

Применяется в системах с высокими требованиями к информационной безопасности: в дистанционном банковском обслуживании и электронном документообороте в государственном секторе и др. Имеет сертификат ФСБ России.

Рутокен эцп 2.0 type-c

Рутокен ЭЦП 2.0 с разъемом USB Type-C. Подходит для современных компьютеров, ноутбуков и мобильных устройств, оборудованных портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2020 года).

Рутокен эцп 2.0 егаис – установка драйвера

Чтобы начать работать с Рутокен, открываем официальный сайт компании «Актив», скачиваем драйверы для ЕГАИС здесь.

Важно! Перед инсталляцией драйвера извлеките носитель из компьютерного USB-порта.

Рутокен эцп 2.0 сертифицированный фсб

В комплект поставки модели входит набор необходимой документации, подтверждающей соответствие требованиям к средствам криптографической защиты информации и средствам электронной подписи.

Рутокен эцп 2.0 экспортный, сертифицированный фсб

Экспортная версия электронного идентификатора Рутокен ЭЦП 2.0 с аппаратной реализацией российских стандартов электронной подписи и хеширования. В экспортной версии флагманского продукта Рутокен отключены редко используемые на рынке ДБО функции симметричного шифрования, что позволило получить нотификацию ФСБ России.

Рутокен эцп 2.0, сертифицированный фстэк

В комплект поставки модели входит набор необходимой документации, подтверждающей соответствие требованиям к защите от несанкционированного доступа.

Рутокен эцп драйвер – настройка для егаис

Приступаем к настройке программы для корректной передачи отчетной информации в ЕГАИС. Как это сделать:

  1. Вставьте устройство в USB-порт ПК. Внизу экрана на Панели задач всплывет окошко с сообщением, что обнаружено новое оборудование, и оно готово к использованию. Значит, установка, процесс которой мы описали выше, прошла успешно.Рутокен ЭЦП PKI / Все продукты / Продукты / Рутокен
  2. Щелкните по ярлыку «Rutoken» на рабочем столе – откроется панель управления. Войдите в раздел «Администрирование», выберите пункт «Информация». Посмотрите, какая отметка указана возле строки «Microsoft Base Smart Card Provider». Там должно быть написано «Поддерживается». Если указан статус «Активировать», то кликните по нему и ожидайте, пока этот процесс будет завершен. После этого появится надпись «Поддерживается». Если же видите отметку «Не поддерживается», значит, устройство несовместимо с ЕГАИС.Рутокен ЭЦП PKI / Все продукты / Продукты / Рутокен
  3. Откройте раздел «Настройки криптопровайдера».Рутокен ЭЦП PKI / Все продукты / Продукты / Рутокен
  4. Возле строки «Рутокен ЭЦП 2.0» в выпадающем перечне выберите пункт «Microsoft Base Smart Card Provider», кликните «ОК».Рутокен ЭЦП PKI / Все продукты / Продукты / Рутокен

Переходим к созданию RSA-ключа.

Смарт-карта рутокен эцп 2.0, сертифицированная фсб

Смарт-карты с поддержкой новых российских криптографических стандартов ГОСТ Р 34.10-2020, ГОСТ Р 34.11-2020, VKO ГОСТ Р 34.10-2020 (RFC 7836) с длиной ключа 256 и 512 бит. Скорость выполнения операции подписи по ГОСТ — 0.3 секунды. Срок действия закрытых ключей — до 3 лет. Сертифицированы ФСБ России по классам КС1 и КС2.

Установка по «в один клик»

Для обеспечения работы с электронными торговыми площадками и государственными информационными ресурсами, как правило, требуется установка специального программного обеспечения: криптопровайдера, ActiveX-компонентов и других дополнительных компонентов операционной системы. Также зачастую есть необходимость в настройке браузера, регистрации сертификата и других административных действиях.

На Flash-памяти электронного идентификатора Рутокен ЭЦП 2.0 Flash может быть размещен неизменяемый CD-ROM раздел с комплектом программного обеспечения и установщиком с технологией автозапуска. Это предоставляет возможность настройки рабочего места «в один клик».

При первом подключении устройства к компьютеру нужно всего лишь нажать кнопку «установить» во всплывающем окне, все остальное происходит автоматически. Кроме того, на Flash-памяти можно разместить дополнительное программное обеспечение, документацию и обучающие материалы.

Устройство доверенной загрузки

Электронный идентификатор Рутокен ЭЦП 2.0 Flash может быть использован в качестве загрузочного устройства типа live-CD, совмещенного с электронным идентификатором и хранящим персональную ключевую информацию. На разделе, эмулирующем CD-ROM, размещается неизменяемый образ операционной системы.

Важными отличиями от традиционных носителей являются интегрированность с электронным идентификатором Рутокен ЭЦП 2.0, возможность временного получения прав на запись на read-only разделах для обновления ПО, а также создание специальных разделов для хранения конфигураций, лицензий и т. п.

Электронная подпись

  • Хранение ключей и сертификатов электронной подписи.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector