Что значит носитель электронного ключа. Как выбрать носитель ключа электронной подписи (Рутокен). На что обратить внимание при выборе носителя ключа ЭЦП

С появлением электронной подписи множество бизнес-процессов и процедур стало более эффективным, поскольку ее использование в значительной степени сокращает издержки, актуальные для работы с бумажными документами. Несмотря на неоспоримое удобство использования электронной подписи, не стоит забывать о вопросах безопасности данных, которые по сей день остаются актуальными. На сегодняшний день одним из решений вопроса безопасности передаваемой информации стало предписание ФСТЭК России для удостоверяющих центром о выдаче только сертифицированных носителей электронной подписи. Наиболее популярным видом носителей являются токены. Отметим, что данный вид имеет очевидные преимущества для пользователей по сравнению с альтернативными вариантами, которые также выдаются удостоверяющими центрами. В сопоставлении с флеш-накопителями и лазерными дисками, надежность использования токенов на порядок больше, так как гораздо выше степень защиты информации от вредоносных программ и вирусов. Если же сравнивать токены с наиболее безопасным видом носителя ключа электронной подписи – смарт-картами, то значимое преимущество заключается в использовании: для прочтения информации на смарт-картах требуется специальное оборудование. Более подробно стоит остановиться на двух видах сертифицированных токенов – eToken и Jacarta.

eToken: что это и для чего он нужен

Носитель eToken представляет собой USB-брелок, совместимый с любыми компьютерами и мобильными устройствами, имеющими соответствующий разъем. На нем содержатся такие важные реквизиты как цифровые сертификаты, пароли и ключи для шифрования. Отличительная особенность этого носителя заключается в том, что он является двухфакторным, то есть предусматривает более сложный процесс аутентификации. Кроме того, формовой пластик, из которого изготавливается данный ключ, который позволяет увидеть следы попыток взлома. К преимуществам можно отнести и достаточный объем защищенной памяти и небольшие размеры, дающие возможность всегда иметь ключ eToken при себе.

Что такое токен Jacarta

Другая разновидность USB-носителя электронной подписи – токен со встроенным чипом Jacarta. Достоинствами Jacarta является неограниченный срок службы, а также отсутствие необходимости в установке специальных программ и считывающих устройств. Но главное преимущество заключается именно в микропроцессоре, который обеспечивает полную защиту данных от компрометации. Этот носитель также представляет собой брелок с USB-разъемом. Работа с Jacarta также предполагает двойную аутентификацию – по паролю и встроенному чипу.

ОСНОВНЫЕ ПОНЯТИЯ

КСКПЭП –квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.

Криптопровайдер – средство защиты криптографической защиты информации.Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.

ЛКМ – левая кнопка мыши.

ПКМ – правая кнопка мыши.

CRM- AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.

Перед началом генерации

После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.

Откройте ссылку для генерации из письма в одном из рекомендуемых браузеров: Google Chrome , Mozilla Firefox , Yandex.Браузер . Если Вы уже находитесь в одном из вышеперечисленных браузеров, кликните по ссылке ЛКМ или ПКМ > «Открыть ссылку в новой вкладке». Страница генерации (Рис.1) откроется в новом окне.

При открытии ссылки, появится первоначальное предупреждение. Ознакомьтесь с ним, если для хранения КЭП вы используете носитель Jacarta LT . Подробнее о носителях в ниже. Если используете иной носитель, то нажмите кнопку «Закрыть» .

Рис.1 – Страница генерации

Установка приложения

Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке» . После скачивания приложения запустите установку.

Рекомендуется отключить антивирусное ПО перед загрузкой программы !

В процессе установки приложения « crm - agent » появится сообщение с запросом доступа (Рис.2).

Рис.2 – Запрос доступа

Нажмите кнопку «Да».

Предоставление доступа

После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).

Рис.3 – Доступ к хранилищу сертификатов

Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).

Рис.4 – Доступ к хранилищу сертификатов 2

Если не появилась кнопка «Продолжить»

Если после установки приложения « crm - agent » , ссылка на скачивание приложения не исчезла, причиной может быть блокировка подключения вашей системой безопасности.

Для устранения ситуации необходимо:

Отключить антивирус, установленный на вашем компьютере;

Открыть новую вкладку в браузере;

Ввести в адресную строку браузера адрес без пробелов - 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);

При появлении сообщения браузера «Ваше подключение не защищено» , добавьте страницу в исключения браузера. Например, Chrome : «Дополнительные» - «Все равно перейти на сайт» . Для остальных браузеров воспользуйтесь соответствующей инструкцией разработчика.

После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.

Установка КриптоПРО CSP

В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).

Это важно: приложение « crm - agent » обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP ), свяжитесь со специалистами технической поддержки УЦ для консультации.

Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.

КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10

После окончания загрузки откройте zip -архив с помощью соответствующей программы-архиватора (например, Win - RAR ). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

Рис.5 – Установка КриптоПРО

Пропустите окно, нажав «Далее» . Установка КриптоПРО завершена.

Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb -токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Тип USB-носителя	Внешний вид USB-носителя	Ссылка на загрузку драйверов	PIN-код
ruToken

Функциональный ключевой носитель (ФКН) - это новая технология, позволяющая существенно повысить безопасность систем, использующих электронную цифровую подпись.

Функциональный ключевой носитель - архитектура программно- аппаратных продуктов со смарткартой или USB ключом, аппаратно реализующих российские криптоалгоритмы ЭП и шифрования (ГОСТ Р 34.10-2001/ГОСТ Р 34.11-94, ГОСТ 28147-89), позволяющая безопасно хранить и использовать закрытые ключи в защищённой памяти смарткарты или USB ключа.

В последнее время все большее внимание уделяется вопросам безопасности хранения закрытых ключей. Ключевые контейнеры на небезопасных носителях (таких как дискеты) уходят в прошлое. Но и к получившим широкое распространение ключевым контейнерам на защищенных носителях - USB ключам и смарткартам предъявляются все более жесткие требования в области защиты ключа.

Частично таким новым требованиям удовлетворяют USB ключи и смарткарты с аппаратной реализацией подписи, получившие широкое распространение в зарубежной практике. Например, USB ключи и смарткарты, удовлетворяющие стандартам PKCS#11. Но данные стандарты были разработаны достаточно давно и не учитывают возникновение новых угроз, таких как уязвимость к атакам подмены подписи или хэш-значения в канале связи между микропроцессором карты (ключа) и программным обеспечением на компьютере.

Архитектура Функционального ключевого носителя , предлагаемая компанией КРИПТО-ПРО, реализует принципиально новый подход к обеспечению безопасного использования ключа на смарткарте или usb-токене, который кроме аппаратной генерации ключей и формирования ЭП в микропроцессоре ключевого носителя, позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи между программной и аппаратной частью CSP.

Основными преимуществами ФКН являются:

• повышенная конфиденциальность ключа пользователя;
• генерация ключей ЭП, ключей согласования, а также создание ЭП, происходит внутри ФКН;
• выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской ЭП;
• усиленная защита данных при передаче по открытому каналу, благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола КРИПТО-ПРО на основе процедуры EKE (encrypted key exchange). При этом передается не PIN-код, а точка на эллиптической кривой;
• передача хэш-значения по защищенному каналу, исключающему возможность подмены;
• ни в какой момент, кроме создания контейнера, ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера и не используются в явном виде в криптографических преобразованиях. Соответственно, даже удачная аппаратная атака на ключевой носитель не поможет узнать ключ;
• исключена возможность подмены подписи в протоколе обмена, ЭП вырабатывается по частям - сначала в ключевом носителе, потом окончательно в CSP;
• ключ может быть сгенерирован ФКН или загружаться извне.

Ключ электронной подписи — основной ее элемент. В чем заключается предназначение данного ключа и как его можно получить?

Что представляют собой ключи ЭЦП

Электронно-цифровая подпись — это информация в электронной форме (п. 1 ст. 2 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ), которая может дополнять тот или иной файл в целях удостоверения его авторства, а также подтверждения факта отсутствия изменений в данном файле после его подписания. Программная оболочка, посредством которой генерируется соответствующая информация, формирует электронный ключ.

При этом данный ключ классифицируется на 2 разновидности:

• открытый;
• закрытый.

Изучим их специфику.

Что такое открытый ключ

Под открытым ключом ЭЦП понимается уникальная последовательность символов (п. 5 ст. 2 закона № 63-ФЗ), которая доступна всем пользователям, желающим проверить подписанный с помощью ЭЦП документ на предмет авторства и целостности. Обычно открытый ключ находится в распоряжении получателя файлов, подписанных ЭЦП.

Закрытый ключ ЭЦП — это что за инструмент

Под закрытым ключом электронной подписи понимается, в свою очередь, последовательность символов, посредством которых осуществляется непосредственно подписание файла и удостоверение его авторства и целостности (п. 6 ст. 2 закона № 63-ФЗ). Доступ к закрытому ключу имеет только автор файла (или уполномоченное на работу с данным файлом лицо).

Открытые и закрытые ключи электронной подписи связаны между собой: проверить корректность ЭЦП, сформированной с помощью закрытого ключа, можно только с помощью соответствующего ему открытого ключа. То есть у них должен быть общий производитель (таковым может быть удостоверяющий центр).

Что представляет собой носитель ключа электронной подписи

Открытый и закрытый ключи создаются с помощью специальных криптографических приложений. Располагаются они на особом носителе — хорошо защищенном от несанкционированного копирования данных аппаратном модуле (например, устройстве типа eToken). Пользоваться им может только человек, имеющий правомочия в части подписания тех или иных файлов.

Как получить ключ электронной подписи

Криптографические приложения, с помощью которых осуществляется пользование ключами ЭЦП, выдаются специализированными удостоверяющими центрами. Многие из них аккредитованы Минкомсвязью и уполномочены к выдаче ключей для квалифицированной электронной подписи — соответствующей государственным стандартам в части обеспечения защиты информации.

Необходимый атрибут – ключ ЭЦП – это уникальный перечень буквенных и цифровых символов, который используется для формирования подписи. Ключ простой ЭЦП представляет собой идентификатор и пароль, а усиленной – сложное образование, созданное с применением алгоритмов криптологического шифрования.

Различия и особенности

• В отличие от рукотворного росчерка, ЭП не имеет универсального характера и может использоваться только в пределах одного ведомства в соответствии с OID – объективными идентификаторами сфер применения ключа. Существуют ЭП для:налоговой отчетности;
• электронных торгов и тендеров;
• портала публичных услуг.

До того,как получить ЭЦП юридическому лицу, ему следует сообщить представителю изготовителя – удостоверяющего центра (УЦ) все планируемые цели использования. Требуемые OID будут прикреплены к единому сертификату ключа, результатом чего станет универсальная и удобная ЭП.

Ключ проверки электронной подписи (КП) представляет собой неповторимую последовательность символов, связанных с ключом ЭП. Она может быть применена для установления достоверности сформированной подписи любого вида:

• КП простой ЭЦП используется в соответствии с предписаниями оператора информационной системы, в которой подписан и отправлен файл;
• применение неквалифицированной усиленной ЭЦП разрешено законом и без создания сертификата КП, если она при этом будет удовлетворять техническим требованиям относительно безопасности и конфиденциальности;
• КП квалифицированной ЭЦП содержится в ее сертификате, что, собственно, и отличает ее от подписей иных видов.

Сколько и каких ключей можно иметь?

Цифровой документооборот активно развивается. Унифицирована лишь малая часть технических и юридических нюансов. При этом существуют некоторые недоработки:

• не существует единого реестра лиц, получивших и использующих ЭП (каждый УЦ ведет собственный перечень выданных и аннулированных сертификатов);
• не реализованы роуминг и кросс-сертификация между операторами электронного документооборота, которые бы обеспечили функциональную совместимость доменов инфраструктуры открытых ключей;
• одно лицо может владеть неограниченным числом подписей и действующих сертификатов КП ЭП для использования в разных целях.

Кроме того, человек, действующий от имени нескольких учреждений в цифровом документообороте должен иметь отдельный ключ электронной подписи для представительства каждой из них в целевой системе.

К примеру, гражданин может одновременно владеть ЭП для подачи отчетности в территориальный орган ФНС:

1. Для налоговых деклараций от собственного имени как физическое лицо.
2. Для бухгалтерской и налоговой отчетности:

• как частный предприниматель;
• как должностное лицо предприятия (руководитель или бухгалтер);
• как представитель по доверенности любого хозяйствующего субъекта.

Ключевая пара

Для построения ЭП могут использоваться два вида алгоритмов:

• симметричного криптошифрования, подразумевающие под авторизацией документа подписание его издателем и передачу доверенному третьему лицу, уполномоченному отправить его адресату;
• асимметричного криптошифрования, в которых для прямого и обратного преобразований применяются разные ключи или присутствует пара: личный ключ строго конфиденциален, а КП открыто публикуется и защищается от подделки.

Открытый ключ электронной цифровой подписи ЭЦП – это данные, которые:

• сообщаются по общедоступному, технически незащищенному телекоммуникационному каналу;
• применяются для проверки ЭП и обратного преобразования содержимого файла;
• его пара – личный конфиденциальный ключ для формирования ЭП.

Проверка электронной подписи путем использования открытых ключей обычно применяется в сетевых протоколах, например – SSL, SSH, S/MIME. Они основываются на таких принципах:

• ключ для создания ЭП его владелец держит в строжайшем секрете;
• УЦ формирует сертификат открытого ключа, тем самым, обеспечивая его достоверность;
• участники файлообмена не доверяют друг другу, но каждый из них верит УЦ;
• только УЦ наделен полномочиям подтверждать принадлежность открытого ключа тому, кто владеет закрытым ключом.

Закрытый ключ электронной цифровой подписи ЭЦП – это конфиденциальная составляющая ключевой пары. Он имеет такие характеристики:

• применяется для формирования ЭП;
• не может быть вычислен из созданной с его помощью подписи или открытого ключа;
• исключает возможность подделки ЭП в случае применения стойкого криптоалгоритма.

Надлежащую работу ЭП обеспечивают:

• надежные методы криптошифрования;
• качественные генераторы случайных чисел (ключ должен быть абсолютно непредсказуем);
• безопасные носители – смарт-карты либо HSM, исключающие возможность перезаписи.

Средства ЭП

В соответствии с предписаниями профильного закона 2011 года, средства электронной подписи применяются для выполнения следующих задач относительно ЭП:

• создание;
• проверка;
• создание ключа и ключа проверки.

Подлежат применению средства ЭП, которые:

• предполагают достоверное определение факта внесения любых, в том числе и случайных, правок в переданный документ;
• обеспечивают невозможность вычисления ключа ЭП.

При подписании они должны:

• гарантировать подписанту возможность ознакомиться с содержимым заверяемого файла;
• обезопасить от случайного создания ЭП.

При проверке ЭП ее средства должны:

• демонстрировать содержание подписанного файла;
• обнаруживать любые внесенные правки;
• устанавливать лицо, чей ключ использовался при формировании подписи.

До того, как получить ключ ЭЦП, нужно уяснить, что только средства квалифицированной ЭЦП прошли обязательную проверку и сертификацию. Они одобрены ФСБ, а потому являются самыми надежными.