Шишкина Альбина
7 сентября 2022Рутокен как пассивный и активный ключевой носитель
Какой именно токен выбрать?
Выбор токена зависит от того, как именно будет сгенерирован на него сертификат и как в дальнейшем сертификат будет использоваться.
Рассмотрим разновидности ключей электронной подписи в связке с токенами от компании Актив - Рутокен.
1. Извлекаемые ключи ЭП - создаются с помощью программного криптопровайдера (КриптоПРО CSP). Закрытый ключ хранится в защищённом ключевом контейнере на токене. Вся работа с ключами производится средствами этого программного криптопровайдера. При этом, во время операций с подписью, после ввода правильного PIN-кода, закрытый ключ ненадолго извлекается в оперативную память компьютера.
2. Неизвлекаемые ключи ЭП - создаются с использованием аппаратных возможностей устройства Рутокен (СКЗИ на токене). Такие ключи ЭП хранятся не просто в защищённом ключевом контейнере, но и в специальном внутреннем формате. При работе с подписью все операции производятся внутри токена - закрытый ключ никогда не выдается наружу.
Извлекаемые ключи делятся на:
Этот параметр устанавливается во время генерации контейнера или при импорте ключей. Впоследствии этот параметр уже не изменить.
В том случае, если ключ генерируется на флешку, жесткий диск или в реестр компьютера, запрет экспорта особо не ограничивает возможность копирования контейнера. Вы можете скопировать контейнер средствами ОС.
А вот запись неэкспортируемого контейнера на Рутокен, позволяет вам защититься от копирования контейнера средствами ОС и криптопровайдера.
Неизвлекаемые ключи делятся на два вида:
Какие бывают модели Рутокен? ⠀
Аппаратная криптография на токене не равно вшитая в токен программа КриптоПро CSP. То есть если вы получили модель Рутокен с записанным на нее извлекаемым контейнером формата КриптоПро или с ключами формата ФКН, то вне зависимости от того какая у вас модель Рутокен - пассивная или активная, для работы с таким типом ключей, нужно будет приобрести лицензию на КриптоПро CSP.
Рассмотрим с помощью каких средств криптографической защиты информации можно сгенерировать извлекаемые ключи.
Есть 3 варианта:
- КриптоПро CSP версии 4.0 и выше. При генерации нужно выбрать "режим CSP". Тогда ключи будут генерироваться с использованием программного криптопровайдера на любую модель Рутокен.
- В случае с остальными двумя вариантами: при использовании в качестве средства генерации VipNet CSP или Signal-COM CSP, важно какую модель вы используете. С пассивными носителями Рутокен Lite и Рутокен S - будет автоматически использоваться программная генерация извлекаемых ключей
Неизвлекаемые ключи формата PKCS#11 можно сгенерировать с использованием активных токенов из линейки Рутокен ЭЦП 2.0 и 3.0. Именно эти две линейки содержат в себе возможности аппаратной криптографии.
Для генерации можно использовать инструмент от компании Актив - это Рутокен SDK , или воспользоваться инструментами, которые выпускают наши партнеры. Если речь идет о КриптоПро CSP, то ключи формата PKCS#11 можно сгенерировать с помощью версии 5.0 R2 и выше.
На устройства из линеек ЭЦП 2.0 или 3.0 всегда генерируются только неизвлекаемые ключи с использованием аппаратной криптографии Рутокена.
Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать устройство Рутокен ЭЦП 2.0 3000 или токены из линейки Рутокен ЭЦП 3.0 - именно в этих моделях добавлена возможность генерации и работы с такими ключами. Важно так же что для ключей такого формата подойдет версия КриптоПро CSP 5.0 и выше.
Похожие статьи
Rutoken - основные модели, отличия, что выбрать?
Для того, чтобы помочь вам самостоятельно разобраться в различных моделях токенов от компании Актив, предлагаем ознакомится с нашими обзорами.
11 апреля 2017Получен сертификат ФСБ для СКЗИ Рутокен ЭЦП 3.0
Полученный сертификат ФСБ России №СФ/124-4307 подтверждает, что СКЗИ Рутокен ЭЦП 3.0 соответствует требованиям Федерального закона «Об электронной подписи» №63-ФЗ и требованиям к средствам криптографической защиты информации.
07 сентября 2022