Какой именно токен выбрать?

Выбор токена зависит от того, как именно будет сгенерирован на него сертификат и как в дальнейшем сертификат будет использоваться.

Рассмотрим разновидности ключей электронной подписи в связке с токенами от компании Актив - Рутокен.

1. Извлекаемые ключи ЭП - создаются с помощью программного криптопровайдера (КриптоПРО CSP). Закрытый ключ хранится в защищённом ключевом контейнере на токене. Вся работа с ключами производится средствами этого программного криптопровайдера. При этом, во время операций с подписью, после ввода правильного PIN-кода, закрытый ключ ненадолго извлекается в оперативную память компьютера.

2. Неизвлекаемые ключи ЭП - создаются с использованием аппаратных возможностей устройства Рутокен (СКЗИ на токене). Такие ключи ЭП хранятся не просто в защищённом ключевом контейнере, но и в специальном внутреннем формате. При работе с подписью все операции производятся внутри токена - закрытый ключ никогда не выдается наружу.

Извлекаемые ключи делятся на:

Этот параметр устанавливается во время генерации контейнера или при импорте ключей. Впоследствии этот параметр уже не изменить.

В том случае, если ключ генерируется на флешку, жесткий диск или в реестр компьютера, запрет экспорта особо не ограничивает возможность копирования контейнера. Вы можете скопировать контейнер средствами ОС.

А вот запись неэкспортируемого контейнера на Рутокен, позволяет вам защититься от копирования контейнера средствами ОС и криптопровайдера.

Неизвлекаемые ключи делятся на два вида:

Аппаратная криптография на токене не равно вшитая в токен программа КриптоПро CSP. То есть если вы получили модель Рутокен с записанным на нее извлекаемым контейнером формата КриптоПро или с ключами формата ФКН, то вне зависимости от того какая у вас модель Рутокен - пассивная или активная, для работы с таким типом ключей, нужно будет приобрести лицензию на КриптоПро CSP.

Рассмотрим с помощью каких средств криптографической защиты информации можно сгенерировать извлекаемые ключи.

Есть 3 варианта:

• КриптоПро CSP версии 4.0 и выше. При генерации нужно выбрать "режим CSP". Тогда ключи будут генерироваться с использованием программного криптопровайдера на любую модель Рутокен.
• В случае с остальными двумя вариантами: при использовании в качестве средства генерации VipNet CSP или Signal-COM CSP, важно какую модель вы используете. С пассивными носителями Рутокен Lite и Рутокен S - будет автоматически использоваться программная генерация извлекаемых ключей

Неизвлекаемые ключи формата PKCS#11 можно сгенерировать с использованием активных токенов из линейки Рутокен ЭЦП 2.0 и 3.0. Именно эти две линейки содержат в себе возможности аппаратной криптографии.

Для генерации можно использовать инструмент от компании Актив - это Рутокен SDK , или воспользоваться инструментами, которые выпускают наши партнеры. Если речь идет о КриптоПро CSP, то ключи формата PKCS#11 можно сгенерировать  с помощью версии 5.0  R2 и выше.

На устройства из линеек ЭЦП 2.0 или 3.0 всегда генерируются только неизвлекаемые ключи с использованием аппаратной криптографии Рутокена.

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать устройство Рутокен ЭЦП 2.0 3000 или токены из линейки Рутокен ЭЦП 3.0 - именно в этих моделях добавлена возможность генерации и работы с такими ключами. Важно так же что для ключей такого формата подойдет версия КриптоПро CSP 5.0 и выше.