Медяков Юрий
30 сентября 2013PKCS#11 и токены с аппаратной криптографией
В последние годы оба ведущих производителя выпустили токены с аппаратной поддержкой электронной подписи, шифрования и хеширования. В линейке Рутокен такие токены назваются Рутокен ЭЦП, а в линейке eToken - eToken ГОСТ. Чем они отличаются от обычных и для чего их лучше использовать мы и попробуем разобраться.
Как работают обычные токены?
Многие используют обычные токены, не особенно вдаваясь в детали их работы. Обычно на них размещают сертификаты электронной подписи, и впоследствии при необходимости что-то подписать, вставляют токен в компьютер и набирают выбранный пин-код.
Преимущество таких токенов перед обычными флешками состоит в том, что сертификат на токене надежно защищен и без знания пин-кода получить к нему доступ практически невозможно. Это значит, что если вы потеряете такой токен, то ничего страшного в принципе не произойдет - злоумышленник не сможет ничего подписать, не зная пин-кода.
Как работают токены ЭЦП/ГОСТ?
Токены с аппаратной реализацией электронной подписи, шифрования и хеширования обладают всеми преимуществами обычных токенов. Но самым важным преимуществом таких токенов является возможность подписывать и шифровать документы прямо на токене, не используя установленный на рабочей станции криптопровайдер. Это позволяет:
- Безопасно подписывать и шифровать: ваша подпись(закрытый ключ) не покидают ваш токен
- Подписывать и шифровать документы, не покупая криптопровайдер
Если первый пункт говорит о повышение безопасности процесса подписи (закрытый ключ не покидает токен, а значит его значительно сложнее перехватить), то второй пункт позволяет вам сэкономить.
Если обычно для подписи требуется приобрести, к примеру Токен + КриптоПро CSP + КриптоАрм, то с такими токенами вам будет достаточно купить Токен ЭЦП/ГОСТ + КриптоАрм.
Что же такое PKCS#11?
PKCS #11 - это протокол, благодаря которому программы для подписи и шифрования могут работать с токенами или смарт-картами с аппаратной реализацией электронной подписи и шифрования (ЭЦП/ГОСТ). Если вы хотите использовать такие токены, вам следует выяснить, поддерживает ли ваша программа протокол PKCS #11.
Мы рекомендуем использовать программу КриптоАРМ Стандарт Плюс, которая с версии 5 поддерживает этот протокол.