Хранение ключа электронной подписи
Продолжает расти популярность решений на основе PKI — всё больше сайтов переходят на HTTPS, предприятия внедряют цифровые сертификаты для аутентификации пользователей и компьютеров, S/MIME доказывает свою состоятельность и для шифрования электронной почты, и как способ проверки источника сообщений для противодействия фишингу. Но шифрование и аутентификация в этих приложениях практически бессмысленны без правильного управления ключами.
Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей. Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.
Во многих случаях секретные ключи — личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами. В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).
Хранилища сертификатов/ключей в ОС и браузерах
Примеры: хранилище сертификатов Windows, связка ключей Mac OS В некоторых операционных системах и браузерах есть хранилища сертификатов или ключей. Это программные базы данных, которые локально на вашем компьютере хранят пару из закрытого и открытого ключей как часть сертификата.
Такое хранение ключей довольно популярно: многие приложения автоматически сразу ищут ключи здесь, и не нужно вручную каждый раз указывать файл сертификата, так что это довольно удобный вариант. Ещё один плюс такого варианта — его довольно легко настраивать.
Вы можете включить/отключить экспорт закрытого ключа, включить для него надёжную защиту (ввод пароля при каждом использовании сертификата), и можно создать резервные копии, если закрытый ключ экспортируется.
Кроме того, при включении роуминга профилей в Windows сертификат привязывается к профилю и становится доступным при входе на другой компьютер с этим профилем. Если решите выбрать такой вариант, то следует учесть несколько аспектов.
Во-первых, даже если пометить закрытый ключ как неэкспортируемый, некоторые утилиты могут обойти эту защиту (то есть невозможность экспорта не гарантирована). Кроме того, если кто-то работал под вашей учётной записью, а вы не включили сильную защиту закрытого ключа (пароль при использовании сертификата), то они могут использовать ваш сертификат.
Наконец, если ваш закрытый ключ помечен как экспортируемый, то кто-нибудь за вашим компьютером сможет экспортировать его. Даже если у вас включена защита секретного ключа, при экспорте пароль не спрашивается. И последнее: Chrome и IE используют хранилище сертификатов Windows, в то время как у Firefox собственное хранилище сертификатов (от Mozilla). Это значит, что если вы импортируете сертификат в хранилище Windows, то Chrome и IE автоматически найдут его, а Firefox нет.
Типичные приложения:
- Приложения для цифровой подписи (например, Adobe Acrobat, Microsoft Outlook и Office будут обращаться в хранилище сертификатов Windows [пользовательское]).
- Сервер Microsoft IIS тоже ищет SSL-сертификаты в хранилище сертификатов Windows [общем для компьютера].
- Аутентификация клиента (пользователя или компьютера), в зависимости от настроек, чаще всего обращается к хранилищу сертификатов Windows.
- Подпись кода в Windows (приложения и драйверы).
Файлы .pfx и .jks (хранилища ключей)
Файлы PKCS#12 (.pfx или .p12) и .jks* (созданные инструментом Java Keytool) содержат ваши закрытый и открытый ключи. В отличие от локальных хранилищ для ОС и браузеров, эти файлы могут размещаться практически в любом месте, включая удалённые серверы, и всегда защищены паролем (то есть каждый раз при использовании своего секретного ключа нужно ввести пароль).
Другая привлекательная особенность: поскольку это просто файлы, то несложно разослать копии для нескольких человек, которым нужно использовать сертификат. Если решите сохранить файл на удалённом сервере, то следует особенно позаботиться об ограничении доступа к нему. Если кто-то получит доступ, то сможет использовать ваш сертификат.
Аналогично, следует быть особенно осторожным с лёгким копированием и распространением этих файлов. Хотя это и большое удобство для вас, но одновременно и злоумышленнику будет просто сделать копию, если он получит доступ к вашему хранилищу ключей. Пароль закрытого ключа по-прежнему необходим для эффективного использования скопированного файла.
Это еще одна причина, чтобы использовать надёжные пароли из 15-ти и больше символов, содержащие заглавные буквы, цифры и специальные символы. С этим вариантом хранения нужно учитывать ещё одну вещь: на конечного пользователя накладывается больше ответственности с точки зрения того, где находится файл и правильно ли он хранится.
Если вы не можете использовать криптографическое оборудование или хранилище ключей Windows (описано выше), но всё же хотите повысить безопасность (вместо того, чтобы просто разместить файл хранилища ключей на компьютере), то можно записать этот файл на флэшку, которая будет лежать в безопасном месте.
Конечно, здесь теряется некоторое удобство, так что если нужно часто использовать подпись, то вы скорее захотите хранить файл локально для облегчения доступа.
Типичные приложения:
- Подписание кода Windows или Java.
- FDA ESG и IRS IDES используют .pfx для безопасной связи с американскими госслужбами.
- Некоторые веб-серверы (например, Apache Tomcat или Jboss).
* Примечание: Java недавно перешла с JKS на PKCS#12 в качестве типа хранилища ключей по умолчанию.
Криптографические токены и смарт-карты
Как вскользь упомянуто выше, можно повысить безопасность, если хранить секретный ключ на отдельном оборудовании. Но есть большая разница между использованием криптографических токенов или смарт-карт и стандартных флэш-накопителей. С криптографическим оборудованием ключ генерируется на самом оборудовании и не экспортируется. Закрытый ключ никогда не покидает устройство, что сильно затрудняет постороннему получение доступа и компрометацию. Примечание: если вы хотите дополнительно обезопасить закрытый ключ, который уже сгенерирован ранее (т. е. не на самом токене), то можно импортировать .pfx-файл на токен, а затем удалить оригинальный .pfx.
С токеном каждый раз при использовании сертификата нужно вводить пароль. Это значит, что даже если кто-то получит ваш токен, ему всё равно понадобится пароль. Хранение ключа в токене означает, что вы можете безопасно использовать один и тот же сертификат на нескольких компьютерах без необходимости создания нескольких копий и прохождения процесса экспорта/импорта. Криптографическое оборудование соответствует FIPS, что требуется для некоторых отраслевых и государственных регламентов.
Конечно, есть некоторые другие соображения, которые следует иметь в виду, если вы решите выбрать такой вариант. Кроме дополнительных сложностей управления токенами, такой вариант может не работать с автоматическими сборками из-за требования ввести пароль при каждом использовании сертификата. Также нет никакого способа создать резервную копию сертификата, поскольку закрытый ключ не экспортируется (недостаток дополнительной безопасности). Наконец, в некоторых сценариях такой вариант хранения просто невозможен. Например, если специализированные устройства не поддерживают токены или смарт-карты. Или в ситуациях, когда сотрудники не имеют физического доступа к компьютеру, а работают с удалённых терминалов.
Типичные приложения:
Как правило, все варианты использования, перечисленные для хранилищ в ОС/браузере (подпись документов и кода, аутентификация клиента, Windows IIS), поддерживают крипто-токены или смарт-карты — если есть соответствующие драйверы.
Однако это не всегда практично (например, в веб-серверах или автоматизированных системах сборки для подписи кода, которые будут требовать ввод пароля каждый раз при применении подписи). Соответствие нормативным требованиям — одна из основных причин использования криптографических токенов.
- Обязательно для подписания кода расширенной проверки (EV) в соответствии с рекомендациями форума CA/Browser.
- Рекомендуется для стандартной подписи кода в соответствии с минимальными требованиями CA Security Council. Центры сертификации обязаны рекомендовать криптографическое оборудование в качестве основного варианта выдачи сертификатов. Если криптографическое оборудование не выдаётся, клиент должен подписать соглашение, что будет хранить закрытый ключ на каком-то съёмном оборудовании (которое вынимается после подписания).
- Требуется для цифровой подписи и получения доверенного статуса в программах Adobe, в соответствии с требованиями Adobe Approved Trust List (AATL).
- Отраслевые правила, такие как CFR 21 часть 11 от FDA и требования к цифровой подписи в отдельных странах часто говорят о секретном ключе, который находится в единоличном владении собственника. Хранение на криптографическом оборудовании отвечает этим требованиям.
Аппаратные криптографические модули (HSM)
HSM — ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях), то HSM предоставляют API, поддерживают автоматизированные рабочие процессы и автоматизированную сборку. Они также соответствуют требованиям FIPS и обычно обеспечивают более высокий рейтинг, чем токены. Традиционно HSM — это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии. К счастью, в последние годы появились облачные модули HSM, которые предоставляют многие из преимуществ локальных HSM, не нуждаясь в локальном обслуживании.
Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign.
Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service, где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников.
В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу).
Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной.
С помощью этой новой службы цифровые подписи отдельных сотрудников внедряются без необходимости самостоятельно управлять HSM (и без риска потери токенов сотрудниками).
Типичные приложения:
- Подпись документов или кода в большом количестве.
- SSL (в зависимости от конфигурации сервера).
- Инфраструктура ЦС для работы собственного ЦС (корневого ЦС, подчинённого ЦС, сервера меток времени RFC 3161) в офлайне или онлайне (корневой ЦС, как правило, работает в офлайне).
Будущие методы хранения ключей
Мы рассмотрели основные варианты, которые использовались в течение многих лет. Но кажется, что ничто в мире информационной безопасности, в том числе и хранение ключей, не застраховано от влияния IoT, так что разрабатываются новые варианты.
По мере того как все больше и больше устройств подключаются к сети с необходимостью аутентификации и безопасного обмена данными, многие разработчики и производители обращаются к решениям на основе PKI. В свою очередь, это приводит к новым соображениям, требованиям и технологиям защиты закрытых ключей.
Ниже приведены две тенденции, которые мы видим в этой области.
Доверенный платформенный модуль (TPM)
Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением.
Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей. В то время как многие ноутбуки уже поставляются с TPM, пока эта технология не слишком широко используется в корпоративном секторе.
Однако в мире IoT они часто применяются для безопасной индентификации устройств как аппаратный корень доверия. IoT создал проблему, когда много анонимно взаимодействующих устройств облегчают хакерам перехват сообщений или имперсонификацию устройств.
Модуль TPM внедряется ещё на этапе производства для защиты криптографического ключа и, следовательно, для надёжной идентификации устройства. При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата.
Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат — это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.
Мы тесно сотрудничаем с Infineon для разработки решений Интернета вещей, сочетающих идентификацию устройств на основе PKI с корнями доверия на основе TPM. Для получения дополнительной информации ознакомьтесь с подтверждением концепции: «Безопасная аутентификация и управление оборудованием с помощью облачных служб сертификатов GlobalSign и OPTIGA TPM от Infineon.»
Физически неклонируемые функции (PUF)
Технология физически неклонируемых функций (PUF) — это сдвиг парадигмы в защите ключей. Вместо хранения ключей (с вероятностью физической атаки) они генерируются из уникальных физических свойств статической памяти SRAM конкретного чипа и существуют только при включении питания.
То есть вместо надёжного хранения закрытого ключа один и тот же ключ восстанавливается снова и снова по требованию (пока устройство не выйдет из строя). Этот ключ гарантированно уникален, потому что при генерации используется присущая неконтролируемая неупорядоченность в кремниевой структуре чипа.
Технология PUF в сочетании с доверенной средой исполнения (TEE) — привлекательное решение, если требуется недорогая, простая в интеграции и ультра-безопасная защита ключа. PUF вместе с PKI составляют исчерпывающее решение для идентификации.
Наш партнёр Intrinsic ID разработал такую систему подготовки ключа на основе SRAM PUF, которая производит уникальные, защищённые от подделки и копирования идентификаторы устройств на аппаратном уровне.
Используя наши службы сертификации, мы переводим эти идентификаторы в цифровые удостоверения, добавляя возможности PKI.
Таким образом, каждому устройству присваивается уникальная, защищённая от клонирования пара ключей, которая не хранится на устройстве в выключенном состоянии, но устройство способно воссоздать этот ключ по запросу. Это защищает от атаки на выключенное устройство. Дополнительно о нашем совместном решении для идентификации
устройств Интернета вещей см. недавний вебинар: «Стойкие идентификаторы устройств с сертификатами на основе SRAM PUF».
Не теряйте (секретные) ключи от своей крепости!
Хранение закрытого ключа не должно быть чёрной магией. В конечном счёте, правильный вариант зависит от того, кто и для чего использует сертификаты, какие нормы приходится соблюдать, какова цена, текущее окружение и внутренние ресурсы. Надеюсь, эта статья поможет в вашем решении.
_______________________________________________________ АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК Защитите все субдомены одним сертификатом! Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года! Промо-код: WC001HRFR
Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.
Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте с указанием промо-кода.
4 вопроса об облачной электронной подписи
- Ваши вопросы
- На вопросы отвечает Алексей Микрюков, Бизнес-аналитик Directum.
- Вопрос
- Облачная ЭЦП – насколько она безопасна?
- Ответ
Использовать сокращение ЭЦП (электронная цифровая подпись) уже не совсем корректно. Понятие устарело, правильнее употреблять аббревиатуру ЭП.
Чтобы убедиться в этом, достаточно взглянуть на п. 1 части первой ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»[1] (далее – Федеральный закон № 63-ФЗ).
А теперь зададим вопрос корректнее: насколько безопасна облачная электронная подпись? Утеря ключа ЭП может привести к ряду проблем: от невозможности в срочном порядке завизировать документ до мошеннических действий с вашей подписью, когда она становится доступной для третьих лиц. Облачная технология исключает вероятность утери токена. Ключ ЭП хранится на удаленном сервере удостоверяющего центра (далее – УЦ), и ответственность за его целостность тоже лежит на этой организации, а не на владельце.
Облачный сертификат электронной подписи «охраняют»: датчики взлома, мониторинг источников подключения, надежная операционная система и другие технологии.
О безопасности облачной ЭП по порядку:
- потерять или «сломать» облачную ЭП не получится даже при большом желании;
- подпись всесторонне защищена от доступа третьих лиц;
- облачный сертификат электронной подписи – это конфиденциальная информация, которая не размещается в открытом доступе;
- дать стопроцентную гарантию, что хранилище данных на стороне УЦ не взломают, нельзя. В такой ситуации удостоверяющий центр оперативно останавливает действие подписи.
- Вопрос
- Является ли облачная электронная подпись юридически значимой?
- Ответ
Если раньше в законодательстве не было норм, регулирующих использование такой ЭП, то с 01.01.2021 г. ситуация изменилась.
Новая редакция Федерального закона № 63-ФЗ «Об электронной подписи» включает положения, согласно которым удостоверяющим центрам разрешено хранить ключи электронных подписей.
Изменения, касающиеся облачной электронной подписи, приведены в новой части 2.2 статьи 15 и новой редакции части 3.1 статьи 16 Федерального закона № 63-ФЗ.
- Вопрос
- Удобно ли использовать облачную электронную подпись?
- Ответ
- Такой вид ЭП имеет два очевидных преимущества перед другими цифровыми вариантами визирования документов:
1. Мобильность. Владелец облачной ЭП не привязан к рабочему месту и может подписывать документы из любой точки мира с помощью телефона, планшета, ноутбука или компьютера. Такая возможность особенно ценится руководителями и сотрудниками, которые часто бывают в командировках.
2. Облачное хранение ключа ЭП. Как уже отмечалось ранее, ключ на физическом носителе можно потерять или повредить, а его восстановление займет определенное время, которое может быть критичным. Облачный сертификат электронной подписи от таких ситуаций застрахован.
Но не все так идеально. Для использования облачной электронной подписи необходим Интернет, если соединение пропало или неустойчиво, то подписать документ не получится.
- Вопрос
- Облачный сертификат электронной подписи – это дорого?
- Ответ
Облачная ЭП должна обходиться дешевле традиционной электронной подписи. На это есть несколько причин.
Причина 1. Для облачной электронной подписи не потребуется USB-токен.
Причина 2. При использовании хранилища УЦ можно выпустить любое число сертификатов, что в случае с большим штатом сотрудников значительно сэкономит средства в сравнении с традиционной простой ЭП.
Облачная электронная подпись уже используется при визировании отчетности, получении госуслуг через онлайн-сервисы и налогового вычета в ФНС России, при проведении коммерческих и государственных торгов и еще во множестве других сфер. Удобство использования такой ЭП делает ее самой востребованной и популярной у населения, а поправки в Федеральный закон № 63-ФЗ пророчат ей стать обязательным участником цифровой экономики государства.
[1] В ред. от 24.02.2021.
Скачать ознакомительный номер Купить журнал со статьей
Как правильно хранить ключ личной электронной подписи
Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что может сравниться по возможным последствиям с подделкой подписи на бумажном документе.
Как известно, если у
стороннего лица есть доступ к закрытому ключу вашей электронной подписи,
последний может от вашего имени устанавливать ее, что по возможным последствиям
аналогично подделке подписи на бумажном документе. Поэтому необходимо
обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом
реализовано в специализированных хранилищах. К слову,
электронная
подпись это не сохраненная в виде файла картинка с вашими
закорючками, а строка бит, полученная в результате
криптографического преобразования информации с использованием
закрытого ключа, позволяющая идентифицировать
владельца и установить отсутствие искажения информации в электронном документе.
У электронной подписи имеется и открытый ключ – код, который доступен всем, с
помощью него можно определить, кто и когда подписал электронный документ.
Сейчас наиболее распространенный вариант хранения закрытого
ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в
том числе:
●
Ключ необходимо устанавливать на все компьютеры, на которых работает
пользователь. А это, во-первых, неудобно, во-вторых, потенциально небезопасно.
Почему? Получив доступ к системе (например, пользователь забыл заблокировать
систему пред уходом), можно беспрепятственно подписывать документы или
скопировать ключ, используя средства экспорта.
●
Для экспорта/импорта закрытого ключа,
например, если возникнет необходимость переехать с одного рабочего места на
другое, необходима определенная квалификация и права доступа. Как
вариант, можно оформить заявку администраторам, но это потеря времени и не
всегда удобно.
Теперь вернемся к специализированным хранилищам. На текущий
момент в некоторых системах электронного документооборота реализована
возможность использования хранилищ, например e-Token и Rutoken.
Что же такое
e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище
ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только
по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется,
предотвращая попытки доступа к ключу путем подбора значения пинкода.
Все
операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не
покидает. Таким образом, исключается перехват ключа из оперативной памяти.
- Помимо указанных выше преимуществ при использовании
защищенных хранилищ можно выделить следующие: - ●
гарантируется сохранность ключа, в том числе при потере носителя на
время, необходимое для отзыва сертификата (ведь о потере ЭЦП необходимо срочно
сообщать в удостоверяющий центр, как сообщается в банк при потере банковской
карты); - ●
нет необходимости устанавливать сертификат закрытого ключа на каждый
компьютер, с которого работает пользователь;
●
«токен» можно одновременно использовать для авторизации при входе в
операционную систему компьютера и в СЭД. То есть он становится персональным
средством аутентификации.
Если СЭД имеет интеграционные решения со специализированными
хранилищами для закрытых ключей, то все преимущества проявляются и при работе с
системой.
Рассмотрим вариант, когда пользователь хранит ключ в
специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже
при утере мобильного рабочего места (при условии сохранения «токена»), можно не
беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет
скопировать закрытый ключ и подписать электронные документы от имени этого
пользователя.
Использование специализированных хранилищ предполагает
дополнительные расходы, но при этом значительно увеличивается уровень
обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты
рекомендуют использовать подобные устройства в работе, но выбор, конечно,
всегда остается за вами.
Подготовлено на основе материала Хранение
закрытого ключа электронной подписи.
Токены
Токены — это наиболее часто используемое название носителей ключа электронной подписи, которое уступает по популярности только неофициальному «флешка для ЭЦП». Но встречаются и другие названия: электронный ключ, аппаратный ключ, программно-аппаратный ключ, ключевой носитель, электронный идентификатор, носитель ЭЦП (ЭП), ключ для электронной площадки и даже донгл ( от англ. «dongle»).
Стоит отдельно отметить, что на волне популярности биткойнов под токеном стали подразумевать единицу криптовалюты. Во избежание путаницы в терминологии участники цифрового взаимодействия посредством электронной подписи могут добавлять к названию носителей приставку ”usb” — usb-токен.
В данном разделе представлены:
- продуктовая линейка usb-токенов, реализуемых Единым порталом Электронной подписи,
- справочная информация об обеспечении безопасного использования ключевых носителей, важности сертификации ФСБ и ФСТЭК,
- контактные телефоны производителей и прочее.
Продуктовая линейка носителей ключа электронной подписи
АО «Аналитический Центр» (Единый портал Электронной подписи) является официальным партнером производителей usb-токенов, соответствующие сертификаты и дипломы от которых представлены в разделе главного меню «О портале».
Клиентам предлагается оптимальный набор носителей в соответствии с их областями применения, отправка токенов совершается по всей России.
Оформить заявку
Варианты usb-токенов
Наименование | Основные характеристики | Область применения* | Для работы нужно | Сертификация |
Стандартные токены для хранения ключа электронной подписи | ||||
Рутокен Liteкупитьпродукт компании «Актив» | 64Кб, НДВ4, без средств криптографической защиты информации (СКЗИ) | Применяется в системах защиты от несанкционированного доступа к служебной информации (ЭДО, ДБО, ЭО и прочих), персональной информации пользователей, паролей, ключей шифрования, цифровых сертификатов и любой другой конфиденциальной информации. | — приобрести криптопровайдер,- скачать бесплатные драйвера на сайте производителя,- ввести стандартный пароль Рутокен Lite: 12345678, затем сменить его на комбинацию, которая будет известна только владельцу. | ФСТЭК |
JaCarta LTкупитьпродукт компании «Аладдин Р.Д.» | 36Кб, 102 Кб, НДВ4, без СКЗИ | Средство предназначено для двухфакторной аутентификации, безопасного хранения электронной подписи, ключевых контейнеров сертифицированных российских СКЗИ, профилей и паролей пользователей, а также лицензионной информации независимых разработчиков ПО | — требуется криптопровайдер,- установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, GNU/Linux, Apple macOS/OS X) не требуется,- необходимое ПО (Единый Клиент JaCarta и JaCarta SecurLogon) можно скачать на сайте производителя,- ввести «заводской» пароль JaCarta LT: 1234567890, затем сменить его на пользовательскую комбинацию. | ФСТЭК |
JaCarta-2 ГОСТкупитьпродукт компании «Аладдин Р.Д.» | 80 Кб, полноценное СКЗИ с широким набором криптографических функций. Сертифицировано по новым требованиям ФСБ России | • Системы дистанционного банковского обслуживания (ДБО),• Системы электронного документооборота (ЭДО),• Электронные торговые площадки (ЭТП),• Системы сдачи электронной отчетности (ФНС, ПФР и др.), • Системы таможенного декларирования,• Порталы государственных услуг,• Web-приложения, корпоративные порталы и облачные сервисы | — драйвера для работы можно бесплатно скачать на сайте производителя,- ввести стандартный PIN-код пользователя (по умолчанию): 1234567890, PUK-код (по умолчанию) 0987654321, затем сменить его на комбинацию, которую задает владелец. | ФСБ |
Esmart USBкупитьпродукт группы компании ISBIS (ООО «ИСУБ») | 64 Кб, НДВ4, без СКЗИ | Простой в использовании и удобный токен для участников электронных торгов, систем ЭДО, ЭО, пользователей госуслуг и прочих информационных систем | — приобрести криптопровайдер,- драйвера для работы не требуются,- ввести стандартный пароль Esmart USB: 1234567890, затем установить другую цифровую комбинацию. | — |
Ключевой носитель R301 Фороскупитьпродукт компании ООО «СмартПарк» | 80 Кб, 160 Кб, без СКЗИ | Токен в дизайнерском металлическом корпусе — носитель ключей ЭП и сертификатов для участников электронных торгов, систем ЭДО, ЭО, пользователей госуслуг, а так же многофункциональное изделие с дополнительным объемом памяти для реализации дополнительных приложений заказчика | — приобрести криптопровайдер, — драйвера для работы не требуются, — ввести стандартный пароль в программе UnblockUserPin: 87654321, затем установить другую комбинацию. | — |
Универсальные токены: хранение ключа ЭП и работа с ЕГАИС | ||||
Рутокен ЭЦП 3.0 3100 серт. ФСБ купитьпродукт компании «Актив» | 64 Кб, содержит СКЗИ, криптографические алгоритмы и фискальные функции реализуются внутри сертифицированного носителя | Универсальный токен, подходит как для участников электронных торгов, пользователей госуслуг, систем ЭДО, ДБО, ЭО и пользователей прочих информационных систем, так и для работы в ЕГАИС | — криптопровайдер не требуется,- драйвера для работы в современных ОС не требуются; при необходимости их можно бесплатно скачать на сайте поставщика или запросить у специалиста АО «Аналитический Центр» при покупке партии токенов,- ввести стандартный пароль Рутокен ЭЦП 3.0: 12345678, затем установить новую последовательность цифр. | ФСБ |
*Область применения носит рекомендательный характер и была сформирована, исходя из опыта работы сотрудников АО «Аналитический Центр».
На что нужно обратить внимание при выборе носителей ключа электронной подписи
Организационные моменты
Во-первых, необходимо изучить продавца. Организация должна быть официальным производителем или поставщиком с подтвержденным документами статусом. Например, соответствующие дипломы и сертификаты АО «Аналитический Центр» представлены производителями usb-токенов и размещены в разделе «О портале».
В-вторых, нужно выбирать вариант в соответствии с областью применения. Если планируется использовать токен для доступа к госуслугам, то нет необходимости приобретать универсальный носитель ключа электронной подписи, цена которого обоснованно выше, или аппаратный ключ ЕГАИС (JaCarta SE), который предназначен для реализации другого функционала.
Вопрос безопасного использования usb-токенов
Важно помнить, что способов мошенничества в «бумажном мире» намного больше и для их реализации от злоумышленника не требуется таких глубоких знаний, как в случае с применением электронной подписи. Несмотря на это, всем участникам цифрового взаимодействия нужно соблюдать ряд правил:
- выбирать надежных поставщиков носителей ключа электронной подписи,
- получать электронную подпись в авторизованных АЭТП удостоверяющих центрах,
- поддерживать свои информационную грамотность и компетентность сотрудников на должном уровне.
Ответственность пользователя:
На токенах, реализуемых АО «Аналитический Центр» производителями установлены стандартные (заводские) пароли «1234567890».
Перед началом эксплуатации нужно обеспечить точный ввод заданной цифровой комбинации, а затем обязательно сменить ее на последовательность символов, известную только владельцу.
Кроме этого, следует позаботиться о безопасном использовании носителей ключа электронной подписи, то есть обеспечить защиту от внедрения злоумышленника в рабочий компьютер и в канал связи между «машиной» и токеном.
Ответственность производителя:
Недопустима установка на usb-токен какой-либо функциональности, которая может нанести вред пользователю. Именно поэтому особенно важно наличие сертификатов, подтверждающих надежность ключевых носителей.
Сертификация ФСБ и ФСТЭК
Требования участников современного цифрового сообщества к безопасности и технологичности инструментов обязывают токены соответствовать высоким стандартам.
«Знаком качества» здесь выступает наличие у носителей ключа электронной подписи сертификатов ФСБ и ФСТЭК. Тем, кому не до конца ясна суть и особенности этих документов, поможет разобраться комментарий, предоставленный для портала iEcp.
ru Сергеем Котовым, экспертом по информационной безопасности компании «Аладдин Р.Д.»:
«ФСТЭК России отвечает за защиту информации некриптографическими методами.
Сертификат ФСТЭК подтверждает, что программное обеспечение токена не имеет «незадекларированных возможностей» (закладок), а устройство может быть использовано в качестве средства защиты информации от несанкционированного доступа, для хранения информации (например, ключевых контейнеров, таких как КриптоПро CSP или ViPNet CSP) и аутентификации.
ФСБ России сертифицирует криптографические средства защиты информации. Сертификат ФСБ России подтверждает, что токен можно использовать для генерации ключей, подписания и проверки электронной подписи документов, шифрования информации.
Стоит отдельно отметить, что ничто не мешает токену решать сразу несколько задач, для это он должен иметь два сертификата одновременно».
«Все понятно, как купить токен?»
Для получения токена нужно заполнить форму заявки, и специалисты Единого портала Электронной подписи позвонят по указанному контактному телефону и подробно проконсультируют по дальнейшим шагам. Отправляя заявку, Вы соглашаетесь с условиями договора оферты на поставку токенов.
Еще остались вопросы по теме
Предлагаем выбрать предпочтительный способ связи:
- обратиться в рубрику «Вопрос эксперту», доступную на главной странице — способ больше всего подходит для тех, кому нужен развернутый, подкрепленный ссылками на законодательные акты ответ; в зависимости от сложности вопроса ожидание обратной связи может составить от 1 до 5 рабочих дней;
- обратиться напрямую к специалистам данного направления по телефонам, указанным ниже — каждый пользователь получит оперативную консультацию в рамках компетенций сотрудников.
Контактные телефоны
Решение общих вопросов
АО «Аналитический Центр»: +7 (831) 282-01-92, 8-800-2000-100 доб.6103, пн-чт с 8.00 до 17.00, пт с 8.00 до 16.00. — выбор, покупка, доставка токенов, документы и прочее.
Техническая поддержка от производителей
АО «Аладдин Р.Д.» (производитель JaCarta): +7 (495) 988-4640, +7 (495) 223-0001 (многоканальный) по будням с 10.00 до 19.00, [email protected]
АО «Актив-Софт» (производитель продуктовой линейки Рутокенов): +7 (495) 925-7790 по будням с 10.00 до 18.00, [email protected]
ООО «ИСУБ» (производитель ключевых носителей Esmart): +7 (495) 133-0004 по будням с 9.00 до 18.00, [email protected]
ООО «СмартПарк» (производитель ключевых носителей Форос): +7 (495) 656-0887, +7 (495) 927-0033 (многоканальный) по будням с 10.00 до 19.00, [email protected]
Вниманию будущих клиентов: Если Вы используете одну из систем электронного документооборота, сообщите об этом специалисту портала iEcp.ru.
АО «Аналитический Центр» — действующий участник системы «Диадок», организация ЭДО между компаниями поможет сэкономить участникам время и финансы.
Если Вы не используете ни одну из систем, но заинтересовались этим вопросом, то с подробной информацией об электронном документообороте можно ознакомиться в одноименном разделе главного меню.
СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения.
При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации.
Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.
Персональные данные Пользователя — данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.
ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:
- Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
- Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
- Для ответов на запросы Пользователя в службу поддержки;
- Для выполнения обязательств по договорам.
Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.
ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ
Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ
АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.
АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.
АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.
АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.
С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.
Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.
- АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».
- БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.
- АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.
АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.
ХРАНЕНИЕ ДАННЫХ
АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.
Хранение ключа электронной подписи
Подборка наиболее важных документов по запросу Хранение ключа электронной подписи (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика
Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня
Подборка судебных решений за 2020 год: Статья 3 «Основные понятия, используемые в настоящем Федеральном законе» Федерального закона «О национальной платежной системе»»При этом вопреки доводам автора кассационной жалобы, по смыслу закона (п. 19 ст. 3 Федерального закона от 27.06.2011 г. N 161-ФЗ «О национальной платежной системе» электронным средством платежа является средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств. Под электронным носителем информации понимается любой объект материального мира, информация на который записана в электронной форме. К ним относятся USB-флеш-накопители, карты памяти, электронные ключи и т.п. устройства, физическое присоединение которых к компьютеру позволяет идентифицировать пользователя как клиента банка, физическое лицо, организацию на совершение каких-либо финансовых операций или иных юридически значимых действий. Как следует из материалов уголовного дела устройство Рутокен ЭЦП является электронным средством (носителем)» на котором хранится информация о секретном ключе электронной подписи клиента банка» с сертификатом проверки ключа электронной подписи, логином и паролем для доступа в систему дистанционного банковского обслуживания. Следовательно, квалификация действий осужденного Е. по ч. 1 ст. 187 УК РФ является юридически верной.»
Статьи, комментарии, ответы на вопросы
Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня
«Перемена лиц в обязательстве и ответственность за нарушение обязательства: комментарий к статьям 330 — 333, 380 — 381, 382 — 406.1 Гражданского кодекса Российской Федерации»(отв. ред. А.Г. Карапетов)
(«М-Логос», 2022)
Например, если банк списал деньги со счета клиента без достаточных правовых оснований (на основании подложного электронного платежного документа) и клиент в связи с этим заявляет к банку иск о восстановлении остатка на счете или перечислении списанной суммы на другой свой счет (т.е.
, по сути, о погашении основного долга банка), иск может быть отклонен, если будет установлено, что случившееся есть исключительный результат неосторожного хранения клиентом ключа электронной подписи.
Но если, помимо неосторожности самого клиента, отчасти не санкционированное клиентом списание было следствием ненадлежащей организации банком работы системы «клиент — банк» и наличия существенных недостатков в программном обеспечении с точки зрения безопасности и конфиденциальности, которые могли способствовать хищению средств со счета клиента третьими лицами, долг банка может быть пропорционально ограничен (Определение СКЭС ВС РФ от 22 ноября 2021 г. N 310-ЭС21-5700).
Нормативные акты
Носитель ключа личной электронной подписи: для чего он нужен и где его приобрести
Записывать сертификат и ключи на обычный диск или флешку нельзя — такие носители не гарантируют безопасность информации.
Помимо классического способа записи ключей и сертификата на защищённый электронный носитель, существуют технологии облачной и дистанционной электронной подписи, при которых формирование электронной подписи происходит во взаимодействии пользователя со специальной информационной системой.
В варианте дистанционной электронной подписи система защищает ключи электронной подписи, которые находятся в его мобильном устройстве. В технологии облачной электронной подписи на мобильном устройстве пользователя хранится только ключи для управления, а ключи электронной подписи находятся в информационной системе.
В настоящее время законодательство не позволяет сделать технологию облачной электронной подписи полностью легитимной, так как для этого производителю необходимо подтвердить соответствие используемых средств облачной электронной подписи требованиям, которые на сегодняшний день еще не опубликованы.
Технология дистанционной электронной подписи напротив может считаться полноценной и одобренной законом альтернативой классическому варианту.
Первое сертифицированное в России средство электронной подписи для использования на смартфоне — приложение IDPoint, позволяющее выполнять множество задач, связанных с формированием электронной подписи и подписанием документов без использования электронного носителя.
Где приобрести сертифицированный USB-носитель
Стандартный подход — приобретение носителя в удостоверяющем центре вместе с оформлением сертификата электронной подписи. Его преимущества очевидны — не нужно изучать технические характеристики, проверять совместимость, выбирать и покупать токен отдельно. Будет подобран носитель, который полностью соответствует нормативным требованиям и заказанному сертификату.
Если удостоверяющий центр не предлагает токены, информацию нужно записывать на заранее приобретённый носитель. В таком случае необходимо заблаговременно проконсультироваться или получить список требований, которым должен удовлетворять токен.
В настоящее время покупка отдельно токена становится всё более востребованной опцией.
Например, сейчас оформлением электронных подписей для компаний занимается Удостоверяющий центр ФНС, однако ведомство требует, чтобы заявитель сам предоставлял носитель определённого вида.
Надёжнее всего купить носитель в аккредитованном удостоверяющем центре, который давно представлен на рынке и предлагает все необходимые средства электронной подписи.