Рутокен ЭЦП 2.0 / Все продукты / Продукты / Рутокен

2021: поставка за 5 лет 50 тыс. заказных идентификаторов «рутокен» для системы «альфа-директ»

В течение 5 лет компания «Актив» поставила 50 тыс. заказных идентификаторов «Рутокен» для системы «Альфа-Директ» «Альфа-Банка». Банк использует эти аппаратные средства аутентификации для обеспечения безопасности операций клиентов системы «Альфа-Директ».

Безопасность операций через интернет в «Альфа-Директ» гарантируют две независимые системы защиты. По информации на январь 2021 года, «Рутокен» используется в качестве одного из компонентов системы, которая построена на основе сертифицированного ФСБ СКЗИ «КриптоПро CSP», и обеспечивает невозможность подделки поручений, направляемых пользователем в «Альфа-Банк» путем использования ЭЦП.

В чём разница

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Для чего нужен рутокен эцп 2.0

Рутокен ЭЦП 2.0 предназначен для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования, ключей электронной подписи, цифровых сертификатов и других данных, а так же для выполнения шифрования и электронной подписи «на борту» устройства.

Аппаратная реализация национальных стандартов электронной подписи, шифрования и хэширования позволяет использовать Рутокен ЭЦП 2.0 в качестве интеллектуального ключевого носителя и средства электронной подписи в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной подписи.

Рутокен ЭЦП 2.0 позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.

Если кратко

1. Хранить закрытую часть сертификата на обычной флешке или в памяти компьютера небезопасно. Поэтому ФНС России просит работать с сертифицированными носителями.
2. Сертифицированный USB-токен типа А — носитель, который подойдет для записи сертификата подписи, выпущенного удостоверяющим центром ФНС России или ее доверенным лицом.
3. Если подпись нужна для участия в торгах, подачи деклараций в ФНС России, маркировки товаров, подачи документов в суд, подойдет носитель Рутокен Lite.
4. Если планируете работать с подписью в системе ЕГАИС алкоголь или ЕГАИС лес, нужен токен со встроенной криптографией, например, Рутокен ЭЦП 2.0.
5. Чтобы усилить защиту закрытой части сертификата на USB-токене, установите пин-код.

Как работать с носителями

Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.

Порядок получения электронной подписи на токен выглядит следующим образом:

1. Приобретаем сертифицированный носитель.
2. Приходим в операционный зал налогового органа региона.
3. Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
4. Получаем электронную подпись.

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Как работает рутокен эцп 2.0

Рутокен ЭЦП 2.0 обеспечивает двухфакторную аутентификацию в компьютерных системах. Для успешной аутентификации требуется выполнение двух условий: знание пользователем PIN-кода и физическое наличие самого идентификатора. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю.

Основу Рутокен ЭЦП 2.0 составляет современный защищенный микроконтроллер и встроенная защищенная память, в которой безопасно хранятся данные пользователя: пароли, ключи шифрования и подписи, сертификаты и другие данные.

Электронный идентификатор Рутокен ЭЦП 2.0 поддерживает основные российские и международные стандарты в области информационной безопасности. Это позволяет легко, без дополнительных усилий, встраивать его поддержку в существующие информационные системы.

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

Какой токен выбрать и где приобрести

Конкретный выбор между токенами при покупке и оформлении ЭЦП зависит от следующих факторов:

Одновременно для обеспечения информационной безопасности, предотвращения потери данных важно учитывать следующие моменты:

Подобрать подходящий токен и оформить ЭЦП любого типа на выгодных условиях можно в удостоверяющем центре «Астрал-М». Все работы по формированию сертификатов будут выполнены не позднее двух дней с момента подачи заявки (также доступна возможность ускоренного выпуска — в течение 1-2 часов). Специалисты УЦ помогут подобрать подходящий сертификат с учетом специфики вашей работы.

Сравнение популярных в россии usb-токенов

Все модели из таблицы подходят для компьютеров на Windows, Linux и macOS.

Вы можете записать новый сертификат электронной подписи на токен, который уже используете. Главное, чтобы он соответствовал требованиям ФНС России. Если будете выпускать сертификат в удостоверяющем центре ФНС России, перед визитом убедитесь, что на токене нет действующих сертификатов. Перед записью сотрудники налоговой службы могут удалить с токена всю информацию.

Токены pkcs#11: сертификаты и закрытые ключи

Токены PKCS#11

выполняют не только криптографические функции (генерация ключевых пар, формирование и проверка электронной подписи и другие), но и являются хранилищем для публичных (открытых, PUBLIC KEY) и приватных (закрытых, PRIVATE KEY) ключей. На токене также могут храниться сертификаты. Как правило, на токене хранятся личные сертификаты вместе с ключевой парой. При этом на токене может храниться несколько личных сертификатов.

Про сертификаты:  Ацетилен в баллонах - ГазРесурс

Встает дилемма, как определить какой закрытый ключ (да и открытый тоже) соответствует тому или иному сертификату.

Такое соответствие, как правило, устанавливается путем задание идентичных параметров CKA_ID и/или CKA_LABEL для тройки объектов: сертификата (CKO_CERTIFICATE), публичного ключа (CKO_PUBLIC_KEY) и приватного ключа (CKO_PRIVATE_KEY).

Возникает вопрос – как задавать эти значения, чтобы, по крайней мере, не возникла коллизия, и насколько это безопасно с точки зрения получения корректного результата.

Наиболее распространенный способ задания CKA_ID – это использование значения хэш-функции от значения открытого ключа. Именно такой способ для связывания тройки объектов используется в проекте NSS (Network Security Services). При этом в качестве хэш-функции используется алгоритм SHA1. С учетом того, что на токене реально будет храниться едва ли больше десятка личных сертификатов, то с точки зрения появления коллизии этот способ является хорошим. Вместе с тем CKA_ID для этой тройки могут устанавливаться в любой момент и любое значение. Именно в этом и состоит вся проблема. Если бы RFC или Рекомендации ТК-26 требовали установки параметра CKA_ID в момент появления объекта на токене (например, при генерации ключевой пары CKM_GOSTR3410_KEY_GEN_PAIR) и его нельзя было бы изменить, то на этом данное повествование можно было бы завершить. К сожалению, это не так. Как уже было сказано, CKA_ID можно установить в любой момент с любым значением. Таким образом, всегда существует вероятность, что сертификат окажется связанным с чужим приватным ключом. Не нужно объяснять, к каким это приведет последствиям.

А вообще, существует ли строгий математический алгоритм, который позволяет связать тройку CKO_CERTIFICATE x CKO_PRIVATE_KEY x CKO_PUBLIC_KEY в единое целое?

Да, такой алгоритм на базе криптографических механизмов (CKM_) токена существует. Связка сертификата и публичного ключа проверяется легко и просто. Берутся значение открытого ключа и его параметров из сертификата и сравниваются и аналогичными значениями публичного ключа.

Что касается сертификата и приватного ключа, то до недавнего времени этот алгоритм выглядел следующим образом. С помощью приватного ключа формируется подпись под некоторым текстом (например, «поиск закрытого ключа»), а затем с помощью открытого ключа, полученного из сертификата, проверяется корректность полученной подписи. Если подпись корректна, значит, мы получили закрытый ключ для выбранного сертификата. Если нет, то выбирается следующий закрытый ключ на токене.

Все, мы теперь не зависим ни от CKA_ID, ни от CKA_LABEL.

Но вот появляется документ «МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ. Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2021, ГОСТ Р 34.11-2021, ГОСТ Р 34.12-2021 и ГОСТ Р 34.13-2021», в котором появляется новый механизм CKM_GOSTR3410_PUBLIC_KEY_DERIVE — механизм создания открытого ключа из закрытого. Данный механизм используется в C_DeriveKey. Теперь поиск закрытого ключа для сертификата значительно упрощается. Достаточно получить список закрытых ключей на токене, затем для каждого закрытого ключа получить открытый ключ:

…
CK_OBJECT_HANDLE             priv_key   = CK_INVALID_HANDLE;
CK_OBJECT_HANDLE            pub_key    = CK_INVALID_HANDLE;
CK_MECHANISM                 mechanism_der_desc =
    { CKM_GOSTR3410_PUBLIC_KEY_DERIVE, NULL, 0 };
    CK_MECHANISM_PTR             mechanism_der          = &mechanism_der_desc;
…
   // Получаем открытый ключ по закрытому
    rc = funcs->C_DeriveKey(sess, mechanism_der, priv_key,
		NULL, 0, &pub_key);
…

А далее сравниваем значения полученного публичного ключа, со значениями публичного ключа в сертификате.

Про сертификаты:  Стоечно-ригельная фасадная система ALUTECH ALT F50

Применение любого из этих алгоритмов избавляет от необходимости следить за значениями CKA_ID/CKA_LABEL и делает использованием сертификатов и приватных ключей, хранящихся на токенах PKCS#11, и надежным и безопасным.

Использование механизма CKM_GOSTR3410_PUBLIC_KEY_DERIVE предполагает его реализацию на том или другом токене. Посмотреть список реализованных механизмов удобно с помощью утилиты p11conf:

$ /usr/local/bin64/p11conf  -h
usage:  /usr/local/bin64/p11conf [-hitsmIupPred] -A APIpath [-c slotID -U userPin -S SOPin -n newPin -L label]
        -h display usage
        -i display PKCS#11 library info
        -s display slot(s) info (-c slotID is optional)
        -t display token(s) info (-c slotID is optional)
Others must use -c slotID
        -m display mechanism list
        -I initialize token 
        -u initialize user PIN
        -p set the user PIN
        -P set the SO PIN
        -r remove all objects
        -e enumerate objects
        -d dump all object attributes
$

Список доступных механизмов можно посмотреть следующим образом:

$ /usr/local/bin64/p11conf  -A /usr/local/lib64/libls11usb2021.so -m -c 0|grep GOSTR3410
        Mechanism: CKM_GOSTR3410_KEY_PAIR_GEN (0x1200)
        Mechanism: CKM_GOSTR3410_512_KEY_PAIR_GEN (0xD4321005)
        Mechanism: CKM_GOSTR3410 (0x1201)
        Mechanism: CKM_GOSTR3410_512 (0xD4321006)
        Mechanism: CKM_GOSTR3410_WITH_GOSTR3411 (0x1202)
        Mechanism: CKM_GOSTR3410_WITH_GOSTR3411_12_256 (0xD4321008)
        Mechanism: CKM_GOSTR3410_WITH_GOSTR3411_12_512 (0xD4321009)
        Mechanism: CKM_GOSTR3410_DERIVE (0x1204)
        Mechanism: CKM_GOSTR3410_12_DERIVE (0xD4321007)
        Mechanism: CKM_GOSTR3410_KEY_WRAP (0x1203)

        Mechanism: CKM_GOSTR3410_PUBLIC_KEY_DERIVE (0xD432100A)

        Mechanism: CKM_LISSI_GOSTR3410_PUBLIC_KEY_DERIVE (0xD4321037)
$

И последнее, есть ли сегодня токены, разработанные в соответствии с документом

«МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ. Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2021, ГОСТ Р 34.11-2021, ГОСТ Р 34.12-2021 и ГОСТ Р 34.13-2021»

?

Да, есть.

Флешки рутокен для фнс