...
Info |
---|
Неэкспортируемый ключ ≠ неизвлекаемый ключ. Неэкспортируемые ключи ЭП ненадолго извлекаются в оперативную память компьютера при работе с ними программного криптопровайдера. При этом копирование неизвлекаемых ключей полностью исключено. |
Panel | ||
---|---|---|
| ||
Доступ к закрытому ключуДля доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать. Теперь поговорим о том, какие бывают ключевые носители. |
Panel | ||
---|---|---|
| ||
Виды защищенных ключевых носителейПассивные ключевые носители выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя – Рутокен Lite.
Активные ключевые носители. Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства -- встроенного микрокомпьютера. Ключи сгенерированные в криптоядре - неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям Пример активного носителя — Рутокен ЭЦП 2.0 2100.
Функциональный ключевой носитель (ФКН) c защитой канала — это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном. Пример такого устройства — Рутокен ЭЦП 2.0 3000, который также поддерживает активный и пассивный режимы. |
Warning | ||
---|---|---|
| ||
1) Криптографические возможности активных и ФКН-носителей ≠ встроенный КриптоПро CSP. Если требуется работа с КриптоПро CSP, нужно приобрести лицензию на этот продукт. Вне зависимости от вида ключевого носителя и формата ключей ЭП на нем. 2) Конвертация ключей из одного формата в другой невозможна. Если ключи были созданы извлекаемыми, то их нельзя перевести в формат неизвлекаемых ключей и наоборот. |
Panel | |
---|---|
|
...
| |
Средства генерации ключевых парРассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен: Извлекаемые ключи
Неизвлекаемые ключиГенерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Для генерации ключей формата PKCS#11 можно использовать инструменты от компании Актив:
Или воспользоваться программными ГОСТ-криптопровайдерами:
ФКН-ключиДля того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели семейства Рутокен ЭЦП 2.0 3000 - именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее. |
Panel | ||
---|---|---|
| ||
Сертификация устройствНемного о сертификации ключевых носителей. Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России. Чтобы проще было запомнить:
Таким образом, в случае с извлекаемыми ключами, сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России. В случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель. |
Panel | ||
---|---|---|
| ||
ИтогДля надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на "борту", такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена. |