Table of Contents |
---|
Названия режимов работы
Самым безопасным вариантом хранения контейнера контейнера с сертификатом и ключом электронной подписи (ЭП) является ключевой носитель, защищенном PIN-кодом. Такие носители существуют в двух более распространенных форм-факторах: USB-токен и смарт-карта.
Для носителей Рутокен существуют следующие режимы работы с КриптоПро CSP:
- Пассивный . Контейнер (Режим CSP). Контейнер генерируется через программный криптопровайдер КриптоПро CSP. В В таком режиме ключ хранится только контейнер с ключом ЭП и сертификатом хранится на токене или смарт-карте и передается криптопровайдеру, работающему в операционной системе, который уже решает, что с ним делать. Такой ключ контейнер будет неэкспортируемым, если при его создании будут выполнены специальные настройки. Если ключ контейнер будет создан как экспортируемый, то его можно скопировать на другой носитель. В данном случае ключ является извлекаемым
Данный режим создает извлекаемые ключи. Активный (Активный токен без защиты канала). Контейнер генерируется при помощи внутреннего криптоядра Рутокена семейства ЭЦП, с использованием библиотеки PKCS#11. В таком режиме ключ контейнер тоже хранится на токене или смарт-карте. Отличие Отличие в том, что пользователь может получить от этого носителя результат выполнения криптографических операций с использованием хранимого на устройстве закрытого ключа, поэтому такие ключи нельзя украсть или скопировать. В данном случае ключ является неизвлекаемым.
Активные Активные носители имеют возможность хранить ключ контейнеры в извлекаемом виде, но это значительно понижает пассивном режиме, что снижает безопасность ключа. Этот режим не всегда активен, дополнительная настройка может потребоваться в следующих случаях: - Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется обновление КриптоПро CSP до версии 5.0 R2.Info
- Если на компьютерах с ОС Linux или macOS выполняется установка КриптоПро CSP, то необходимо после ее реализации установить библиотеку rtpkcs11ecp.
Если на компьютере с ОС Windows установлен комплект драйверов Рутокен и выполняется первичная установка КриптоПро CSP 5.0 R2, то все необходимые настройки выполнятся автоматически.- Функциональный ключевой носитель (Режим ФКН c защитой канала). В В таком режиме добавлена поддержка работы с неизвлекаемыми ключами по протоколу SESPAKE. Этот протокол позволяет реализовать процесс аутентификации не передавая PIN-код в открытом виде. Также SESPAKE позволяет установить шифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Устройства Устройства типа ФКН можно использовать как устройства утройства типа Активный и Пассивный.
Ключевые носители Рутокен и поддерживаемые ими режимы работы
Каждый Рутокен работает в одном, двух или трех режимах.
В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.
На пересечении строки с названием модели Рутокена и строки с версией КриптоПро CSP указаны режимы работы носителя. Если ячейка пустая, то поддержка данной модели в этой версии КриптоПро CSP не реализована.
Модель Рутокена | Версия КриптоПро CSP | ||||
4.0 R4 | 5.0 11455 | 5.0 R2 |
12000 (в т.ч. сборка с PKCS#11 модулями) | 5.0 R3 | ||||
Рутокен S Рутокен Lite | Пассивный | Пассивный | Пассивный | Пассивный | |
Рутокен ЭЦП 2.0 2100 / Рутокен ЭЦП 2.0 (2000) / Рутокен ЭЦП 2.0 Flash / Рутокен ЭЦП Bluetooth | Пассивный | Пассивный | Пассивный | Пассивный | |
Режим Активный токен без защиты канала (rutoken_crypt) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | |||
Рутокен 2151 / Смарт-карта Рутокен 2151 | Не поддерживается | Не поддерживается | Пассивный | Пассивный | |
Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | ||||
Рутокен ЭЦП PKI | Не поддерживается | Пассивный (Режим CSP) | Пассивный (Режим CSP) | Пассивный (Режим CSP) | |
Рутокен ЭЦП 2.0 3000 Рутокен ЭЦП 3.0 3100 Рутокен ЭЦП 3.0 3220 | Пассивный (Режим CSP) | Пассивный | Пассивный | Пассивный | |
Режим ФКН c защитой канала (rutoken_fkc) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | |||
Режим ФКН c защитой канала (rutoken_fkc) | Режим ФКН c защитой канала (rutoken_fkc) | ||||
Рутокен ЭЦП 3.0 NFC 3100 Смарт-карта Рутокен ЭЦП 3.0 NFC 3100 (бесконтактное (NFC) подключение)
| Не поддерживается | Не поддерживается | iOS\iPadOS | Режим ФКН c защитой канала (rutoken_fkc_nfc)
| Режим ФКН c защитой канала (rutoken_fkc_nfc) |
Режим Активный токен (pkcs11_rutoken_ecp) | |||||
Android | Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) | |||
Режим Активный токен (pkcs11_rutoken_ecp) | |||||
Аврора | Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) | |||
Настольные ПК | Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) | |||
Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) | ||||
Пассивный (Режим CSP) | |||||
Рутокен ЭЦП 3.0 NFC 3100 | Не поддерживается | Не поддерживается | Пассивный 1 | Пассивный 1 | |
Режим Активный токен 1, 2 (pkcs11_rutoken_ecp) | Режим Активный токен 1 (pkcs11_rutoken_ecp) | ||||
Режим ФКН c защитой канала (rutoken_fkc) | Режим ФКН c защитой канала (rutoken_fkc) | ||||
Смарт-карта Рутокен ЭЦП 3.0 NFC 3100 (контактное подключение) | Не поддерживается | Не поддерживается
| Пассивный 1 | Пассивный 1 | |
Режим Активный токен 1, 2 (pkcs11_rutoken_ecp) | Режим Активный токен 1 (pkcs11_rutoken_ecp) | ||||
Режим ФКН c защитой канала (rutoken_fkc_nfc) | Режим ФКН c защитой канала (rutoken_fkc_nfc) | ||||
Смарт-карта |
Рутокен ЭЦП 2.0 2100 | Пассивный (Режим CSP) | Пассивный |
(Режим CSP) | Пассивный | Пассивный |
Контактный считыватель
...
| |||
Режим Активный токен без защиты канала (rutoken_crypt) | Режим Активный токен (pkcs11_rutoken_ecp) | Режим Активный токен (pkcs11_rutoken_ecp) |
1 не работает в ОС Android и iOS
2 не поддерживается в ОС Аврора
Использование Пассивного режима
...