КЛЮЧЕВАЯ ПОДДЕРЖКА ЦИФРОВОЙ ПОДПИСИ

Что это и как использовать

Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.

Что вы узнаете

Это базовый и самый бюджетный вариант.

В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.

Рутокен не подходит для работы с алкоголем в ЕГАИС.

Рутокен ЭЦП 2

Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП.

Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.

Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.

Единственная модель Рутокена, которая подходит для работы с ЕГАИС.

Рутокен ЭЦП 2. 0 Type-c

Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).

Сравнение моделей

Для наглядности мы подготовили таблицу.

Как настроить

Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.

Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.

Ваш компьютер будет готов к работе с ЭП.

В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:

Срок действия электронной подписи — 12 месяцев.

Где купить

Хранение ключей электронной подписи (ЭП или ЭЦП) является одной из важнейших задач для любой организации, которая использует электронные подписи в своей деятельности. Это связано с тем, что электронная подпись является ключом к безопасности документов, которые подписываются с её помощью.

ЭЦП — это устаревшее понятие. Расшифровывается как «электронная цифровая подпись». В настоящее время используется более ёмкое название ЭП, которое расшифровывается как «электронная подпись».

В данной статье мы рассмотрим, как правильно хранить ключи ЭЦП в организации.

Хранение ключей электронной подписи на компьютере

Налоговая служба записывает ключи и сертификат квалифицированной электронной подписи для ИП и юрлиц только на ключевые носители — токены. Они должны иметь сертификацию ФСТЭК или ФСБ России. Более того, файлы делают неэкспортируемыми, благодаря чему их нельзя перенести на компьютер или любой другой носитель цифровой информации. Хранить их получится только на устройстве, где записаны ключи ЭП. Чтобы ими воспользоваться, необходимо вставить токен в компьютер. Это позволяет обеспечить безопасность и защиту данных, а также упрощает процесс проверки подлинности документов и операций. Кроме того, использование сертифицированных токенов позволяет избежать возможных ошибок и проблем при работе с электронной подписью.

Ключи квалифицированной ЭП физического лица можно хранить не только на ключевых носителях. Законодательством такое условие не регулируется. Вариантов в этом случае много: жёсткий диск, дискета или CD. В том числе ключи электронной подписи с сертификатом можно хранить в системе компьютера. У данного способа хранения есть свои недостатки и преимущества. Рассмотрим их.

Недостатки хранения ЭП в компьютере

Существует множество вариантов моделей ключевых носителей для хранения электронной подписи. Их главное отличие — это наличие встроенного средства криптографической защиты информации (СКЗИ).

Токен для хранения ключей ЭП

Такой вариант устройства очень удобен. Выпускается в виде смарт-карты или USB-флешки. Используется для подписания любых цифровых документов, а также для работы на интернет-порталах или в информационных системах. С помощью токена можно отправить отчётность в госорганы или участвовать в торгах. Минус такого носителя в том, что он требует установки СКЗИ на ПК и его нельзя использовать для ЕГАИС.

Популярные модели: eToken, Рутокен и др.

Токен для хранения ключей ЭП со встроенным СКЗИ

Встроенное средство криптографической защиты информации ещё больше упрощает работу с ЭП. Устройство можно использовать на любом компьютере без необходимости покупки дополнительного ПО. Преимущество таких моделей заключается в том, что их можно использовать для работы в ЕГАИС.
Популярные модели: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE.

Выбрать подходящий токен для квалифицированной электронной подписи рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели ключевых носителей.

Дополнительная защита электронной подписи

Каждый съёмный носитель электронной подписи имеет пин-код, после ввода которого пользователь получает доступ к работе с ЭП. Стандартный пароль устанавливает завод изготовитель. После покупки устройства пароль можно поменять.

Защита подписи от копирования

Программное обеспечение имеет функционал копирования ключей электронной подписи. Таким образом, их можно скопировать на другие ключевые носители или компьютер. Этим могут воспользоваться злоумышленники. Чтобы такого не произошло, владелец ключей ЭЦП может установить защиту от копирования.

Незащищённые носители для хранения ключей ЭП

Контейнер ключей квалифицированной электронной подписи можно записать на диск, дискету, в память ПК и т.п. Вариантов много. Но при таком хранении файлы не будут надёжно защищены. Если злоумышленники получат к ним доступ, они смогут подписать любые цифровые документы от чужого имени.

ЭЦП можно записать в реестр ноутбука. Данный способ хранения тоже является небезопасным. Каждый, кто получит доступ к этой системе, будет иметь возможность подписывать документы и создавать копии ключа. Есть риски полностью лишиться электронной подписи, если ПК потеряется или случится серьёзная поломка.

О чём нужно помнить при хранении квалифицированной ЭП

При хранении электронной подписи в организации важно соблюдать правила цифровой безопасности. Чтобы избежать проблем, необходимо выполнять следующее:

Заключение

Хранение электронной подписи является ответственным процессом, который требует соблюдения установленного порядка и регламента. Для обеспечения безопасности и учёта необходимо учитывать срок действия подписи, описать порядок хранения и соблюдать все требования безопасности.

Ключевой носитель Рутокен

Какой токен выбрать для вашего бизнеса

В современном мире электронная подпись (сокращенно — ЭП) активно задействована в бизнес-процессах. Электронный документооборот внутри компании и за ее пределами, взаимодействие с госорганами, электронная переписка, обмен файлами и подписание транзакций в системе дистанционного банковского обслуживания — это далеко не полный список процессов, где электронная подпись подтверждает авторство документа, его неизменность и оригинальность содержания. Как видим, спектр использования ЭП достаточно широк. При этом наличие электронной подписи позволяет ее владельцу решать задачи быстро и безопасно, будь то задачи юридического или физического лица.

Ключевой носитель как решение

Для того, чтобы подписать электронный документ, вам понадобится ключ электронной подписи, который представляет собой секретный уникальный набор символов, доступ к которому имеет только владелец ЭП.

В принципе, ключ простой электронной подписи можно хранить на жестком диске компьютера или на обычной флешке. Все перечисленные способы возможны, но с высокой вероятностью могут обернуться рисками физической потери информационного носителя или кражи/копирования информации с вашего жесткого диска. Во втором случае, оперативно узнать, скомпрометирован ли ваш ключ ЭП или нет будет весьма сложно.

Федеральный закон ФЗ-63 «Об электронной подписи» не регламентирует способ хранения ключей, но требует обеспечивать их конфиденциальность. В частности, не допускать использования ключей без согласия их владельцев, а также уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа и не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.

Чтобы защититься от подобных угроз, были разработаны специальные устройства – защищенные ключевые носители, которые надежно хранят ключи электронной подписи. Находясь в поиске решения, какой токен выбрать для вашего бизнеса следует разобраться, что же такое ключевой носитель. Именно это устройство чаще всего имеют в виду, когда говорят, что вам необходимо получить электронную подпись. Внешне оно напоминает флешку (хотя есть и модели в формате смарт-карт, подробный разбор форм заслуживает отдельной статьи), однако внутреннее содержание ключевого носителя намного богаче – сложные процессоры и программы, обеспечивающие криптографические операции для шифрования ваших данных. Но криптографией займемся позже, а пока же разберем основные понятия.

Как устроена работа различных ключевых носителей

Самый простой ключевой носитель хранит ключи электронной подписи, но не «умеет» самостоятельно подписывать электронные документы. Для подписания документа пользователь подключает токен к компьютеру и вводит секретный PIN-код, который разблокирует доступ к защищенной памяти устройства. После этого специальная программа (криптопровайдер) временно выгружает в оперативную память компьютера из токена ключи электронной подписи и вычисляет саму электронную подпись. Еще раз подчеркнем — без знания PIN-кода доступ к ключам невозможен. Поэтому похитив ключевой носитель, злоумышленник все равно не сможет им воспользоваться и подписать вместо вас электронные документы. При переборе PIN-кода устройство блокируется.

Более продвинутым вариантом ключевого носителя является ключевой носитель со встроенным криптографическим ядром. В этих устройствах ключи электронной подписи создаются внутри токена или смарт-карты и никогда не покидают защищенной памяти. Документ, который должен быть подписан, передается в токен, а возвращается вычисленная электронная подпись.

В России стандартом электронной подписи де-факто являются технологии и устройства Рутокен.

Какой токен выбрать?

Самым базовым вариантом защищенного ключевого носителя является Рутокен Lite. Его относят к пассивным ключевым носителям — он выступает лишь в роли защищенного PIN-кодом хранилища, в то время как ключи ЭП генерирует особая программа — криптопровайдер. Таким образом, для успешной и безопасной работы с Рутокен Lite пользователю необходимо иметь всего две вещи: секретный PIN-код и сам токен. Применяется такое устройство, к примеру, для подписания или шифрования служебной или личной переписки.

К ключевым носителям, имеющим криптографическое ядро, относятся Рутокен ЭЦП 2.0 2100, Рутокен ЭЦП 3.0 и другие. Это уже активные ключевые носители, способные генерировать ключи ЭП в собственном криптоядре без передачи их в память компьютера. И в этом их основное отличие от пассивных Рутокен Lite. Все они поддерживают российские и международные алгоритмы электронной подписи. Такие ключевые носители необходимы, к примеру, для работы в информационных системах с повышенными требованиями к безопасности в финансовом, корпоративном (Банк-Клиент) и государственном (ЕГАИС) и других секторах.

Учитывая сказанное, при выборе модели ключевого носителя для электронной подписи для начала определите задачи, которые вам предстоит решать. Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей “на борту», такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена.

В предыдущих статьях мы подробно рассказали, что такое ключевой носитель, чем отличаются активный и пассивный токены, и какие формы ключевых носителей существуют. Обладание токеном или смарт-картой для электронной подписи позволяет юридическим и физическим лицам обеспечить информационную безопасность при решении целого пула разнообразных задач. В этом материале детально остановимся на том, какие задачи решают ключевые носители помимо самых распространенных кейсов: сдачи налоговой отчетности и участия в тендерах.

Зачем нужны токены (ключевые носители)?

Таким образом, ключевые носители нужны в самых различных областях деятельности и бизнес-процессах: от организации безопасной удаленной работы до получения целого ряда услуг на портале Госуслуги. Перейдем к конкретике.

Какие задачи решают ключевые носители?

Сначала повторим главное, что нужно помнить о ключевых носителях:

1. Это защищенное устройство для хранения ключей и сертификатов электронной подписи (как квалифицированной, так и неквалифицированной), секретных ключей и идентификаторов.

2. Ключевой носитель может быть выпущен в форм-факторе USB-токена (это такие модели, как Рутокен ЭЦП 2.0 2100, Рутокен Lite, Рутокен ЭЦП 3.0 3100 NFC) или смарт-карты (Рутокен ЭЦП 2.0 2100 с RFID-меткой, Рутокен ЭЦП 3.0 3200 NFC). Токены в свою очередь могут иметь как стандартный разъем USB Type-A, так и более современные варианты разъема — Type-C.

3. Некоторые модели ключевых носителей (Рутокен Lite) требуют дополнительной установки специальных программ – криптопровайдеров, которые формируют ключи электронной подписи и записывают их в память токена, а также обеспечивают работу с ключевыми контейнерами.

Функциональность ключевых носителей, о которых вы не знали

С каждым годом сфера применения электронной подписи значительно расширяется. Давайте поговорим о том, зачем нужны токены, в каких ситуациях электронная подпись может оказаться полезной, и разберем ТОП-3 ситуации, в которых ключевой носитель решает вопросы защиты информации физических лиц и предотвращения мошеннических действий.

Кейс №1: Организация безопасного удаленного рабочего места

Первый и важный кейс — обеспечение безопасности удаленного рабочего места. После начала эпидемии COVID-19 многие компании переведи сотрудников в режим удаленной работы. Эта тенденция сохраняется и сегодня. По данным опроса, проведенного сервисом «Работа.ру», доля россиян, работающих только на удаленке, к июлю 2021 года составляла 11%. Еще 6% работали в гибридном режиме.

По данным “Ростелеком-Солар” 90% корпоративных утечек критической информации происходит по невнимательности руководителей среднего звена. Наиболее уязвимые каналы утечек: личная электронная почта, внешние облачные хранилища и соцсети (51%). Утечки несут риски как для компаний, так и для ее работников. Организация безопасной работы удаленного офиса стала вызовом для бизнеса.

Двухфакторная аутентификация — это самый надежный способ аутентификации, в процессе которого используются факторы двух типов: наличие физического устройства — токена Рутокен и знание PIN-кода. Даже подсмотрев PIN-код, злоумышленнику нужно предъявить физическое устройство, кража которого всегда быстро обнаруживается.

Лучший выбор продуктов для организации безопасного рабочего места

— USB-токены и смарт-карты Рутокен ЭЦП 2.0 2100

— USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC

— USB-токены Рутокен ЭЦП 2.0 Flash

Кейс №2: Обеспечение безопасности дистанционного банковского обслуживания (ДБО) и защита мобильного банка

В условиях постпандемийного мира удаленные сервисы стали обыденностью, а удаленная работа сотрудников новой «нормальностью». При этой трансформации вопросам информационной безопасности уделялось ничтожно мало внимания, что сделало уязвимыми для кибермошенников системы дистанционного банковского обслуживания (ДБО). Например, в момент совершения транзакции в мобильном банке связка SMS-код (push-уведомление) — подтверждение транзакции может быть в любой момент скомпрометирована. Гораздо безопаснее будет проводить подобные операции с использованием устройств для многофакторной аутентификации. Например, строгую двухфакторную аутентификацию и подтверждение транзакций с помощью электронной подписи обеспечивают USB-токены и смарт-карты Рутокен с контактным и бесконтактным интерфейсами для работы на мобильных устройствах.

Лучший выбор продуктов для обеспечения безопасности ДБО и защиты мобильного банка:

Кейс 3: Безопасное взаимодействие с государственными информационными сервисами

Список государственных услуг, требующих наличие у получателя услуги электронной подписи, растет с каждым годом. Наличие квалифицированной электронной подписи позволит вам пользоваться всеми услугами портала без каких-либо проблем. Ведь защита вашего личного кабинета, а точнее большого массива ваших персональных данных, от киберпреступников сегодня как никогда актуальна.

Правильным решением в этой ситуации станет применении двухфакторной аутентификации для входа в ваш личный кабинет на портале Госуслуг. Сертифицированные ФСТЭК и ФСБ USB-токены и смарт-карты Рутокен помогают защищать от злоумышленников доступ в личный кабинет, а также позволяют выполнять усиленную квалифицированную электронную подпись для подписания юридически значимых документов. В случае, если физическое устройство — токен или смарт-карта Рутокен будет украдена или утеряна, владелец своевременно сможет заметить пропажу, уведомит УЦ и использование устройства будет заблокировано.

Лучший выбор продуктов для обеспечения защиты работы в ГИС:

· USB-токены Рутокен Lite

Как видно из вышеперечисленного, сфера полезного действия ключевых носителей намного шире, чем привычные нам процессы сдачи отчетности в налоговую (о том, как получить ЭП мы рассказали отдельно). Применяйте знания о кибербезопасности, чтобы обезопасить свои данные и предупредить мошеннические атаки.

В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).

Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей.

Термины

Часть терминов в статье подается в упрощенном виде для простоты понимания.

Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.

Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.

Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.

Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).

Извлекаемые ключи

Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).

Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.

Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.

Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.

Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.

Таким образом, извлекаемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.

ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.

Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается.  При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметр

Неизвлекаемые ключи

Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.

Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”

Используя стандартизированный программный интерфейс (API) библиотеки приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.

У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера на компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.

Доступ к закрытому ключу

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. P IN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.

Теперь поговорим о том, какие бывают ключевые носители.

Пассивные ключевые носители

Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя –

Активные ключевые носители

Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре — неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям

Пример активного носителя —  Рутокен ЭЦП 3.0 3220

Функциональный ключевой носитель (ФКН)

Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.

Пример такого устройства — Рутокен ЭЦП 3.0 3220, который также поддерживает активный и пассивный режимы.

Средства генерации ключевых пар

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен:

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.

Для генерации ключей формата можно использовать инструменты от компании Актив:

Или воспользоваться программными ГОСТ-криптопровайдерами:

ФКН-ключи

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3.0 — именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее

Сертификация устройств

Немного о сертификации ключевых носителей.

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.

Чтобы проще было запомнить:

Таким образом, в случае с , сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.

случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на «борту», такие как Рутокен ЭЦП 3.0 3220. Так ваша электронная подпись будет максимально защищена.

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в
Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения
квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется
в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на
защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью
можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах.
Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической
защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2. 0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком
носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП
подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота.
Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE,
используются только для работы с ЕГАИС.

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой
вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении
к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили
инструкцию по смене для Рутокен,
eToken,
JaCarta.
Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить
защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ
электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке
экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе
никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому
мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит
доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое
рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста.
ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭЦП

Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей.
И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому
человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который
просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите,
то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте
с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального
закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены
электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор»
удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный
документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте
в нашей статье.

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца
подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы,
будет тяжело.

Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем
другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует
злоумышленника.

Рутокен ЭЦП 2.0 cнимаются с производства в связи с выходом новой продуктовой линейки. Преемником данных моделей являются устройства Рутокен ЭЦП 3.0, обратно совместимые со всеми моделями Рутокен ЭЦП 2.0.

Рутокен ЭЦП 2.0 — это линейка устройств для практически любых приложений электронной подписи и строгой двухфакторной аутентификации. Форм-факторы: USB, Type-C, смарт-карты. Это полнофункциональные СКЗИ и средства электронной подписи с аппаратной реализацией ГОСТ Р 34.10-2012 с длиной ключа и ГОСТ Р 34.11-2012. Операции выполняются без извлечения ключа в память компьютера. Срок действия неизвлекаемых ключей электронной подписи — до 3 лет.

Применяются со всеми популярными отечественными продуктами информационной безопасности, где требуется двухфакторная аутентификация и электронная подпись. Устройства сертифицированы ФСТЭК и ФСБ. Применяются в информационных системах с высокими требованиями к безопасности в финансовом, корпоративном и государственном секторах (ЕГАИС, МАРКИРОВКА и др.).

ПО Рутокен работает на современных десктопных и мобильных операционных системах. S DK позволяет встраивать поддержку Рутокен ЭЦП 2.0 в классические, мобильные и веб-приложения.

Миллионы устройств работают в тысячах проектов по всей стране — качество и надежность подтверждены временем.

Рутокен ЭЦП 2. 0 2100

Модели Рутокен ЭЦП 2.0 в форм-факторе смарт-карты. Сертификаты ФСТЭК и ФСБ. Совместимость со всем программным обеспечением, которое поддерживает USB-токены Рутокен ЭЦП 2.0. Индивидуальное исполнение, персонализация, изготовление на собственном производстве.

Рутокен ЭЦП 2. 0 3000

Новое поколение, которое имеет наиболее широкие возможности, но сохраняет все преимущества базовых моделей. В семейство Рутокен ЭЦП 2.0 3000 добавлена поддержка протокола SESPAKE (ФКН2). Устройства доступны в форм-факторах классического USB, micro, USB Type-C и сертифицированы ФСБ России.

Рутокен ЭЦП 2. 0 Touch

Предназначен для строгой двухфакторной аутентификации и работы с электронной подписью. Оснащен сенсорной кнопкой для подтверждения пользователем операций ЭП. Применяется в системах с высокими требованиями к информационной безопасности: в дистанционном банковском обслуживании и электронном документообороте в государственном секторе и др. Имеет сертификат ФСБ России.

Рутокен ЭЦП 2.0 предназначен для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования, ключей электронной подписи, цифровых сертификатов и других данных, а так же для выполнения шифрования и электронной подписи «на борту» устройства.

Аппаратная реализация национальных стандартов электронной подписи, шифрования и хэширования позволяет использовать Рутокен ЭЦП 2.0 в качестве интеллектуального ключевого носителя и средства электронной подписи в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной подписи.

Рутокен ЭЦП 2.0 позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.