Токен с СКЗИ или нет какой выбрать и в чем разница в ЭЦП

Токены

Токен — небольшое устройство, которое используется для защиты информации, подтверждения личности владельца, защищенного удаленного доступа к конфиденциальным данным.

Токен представляет собой цифровой ключ для получения доступа к защищенной информации.

Аппаратные носители имеют небольшие размеры и позволяют переносить их с собой в кармане пиджака или кошельке либо на связке ключей в виде брелока.

Отдельные виды электронных ключей являются носителями электронных подписей и биометрических данных, защищенных криптографическими алгоритмами шифрования.

Современные криптоконтейнеры изготавливаются в формате USB-флешек, банковских карт либо беспроводных устройств, связывающихся с компьютерными терминалами по Bluetooth.

Когда электронный ключ подключен к ПК, устройство генерирует уникальную последовательность символов, при помощи которых происходит авторизация в программных СКЗИ (средствах криптографической защиты информации) и предоставляется доступ к зашифрованным данным.

Требования к USB-токенам

Токен с СКЗИ в формате USB-накопителей должен соответствовать требованиям:

• сертификация носителя в ФСБ и ФСТЭК;
• формат подключения — USB-A.
   

При соответствии этим требованиям ФНС РФ сможет выполнить запись сертификата ЭЦП (электронной цифровой подписи) на защищенный носитель.

Перечисленным требованиям соответствуют такие токены:

• Рутокен ЭЦП 2.0, S, Lite;
• JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), LT, ГОСТ, PKI/ГОСТ, PKI;
• ESMART Token, Token ГОСТ.

Какие бывают USB-токены

USB-токены делятся на две группы: активные и пассивные.

Пассивные не имеют собственных систем защиты и выступают в роли защищенного хранилища КЭП. Для работы с ними на ПК необходимо установить криптопровайдер — программу по работе с токенами для подписания документов ЭЦП. Например, КриптоПро CSP.

Пример такого хранилища — Рутокен Lite.

Активные токены оснащаются собственными чипами шифрования и для работы с ними не требуется стороннее ПО. Все задачи по наложению электронной подписи выполняются за счет встроенного защищенного программного обеспечения токена.

Пример носителей такого типа — Рутокен ЭЦП 2.0, JaCarta SE.

Почему нужен токен, а не флешка

Токены только напоминают традиционные USB-флешки, но ими не являются. Электронные ключи защищаются паролями, в них содержатся файлы сертификации ФСТЭК и ФСБ, некоторые модели оснащаются собственными чипами криптозащиты.

То есть на носитель ключей нельзя просто скопировать файлы. Также и внешний накопитель не станет токеном, если на него отправить копию ЭЦП.

Что такое смарт-карта

Смарт-карта имеет вид обычной банковской кредитки с контактной площадкой встроенного чипа на задней поверхности. Этот вид токена используется не так часто, как USB-носители, из-за необходимости оснащения рабочего ПК специальным считывателем. Смарт-карты также проходят сертификацию в ФСТЭК и ФСБ.

Альтернативный вариант — карточки с дополнительным NFC-чипом, позволяющим совершать бесконтактные операции с токеном. Например, для подписания документов можно использовать смартфон с поддержкой технологии бесконтактной оплаты и установленной мобильной версией КриптоПро. Чтобы подписать документ, достаточно открыть криптосредство СКЗИ на телефоне и приложить к его задней стороне смарт-карту.

Такие носители производятся под торговыми марками Рутокен и JaCarta.

Что такое bluetooth-токен

Это современное устройство, имеющее аналогичный принцип работы с USB-токенами, но не требующее физического подключения к ПК или смартфону. Подключение происходит посредством Bluetooth-соединения. Некоторые типы беспроводных токенов имеют USB-штекеры для подключения к ПК.

Беспроводной носитель удобен тем, что может быть спрятан в месте, не доступном для злоумышленников. При этом связь с токеном не обрывается до тех пор, пока пользователь находится в радиусе зоны действия встроенного в носитель приемника сигналов.

Единственный нюанс работы с Bluetooth-токенами – необходимо каждую проводимую операцию подтверждать ПИН-кодом, чтобы исключить вероятность перехвата сигнала посторонними лицами.

Как выбрать

Чтобы выбрать подходящий вариант токена для хранения ЭЦП, нужно определиться с:

• наиболее удобным для использования форматом устройства;
• оснащением носителя (наличие либо отсутствие чипа криптозащиты).
   

Для компаний, которые ведут выездные работы, а сотрудники часто ездят в командировки, подойдут Bluetooth-токены.

Если работа ведется на стационарных компьютерах (бухгалтерия предприятия), лучшим вариантом будут USB-токены.

Индивидуальные предприниматели, для которых оформление токена и установка криптопровайдера нужны только для соблюдения норм закона, могут оформить простую смарт-карту с беспроводным модулем. Такой вариант носителя является самым доступным из имеющихся.

В каких есть СКЗИ

Встроенными чипами криптозащиты оснащаются такие типы токенов:

• JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
• Рутокен ЭЦП 2.0, Рутокен S;
• ESMART Token, ESMART Token ГОСТ.

Есть ли разница, с СКЗИ или без

Электронные контейнеры ключей со встроенным СКЗИ обеспечивают высокий уровень защиты информации, сертифицируются ФСТЭК, ФСБ. Работать с таким типом токенов можно без криптопровайдера на ПК.

Носители с СКЗИ позволяют подписывать документы, касающиеся криптографической защиты информации. Например:

• машиночитаемые доверенности для загрузки на портал ФБУ «Росавтотранс»;
• подписание документации в ЕГАИС «Лес»;
• работа с отчетностью в ЕГАИС «Алкоголь».
   

Носители без СКЗИ подходят для подачи финансовой отчетности, авторизации компании в государственных торгах, подписания документации по ЭДО, регистрационных действий для Честного знака.

Токены без активной защиты могут применяться в тех случаях, когда работа ведется с информацией в открытом виде, а носители с СКЗИ – когда информация должна быть скрыта от посторонних.

Как с ними работать

Для работы с токенами и файлами ЭЦП, хранящимися в памяти носителей, нужно:

• установить на ПК криптопровайдер для работы с электронной документацией;
• вставить носитель в разъем USB;
• установить драйвер токена;
• добавить носитель в список активных носителей в СКЗИ.
   

После того как перечисленные действия будут выполнены, пользователь получит возможность использовать контейнер ключа для подписи документов, работы с госпорталами, участия в тендерах.

Обратите внимание! Несмотря на то что активные токены могут работать самостоятельно, без программного СКЗИ, наличие криптопровайдера на ПК обязательно – это требование Федеральной налоговой службы.

Возможные ошибки

При работе с носителями ключей периодически могут возникать ошибки. Некоторые из них исправляет владелец токена, а для устранения других необходимо обратиться в организацию, изготовившую носитель.

Рассмотрим основные проблемы, которые возникают с контейнерами ключей и Рутокенами в том числе:

1. «Сертификат ненадежен / Не удалось проверить статус отзыва».
   Проблема появляется при устаревании драйверов оборудования. Достаточно обновить драйверы либо повторно установить сертификат, чтобы снова сделать его доверенным.
2. Токен не определяется СКЗИ.
   Возможны проблемы с гнездом подключения либо беспроводным интерфейсом. Если отключение носителя и повторное подключение не решили проблему, нужно проверить работоспособность материнской платы либо токена.
3. Токен не отображается в панели управления ПК.

Проблема может иметь программный характер либо проявляться из-за физической поломки ПК. Если не помогает переустановка драйверов, извлечение и повторная вставка носителя, следует также обратиться за диагностикой ПК либо проверить целостность встроенного чипа токена.

Рутокен ЭЦП 2.0

Рутокен – торговая марка программных и аппаратных продуктов в области защиты информации, которые разрабатываются и производятся в РФ, сертифицируются ФСБ и ФСТЭК. Это такой же носитель ключей защиты, как и традиционный токен. Однако для криптографической защиты информации в рутокенах используются отечественные алгоритмы по ГОСТ Р 34.10-2012 с длиной ключа 256/512 бит и ГОСТ Р 34.11-2012.

Формат выпуска рутокенов: смарт-карточки, USB-носители и контейнеры с интерфейсом подключения Type-C.

Все операции независимо от модели российского носителя выполняются без копирования ключей в память ПК.

Рутокен с СКЗИ применяется в государственных и частных организациях, где необходимо обеспечение высокого уровня безопасности передаваемой информации (например, ЕГАИС, Маркировка и пр.).

Для чего нужна

Рутокен ЭЦП 2.0 используется для обеспечения защищенного электронного документооборота в таких направлениях:

• дистанционное обслуживание, проведение удаленных финансовых операций в банковской сфере;
• безопасная передача конфиденциальной информации в государственном секторе экономики;
• работа с системами ЕГАИС ФСРАР.

При помощи Рутокен ЭЦП 2.0 можно проходить авторизацию в личном кабинете частного предпринимателя на госпортале ФНС.

Как работает

Рутокен ЭЦП 2.0, как и традиционные токены с неизвлекаемыми ключами, используется для двухфакторной авторизации. Чтобы выполнить процедуру идентификации пользователя, нужно вставить носитель в ПК и подтвердить личность PIN-кодом разблокировки. Такой подход обеспечивает более высокий уровень безопасности данных по сравнению с традиционным введением логина и пароля.

Основой Рутокен ЭЦП 2.0 является микрочип с функцией криптографической защиты данных, модуль невзламываемой памяти для хранения ключей доступа, ЭЦП, сертификатов.

Отечественный носитель ключей может работать с российскими и международными алгоритмами безопасности, что позволяет встраивать поддержку токена в большинство приложений и информационных систем.

Модели

Все модели Рутокен 2.0 обеспечивают безопасность ключей на носителе и отвечают новым стандартам криптографической защиты:

• ГОСТ Р 34.10-2012 — генерация и тестирование ЭЦП;
• ГОСТ Р 34.11-2012 — алгоритм и порядок вычисления Hash-функций;
• VKO ГОСТ Р 34.10-2012 — алгоритмы генерации одноразовых ключей сессий.
   

Также все версии Рутокен 2.0 сохранили за собой поддержку предыдущих криптографических стандартов: ГОСТ Р 34.10-2001, ГОСТ 34.11-94 и ГОСТ 28147-89.

В таблице приведены все вариации Рутокен 2.0 с кратким описанием.

 

Версии Рутокена	Описание
Базовый	Базовая модель в полноразмерном корпусе
С сертификацией ФСБ	Токен поставляется с сертификатом, подтверждающим лицензирование ФСБ
Экспортный, сертифицированный ФСБ	Носитель, который пользователь может вывозить за пределы российской территории. В этой версии отключена поддержка некоторых стандартов, что позволило получить сертификацию ФСБ и исключить нарушение государственной тайны.
Сертифицированный ФСТЭК	Токен поставляется с сертификатом, подтверждающим лицензирование ФСТЭК
2100	Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя
2100, сертифицированный ФСБ	Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя и с сертификацией ФСБ
Смарт-карта Рутокен ЭЦП 2.0, сертифицированная ФСБ	Токен в виде смарт-карты, который поддерживает современные криптографические стандарты ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, VKO ГОСТ Р 34.10-2012 (RFC 7836) с длиной библиотеки ключей 256 и 512 бит. Процедура подписи документа выполняется за 0,3 сек. Сертификация ФСБ по классам безопасности КС1 и КС2.
Type-C	Традиционный Рутокен ЭЦП 2.0, но с современным разъемом USB Type-C. Носитель можно подключить к новым мобильным устройствам с портами USB Type-C 3.0 или Thunderbolt 3.
2100 Type-C	Версия, собранная на базе чипа смарт-карты, но в корпусе традиционного USB-носителя c разъемом USB Type-C. Носитель подключается к современным ноутбукам с портами USB Type-C 3.0 или Thunderbolt 3.
Micro	Полноценный Рутокен 2.0, но в миниатюрном корпусе. Удобен в использовании с ноутбуками и планшетами. Корпус носителя имеет такой же вид, как приемник для беспроводных мышек, и выступает за пределы USB-гнезда на 5–6 мм.
Micro, сертифицированный ФСБ	Версия Micro, но с сертификацией ФСБ и сопроводительной документацией
Micro, сертифицированный ФСТЭК	Версия Micro, но с сертификацией ФСТЭК и сопроводительной документацией
2100 Micro	Версия Micro, построенная на контроллере смарт-карточек
Touch	Носитель в полноразмерном корпусе с сенсорной кнопкой для подтверждения операций с ЭЦП. Применяется в тех случаях, когда требуется обеспечить высокий уровень безопасности проводимых операций. Сертифицируется ФСБ.
RF	Рутокен ЭЦП 2.0 со встроенной RFID-меткой. Носитель позволяет не только подтверждать проводимые операции с ЭЦП, но и получать доступ к закрытым помещениям с ограниченным доступом. Рутокен ЭЦП RF комплектуется RFID-метками EM-Marine, Mifare, HID.

 

Собственным блоком криптозащиты оснащаются Рутокены ЭЦП 2.0 c сертификатами ФСБ версий: 2100 (USB), 2100 Micro, 2100 Type-C.

Таким образом, чтобы определить, является ли рутокен носителем СКЗИ, достаточно обратить внимание на его версию и проверить наличие сертификата ФСБ.

Ключевые функции

Все функции, которые могут быть выполнены при помощи Рутокен 2.0, делятся на несколько категорий:

• аутентификация пользователя;
• электронная подпись для документов;
• безопасное хранение ключевой информации;
• защита персональных данных;
• корпоративные возможности.

Аутентификация

Использование Рутокена упрощает авторизацию пользователя в различных сервисах:

• на почтовых серверах, в базах данных, прочих удаленных хранилищах;
• вместо традиционного доступа к личным кабинетам на государственных порталах посредством ввода логина и пароля можно пользоваться двухфакторной авторизацией при помощи ЭЦП;
• защищенная аутентификация при удаленном доступе к ПК (например, если администратору нужно подключиться к рабочему компьютеру сотрудника).

Электронная подпись

При помощи Рутокена и аналогичных носителей ЭЦП реализуется возможность подписывать электронные документы при помощи файлов ЭЦП.

Безопасное хранение ключевой информации

Сюда входит:

• применение ключей для выполнения криптографических операций, но без копирования ключей с носителя;
• защита ключей, находящихся в памяти токена, от копирования;
• защита безопасности данных в случае утери носителя, так как для разблокировки функций нужно ввести ПИН-код.

Защита персональных данных

Включает в себя:

• шифровку переписок по электронной почте;
• обеспечение безопасности доступа к компьютеру и другим терминалам, которые подключены к локальной сети;
• защиту отдельных файлов или папок на диске компьютера путем криптографического шифрования.

Корпоративное использование

Рутокен используется:

• в качестве индивидуального ключа для подписи документов в разных корпоративных информационных системах, программах документооборота (например, СБИС, Бифит);
• в качестве личного ключа для доступа к личной информации, паролям, ключам шифрования, цифровым сертификатам.

Характеристики

Рутокен 2.0 в зависимости от формата (USB и смарт-карт) имеет незначительные отличия в технических характеристиках.

USB-токены

Основные характеристики Рутокен 2.0 в формате USB:

• микроконтроллер криптографической защиты с энергозависимым накопителем EEPROM объемом 64 Кб;
• поддерживаемые подключения – USB 1.1 и выше;
• габаритные размеры: 5,8 х 1,6 х 0,8 см;
• вес: 6,3 г;
• генерируемый серийный номер с длиной библиотеки шифрования в 32 бит;
• поддержка ОС Windows, Linux, Apple macOS.

 

Рутокен 2.0 USB может взаимодействовать с интерфейсами:

• PKCS#11 2.20, 2.30;
• Microsoft Crypto API;
• Microsoft SmartCard API;
• PS/CS;
• ISO/IEC 7816-4, 7816-8, 7816-12.
   

Отечественный носитель ключей может работать без установки драйверов по стандарту USB CCID.

Смарт-карты

Основные характеристики Рутокен 2.0 в формате SmartCard:

• микроконтроллер криптографической защиты с энергонезависимым накопителем EEPROM объемом 128 Кб;
• генерируемый серийный номер с длиной библиотеки шифрования в 32 бит;
• габаритные размеры: 8,56 х 5,4 х 0,1 см;
• вес: 5,5 г;
• поддержка ОС Windows, Linux, Apple macOS, Android 5.0 и выше, iOS 13 и выше.
   

Рутокен 2.0 SmartCard может взаимодействовать с интерфейсами:

• PKCS#11 2.20, 2.30;
• Microsoft Crypto API (ms_key);
• Microsoft SmartCard API;
• PS/CS;
• ISO/IEC 7816-3;
• ISO 14443 (NFC);

Накопитель может связываться со смартфонами по беспроводному протоколу NFC.

Сертификаты

Оба типа токенов отечественного производства (USB, SmartCard) после лицензирования ФСТЭК и ФСБ получают сертификаты соответствия государственного образца.

Сертификат ФСТЭК РФ подтверждает, что носители ключей признаются программно-техническими средствами, которые отвечают требованиям по безопасности информации и установленным уровням доверия к средствам технической защиты информации.

 

Сертификат от ФСБ подтверждает, что токен соответствует требованиям таких нормативных актов:

1. Требования к средствам ЭЦП, утвержденные Приказом ФСБ РФ № 796 от 27.12.2011 г.
2. Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
    

Наличие такого сертификата говорит о том, что токен может быть использован для критографической защиты информации, шифрования данных и использования ЭЦП.

 

Как получить

Приобрести Рутокен можно несколькими способами:

1. Оформить заказ на официальном сайте производителя по адресу: rutoken.ru.
2. Обратиться к одному из бизнес-партнеров производителя, список которых размещен на сайте в разделе «Где купить».
3. Заказать в одном из специализированных интернет-магазинов (cryptostore.ru, xcomspb.ru, infosecurity.ru).
4. Обратиться к официальному дистрибьютору (1С:Дистрибьюция, АКСОФТ, Treolan).
    

Оптимальный вариант – заказать напрямую у производителя, который гарантирует качество продукции, наличие токенов в нужном количестве на складе, сертификацию продукции.

Необходимые документы

Для оформления заказа на носители со встроенным чипом СКЗИ для юридического лица понадобится:

• документ, удостоверяющий личность руководителя или доверенного лица, отвечающего за закупку носителей;
• доверенность с мокрой печатью на сотрудника, который занимается закупкой;
• код ИНН организации;
• ОГРН юридического лица или ОГРНИП;
• код КПП;
• юридический адрес организации;
• адрес доставки.

 

Если токен заказывает физическое лицо, понадобится:

• паспорт гражданина РФ;
• копия СНИЛС;
• ИНН заявителя.

 

Инструкция

Чтобы заказать токены на официальном сайте, нужно выполнить несколько действий:

1. Перейти на официальный сайт rutoken.ru, открыть раздел «Заказ» и выбрать подраздел «Цены и заказ».
   
    
2. Чтобы выбрать рутокен с СКЗИ или без, на открывшейся странице необходимо выбрать раздел «Аппаратные ключи для ЕГАИС» или «Носители для получения электронной подписи в УЦ ФНС» соответственно. В списке «Продукты Рутокен для ЕГАИС» выбрать нужный товар и его количество. Нажать кнопку «Enter» на клавиатуре компьютера. После чего графа для ввода количества товара изменится на надпись «Товар в корзине», на которую нужно нажать левой кнопкой мыши.
   
    
3. На следующей странице будет отображен список продуктов, добавленных в заказ. Подтверждают заказ нажатием на кнопку «Оформить заказ».
   
    
4. В появившуюся форму заказа вписывают данные компании, ФИО и контактную информацию ответственного лица, адрес доставки токенов. Подтверждают заказ нажатием на кнопку «Отправить заказ».
   
   
    
5. Когда заявка будет обработана, на связь с ответственным лицом выйдет представитель компании-производителя для согласования условий поставки, формы оплаты и сроков изготовления.

Справка. Доставка заказа выполняется в течение 5 рабочих дней с момента его оплаты.

Цены

Стоимость Рутокен 2.0 у официального поставщика и дилеров идентична. Это объясняется политикой регулирования цен на продукцию.

В таблице приведены примеры расценок на популярных интернет-площадках.

 

Наименование носителя	Официальный сайт, рублей	cryptostore.ru, рублей	1С: Дистрибьюция, рублей
Рутокен ЭЦП 2.0 2100, серт. ФСБ	2364	2360	2364
Рутокен ЭЦП 2.0 2100 micro серт. ФСБ	2364	2360	2364
Рутокен ЭЦП 2.0 2100 Type-C серт. ФСБ	2380	2380	2380

 

На заметку. Полный прайс с указанием стоимости на все продукты компании «Актив» (производителя Рутокен) можно скачать бесплатно с официального сайта rutoken.ru.

 

Хранение файлов ЭЦП в открытом доступе на ПК или внешнем носителе небезопасно. Для защиты пользовательских данных ФНС РФ рекомендует применять в работе защищенные носители, ключи на которых шифруются. Самым распространенным типом хранилища ключей являются USB-токены. При этом наиболее современным считается носитель в формате смарт-карты с NFC для беспроводного и удобного соединения со смартфонами и другими мобильными устройствами.

Для подписи документов с открытыми данными (документация для торгов) используются пассивные токены, ключи которых генерируются программными СКЗИ. Для передачи конфиденциальной информации применяются активные носители с собственными криптографическими чипами.