Ключевые носители ЭП: как выбрать и как работают
В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).
Разные форматы контейнеров и способы работы ключевых носителей
Из нашей статьи вы узнаете:
- Компания Аладдин Р.Д. известна не только своими защищёнными токенами и смарт-картами, но и многофункциональным программным обеспечением. JaCarta authentication server — это автономный высокопроизводительный сервер аутентификации, который может работать как с аппаратными, так и программными токенами.
- Для работы с квалифицированной электронной подписью необходимо средство криптографической информации (СКЗИ). Это программа для защиты от изменений и шифрования подписанных данных. Также она запрашивает пароль контейнера при аутентификации пользователя. В настоящее время одним из самых популярных СКЗИ является КриптоПро CSP от компании КриптоПро.
Где взять пароль, как удалить и какие пароли по умолчанию
Рассмотрим, где взять пароль КриптоПро CSP, если пользователь его забыл, как его удалить и какие пароли ставят по умолчанию на физические носители.
Купить лицензию КриптоПроCSP рекомендуем в нашем интернет-магазине. Оставьте короткую заявку для бесплатной консультации специалиста.
Настройка второго фактора с Рутокен MFA
Настройка связки PIN-код + касание
Рутокен MFA — линейка токенов для аутентификации в веб-сервисах, работающих по протоколу FIDO2 (CTAP2). Устройства линейки Рутокен MFA выступают в качестве единого средства защиты учетных записей веб-сервисов с использованием двухфакторной аутентификации.
Установка пакетов для локальной аутентификации
Для настройки локальной аутентификации по Рутокен MFA установите следующие пакеты (потребуются права администратора системы или суперпользователя root):
dnf install fido2-tools pam-u2f pamu2fcfg -y
Проверка корректности подключения Рутокена MFA
После установки пакетов подключите Рутокен MFA, затем выведите список подключенных устройств:
fido2-token -l
Вывод команды должен иметь примерно следующий вид (если к машине подключено только одно FIDO2-устройство):
/dev/hidraw1: vendor=0x0a89, product=0x0093 (Aktiv Co. FIDO)
Установка нового PIN-кода на токен
Установите новый PIN-код на токен с помощью команды:
fido2-token -S /dev/hidraw1
Дважды введите новый PIN-код.
Особенности политики PIN-кода
Рутокен MFA позволяет аутентифицировать пользователя при входе в ОС в различных сценариях:
- Необходимость установить или обновить программу ViPNet Client.
- Проблемы с запуском ViPNet Client после загрузки Windows.
Если у вас установлен антивирус Касперского, установка или обновление ViPNet Client может быть заблокировано самозащитой антивируса. Для решения данной проблемы обратитесь к документации антивируса.
Был ли ответ полезен? Если у вас остались вопросы или возникли сложности, не стесняйтесь обратиться за помощью у специалистов.
Если на вашем компьютере работает несколько пользователей и компьютер находится не в домене, после входа в Windows программа ViPNet Client может не запускаться автоматически.
Для исправления проблемы выполните следующие настройки:
1. Невозможно произвести авторизацию пользователя ViPNet.
При появлении такой ошибки выполните следующие действия:
- После восстановления программы запустите компьютер в обычном режиме.
2. Не найдены ключи пользователя или неверный пароль.
В этом случае в окне ввода пароля щелкните значок справа от кнопки Настройка, в меню выберите пункт Папка ключей пользователя и укажите путь к папке ключей пользователя.
- Если операционная система еще не загружена, в окне ввода пароля ViPNet нажмите кнопку Отмена. После загрузки операционной системы запустите ViPNet Монитор и укажите путь к папке ключей пользователя.
3. Ошибка при повторном разворачивании DST.
Если пароль для входа в программу ViPNet Client сохранен в реестре, после установки нового дистрибутива ключей при запуске программы может появиться сообщение об ошибке.
- В этом случае для первого входа в программу введите пароль. При последующих запусках программы ввод пароля не потребуется.
4. Невозможно сохранить пароль.
Сохранение пароля в реестре может противоречить регламенту безопасности вашей организации. Эта возможность определяется настройками программы ViPNet:
- Если вам необходимо сохранить пароль, обратитесь к администратору сетевого узла или администратору сети ViPNet.
5. Медленное соединение с ресурсами в интернете.
Если вы используете ПО Kaspersky и после установки программы ViPNet Client соединение с сайтами в интернете происходит очень медленно, выполните следующие настройки:
6. Невозможно установить соединение по протоколу PPPoE.
Соединение по протоколу PPPoE может быть заблокировано программой ViPNet Монитор. Для решения данной проблемы выполните следующие действия:
7. Невозможно работать в Windows с правами администратора.
Если вы используете Windows 7 или Server 2008 R2, после обновления программы ViPNet Client возможно нарушение работы в ОС с правами администратора.
- При запуске какой-либо программы или команды от имени администратора появляется сообщение об ошибке, программа или команда не выполняется.
8. Невозможно запустить службу MSSQLSERVER.
Возможно, причиной неполадки является сбой одного из компонентов программы ViPNet Client.
Не нашли ответ на свой вопрос? Задайте его нам!
ViPNet SafeBoot 3 - новое поколение высокотехнологичного программного модуля доверенной загрузки (ПМДЗ), сертифицированного по требованиям ФСБ России и ФСТЭК России. Предназначен для создания точки доверия к платформе и её компонентам, а также к загружаемой операционной системе. Ключевыми задачами продукта являются разграничение доступа к платформе, защита UEFI BIOS, контроль неизменности и защита компонентов ПК, а также организация доверенной загрузки штатной операционной системы.
Новое поколение продуктов ViPNet SafeBoot
Семейство продуктов ViPNet SafeBoot за последние годы вышло за рамки привычной функциональности модулей доверенной загрузки операционной системы. Это было достигнуто за счет использования множества дополнительных механизмов защиты UEFI BIOS и платформы в целом. Например, контроль программных SMI, защита от записи в WPBT, защита прямой записи из BIOS на диск и другие. Новое поколение ПМДЗ ViPNet SafeBoot 3 помимо расширения перечня функций защиты аппаратной платформы, также реализует требования ФСБ России, необходимые для аттестации рабочих мест.
Функциональность ViPNet SafeBoot 3
ViPNet SafeBoot 3 предназначен для создания точки доверия к платформе, её компонентам и загружаемой операционной системе. Это позволяет использовать продукт для реализации проектов по защите аппаратных платформ согласно требованиям ИСПДн, ГИС, АСУ ТП, КИИ, а также при построении систем с СКЗИ.
Что нового в версии
Главной целью выпуска ViPNet SafeBoot 3 было создание версии, отвечающей требованиям ФСБ России к СЗИ МДЗ. Также были реализованы следующие функции:
- Расширенные возможности защиты аппаратной платформы
- Функции удаленного управления через ViPNet EndPoint Protection
Удаленное управление
Для удаленного управления функциональностью ViPNet SafeBoot 3 рекомендуется использовать ViPNet EndPoint Protection. Доступные функции для удаленного управления включают:
- Удаленный сбор журналов с ViPNet SafeBoot 3
- Лицензирование и активация ViPNet SafeBoot 3
- Управление пользователями ViPNet SafeBoot 3 (создание, изменение, удаление)
Сертификация и установка
ViPNet SafeBoot 3 имеет сертификаты ФСБ России и ФСТЭК России для реализации проектов по защите ИСПДн, ГИС, АСУ ТП, КИИ, а также при построении систем с СКЗИ. Продукт поддерживает установку в UEFI BIOS различных производителей и возможность загрузки ОС по сети (HTTP-boot и PXE Boot).
ViPNet SafeBoot 3 обладает неизвлекаемостью, в отличие от аппаратных модулей доверенной загрузки. Продукт может использоваться как совместно с другими продуктами ViPNet, так и отдельно.
Идентификация и аутентификация пользователей
ViPNet SafeBoot 3 поддерживает различные способы и комбинации идентификации пользователей, включая использование USB-идентификаторов и смарт-карт. Для работы со смарт-картами рекомендуется использовать специализированные смарт-карт ридеры.
Новое поколение ПМДЗ
ViPNet SafeBoot 3 представляет собой новое поколение сертифицированного программного модуля доверенной загрузки, соответствующего требованиям ФСТЭК России и ФСБ России. Следите за обновлениями и создавайте точки доверия к вашей платформе с ViPNet SafeBoot 3.2.
Если не нашли подходящего решения, оставьте запрос на подготовку индивидуального предложения и мы найдем лучшее решение для вашей задачи.
Возможности ViPNet SafeBoot 3.0
ViPNet SafeBoot 3.0 предлагает ряд функций и механизмов для обеспечения безопасности системы. Вот некоторые из основных возможностей:
Контроль целостности аппаратных компонентов
ViPNet SafeBoot 3.0 автоматически строит списки контроля целостности (КЦ) для операционной системы, обеспечивая надежную защиту аппаратных компонентов.
Режим обучения
Для удобства пользователей предусмотрен режим обучения, который помогает настроить систему безопасности.
Защита входа в BIOS
ViPNet SafeBoot 3.0 предоставляет возможность защиты входа в BIOS и ограничения доступа к изменению настроек.
Блокировка PCI Option ROM
Вы можете блокировать PCI Option ROM всех PCI-устройств для повышения безопасности системы.
Защита BIOS
ViPNet SafeBoot 3.0 обеспечивает защиту BIOS от перезаписи, чтения и изменений EFI-переменных.
Контроль программных SMI
Этот функционал позволяет ограничить функциональность, реализованную на основе программных System Management Interrupts (SMI).
Дополнительные механизмы и функциональность
ViPNet SafeBoot 3.0 предлагает дополнительные механизмы и функциональность для обеспечения безопасности системы.
Исполнение 1
ViPNet SafeBoot 3.0 поставляется в двух исполнениях. Исполнение 1 имеет ряд ограничений, детали которых можно найти в документации на продукт.
Возможности JaCarta Authentication Server
Ниже перечислены основные возможности сервера аутентификации JaCarta:
- Возможность настройки связки PIN-код + касание с использованием утилиты pamu2fcfg;
- Полная поддержка квалифицированных электронных подписей (КЭП);
- Реализация активного ключевого носителя с протоколом SESPAKE;
- Предоставление сертификатов ЭП Удостоверяющим Центром (УЦ).
Термины
Ниже приведены упрощенные термины для лучшего понимания:
- ЭП: квалифицированная электронная подпись;
- Ключи ЭП: закрытый и открытый ключи;
- Сертификат ЭП: выдается Удостоверяющим Центром;
- Контейнер ЭП: ключевой контейнер, содержащий ключи ЭП;
- ФКН: функциональный ключевой носитель, обладающий дополнительной функциональностью.
Пример настройки связки PIN-код + касание
Для настройки связки PIN-код + касание используйте утилиту pamu2fcfg. Результат будет записан в файл u2f_mappings.
Убедитесь, что команда выполняется под пользователем, для которого настраивается аутентификация. В процессе выполнения команды потребуется прикоснуться к устройству Рутокен MFA.
Содержимое файла u2f_mappings должно иметь примерно следующий вид:
Для повышения безопасности переместите сформированный конфигурационный файл u2f_mappings в каталог /etc следующей командой:
sudo mv /tmp/u2f_mappings /etc/u2f_mappings
Настройте файлы модуля PAM – отредактируйте файл /etc/pam.d/common-auth, который обрабатывает общие настройки аутентификации для всех сервисов:
sudo nano /etc/pam.d/common-auth
После модуля pam_fprintd.so добавьте следующую строку:
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
su Please enter the PIN: Please touch the device.
При входе пользователя в графическую оболочку ОС также будет запрашиваться PIN-код и касание кнопки Рутокен MFA.
Эта информация оказалась полезной? ДА НЕТ
Дата последнего изменения: 10.01.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Применение JaCarta Authentication Server
Сервер аутентификации JaCarta нужен, чтобы обеспечивать защиту доступа к информационным ресурсам и сервисам. Для этого в программе используются два средства: одноразовые пароли, которые исключают повторное использование, и двухфакторная аутентификация. Оба средства обеспечивают высокий уровень защиты.
Пример: доступ к какому-либо ресурсу можно защитить, например, к корпоративной электронной почте можно подключить двухфакторную аутентификацию.
Неизвлекаемые ключи ("активные контейнеры")
Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11.Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.
Для генерации ключей формата можно использовать инструменты от компании Актив:
Или воспользоваться программными ГОСТ-криптопровайдерами:
Подключение Госключа клиентом самостоятельно
Такой вариант настройки позволяет отправлять документы в мобильное приложение Госключ клиентом напрямую в Госключ
Для самостоятельного подключения Госключа необходимо выполнить следующие подготовительные работы:
Настройка провайдера в 1С
Для настройки провайдера Госключ, который вы подключаете самостоятельно, необходимо в подсистеме ЛК Сотрудника – Провайдеры ЭЦП добавить "Госключ УНЭП" или "Госключ УКЭП" как провайдера из списка в зависимости от вида подписи, которую планируете использовать в Вашей организации.
На вкладке "Настройки подписания" прописать следующие параметры и значения:
КлючAPI – клиент получает самостоятельно на сайте Госуслуг.
ИмяОбработки – лксЭЦПГосключ.
АдресСервисаАвторизации – https://esia.gosuslugi.ru
АдресСервисаПодписания – https://www.gosuslugi.ru
МнемоникаСистемы – WA_LKS
ОтпечатокСертификатаАвторизации – нужно взять из сертификата, который загружен в 1С в "Настройки электронной подписи и шифрования" (скрин ниже)
ОтпечатокОбезличенногоСертификата – нужно взять из сертификата, который загружен в 1С в "Настройки электронной подписи и шифрования" (скрин ниже)
Во вкладке "Связанные типы заявок" можно указать заявку по предоставлению данных по СНИЛС, т к для отправки документов в Госключ обязательно необходимо указать для физического лица данные по СНИЛС.
Вкладки "Настройки выпуска подписи" и "Документы" заполнять для этого типа провайдера не нужно.
Для каждого провадйера можно настроить:
Описание провайдера, которое будет отражаться у сотрудника в личном кабинете. К примеру,
"Если у вас установлено приложение Госключ и выпущена усиленная квалифицированная электронная подпись, нажмите на кнопку “Подтвердить”."
Текст кнопки – "Подтвердить". Текст кнопки влияет на наименование кнопки, которое будет отражаться у сотрудника в личном кабинете. Сотрудник подтверждает подключение Госключа один раз, после чего у сотрудника появиться возможность отправлять документы в мобильное приложение Госключ.
Текст кнопки повторно – текста не будет, т к Госключ подключается один раз.
Текст подсказки – может быть выведена любая информация, которую хотели бы донести до сотрудника.
Логотип – картинка провайдера –
Что видит сотрудник в сервисе EmplDocs?
В разделе меню "Электронная подпись" сотруднику будет отражаться виджет для подключения сервиса.
Данные о сертификате, который использовал сотрудник при подписании документов отразится, после подписания первого документа в мобильном приложении Госключ.
При нажатии на кнопку "Подключить" сотруднику будет отражаться окно, в котором он проверяет информацию по введенному СНИЛСУ, который используется в дальнейшем при отправке документов в Госключ. После нажатия на кнопку "Отправить" сотруднику будет доступна возможность отправлять на подпись документы, которые необходимо подписать.
Настройка второго фактора
Для настройки второго фактора аутентификации создайте каталог командой:
mkdir -p ~/.config/aktivco
Подключите Рутокен MFA к машине и выполните настройку модуля с помощью утилиты pamu2fcfg. По завершении выполнения команды вывод утилиты будет записан в файл u2f_keys.
Для повышения безопасности переместите сформированный конфигурационный файл u2f_keys в каталог /etc следующими командами:
sudo mkdir -p /etc/aktivco sudo mv ~/.config/aktivco/u2f_keys /etc/aktivco/u2f_keys
su Please touch the device.
ФКН-ключи
Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3.0 – именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее
Определить носитель
Для КриптоПро CSP версии 4.0/5.0 достаточно выполнить следующие шаги:
Носитель, на котором записан контейнер закрытого ключа, будет показан в колонке «Считыватель».
КриптоПро CSP 5.0
В КриптоПро CSP версии 5.0 носитель контейнера можно посмотреть следующим образом:
Преимущества
JaCarta authentication server включён в Единый реестр отечественного ПО (№ 2128). Являясь полноценным продуктом импортозамещения, программа предлагает пользователям высокую производительность (более 1000 аутентификаций в секунду) и простую интеграцию с прикладным программным обеспечением.
Выделим следующие преимущества использования системы:
Важно: разработчик на странице продукта предупреждает, что JaCarta Authentication Server масштаба предприятия интегрирован в платформу JaCarta Management System (JMS) 3.7.
Мы являемся официальным партнёром компании-производителя «Аладдин Р.Д.» и имеем все необходимые лицензии. Выбрать и купить токен, который подходит для использования в связке с JaCarta authentication server, можно в нашем магазине. Цены на носители JaCarta и другая информация размещены в каталоге с тарифами.
Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.
Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”
Используя стандартизированный программный интерфейс (API) библиотеки приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.
У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера накомпьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.
Активные ключевые носители
Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре – неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям
Пример активного носителя — Рутокен ЭЦП 3.0 3220
Доступ к закрытому ключу
Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.
Теперь поговорим о том, какие бывают ключевые носители.
Как восстановить пароль контейнера
Восстановить пароль закрытого ключа невозможно. Его можно только подобрать или вспомнить. Чтобы подобрать пароль, пользователь сначала определяет носитель, на котором хранится контейнер закрытого ключа, а потом его тип.
Извлекаемые ключи ("пассивные контейнеры")
10 мая 2023
10 мая 2028
Сертификат соответствия ФСТЭК России № 4673 от 10.05.2023 г. подтверждает, что ViPNet SafeBoot 3, разработанное и производимое АО «ИнфоТеКС», соответствует требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) — по 2 уровню доверия, «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013), «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты. ИТ.СД3.УБ2.П3» (ФСТЭК России, 2013) при выполнении указаний по эксплуатации, приведенных в формуляре ФРКЕ.00180-02 30 01 ФО.
Средства генерации ключевых пар
Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен:
Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).
Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.
Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.
Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.
Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.
Таким образом, извлекаемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.
ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.
Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается. При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметр
Сертификат ФСБ России № СФ/527-4669 от 06.12.2023
06 декабря 2023
01 октября 2025
Сертификат ФСБ России от 06.12.2023 № СФ/527-4669 подтверждает, что ViPNet SafeBoot 3 (исполнение 1) соответствует требованиям к механизмам доверенной загрузки ЭВМ (класс защиты 2, класс сервиса Б) и может использоваться для защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну.
Сертификат соответствия ФСТЭК России № 4673 от 10.05.2023 г. на ViPNet SafeBoot 3
Определить тип носителя
Рассмотрим типы носителей, на которых хранится контейнер закрытого ключа:
В этом случае требуется обратиться в удостоверяющий центр, который выдал облачную электронную подпись, для восстановления данных.
Если при подписи документа авторизация пройдена, но всплывает данное окно:
То пароль закрытого ключа забыт. Он не восстанавливается. Его можно только подобрать, вспомнить или сделать перевыпуск сертификата. Для того чтобы вспомнить пароль, у пользователя есть ограниченное количество попыток. Если они закончились, ключ блокируется. Разблокируют его только в организации, выпустившей сертификат.
Выбрать подходящий носитель для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.
Сертификация устройств
Немного о сертификации ключевых носителей.
Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.
Чтобы проще было запомнить:
Таким образом, в случае с , сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.
случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.
Сертификат ФСБ России № СФ/527-4669 от 06.12.2023
.jpg)
Пассивные ключевые носители
Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя –
Заключение
Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на "борту", такие как Рутокен ЭЦП 3.0 3220. Так ваша электронная подпись будет максимально защищена.