Выбираем токен для налоговой. Какие бывают и чем отличаются?
С начала 2022-го года, в соответствии с требованиями регулятора, УЦ ФНС России и его Доверенные лица стали единственным местом, где можно получить квалифицированную электронную подпись (сокращенно КЭП) руководителям юридических лиц, индивидуальным предпринимателям и нотариусам. Сделать это можно бесплатно, предоставив приобретенный ключевой носитель (подробнее о нем мы рассказываем в нашем посте), который соответствует требованиям ФСТЭК и ФСБ, а также, при необходимости, предъявив документы, подтверждающие подлинность носителя.
Какой же токен нужен для налоговой? Перед получением квалифицированного сертификата в операционном зале УЦ ФНС или в одном из Доверенных лиц УЦ ФНС необходимо выбрать ключевой носитель (он же токен). Соответствовать он должен следующим требованиям:
1. Имеет действительный сертификат ФСТЭК России или ФСБ России (см. тонкости по сертификации ниже)
2. Имеет форм-фактор USB-токен Type-A (для понимания — это формат разъема всем известной флешки). Известны случаи, когда УЦ соглашался выпустить сертификат на ключевой носитель с другим интерфейсом (USB Type-C, смарт-карта) с переходником на USB-A, однако никто не может вам этого гарантировать.
В линейке устройств Рутокен вы можете выбрать одну из двух моделей токенов:
- Рутокен ЭЦП 2.0 2100. Сертифицирован ФСБ России, подходит для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России, в операционных залах налоговых органов, также рекомендован для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России и подходит под требования ЕГАИС Росалкогольрегулирования;
- Рутокен Lite 64КБ. Сертифицирован ФСТЭК, подходит для получения квалифицированных сертификатов в операционных залах налоговых органов.
Более подробное сравнение моделей можно найти по ссылке.
Запомните, что ключевой носитель при приобретении защищен PIN-кодом по умолчанию, который затем обязательно нужно будет сменить на уникальный.
Также важно знать, что для решения бизнес-задач в госсистемах, согласно российскому законодательству для компаний и индивидуальных предпринимателей, необходима именно квалифицированная электронная подпись и никакая другая.
Немного о сертификации ключевых носителей
Федеральный закон “Об электронной подписи” 63-ФЗ требует для создания и проверки КЭП применения средств электронной подписи (СКЗИ), сертифицированных ФСБ.
Чтобы проще было запомнить:
- ФСТЭК России сертифицирует средство защиты информации (устройство).
- ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ).
Таким образом, в случае с извлекаемыми ключами на Рутокен Lite, сгенерированными с помощью программного СКЗИ, в ФСБ должен быть сертифицирован именно программный криптопровайдер. А пассивный носитель Рутокен Lite в соответствии с Регламентом УЦ ФНС должен быть сертифицирован во ФСТЭК России.
В случае с неизвлекаемыми ключами на активном носителе Рутокен ЭЦП 2.0 2100, сертифицированным в ФСБ России должен быть сам носитель, так как при генерации ключей используется аппаратная криптография.
Также возможны варианты, когда Рутокен ЭЦП 2.0 2100 используется в качестве пассивного носителя с программным СКЗИ, которое должно быть сертифицировано в ФСБ или в качестве активного носителя совместно с программным СКЗИ (тогда сертификаты ФСБ должны быть и у токена, и у СКЗИ).
Про пассивные и активные ключевые носители мы рассказывали здесь.
Далее давайте рассмотрим токены для КЭП более детально и создадим пошаговую инструкцию по выбору ключевого носителя для налоговой и получения КЭП.
Какой же токен нужен в моей ситуации?
Выбор модели токена в зависимости от следующих факторов:
— Необходимость работы с ЕГАИС;
— Выбранное место получения квалифицированного сертификата (УЦ ФНС или Доверенные лица УЦ ФНС);
— Повышенный уровень безопасности, основанный на использовании неизвлекаемых ключей.
Если деятельность вашей организации связана с производством или реализацией этилового спирта, алкогольной и спиртосодержащей продукции (ЕГАИС Росалкогольрегулирование), то вам нужен Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.
Если вы планируете получать квалифицированный сертификат в одной из точек выдачи Доверенных лиц УЦ ФНС, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.
Если вы выбираете высокую степень защиты с помощью неизвлекаемых ключей на активном токене, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.
Если вы хотите получить извлекаемые ключи, созданные программным криптопровайдером, на пассивном токене, то вам подойдет Рутокен Lite, сертифицированный ФСТЭК.
И еще один важный момент! Если вы не профессионал в области информационных технологий, очень важно приобретать токены компаний, обеспечивающих качественную техподдержку в случае внештатной ситуации. Крупные производители ключевых носителей, таких как Рутокен, всегда на связи с клиентами по различным каналам коммуникаций.
Порядок получения квалифицированных сертификатов на USB-токене
После выбора модели токена и его приобретения (кстати, приобрести его можно и у Доверенных лиц ФНС), для получения квалифицированного сертификата вам остается сделать всего пару последовательных шагов. А именно, записаться и прийти на прием в операционный зал ФНС или посетить одну из точек выдачи из списка Доверенных лиц УЦ ФНС вашего региона. Для идентификации заявителя прийти для получения сертификата потребуется лично, захватив с собой при этом пакет документов (перечень есть на сайте ФНС): паспорт, СНИЛС, ИНН (свой и организации), ОГРН и огрнип, а также, разумеется, сам токен и документацию к нему. Хотя некоторые Доверенные лица УЦ ФНС организуют сегодня и дистанционное получение КЭП. После этих незначительных усилий ваша единственная и неповторимая электронная подпись будет у вас в кармане — причем в прямом и переносном смысле!
На самом деле полезное инфо, странно что заминусовали.
Ебаная реклама Рутокена, за сраную флешку 2700 руб (февраль 2023).
На самом деле нифига не понятно.
как одна и та же модель может быть с такими разными характеристиками в разным магзах
По своему опыту могу сказать что:
1) Так как токен не одноразовый, то цена в 2-3 тысячи не велика и лучше не брать за 900 рублей непонятно что и непонятно где, а идти в аккредитованные удостоверяющие центры.
2) Для самозанятых, физ. лиц и сотрудников организации можно взять несертифицированный токен — они не идут в ФНС, им ЭП делают в УЦ.
В целом, им вообще токен не нужен — можно воспользоваться обычной флешкой или записать ЭП в реестр компьютера. К таким лицам меньше требований, но для них подпись будет дороже, т.к. сертификат подписи они покупают у УЦ, а Юр. лицам сертификат подписи выдаёт ФНС бесплатно.
3) Юр. лица получают подпись в ФНС и тут уж как повезёт с сотрудником, выдающим сертификат — кто-то не спросит бумажные сертификаты ФСТЭК, ФСБ, а кто-то придирчиво проверит всё. По моей практике в 99% случаев подпись записывают на токен без предоставления бумажных сертификатов. В УЦ за бумажные сертификаты берут дополнительные деньги, например:
Верните мне мой 2007: как поменялись ключевые носители для электронной подписи за последние годы
Привет, Хабр! Недавно мы с коллегами стали вспоминать, как выглядела работа с электронной подписью (ЭП) и ключевые носители, когда мы только начали работать в этой области. Мы искренне удивились тому, как за такое короткое время технологии шагнули вперед. Так родилась идея для этой статьи. Она для всех, кто когда‑нибудь имел дело с настройкой компьютера для работы с ЭП, отправкой отчетности в контролирующие органы, знает, что такое токены, оказывал техническую поддержку по работе с электронным документооборотом. Особенно для тех, кто помнит Windows XP, шариковые мышки и дискеты. Очень надеюсь, что этот материал вызовет у вас такую же теплую ностальгию, которую ощутили мы с коллегами, когда вспоминали, как это было.
Как выглядела безопасность электронной подписи в 2007 году
Тогда я была студенткой первого курса университета и впервые познакомилась с понятием «электронная цифровая подпись» в московском филиале компании СКБ Контур. Там я начала работать специалистом отдела технической поддержки, а через два года стала заместителем руководителя этого отдела.
Мы с коллегами помогали пользователям с настройкой рабочих мест и отправкой отчетности в контролирующие органы. В удостоверяющем центре СКБ Контур для работы с ЭЦП использовался криптопровайдер КриптоПро CSP (тогда еще версии 2.0). В своей работе мы руководствовались N 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Сертификат электронно‑цифровой подписи выдавался на юридическое лицо на имя руководителя организации, ИП или полномочного представителя. После идентификации будущего владельца или предъявления доверенности ключи ЭЦП и сертификат генерировались на дискету 3,5» и передавались пользователю.
Кстати, серийный номер на КриптоПро CSP нужно было набирать только вручную, каждую группу из 5 символов в свое окошко, копипаст всего номера не работал. Серийный номер содержал только заглавные буквы, проверка была чувствительна к регистру, а при его вводе пользователи часто ошибались, путая цифру 0 и букву О.
Контейнер генерировался без пароля. Для максимальной сохранности ключевой пары на дискете можно было выставить переключатель в режим защиты от записи. На время работы с ключами электронной подписи переключатель нужно было вернуть в исходное положение, иначе работа с ключами ЭЦП в КриптоПро CSP была невозможна.
Некоторые клиенты использовали дискету как антистресс и постоянно щелкали металлической задвижкой. От этих действий дискета могла выйти из строя. А еще она могла размагнититься, например, после поездки на троллейбусе или метро. По моим наблюдениям, дискеты ломались часто, считать содержимое со сломанной дискеты было практически невозможно.
Очень хорошо помню, как слышала на другом конце провода у пользователя звук дисковода, который пытался прочитать сломанную дискету поздно вечером в последний день сдачи отчетности.
В офис СКБ Контур также можно было прийти с флешкой и попросить записать ключи ЭЦП на нее. Этот вариант был надежнее дискеты. Контейнер (как и на любом съемном носителе в файловой системе) записывался в главный раздел флешки подобно обычной папке. Контейнер не отображался в КриптоПро CSP, если он лежал не в корне флешки, а во вложенной папке. Кстати, если у папки с контейнером убирали расширение.000, она тоже переставала отображаться в КриптоПро CSP. Иногда ключи могли частично повредиться и переставали считываться. Но флешку можно было случайно отформатировать.
Контейнеры с ключами в то время можно было скопировать с любого носителя — они были извлекаемыми и экспортируемыми. Если уже в ходе последующего копирования контейнера пользователь устанавливал запрет на экспорт контейнера, то его можно было скопировать со съемного носителя через файловую систему.
Для удобства использования один сертификат ЭЦП на генерального директора раздавался всему штату бухгалтеров. Кто‑нибудь обязательно забывал носитель с ключами дома. Свободный USB‑разъем в компьютере был, скорее, редкостью. Поэтому очень популярно было копирование ключей в реестр ОС Windows.
Все это работало очень удобно до тех пор, пока пользователю не переустанавливали Windows, предварительно забыв сохранить ключи из реестра. А для расшифровки ранее отправленной отчетности были нужны старые ключи.
Все новое пугает
В начале 2008 года СКБ Контур начал выдавать ключи ЭЦП на новое устройство — Рутокен. Поначалу все это было непонятно, страшно и непривычно. Вроде с виду флешка, но ее не видно в «Моем компьютере» как съемный носитель. Рутокен первой версии не являлся полноценным и уже привычным сейчас CCID‑устройством, поэтому для работы с ним обязательно нужно было установить Драйверы Рутокен. А для отображения в КриптоПро CSP устанавливались Модули поддержки. Содержимое токена можно было просмотреть только через криптопровайдер.
Тогда далеко не все версии КриптоПро CSP по умолчанию работали с токенами. Предварительно нужно было запустить КриптоПро CSP с правами администратора и во вкладке «Оборудование» добавить нужное количество виртуальных считывателей «Aktiv Co. ruToken».
И пусть первое время было сложнее настроить эти новые устройства, но статистика показывала, что они на порядок реже выходили из строя по сравнению с дискетами. Кроме того, вышедшие из строя токены без физических повреждений производитель заменял после экспертизы на новые, если случай признавался гарантийным. Некоторые токены, правда, имели все признаки неправильного использования:‑) Например, пользователи приносили устройства, сгоревшие в USB‑разъеме с напряжением, превышающем допустимое, токены со вскрытым корпусом или…заржавевшие… с просьбой заменить их на новые по гарантии. В некоторых случаях нам было очень интересно что же с ними произошло, это так и оставалось загадкой, так как пользователи чаще всего не говорили правду.
Постепенно мы обновили инструкции для сотрудников техподдержки и пользователей. Количество обращений по замене носителей стало значительно меньше по сравнению с дискетами. Первое время пользователи часто жаловались, что им при покупке не выдали «колпачок от флешечки». Колпачок, кстати, при желании, можно приобрести отдельно. Со временем я искренне полюбила эти устройства за их надежность. А еще их не надо было безопасно извлекать в отличие от флешек или дискет. Единственное, что мне сильно не нравилось на тот момент — первый Рутокен полностью блокировался, если некорректный PIN‑код Администратора был введен несколько раз подряд.
Первые модели Рутокен на смену всему старому
И вот нам представили новое устройство — Рутокен S. Это первое устройство, которое работало не только на Windows, но и на Linux и macOS после установки драйвера. Он был гораздо быстрее своего предшественника по скоростным характеристикам, а еще после блокировки устройства его можно было отформатировать и использовать повторно для записи ключей.
Интересный факт: по нашим наблюдениям, порядка 20% пользователей читают название первой вкладки Панели управления Рутокен «АДМИНИСТРАТИРОВАНИЕ». Каждый раз, когда слышу это слово, на всякий случай проверяю, вдруг все-таки опечатка 🙂
Примерно в это же время начали поступать обращения пользователей о злоумышленниках, отправляющих заведомо неверную отчетность в контролирующие органы с использованием чужих ключей и сертификата ЭЦП. Понятно, что любая отчетность потом могла быть скорректирована, но это создавало дополнительные проблемы организации. Так, например, бывший главный бухгалтер отправил налог на прибыль с повышенными показателями, чтобы отомстить за незаконное, по его мнению, увольнение. Поэтому мы начали информировать пользователей о необходимости смены PIN-кодов, рассказывали, как важно хранить носитель с электронной подписью в сейфе, а при подозрении на компрометацию ключей незамедлительно отозвать сертификат.
Все изменилось после появления новой модели — Рутокен ЭЦП. Помимо пассивного хранилища для ключевой пары и сертификата, это устройство могло выступать в роли самостоятельного криптопровайдера, генерировать неизвлекаемые ключи формата PKCS#11. В таком режиме Рутокен, как маленький компьютер, выполняет все операции внутри себя, никогда не отдавая закрытый ключ наружу. Эту модель можно было использовать и для двухфакторной аутентификации в домене.
Для работы с Рутокен ЭЦП, в отличие от предыдущих версий токенов, не обязательно было устанавливать драйверы — во всех современных ОС они назначались автоматически, оставалось только установить криптопровайдер.
Со временем ошибок при установке драйверов стало меньше, и мы уже не представляли жизнь ЭЦП без токена. Тем более, что комплектация системных блоков дисководом 3,5” встречалась все реже.
Возможность использования ЭЦП добавляется в большее количество сервисов. К отчетности в налоговую и пенсионный фонд добавляется отчетность в ФСС, работа на электронных торговых площадках и в государственных сервисах, системах ЭДО, банк-клиентах и т.д. Сертификаты ЭЦП выдаются с определенными областями применения в зависимости от стоящих перед пользователем задач.
В то время ключи в КриптоПро CSP генерируются с использованием алгоритмов ГОСТ 2001 только в пассивном режиме. То есть для любой операции с электронной подписью закрытый ключ ненадолго извлекается в оперативную память компьютера. При использовании такого формата ключей существует риск перехвата их злоумышленником.
Токены других производителей, такие как eToken, JaCarta, на тот момент я встречала в своей практике реже, но поработать с ними тоже успела.
Новая работа, новые модели Рутокен, новые термины
В 2013 году, оставив исключительно теплые воспоминания о компании СКБ Контур, я пришла в Компанию «Актив» и начала свой путь со специалиста службы технической поддержки. Сейчас я работаю ведущим менеджером по сопровождению партнеров.
В те годы модель Рутокен ЭЦП была удобной и хорошей во всем кроме цены. Некоторым пользователям не нужны были дополнительные функции работы с неизвлекаемыми ключами, и Компания «Актив» учла их потребности и выпустила Рутокен Lite, который также не требовал установки драйверов, но при это работал только с пассивными контейнерами программных криптопровайдеров.
В эти годы активно развивались мобильные технологии. Кажется, абсолютно все разбирались в отличиях iPhone 4 от 4S и знали, как обновить Android на старом смартфоне. Поэтому складывалось ощущение, что совсем скоро вся работа полностью будет производиться с использованием мобильных устройств, в том числе и работа с ЭЦП. Поэтому первыми среди других производителей в России Компания «Актив» выпустила устройство Рутокен ЭЦП Bluetooth для подключения по беспроводному каналу к мобильным устройствам с iOS и Android. Но на тот момент рынок еще не был готов к этому.
В Панель управления Рутокен была добавлена вкладка «Сертификаты» для просмотра ключей и сертификатов на токене. Теперь пользователям был доступен экспорт и импорт ключей и установка сертификатов формата ГОСТ в личное хранилище. Со временем была добавлена проверка надежности сертификата и установка доверенных корневых сертификатов.
Для повышения безопасности работы с ЭП в КриптоПро CSP появляется режим ФКН — функциональный ключевой носитель. Ключи в таком формате неизвлекаемые, а канал обмена между токеном и компьютером шифруется для исключения возможности перехвата данных. Для этих целей был разработан программно‑аппаратный комплекс КриптоПро Рутокен CSP, который комплектовался специальной модификацией Рутокен ЭЦП с поддержкой только формата ФКН.
В 2014 году «электронная цифровая подпись» становится «электронной подписью».
Аккредитованных удостоверяющих центров к этому моменту было более 500. Мы консультировали не только по настройке системы для работы с устройством Рутокен, но и запоминали основные особенности настройки той или иной информационной системы, других криптопровайдеров (Signal‑COM, VipNet CSP, Лисси). Старались помогать со смежными проблемами: установкой доверенных корневых сертификатов и необходимых для работы плагинов. Если ранее к нам обращались пользователи преимущественно с ОС Windows, то теперь поступало все больше запросов по настройке ОС Linux и macOS. Мы учились устанавливать пакеты, работать со связкой ключей Keychain. Могли подружить VipNet CSP и КриптоПро CSP на одной машине.
Неизвлекаемые ключи
Глобальным событием стало внедрение системы ЕГАИС Росалкогольрегулирование, где для работы можно было использовать только неизвлекаемые ключи формата PKCS#11. Изначально в этой системе для работы поддерживались только ключи JaCarta. Когда в список поддерживаемых носителей был добавлен Рутокен ЭЦП, мы быстро разобрались в настройке универсального транспортного модуля, стали понимать логи ошибок программы и оказывать техническую поддержку и по этому направлению.
В КриптоПро CSP добавляется первый вариант работы с ключами PKCS#11, называемый rutoken_crypt.
А с 2019 года вводятся в использование ключи по новому стандарту электронной подписи — ГОСТ 2012. Поддержка этого формата была реализована в КриптоПро CSP версии 4.0, а для генерации неизвлекаемых ключей на токене Компания «Актив» выпустила новую линейку — Рутокен ЭЦП 2.0.
За эти годы я застала немало версий КриптоПро CSP: от версии 2.0 до версии 5.0 R3.
А помните такую особенность: с контейнером, созданным на старшей версии КриптоПро CSP, нельзя было работать на младшей версии?:‑)
Было немало сообщений о том, что большой токен, подключенный к системному блоку, пользователи могли задеть ногой, а уборщицы — шваброй. Поэтому был создан компактный Рутокен в форм-факторе micro.
Пользователям токенов нужны были более компактные и функциональные устройства: для работы на мобильных телефонах, ноутбуках и новых Macbook — так появился Рутокен с разъемом Type-C, а для одновременного использования в качестве пропуска — смарт-карты с метками для входа в помещение. В 2021 году, спустя 7 лет после выпуска первого устройства Рутокен ЭЦП Bluetooth, перед нами стояла задача сделать беспроводную работу более быстрой, надежной и удобной для встраивания. Так, в линейке Рутокен ЭЦП 3.0 появились модели с NFC.
Настоящее время и ближайшее будущее
С 2022 года квалифицированная электронная подпись на руководителя организации или ИП может быть получена только в УЦ ФНС России и у его доверенных лиц. Остальные аккредитованные удостоверяющие центры выдают КЭП только на уполномоченных представителей.
Федеральной налоговой службой выпущены методические материалы для налогоплательщиков, которые помогают пользователям разобраться в терминологии. К носителям ключей ЭП предъявляются все более строгие требования. Теперь КЭП можно получить только на сертифицированные устройства. Для повышения безопасности извлекаемые ключи генерируют только неэкспортируемыми, то есть с запретом на последующее копирование.
В электронный документооборот добавляется машиночитаемая доверенность, которая должна предоставляться с каждым направленным документом, если его отправляет не руководитель организации. А отправитель теперь будет использовать для подписания квалифицированный сертификат, выданный на физическое лицо.
В КриптоПро CSP добавлена возможность работы с библиотекой rtpkcs11ecp. Этот формат ключей называется Активный токен (pkcs11_rutoken_ecp). Для конечного пользователя разница в работе с КриптоПро CSP+КриптоПро Browser Plug‑In c различными форматами незаметна.
Начиная с версии КриптоПро CSP 5.0 добавлено кроссплатформенное графическое приложение «Инструменты КриптоПро» для работы с контейнерами и сертификатами, управления носителями и другими полезными функциями.
Развитие токенов тоже не стоит на месте. Появилась новая линейка устройств — Рутокен ЭЦП 3.0, которую можно использовать для хранения пассивных, активных или ФКН ключей. Они также поддерживают ГОСТ 2018 и работают в системе ЕГАИС Росалкогольрегулирование.
Для работы в сложном промышленном окружении были выпущены устройства Рутокен ЭЦП Metal с защитой от вибраций и с электромагнитной стойкостью. Некоторые заказчики просили внешне более красивые устройства, например, для того, чтобы у генерального директора был токен в стильном металлическом корпусе.
Для дополнительного хранения информации есть модели Рутокен с flash‑памятью или картридером для модулей памяти формата microSD. Самое удобное применение для таких моделей — хранение дистрибутивов программ для работы с системой, для которой выпущена ЭП.
Функциональность Панели управления Рутокен для Windows с каждым годом расширяется: сейчас с ее помощью можно устанавливать доверенные корневые сертификаты, доступны импорт и экспорт, расширены возможности администрирования.
В ближайшее время будет представлен новый продукт для работы в ОС Linux — Центр управления Рутокен.
Вместо заключения
Интересно, как за эти годы изменилось отношение пользователей к квалифицированной электронной подписи. Очевидно, что за многие годы развития электронной подписи, токены претерпели большие изменения. Они больше не ломаются, как Дискеты, и не позволяют с легкостью скомпрометировать данные. На мой взгляд, КЭП стала привычным и обязательным инструментом для электронного документооборота. Работа с защищенными ключевыми носителями — токенами и смарт‑картами, уже воспринимается как данность. Сейчас все больше людей осознанно выбирает безопасность, изменяя PIN‑код сразу после получения нового токена. Все чаще пользователи выбирают активные ключевые носители для защиты ключей ЭП от копирования или перехвата и просят сгенерировать в УЦ ключи КЭП в более защищенных форматах: неизвлекаемые ключи PKCS#11 или ФКН. Мобильная электронная подпись в наши дни становится все более реальной.
Ну и напоследок…
Мы с коллегами из отдела технической поддержки Актива в течение 10 лет собирали коллекцию, смешных названий, которые используют клиенты при обращении к нам за помощью. Сегодня настало время поделиться с вами 🙂
Вот такая ностальгическая статья получилась, надеюсь, вам понравилось. Многое из того, что описано в этой статье, уже стало историей. Буду рада и вашим воспоминаниям в комментариях, ведь так приятно иногда вспомнить как это было в самом начале :‑)
Носители ЭЦП
Квалифицированная электронная подпись должна храниться на специальном защищённом носителе — токене или смарт-карте. Обычная флешка для этой задачи не подойдёт ввиду того, что она не защищена криптографическими алгоритмами.
Как выглядит ЭЦП на флешке и где купить специальный носитель, мы расскажем в этой статье.
Что такое флешка и токен электронной подписи
Как выглядит электронная подпись на флешке? Обычная флешка и токен — это не одно и то же, главное отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.
Как пользоваться электронной подписью с токена
Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).
С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.
На какие носители можно записать электронную подпись
Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.
Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.
Какой должен быть объём у флешки для электронной подписи
Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.
Какие носители бывают
Носители электронной подписи бывают двух видов:
- Токены — представлены в виде защищённой USB-флешки.
- Смарт-карты — представлены в формате карты, для считывания информации с которой нужно специальное оборудование.
Как работает USB-токен
Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.
Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.
Можно ли использовать Рутокен как флешку
Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.
Носитель ключа электронной подписи
Носитель ключа ЭП (токен) — это защищенная «флешка» для хранения электронной подписи. Выбор носителя зависит от сферы применения. Расскажем про виды токенов и их различия.
Что вы узнаете
Почему обычная флешка не подойдет
Токен внешне напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль (пин-код) и сертификацию ФСТЭК/ФСБ. В продвинутых моделях есть аппаратное криптоядро устройства —встроенное средство криптографической защиты информации (СКЗИ). Если криптоядра нет, нужно установить специальную программу на ПК — криптопровайдер. Чаще всего используют СКЗИ «КриптоПро CSP». Программа покупается отдельно.
Виды токенов
Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.
В таблице — сравниваем основные характеристики токенов.
Расскажем подробнее о каждом носителе.
Токены без СКЗИ (пассивные)
Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, они не подойдут для работы с алкоголем в ЕГАИС.
Рутокен Lite
Самый бюджетный вариант токена. В нем нет дополнительных функций, но есть все необходимое для работы. Сертифицирован ФСТЭК.
Токены с СКЗИ (активные)
Обладают более высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. Формирование электронной подписи у них может производиться внутри носителя, а не в программе-криптопровайдере. При генерации аппаратных ключей может использоваться внутренняя криптография токена. Благодаря этому установка криптопровайдера на ПК при использовании данных моделей не нужна на таких ресурсах, как Госуслуги, сервисы ФНС, Честный знак и др.
Для работы в ЕГАИС необходимо приобретать именно такие токены.
Рутокен ЭЦП 3.0
Токен с улучшенными скоростными характеристиками и увеличенным объемом памяти — 128 Кб. Поддерживает новые алгоритмы шифрования и позволяет устанавливать расширенные политики пин-кодов. В линейке есть модели, которые работают и через USB, и по протоколу NFC. Подходит для работы в ЕГАИС.