Подпись, выпущенную в удостоверяющем центре ФНС России или у доверенного лица ФНС России, нельзя скопировать на компьютер. Это требование налоговой. Поэтому для хранения нужно покупать сертифицированный носитель — USB-токен. Внешне он похож на обычную флешку.
Главное отличие USB-токена от флешки — защищаемая паролем карта памяти, встроенная в устройство. Только владелец подписи, который знает пин-код, может подписать документ. Если бы подпись хранилась на обычной флешке, ее бы мог присвоить любой человек, который имеет к ней доступ.
В статье расскажем, какие бывают токены и как выбрать модель под свои задачи.
Требования к USB-токенам
Удостоверяющий центр ФНС России может записать сертификат электронной подписи только на носитель, соответствующий требованиям:
Некоторые удостоверяющие центры продают смарт-карты. Я могу записать электронную подпись на нее?
Если вы выпускаете подпись в удостоверяющем центре ФНС России или у ее доверенного лица — нет. Требования к токенам четко прописаны ФНС России.
То же самое касается использования облачной подписи.
Смарт-карта выглядит как банковская карта. Чтобы ей пользоваться, нужно покупать считыватель. Сейчас выпускают смарт-карты с NFC модулем — ими можно пользоваться, приложив к компьютеру или телефону.
Какие бывают USB-токены
USB-токены можно поделить на две группы: простые и продвинутые.
Простые
Чтобы подписать документ, нужно установить на компьютер СКЗИ — средство криптографической защиты информации. Например, КриптоПро CSP. К таким носителям относится, например, Рутокен Lite, Рутокен Lite micro.
Продвинутые
В носитель уже вшит чип шифрования, устанавливать СКЗИ на компьютер не нужно. Но если хотите подписывать документы в браузере, нужно установить плагины. К таким носителям относится, например, Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.
Для подписания документов по ЭДО, участия в торгах и подачи деклараций в ФНС России можно использовать любой USB-токен. Для работы в ЕГАИС «Алкоголь» и ЕГАИС «Лес» подойдет только продвинутый токен со встроенной криптографией.
Главное отличие простого токена от продвинутого — первый не работает в ЕГАИС, так как система предъявляет повышенные требования к средствам, которые используются при создании закрытой части ключа.
Электронные подписи для торгов, отчетности, госпорталов и других задач на сертифицированных носителях
УЦ «Росэлторг» аккредитован Минцифры России
Сравнение популярных в России USB-токенов
Рутокен Lite
Рутокен ЭЦП 2.0
eToken 5110
JaCarta-2 SE
Подходит для большинства задач: торги, ЭДО, работа на госпорталах
✔
✔
✔
✔
Работает в ЕГАИС
✖
✔
✖
✔
Особенности
Есть версия ЭЦП 2.0 type‑c с разъемом для Макбуков.
Генерирует и хранит закрытые ключи, пароли и цифровые сертификаты внутри чипа.
Сколько сертификатов можно записать
8
8
5
18
Средняя цена
1200 ₽
2000 ₽
1900 ₽
1800 ₽
Все модели из таблицы подходят для компьютеров на Windows, Linux и macOS.
Вы можете записать новый сертификат электронной подписи на токен, который уже используете. Главное, чтобы он соответствовал требованиям ФНС России. Если будете выпускать сертификат в удостоверяющем центре ФНС России, перед визитом убедитесь, что на токене нет действующих сертификатов. Перед записью сотрудники налоговой службы могут удалить с токена всю информацию.
Где купить токен для ФНС России
Есть три варианта, где можно купить носитель для электронной подписи:
Удобнее купить носитель в удостоверяющем центре. Во-первых, удостоверяющий центр всегда имеет запас носителей на складе. Во-вторых, удостоверяющий центр точно продает сертифицированные носители и может приложить сертификат соответствия от производителя. В-третьих, специалисты удостоверяющего центра помогут подобрать модель носителя, которая точно подойдет для решения ваших задач, например, для работы в ЕГАИС или взаимодействия с банками по системе «Клиент-Банк».
Если кратко
Электронные подписи для торгов, отчетности, госпорталов и других задач на сертифицированных носителях
JaCarta PKI USB токен — для многих непонятный набор слов… В статье я объясню что это и для чего. Скорее всего многие уже знают что Jacarta нужна для работы ЕГАИС, но некоторые и не знают.
В этой статье я объясню простым языком что это такое, также расскажу про виды токенов. Во-первых, я расскажу о таком устройстве для компьютеров как USB токен. Вы поймете что это такое и для чего он нужен.
Средства «Рутокен» позиционируются как главные и ключевыми хранители информации. Отличие от етокена — это наш, российский продукт, а етокен — европейский.
Вобщем, такие USB устройства используется для подтверждения личности пользователя в электронном виде. Это сильно повышает цифровую безопасность. Это обеспечивает безопасную и надежную аутентификацию для доступа к сети.
Это европейский вариант хранителя ключей. Это такое устройство идентификации и хранилище личной информации. Выглядит все также как обычная USB флешка. Но как накопитель конечно не предназначен.
Главная задача етокенов — это надежная двухэтапная аутентификация людей при подключении к закрытым источникам (ПК, сети и разные программы).
JaCarta PKI, Рутокен Етокен — как это все работает
В в случае криптографического USB токена закрытый ключ находится в токене и не может быть передан за его пределы.
Закрытый ключ никогда не может быть получен из этого USB устройства. Некоторые токены хранят цифровые подписи, данные отпечатков пальцев и другие биометрические данные. Они могут использоваться в качестве криптографических ключей.
Организации расширяют свой бизнес из традиционного и безопасного мира частных сетей в интернет и за его пределы. Для этого они должны создать и поддерживать безопасные сетевые среды для своих деловых отношений.
Решения для обеспечения безопасности на основе PKI дополняются специальными технологиями, обеспечивающими безопасное хранение цифровых удостоверений, подкрепленных надежной двухфакторной аутентификацией.
ЕГАИС, к примеру применяет особые, специальные токены, такие как JaCarta PKI. Купить такую смарт карту можно только у фирм, которые лицензированы ФСБ
Бывают и различные проблемы в момент установки. Происходят разного рода неполадки, относящиеся к этому USB приспособлению.
В большинстве случаев, ошибка вылазит если на одном ПК под единой «учеткой» пользователь применил сразу несколько токенов JaCarta (что недопустимо).
Аутентификационный токен выполнен в виде флешки. Токен USB PKI устраняет уязвимости, связанные с фиксированными системами безопасности имени пользователя и пароля. А также с токенами, не поддерживающими PKI.
USB токен PKI классифицируется как сильная двухфакторная система аутентификации, которая сочетает в себе следующие функции для подтверждения личности человека:
Вместе эти функции объединяют то, что есть у человека (маркер). Что-то, что они знают (pin-код и идентификатор пользователя).
К USB токену PKI можно получить доступ с помощью одноразового пароля (OTP) и хранить цифровые сертификаты.
Это нужно для для аутентификации на основе PKI, шифрования, цифровой подписи и неотрекаемости, а также информацию о смарт карте.
Токены требуют установки уникальных программных драйверов на резидентном клиенте. Все токены PKI USB используют стандартные драйверы Windows.
Они доступны на большинстве клиентов, благодаря которым влияние MaGer на пользователей сводится к минимуму.
Также читайте тему о безопасности онлайн покупках — правила безопасности покупок через интернет онлайн.
Токены могут быть выполнены в виде USB флешек, поэтому советую прочитать смежную статью о USB флешках.
Посмотрите все доступные USB токены, может найдете для себя что-то полезное на Яндекс.Маркет!
Электронные ключи появились давно, но пока не сумели вытеснить стандартную идентификацию по логину и паролю. Это более чем странно. Учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы для внешних атак и в достаточном количестве представлены на российском рынке.
Подавляющее большинство российских компаний по-прежнему использует традиционную пару «логин-пароль» для идентификации и разграничения доступа пользователя к корпоративным ресурсам. Однако этот способ давно устарел с точки зрения безопасности. При этом, постоянное увеличение сложности пароля (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) для повышения уровня безопасности нередко приводит к снижению комфортности контроля доступа для пользователя. Сложные пароли просто-напросто тяжелы для запоминания.
К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, Р@ssw0rd). Также пароль может быть перехвачен или подсмотрен при его вводе. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России такие устройства занимают доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» (совместно с «Анкад»), RSA Security, а также Feitian Technologies.
USB-токены предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. Их можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-токенов по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь. Если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже цены токена. Отметим, что USB-токены, не основанные на архитектуре «смарт-карта + кард-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).
Таблица 1 Средняя стоимость внедрения систем контроля доступа
USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты из считывателя. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель, это необходимо проверить. Зачастую выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена: маленький объем памяти смарт-карты здесь является преимуществом, поскольку это не позволит сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта программа + USB-токен надо убедиться, что вас обеспечат драйверами для USB-токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.
Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует помнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.
Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправителя или получателя), а потому должны использоваться надежные криптографические алгоритмы и продуманные схемы. Строгая аутентификация в данном контексте означает, что информация, непосредственно идентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые, другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно поэтому важно покупать модели со встроенным генератором ключей, чтобы такая информация не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.
Таблица 2 Основные характеристики наиболее популярных на российском рынке продуктов
Перечисленные в таблице 2 модели подходят для построения системы аутентификации на основе открытых ключей (PKI) с использованием сертификатов. Рассмотрим механизм такой аутентификации. Технология PKI построена на использовании двух математически связанных ключей — открытого и секретного (закрытого). С помощью открытого ключа сообщение шифруется, а с помощью секретного расшифровывается, при этом естественно, что, зная открытый ключ, нельзя получить закрытый. Такие криптографические преобразования реализовываются на основе RSA или DSA. Криптостойкость зашифрованных сообщений обеспечивается неразрешимостью за полиномиальное время двух математических задач: факторизации больших чисел на простые множители (RSA) и дискретного логарифмирования в простом конечном поле (DSA). Важнейшим плюсом, является то, что аутентификационная информация пользователя совсем не передается по сети, а лишь участвует в вычислениях, как на клиентской, так и на серверной стороне, что соответствует принципам строгой аутентификации. По такому принципу строится протокол аутентификации «запрос-ответ» (Handshake Authentication Protocol).
Заметим, что поддержка работы RSA и DSA, в том числе и аппаратная генерация их ключей, с размером ключа 2048 бит является хорошим гарантом безопасности, который в принципе не может быть обеспечен протоколами симметричного шифрования, — например, семейством алгоритмов DES. Обычно данные протоколы используются для шифрования трафика с использованием ключа, полученного после аутентификации принципала. Интересной особенностью продуктов ruToken является аппаратная реализация российского стандарта симметричного шифрования ГОСТ 28147-89, к числу достоинств которого можно отнести бесперспективность силовой атаки, эффективность реализации и высокое быстродействие на современных компьютерах.
Сегодня на российском рынке представлено множество USB-токенов с различным уровнем защиты
Компании-производители указывают огромное количество реализованных алгоритмов шифрования/хеширования в своих описаниях к продуктам, однако большинство из них — алгоритмы хеширования. Они представляют собой односторонние функции и используются для преобразования, например, PIN-кода или другой чувствительной информации для хранения в файловой системе токена, так как из хеша сложно восстановить PIN-код в понятном человеку виде. Таким образом, наличие большого числа алгоритмов хеширования не определяет «качество» токена. Хотя в некоторых случаях хеш-преобразования используются другими алгоритмами в качестве вспомогательных, поэтому стоит сразу определиться, поддержка каких алгоритмов вам нужна в работе информационной системы.
В ряде случаев необходима взаимная аутентификация — двусторонняя проверка подлинности участников информационного обмена (когда не только сервер проверяет подлинность пользователя, но и наоборот). Протоколы «запрос — ответ» идеально подходят для взаимной аутентификации с некоторым дополнением (такой протокол часто называют «рукопожатием»). Также, возможно, стоит обращать внимание на наличие государственного сертификата у того или иного продукта. Но, конечно, его отсутствие не говорит о несостоятельности решения. Все они выполнены в соответствии с международными требованиями и отвечают международным стандартам. Наличие сертификатов скорее привлекательно для госструктур, так как там обязательно использование только сертифицированных средств защиты информации. Возможно, иногда стоит купить более дешевое решение (например, ruToken), но которое будет способно в данном контексте обеспечить необходимый уровень безопасности. Именно поэтому так важна правильная оценка собственных потребностей перед внедрением системы аутентификации на основе USB-токенов.
Последнее, на что хотелось бы обратить внимание, это поддержка программного обеспечения и операционных систем, ведь зачастую инфраструктура PKI внедряется в сети, давно действующей, где уже сформировался круг необходимых приложений для поддержания бизнес-задач. Так, для работы в Linux-среде лучшими решениями будут ключи iKey и eToken PRO. В действительности стоит обращать внимание на совместимость предлагаемого производителем готового решения с другими продуктами, а также на решения под определенные платформы, что в конечном итоге лишь облегчит как внедрение токенов, так и их использование.
Квалифицированная электронная подпись должна храниться на специальном защищённом носителе — токене или смарт-карте. Обычная флешка для этой задачи не подойдёт ввиду того, что она не защищена криптографическими алгоритмами.
Что такое флешка и токен электронной подписи
Обычная флешка и токен — это не одно и то же, главное их отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.
Как пользоваться электронной подписью с токена
Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).
С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.
На какие носители можно записать электронную подпись
Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.
Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.
Какой должен быть объём у флешки для электронной подписи
Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.
Какие носители бывают
Носители электронной подписи бывают двух видов:
Как работает USB-токен
Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.
Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.
Можно ли использовать Рутокен как флешку?
Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.
Мы являемся официальным партнёром компаний «Аладдин Р.Д» и «Актив» и имеем все необходимые лицензии. Выбрать и купить носитель JaCarta или Рутокен вы можете в нашем магазине → «Каталог носителей».
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Как работать с носителями
Порядок получения электронной подписи на токен выглядит следующим образом:
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Какие могут возникнуть ошибки
Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.
Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.
