Как сделать рутокен из флешки

Отличие rutoken от простой флешки

Изучив описание устройства я выяснил, что rutoken аппаратно поддерживает только симметричный ГОСТ.

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПО, которое предоставляет собственный провайдер и специфичные утилиты.

Правильно ли я все понял?

#2 Ответ от Алексей Несененко 2008-03-11 12:25:08

• Алексей Несененко
• Посетитель
• Неактивен

Re: Отличие rutoken от простой флешки

Gelik пишет:

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПО
Правильно ли я все понял?

Это два совершенно разных устройства похожие только своим формфактором и разъемом.

Основной задачей флешки является хранение больших объемов информации. На сегодняшний день это гигабайты.
Фактически для компьютера это диск.
Количество циклов перезаписи 10 тысяч.

Основной задачей токена является безопасное хранение ключей шифрования и ЭЦП, которые извлекаются из его памяти по предъявлении PIN. Для этого большой объем памяти не нужен — отсюда и небольшая память ключей от 32 кб до 128 кб.
Для компьютера токен не является диском. Доступ к его памяти возможет только с помощью специализированного ПО.
Количество циклов записи в память 1 миллион.

Токен это устройство, которое предназначено для доступа к ресурсам компьютера, защиты электронной переписки и как хранилище конфиденциальной информации (пароли, ключи и т.д.).
Токен это по сути USB-аналог смарт-карты. То есть микро ЭВМ со своей собственной операционной системой. При выполнении основной своей функции — аутентификации — он выполняет криптографический процесс (на сегодняшний день это только ГОСТ) описанный производителем при помощи своего фирменного программного обеспечения. Необходимый для выполнения этих операций по шифрованию ключ находится на токене. Таким образом на самом токене, во-первых, надежно хранится секретный ключ, а во-вторых, здесь же обрабатывается алгоритм шифрования.

Дополнительно есть ключи со встроенной радиочастотной меткой. Благодаря этой метке токены могут использоваться вместо смарт-карты для доступа в помещение.

#3 Ответ от Gelik 2008-03-11 14:34:24

Re: Отличие rutoken от простой флешки

Алексей, спасибо Вам за развернутый ответ.

Однако, еще раз поясню мои сомнения. В наше время бурно развиваются веб-сервисы, для доступа к которым используется протокол https ( SSL/TLS), т.е. основанные на шифровании с открытым ключем, поэтому особый интерес представляет сохранение в целости и сохранности приватных ключей. В моем понимании, ключ находится в «целости и сохранности», если он не покидает места своего хранения, т.е. токена.
Однако, если ваш токен аппаратно реализует только ГОСТ, то и безопасно хранить он может только ГОСТ. Остальные данные (RSA-ключи и т.п.), свободно путешествуют от токена к компьютеру и обратно и могут быть перехвачены, например, трояном.

Поэтому, с точки зрения хранения RSA-ключей, аналогом rutoken может являться флешка с установленной программой Truecrypt, например.

Изучая другие продукты, наткнулся на e-token r2 и думаю, что это является аналогом rutoken (или наоборот):
Линейка продуктов eToken R2, основанных на микроконтроллерной архитектуре.
. eToken R2 является защищённым носителем информации.
Причем, R2 снята с производства, как устаревшая.

Поправьте, если я не прав.

Планируется ли выпуск токена с аппаратной поддержкой RSA?

#4 Ответ от Николай Фатеев 2008-03-12 14:59:13

Re: Отличие rutoken от простой флешки

Очень хочется заметить следующее:
— даже в случае непокидания закрытым ключом (ЗК) места своего хранения остается возможность/вероятность «подсовывания» тем же трояном постороннего сообщения на подпись. Т.е. подобные устройства (токены) рассчитаны на то, что своему компьютеру Вы можете доверять.
— перехватить ЗК в процессе подписывания очень-очень сложно, нужна реально высокая квалификация ломщика
— в отличии от флэшки, память токена не может быть скопирована никоим образом без знания pin-кода. Сделать образ флэшки, насколько мне известно, можно.
— R2 действительно был ближе к Rutoken-у по архитектуре, чем Pro. Касательно его «устаревания» могу лишь заметить, что многие пользователи R2, после исчезновения его с рынка перешли именно на Rutoken, а не на «современный» eToken Pro.

Насчет планов: приоритетным для нас является выпуск токена с асимметричным ГОСТом (российский рынок — российский алгоритм).
Вопрос с RSA остается пока открытым.

#5 Ответ от Gelik 2008-03-13 09:53:54

Re: Отличие rutoken от простой флешки

Николай, все верно.

Добавлю еще один момент: если ключи не покидают токен, то их невозможно сдублировать, даже если известен PIN-код.

#6 Ответ от Vladimir Ivanov 2008-03-13 11:43:41

• Vladimir Ivanov
• Администратор
• Неактивен

Re: Отличие rutoken от простой флешки

Gelik пишет:

Николай, все верно.

Добавлю еще один момент: если ключи не покидают токен, то их невозможно сдублировать, даже если известен PIN-код.

Различные приложения требуют различного уровня безопасности. В подавляющем большинстве случаев совершенно не требуется выполнять асимметричные криптографические преобразования «на борту». Весь вопрос в стоимости решения.

#7 Ответ от Vladimir Ivanov 2008-03-13 11:46:47

• Vladimir Ivanov
• Администратор
• Неактивен

Re: Отличие rutoken от простой флешки

Gelik пишет:

Поэтому, с точки зрения хранения RSA-ключей, аналогом rutoken может являться флешка с установленной программой Truecrypt, например.

Вопрос в том, каким образом эти ключи будут извлекаться из этой флэшки. Придется городить огород, вместо того, чтобы использовать стандартные средства и интерфейсы.

Рутокен: что это и как использовать

Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.

Что вы узнаете

• Популярные варианты
• Как настроить
• Где купить

Популярные варианты

Рутокен Lite

Это базовый и самый бюджетный вариант.

В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.

Если владелец 10 раз неправильно введет ПИН, устройство заблокируется. Чтобы его разблокировать, нужно скачать драйверы Рутокена и ввести ПИН под учетной записью «Администратор» (стандартно — 87654321). Либо обратиться в удостоверяющий центр.

Рутокен не подходит для работы с алкоголем в ЕГАИС.

Рутокен ЭЦП 2.0

Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП.

Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.

Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.

Единственная модель Рутокена, которая подходит для работы с ЕГАИС.

Рутокен ЭЦП 2.0 Type-c

Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).

Подходит для работы с алкоголем в ЕГАИС.

Сравнение моделей

Для наглядности мы подготовили таблицу.

Как настроить

Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.

Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.

1. Запустите мастер настройки ПК.
2. Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.
3. Выберите вашу электронную подпись.
4. Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.

Ваш компьютер будет готов к работе с ЭП.

В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:

• Посмотреть информацию о носителе (имя, свободная память, информация о том, кто может менять ПИН-код);
• Сменить ПИН-код, установить права на него;
• Разблокировать Рутокен;
• Отформатировать устройство.

Срок действия электронной подписи — 12 месяцев.

Где купить

• В удостоверяющих центрах, которые аккредитованы по новым правилам, например в УЦ «Тензор».
• На сайте производителя.

Как скопировать ЭЦП с флешки (Рутокен) на компьютер в Реестр

Необходимость скопировать Электронную подпись (ЭП) на компьютер (Реестр) может возникнуть в случае использования ЭП на нескольких рабочих местах, в офисе, дома, в коммандировке. Для того чтобы скопировать электронную подпись достаточно выполнить несколько простых операций. Чтобы скопировать сертификат:

1. Выберите «Пуск» → «Панель управления» →«КриптоПро CSP». Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать».
   
2. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
   
3. Выберите контейнер, который необходимо скопировать, и нажмите на кнопку «ОК».
   
4. Нажмите «Далее». Если вы копируете с Рутокена, то появится окно ввода, в котором укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
5. Придумайте и укажите имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы.
   
6. Нажмите «Готово».
7. Выберите носитель, на который будет помещен новый контейнер.
   
8. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы было легко его запомнить, но посторонние не могли его угадать или подобрать.
   Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
   Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.
   
   Если вы копируете контейнер на носитель ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
   

После копирования система вернется на вкладку « Сервис » КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в сервисе новый ключевой контейнер , установите его через Крипто Про .

Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат с помощью КриптоПро через «Просмотреть сертификаты в контейнере», выполните следующее:

1. Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него.
2. Выберите вкладку «Сервис» и нажмите на кнопку «Просмотреть сертификаты в контейнере».
   
3. Нажмите на кнопку «Обзор».
4. Выберите контейнер для просмотра и нажмите на кнопку «ОК».
   
5. Нажмите «Далее».

Если появляется сообщение «В контейнере закрытого ключа отсутствует открытый ключ шифрования», установите сертификат через меню «Установить личный сертификат».

Нажмите на кнопку «Установить».

Если появится окно c заменой сертификата, выберите «Да». Сертификат установлен.

Если кнопка « Установить » отсутствует, выполните следующее:

1. В окне «Сертификат для просмотра» нажмите на кнопку «Свойства» и в открывшемся окне выберите «Установить сертификат».
   
2. В окне « Мастер импорта сертификатов » нажмите « Далее » .
3. Выберите « Автоматически выбрать хранилище на основе типа сертификата » и нажмите « Далее » . Сертификат будет установлен в хранилище « Личные » .
   
4. Нажмите на кнопку «Далее».
5. Нажмите «Готово». Дождитесь сообщения об успешной установке.
   

Заказать электроннюу подпись в Махачкале можно позвонив по тел 8-928-590-11-44 или оставив заявку.

Носитель ключа электронной подписи

Носитель ключа ЭП (токен) — это защищенная «флешка» для хранения электронной подписи. Выбор носителя зависит от сферы применения. Расскажем про виды токенов и их различия.

Что вы узнаете

• Почему нужен токен, а не флешка
• Какие есть виды токенов
• Что такое смарт-карта
• Что такое Bluetooth-токен

Почему обычная флешка не подойдет

Токен внешне напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль (пин-код) и сертификацию ФСТЭК/ФСБ. В продвинутых моделях есть аппаратное криптоядро устройства —встроенное средство криптографической защиты информации (СКЗИ). Если криптоядра нет, нужно установить специальную программу на ПК — криптопровайдер. Чаще всего используют СКЗИ «КриптоПро CSP». Программа покупается отдельно.

Виды токенов

Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.

В таблице — сравниваем основные характеристики токенов.

Расскажем подробнее о каждом носителе.

Токены без СКЗИ (пассивные)

Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, они не подойдут для работы с алкоголем в ЕГАИС.

Рутокен Lite

Самый бюджетный вариант токена. В нем нет дополнительных функций, но есть все необходимое для работы. Сертифицирован ФСТЭК.

Токены с СКЗИ (активные)

Обладают более высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. Формирование электронной подписи у них может производиться внутри носителя, а не в программе-криптопровайдере. При генерации аппаратных ключей может использоваться внутренняя криптография токена. Благодаря этому установка криптопровайдера на ПК при использовании данных моделей не нужна на таких ресурсах, как Госуслуги, сервисы ФНС, Честный знак и др.

Для работы в ЕГАИС необходимо приобретать именно такие токены.

Рутокен ЭЦП 3.0

Токен с улучшенными скоростными характеристиками и увеличенным объемом памяти — 128 Кб. Поддерживает новые алгоритмы шифрования и позволяет устанавливать расширенные политики пин-кодов. В линейке есть модели, которые работают и через USB, и по протоколу NFC. Подходит для работы в ЕГАИС.