КриптоПро Рутокен CSP
Программно-аппаратное СКЗИ, которое объединяет возможности российского криптопровайдера КриптоПро CSP и USB-токена Рутокен. В КриптоПро Рутокен CSP криптографические операции на закрытых ключах выполняются внутри токена, при этом ключи не покидают само устройство.
В продукте реализована уникальная технология функционального ключевого носителя (ФКН), которая защищает от атак протокол обмена между программной частью и токеном, а также обеспечивает дополнительную безопасность закрытых ключей. Срок действия закрытого ключа пользователя — до 3-х лет. КриптоПро Рутокен CSP имеет сертификат ФСБ о соответствии требованиям, предъявляемым к средствам электронной подписи и к средствам криптографической защиты информации по классам КС1 и КС2.
Обратите внимание
Продукт КриптоПро Рутокен CSP устарел и больше не поддерживается. Если у вас есть вопросы по выбору других продуктов со схожей функциональностью — свяжитесь с нами .
- Описание
- Технология ФКН
- Сертификаты
Что такое КриптоПро Рутокен CSP
Решение КриптоПро Рутокен CSP — это совместная разработка компаний «КриптоПро» и «Актив», в которой интегрированы возможности криптопровайдера КриптоПро CSP и USB-токенов Рутокен. Важной особенностью технологии ФКН является разделение криптографических мощностей между криптопровайдером КриптоПро CSP и Рутокен КП — специально адаптированной под технологию ФКН моделью криптографического USB-токена, выполненной на базе Рутокен ЭЦП .
Рутокен КП используется в технологии ФКН для генерации ключевых пар, выработки ключей согласования, осуществления электронной подписи и т. п. Выполнение этих операций на борту токена обеспечивает максимально высокую степень сохранности ключевой информации. Рутокен КП используется и поставляется только в составе КриптоПро Рутокен CSP, отдельно этот USB-токен не распространяется.
В новой версии КриптоПро Рутокен CSP, помимо Рутокен КП, есть поддержка стандартной модели Рутокен ЭЦП 2.0 для генерации и надежного хранения ключевых пар и контейнеров КриптоПро CSP. Ключевая информация хранится на Рутокен ЭЦП 2.0 без возможности ее извлечения. Использование Рутокен ЭЦП 2.0 в составе КриптоПро Рутокен CSP дает оптимальную по стоимости и возможностям конфигурацию решения для случаев, когда повышенные требования к уровню защиты каналов связи с ключевым носителем не предъявляются.
Решение КриптоПро Рутокен CSP является преемником СКЗИ КриптоПро CSP и поддерживает все его возможности. Также оно полностью интегрируется в инфраструктуру открытых ключей, базирующуюся на удостоверяющем центре «КриптоПро УЦ».
Назначение
СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии цифровой подписи. В том числе:
- в системах клиент-банк при подписи платежных поручений;
- в системах защищенного документооборота;
- в системах сбора отчетности для предоставления в электронном виде;
- в органах власти и управления на федеральном и региональном уровнях;
- во всех других случаях, где необходимо обеспечить повышенную защиту ключей пользователя.
Возможности
- Поддерживает всю функциональность СКЗИ КриптоПро CSP 3.9 .
- Обеспечивает полную интеграцию с инфраструктурой PKI, основанную на «КриптоПро УЦ».
- Работает также со стандартной моделью Рутокен ЭЦП 2.0 .
- С использованием аппаратных ресурсов Рутокен КП или Рутокен ЭЦП 2.0 выполняются следующие криптографические операции:
- генерация ключевых пар ГОСТ Р 34.10-2001;
- формирование электронной подписи по ГОСТ Р 34.10-2001;
- вычисление ключа согласования Диффи-Хеллмана (RFC 4357).
Функциональный ключевой носитель
Архитектура ФКН реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе.
Кроме формирования электронной подписи и генерации ключей шифрования непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи.
Основные преимущества ФКН
- Исключена возможность подмены подписи в протоколе обмена, электронная подпись вырабатывается по частям: сначала в ключевом носителе, потом окончательно в программной части CSP.
- Генерация ключей электронной подписи и ключей согласования, а также создание электронной подписи внутри ФКН.
- Передача хэш-значения по защищенному каналу, исключающему возможность подмены.
- После создания контейнера ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера, а также не используются в явном виде в криптографических преобразованиях.
- Усиленная защита данных при передаче по открытому каналу благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола на основе процедуры EKE (electronic key exchange). При этом передается не PIN-код, а точка на эллиптической кривой.
- Повышенная конфиденциальность закрытых ключей.
- Ключ может быть сгенерирован ФКН или загружаться извне.
- Выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской электронной подписи.
Сертификат на КриптоПро Рутокен CSP №СФ/124-3012 ФСБ РФ
Средство криптографической защиты информации (СКЗИ) КриптоПро Рутокен CSP соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10.2001 и требованиям ФСБ России к СКЗИ и средствам электронной подписи по классам КС1 и КС2. Может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Как установить сертификат Рутокен на компьютер
Ключ электронной подписи (ЭП или ЭЦП) записывают на физический носитель — токен. Он взаимодействует с персональным компьютером при подписании цифровых документов. Активация носителя происходит через USB-разъём. Одним из популярных российских производителей физических носителей для электронной подписи является компания Рутокен. Ниже приведём подробную инструкцию о том, как установить ЭЦП с Рутокена на компьютер.
Где получить квалифицированную электронную подпись
Квалифицированная электронная подпись равнозначна рукописной и придаёт электронным документам юридическую значимость. С помощью неё сдают отчётность в государственные органы и ведут электронный документооборот с партнёрами и работниками. Получить квалифицированный сертификат электронной подписи можно только в специализированных удостоверяющих центрах. Для должностных лиц им является Казначейство РФ, участников финансового рынка — Центробанк, а руководителей юрлица и ИП — УЦ ФНС и её доверенные лица. Электронная подпись в этих ведомствах предоставляется бесплатно, а клиенты обслуживаются в порядке очереди.
Можно ли скопировать подпись от ФНС на компьютер
Электронную подпись, полученную в налоговой, скопировать с Рутокена или любого другого носителя нельзя. УЦ ФНС изготавливает сертификаты ЭП в контейнере с неэкспортируемыми закрытыми ключами.
При попытке копирования ключа пользователь получает ошибку или уведомление о том, что данный ключ неэкспортируемый:
Чтобы доверенное лицо или работник организации могли сдавать отчётность и подписывать документы от имени компании, потребуется личная ЭП и доверенность.
Как работать с ЭЦП без флешки
Чтобы работать с электронной подписью без носителя, требуется установить поочерёдно три компонента:
- КриптоПро;
- Драйвер Рутокен;
- Сертификат Рутокен.
Регистрация и установка программного решения КриптоПро
Перед работой с электронной подписью пользователю необходимо настроить рабочее место. Для этого на персональный компьютер устанавливают специальные программы:
- средство криптографической защиты информации (СКЗИ) — для создания электронной подписи и шифрования информации;
- соответствующий плагин — для работы ЭП в интернете.
Отечественный разработчик КриптоПро является одной из ведущих компаний по производству продуктов для работы с электронной подписью. Он выпускает такие программы как КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.
Пробную версию дистрибутивов КриптоПро скачивают на сайте разработчика. Перед этим проходят регистрацию. По истечении трёх месяцев понадобится купить лицензию.
Установить КриптоПро на компьютер легко. После скачивания требуется запустить дистрибутив и следовать подсказкам мастера установки.
С подробными инструкциями по настройке программ рекомендуем ознакомиться в наших статьях:
Установка драйвера Рутокен
Установить драйвер потребуется в несколько шагов.
- Закрыть все программы перед установкой. драйверы с официального портала компании Рутокен.
- Запустить файл rtDrivers и перезагрузить компьютер.
Следующим этапом необходимо настроить считыватель Рутокена в приложении КриптоПро от имени администратора.
- Вставить носитель в ПК.
- Открыть «Пуск» → «Программы» → «КриптоПро CSP».
- Нажать правой кнопкой мыши и запустить программу от имени Администратора.
- Перейти во вкладку «Оборудование».
- Нажать «Настроить считыватели».
Установка сертификата ЭЦП с Рутокен
Установить ЭЦП с Рутокен можно тремя способами: с помощью «Панели управления Рутокен», через кнопки «Просмотреть сертификаты в контейнере» или «Установить личный сертификат».
Панель управления Рутокен
Инструкция по установке сертификата через панель управления Рутокен.
- Открыть «Панель управления Рутокен», затем вкладку «Сертификаты».
- Установить отметку «Зарегистрирован» напротив необходимого сертификата. При снятии отметки сертификат удалится из хранилища «Личное» на данном ПК.
Кнопка «Просмотреть сертификаты в контейнере»
Для установки сертификата ЭЦП на компьютер из Рутокен через сертификаты потребуется:
- Выбрать «Пуск» → «Панель управления» → «КриптоПро CSP» → вкладка «Сервис» → «Просмотреть сертификаты в контейнере. ».
- В открывшемся окне нажать «Обзор», выбрать контейнер и нажать «ОК».
Кнопка «Установить личный сертификат»
Ниже приведена инструкция, как установить сертификат Рутокен с расширением .cer. Для этого необходимо:
- Выбрать «Пуск» → «Панель управления» → «КриптоПро CSP» → вкладка «Сервис» → кнопка «Установить личный сертификат. ».
- В окне «Мастер импорта сертификатов» нажать «Далее» → «Обзор» и выбрать файл сертификата.
- Указать путь к сертификату, нажать «Открыть» → «Далее» → «Далее».
После этих действий подпись можно использовать без Рутокена.
Заключение
Установка ЭЦП с Рутокена разрешена только в случае, если сертификат ключа электронной подписи выпущен на физическое лицо. Способ подходит для бухгалтеров, работников и доверенных лиц, которые имеют право действовать от имени компании с помощью доверенности.
Скопировать подпись ИП или юрлица с Рутокен и других сертифицированных носителей невозможно технически. Данные действия считаются противоправными и квалифицируются законом как компрометация ключа подписи. Если ФНС установит факт компрометации, то вся подписанная таким ключом отчётность будет признана недействительной.
СКЗИ КриптоПро Рутокен CSP
КриптоПро Рутокен CSP – сертифицированное ФСБ России программно-аппаратное СКЗИ совместной разработки компаний КриптоПро и Актив, объединяющее возможности российского криптопровайдера КриптоПро CSP и идентификатора Рутокен ЭЦП.
Особенности КриптоПро Рутокен CSP
Основными особенностями КриптоПро Рутокен CSP являются:
- Неизвлекаемость закрытых ключей. Все криптографические операции с использованием закрытых ключей выполняются внутри КриптоПро Рутокен CSP и никогда не покидают само устройство. Благодаря этому достигается высокая безопасность секретного ключа пользователя, что позволяет увеличить срок действия секретных ключей до 3х лет.
- Использование технологии ФКН. В СКЗИ КриптоПро Рутокен CSP используется уникальная технология ФКН, которая защищает от атак протокол обмена между программной частью и ключевым носителем, а также обеспечивает дополнительную безопасность закрытых ключей благодаря набору ограничительных счетчиков, позволяющих существенно снизить возможности по реализации атак, связанных с подбором значений пароля (PIN).
- Полная совместимость с КриптоПро CSP 3.6 и поддержка всех его возможностей.
- Полная интеграция в инфраструктуру открытых ключей PKI, базирующуюся на удостоверяющем центре «КриптоПро УЦ».
Назначение КриптоПро Рутокен CSP
СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной цифровой подписи.
С использованием КриптоПро Рутокен CSP выполняются следующие криптографические операции:
- генерация ключей по ГОСТ Р 34.10-2001;
- формирование электронной цифровой подписи по ГОСТ Р 34.10-2001;
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- вычисление ключа согласования Диффи-Хеллмана (RFC 4357).
Архитектура ФКН
Функциональный ключевой носитель (ФКН) реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе. Кроме формирования электронной подписии и генерации ключей непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хеш-значения или подписи в канале связи.
Преимущества архитектуры ФКН:
- Повышенная конфиденциальность закрытых ключей.
- Усиленная защита данных при передаче по открытому каналу благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола на основе процедуры EKE (electronic key exchange). При этом передается не PIN-код, а точка на эллиптической кривой.
- Передача хэш-значения по защищенному каналу, исключающему возможность подмены.
- После создания контейнера ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера и не используются в явном виде в криптографических преобразованиях. Соответственно даже удачная аппаратная атака на ключевой носитель не поможет узнать ключ.
- Исключена возможность подмены подписи в протоколе обмена, электронная подпись вырабатывается по частям: сначала в ключевом носителе, потом окончательно в программной части CSP.
Поддерживаемые операционные системы
КриптоПро Рутокен CSP поддерживает следующие ОС Windows и Linux/UNIX:
- Windows 2000/XP/2003 (платформа ia32)
- Windows XP/2003 (платформа x64, ia64)
- Windows Vista/2008/7/2008 R2/8 (платформа ia32, x64)
- Linux Standart Base ISO/IEC 23360 (платформа ia32, x64)
- Alt Linux 4.0 Server (платформа ia32, x64)
- Debian-4.0 (Etch) (платформа ia32, x64)
- FreeBSD 7 (платформа ia32)
Сертификат
СКЗИ КриптоПро Рутокен CSP соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10.2001 и требованиям ФСБ России к СКЗИ и средствам электронной подписи по классам КС1 и КС2. Может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Рутокен: что это и как использовать
Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.
Что вы узнаете
Популярные варианты
Рутокен Lite
Это базовый и самый бюджетный вариант.
В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.
Если владелец 10 раз неправильно введет ПИН, устройство заблокируется. Чтобы его разблокировать, нужно скачать драйверы Рутокена и ввести ПИН под учетной записью «Администратор» (стандартно — 87654321). Либо обратиться в удостоверяющий центр.
Рутокен не подходит для работы с алкоголем в ЕГАИС.
Рутокен ЭЦП 2.0
Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП.
Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.
Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.
Единственная модель Рутокена, которая подходит для работы с ЕГАИС.
Рутокен ЭЦП 2.0 Type-c
Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).
Подходит для работы с алкоголем в ЕГАИС.
Сравнение моделей
Для наглядности мы подготовили таблицу.
Как настроить
Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.
Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.
-
Запустите мастер настройки ПК.
Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.
Выберите вашу электронную подпись.
Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.
Ваш компьютер будет готов к работе с ЭП.
В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно: