Ключевой носитель для электронной подписи. Что это и зачем?
В современном мире электронная подпись (сокращенно — ЭП) активно задействована в бизнес-процессах. Электронный документооборот внутри компании и за ее пределами, взаимодействие с госорганами, электронная переписка, обмен файлами и подписание транзакций в системе дистанционного банковского обслуживания — это далеко не полный список процессов, где электронная подпись подтверждает авторство документа, его неизменность и оригинальность содержания. Как видим, спектр использования ЭП достаточно широк. При этом наличие электронной подписи позволяет ее владельцу решать задачи быстро и безопасно, будь то задачи юридического или физического лица.
Для того, чтобы подписать электронный документ, вам понадобится ключ электронной подписи, который представляет собой секретный уникальный набор символов, доступ к которому имеет только владелец ЭП.
В принципе, ключ простой электронной подписи можно хранить на жестком диске компьютера или на обычной флешке. Все перечисленные способы возможны, но с высокой вероятностью могут обернуться рисками физической потери информационного носителя или кражи/копирования информации с вашего жесткого диска. Во втором случае, оперативно узнать, скомпрометирован ли ваш ключ ЭП или нет будет весьма сложно.
Федеральный закон ФЗ-63 «Об электронной подписи» не регламентирует способ хранения ключей, но требует обеспечивать их конфиденциальность. В частности, не допускать использования ключей без согласия их владельцев, а также уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа и не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.
Чтобы защититься от подобных угроз, были разработаны специальные устройства – защищенные ключевые носители, которые надежно хранят ключи электронной подписи. Находясь в поиске решения, какой токен выбрать для вашего бизнеса следует разобраться, что же такое ключевой носитель. Именно это устройство чаще всего имеют в виду, когда говорят, что вам необходимо получить электронную подпись. Внешне оно напоминает флешку (хотя есть и модели в формате смарт-карт, подробный разбор форм заслуживает отдельной статьи), однако внутреннее содержание ключевого носителя намного богаче – сложные процессоры и программы, обеспечивающие криптографические операции для шифрования ваших данных. Но криптографией займемся позже, а пока же разберем основные понятия.
Ключевые носители используются везде, где необходимо использование надежной аутентификации вместо связки логин-пароль, безопасное хранение данных (правда, совсем небольшого объема, к примеру, идентификаторов), ключей шифрования и ключей электронной подписи.
Самый простой ключевой носитель хранит ключи электронной подписи, но не «умеет» самостоятельно подписывать электронные документы. Для подписания документа пользователь подключает токен к компьютеру и вводит секретный PIN-код, который разблокирует доступ к защищенной памяти устройства. После этого специальная программа (криптопровайдер) временно выгружает в оперативную память компьютера из токена ключи электронной подписи и вычисляет саму электронную подпись. Еще раз подчеркнем — без знания PIN-кода доступ к ключам невозможен. Поэтому похитив ключевой носитель, злоумышленник все равно не сможет им воспользоваться и подписать вместо вас электронные документы. При переборе PIN-кода устройство блокируется.
Более продвинутым вариантом ключевого носителя является ключевой носитель со встроенным криптографическим ядром. В этих устройствах ключи электронной подписи создаются внутри токена или смарт-карты и никогда не покидают защищенной памяти. Документ, который должен быть подписан, передается в токен, а возвращается вычисленная электронная подпись.
В России стандартом электронной подписи де-факто являются технологии и устройства Рутокен.
Самым базовым вариантом защищенного ключевого носителя является Рутокен Lite. Его относят к пассивным ключевым носителям — он выступает лишь в роли защищенного PIN-кодом хранилища, в то время как ключи ЭП генерирует особая программа — криптопровайдер. Таким образом, для успешной и безопасной работы с Рутокен Lite пользователю необходимо иметь всего две вещи: секретный PIN-код и сам токен. Применяется такое устройство, к примеру, для подписания или шифрования служебной или личной переписки.
К ключевым носителям, имеющим криптографическое ядро, относятся Рутокен ЭЦП 2.0 2100, Рутокен ЭЦП 3.0 и другие. Это уже активные ключевые носители, способные генерировать ключи ЭП в собственном криптоядре без передачи их в память компьютера. И в этом их основное отличие от пассивных Рутокен Lite. Все они поддерживают российские и международные алгоритмы электронной подписи. Такие ключевые носители необходимы, к примеру, для работы в информационных системах с повышенными требованиями к безопасности в финансовом, корпоративном (Банк-Клиент) и государственном (ЕГАИС) и других секторах.
Учитывая сказанное, при выборе модели ключевого носителя для электронной подписи для начала определите задачи, которые вам предстоит решать. Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей “на борту», такие как Рутокен ЭЦП 2.0 2100. Так ваша электронная подпись будет максимально защищена.
USB-токен: что это такое и как пользоваться
По данным аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак — это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.
График попыток фишинговых атак
Но люди придумали такую штуку, как USB-токен — она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.
Что это такое и как работает?
USB-токен — небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.
По факту его можно сравнить с ключом от вашей квартиры — если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.
Почему это надежнее двойной аутентификации?
Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.
Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном — слушать разговоры и читать все сообщения. Операторы эту проблему не признают, хотя ей уже больше 30 лет.
Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль — его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.
Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения. Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.
Да кто будет пользоваться этими «флешками»?
Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог — за этот год не произошло ни одной кражи личной информации.
Теперь в Google считают, что USB-токены — самый надежный способ защитить свой аккаунт. Вот так.
Все слишком хорошо! Какие подводные?
Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах — Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.
И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth — он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.
Это не страшно. Как начать пользоваться ключом?
В первую очередь — вам нужен тот самый USB-токен. Его можно купить в интернете — в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.
Так выглядит USB-токен Jakarta U2F
Процедура настройки ключа практически везде одинакова, поэтому мы покажем настройку на примере аккаунта в Google.
1 — Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:
2 — Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:
3 — Вставьте ключ в USB-разъем и нажмите на нем кнопку:
Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:
Маленькая черная штучка — кнопка. На нее нужно нажать после подключения ключа
4 — Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:
5 — Готово! Теперь добавьте дополнительные способы входа в аккаунт — через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.
А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:
Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!
Носители ЭЦП
Квалифицированная электронная подпись должна храниться на специальном защищённом носителе — токене или смарт-карте. Обычная флешка для этой задачи не подойдёт ввиду того, что она не защищена криптографическими алгоритмами.
Как выглядит ЭЦП на флешке и где купить специальный носитель, мы расскажем в этой статье.
Что такое флешка и токен электронной подписи
Как выглядит электронная подпись на флешке? Обычная флешка и токен — это не одно и то же, главное отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.
Как пользоваться электронной подписью с токена
Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).
С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.
На какие носители можно записать электронную подпись
Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.
Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.
Какой должен быть объём у флешки для электронной подписи
Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.
Какие носители бывают
Носители электронной подписи бывают двух видов:
- Токены — представлены в виде защищённой USB-флешки.
- Смарт-карты — представлены в формате карты, для считывания информации с которой нужно специальное оборудование.
Как работает USB-токен
Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.
Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.
Можно ли использовать Рутокен как флешку
Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.
USB-токены для хранения электронных цифровых подписей
Развитие цифровых технологий упростило нашу жизнь. Ради многих действий уже не нужно никуда идти лично, если есть гаджет с подключением к сети Интернет. В онлайн можно даже перевести общение с госструктурами и банками, где еще недавно требовалось ваше присутствие с паспортом. Все, что для этого нужно — обзавестись электронной подписью.
Что такое ЭП, виды ЭП
Электронная Подпись (ЭП), она же Электронная Цифровая Подпись (ЭЦП) — это набор символов, однозначно идентифицирующий вашу личность. Так же, как это делает подпись личная. Ничего сложного в ЭП нет. Даже если вы первый раз слышите про ЭП, вы наверняка ей уже пользовались.
Простая ЭП — это тот набор символов, который вы получаете в виде СМС при входе на некоторые сайты и сервисы для подтверждения аутентификации. Она имеет юридическую силу, если стороны договорились о ее использовании. Поставили галочку в пункте «Согласен с условиями предоставления услуг» при входе на сайт? Значит, введя на этом сайте полученные в СМС символы, вы делаете то же самое, что и при подписании какого-то документа личной подписью.
Но простая ЭП годится не для всех случаев. Например, вам нужно подписать ЭП какой-то произвольный документ. Как это сделать?
Неквалифицированная ЭП — это тоже набор символов, но выданный вам не первым попавшимся сайтом, а специальной организацией — удостоверяющим центром (УЦ). УЦ убедится, что вы — именно тот человек, за которого себя выдаете, и только после этого выдаст ЭП. Эту подпись вы можете хранить на любом носителе и использовать ее при подписании электронных документов. Для этого потребуется специальное программное обеспечение или онлайн-сервис для подписания документов. Все, что нужно — запустить ПО или зайти на один из таких сервисов, загрузить электронный документ и указать расположение ЭП на вашем носителе. В результате вы получите документ, подписанный вашей электронной подписью.
Любой получатель документа с ЭП может убедиться в том, что документ подписан лично вами и что после подписания в него не вносились изменения. Для этого он должен будет загрузить подписанный документ в то же ПО или в тот же сервис, с помощью которого документ был подписан. Такая подпись также имеет юридическую силу, если сторонами предварительно было достигнуто соглашение о ее использовании. Но для общения с государственными органами неквалифицированной ЭП недостаточно.
Квалифицированная ЭП — опять-таки набор символов. Отличий от других видов ЭП три:
- Квалифицированные ЭП могут выдавать только аккредитованные удостоверяющие центры. Можно обратиться в них лично или через МФЦ.
- Квалифицированная ЭП имеет юридическую силу без каких-либо дополнительных соглашений. Ей можно подписывать любые документы, которые не запрещено оформлять в электронном виде. Такие документы будут эквивалентны бумажным, подписанным вашей личной подписью.
- Квалифицированная ЭП должна храниться на защищенном носителе.
Квалифицированную ЭП можно использовать для подписания электронных документов, передаваемых в ФНС, вузы, суды и другие госорганы без личного визита.
Хранение ЭП
Простые и неквалифицированные ЭП могут храниться на разных носителях. Самый простой способ — в виде файла на жестком диске или флэшке. Но надежность такого способа хранения невелика. Получивший доступ к этому файлу сможет воспользоваться вашей подписью. Надежнее хранить ЭП на специальных устройствах.
Их существует множество самых различных видов — карты, брелоки, электронные ключи.
Считывание ЭП с них может производиться непосредственно через USB-порт или с помощью специального считывателя.
Для хранения квалифицированных ЭП используются специальные устройства — USB-токены. Они похожи на USB-флэшки, но ими не являются. Нельзя просто переписать ЭП с диска на токен или обратно. При получении квалифицированной ЭП вы предоставляете в УЦ свой токен и вам возвращают его уже с хранящейся на нем ЭП.
Для считывания ЭП с токена используется специализированное программное обеспечение — криптопровайдер, он же средство криптографической защиты информации (СКЗИ). И даже при наличии такого ПО, просто считать ЭП токен не даст — потребуется ввести PIN-код.
Для удостоверения надежности хранения ЭП и генерации подписи, как носитель, так и криптопровайдер должны иметь соответствующие сертификаты.
Сертификаты ФСБ и ФСТЭК
Сертификат ФСБ (Федеральная служба безопасности) выдается на криптопровайдер, т.е., на программное обеспечение. Сертификат удостоверяет, что ПО соответствует требованиям ФСБ России к средствам электронной подписи. Это гарантирует, что программное обеспечение делает именно то, что от него требуется — правильным образом использует определенные алгоритмы для генерации подписи к документам на основе вашей ЭП.
Сертификат ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдается на носитель. Сертификат удостоверяет, что носитель защищен в соответствии со стандартами ГОСТ и что в нем отсутствуют «закладки», позволяющие получить доступ к содержимому носителя кому-либо, кроме владельца.
Таким образом, для использования в качестве носителя квалифицированной ЭП, токен должен иметь сертификат ФСТЭК. В некоторых случаях СКЗИ не устанавливается на компьютер, а находится на самом токене. Например, СКЗИ должен наличествовать на токенах, используемых в системе ЕГАИС (оборота алкоголя). Такие токены должны иметь оба сертификата — и ФСБ, и ФСТЭК.
Безопасность использования ЭП
При использовании сертифицированного ФСТЭК токена надежность хранения ЭП достаточно высока. Взломать токен практически невозможно — это потребует огромных вычислительных ресурсов. Утеря или кража токена тоже не приведет ни к чему непоправимому, если злоумышленнику не попадет в руки PIN-код токена. Подобрать PIN-код у него вряд ли получится, токены от этого защищены.
На токенах JaCarta после неправильного ввода токена повторную попытку можно предпринять только через определенный промежуток времени, причем этот промежуток возрастает после каждого неправильного ввода.
Токены Рутокен блокируются после нескольких неверных вводов PIN-кода и разблокировать их можно только в УЦ.
Так что токен с ЭП предоставляет даже большую безопасность, чем «чернильная» подпись — подделать ее практически невозможно.
Но чтобы безопасность ЭП оставалась высокой, владельцу токена следует соблюдать определенные правила:
- Никогда и никому не сообщайте PIN-код токена.
- Не храните записанный PIN-код в ненадежном месте. В идеале, запомните его и не храните в записанном виде нигде.
- Никому не передавайте токен. Токен — это носитель вашей и только вашей личной подписи. Если о передаче токена станет известно, ваша ЭП будет аннулирована, как скомпрометированная.
- Используйте в качестве PIN-кода длинные (не менее 6 символов) сложные комбинации. Используйте по возможности в PIN-коде одновременно цифры, буквы и специальные символы — это затруднит подбор кода. Не используйте простые сочетания или сочетания, связанные с общедоступной информацией о вас или ваших родных (дату рождения, номер паспорта или телефона, имя, фамилию и другие сведения).
- Приобретайте токены непосредственно в УЦ или в проверенных магазинах. Ни в коем случае не покупайте токены с рук, в непроверенных магазинах и Интернет-площадках.
- При утере токена немедленно сообщите об этом в УЦ для отзыва ЭП.
Вывод
USB-токен с ЭП — удобная альтернатива личной подписи на бумажном документе. Обладая таким токеном, вы можете свести к минимуму визиты в государственные и коммерческие организации для передачи и получения тех или иных документов. При соблюдении правил безопасности, токен с ЭП обеспечивает большую надежность, чем бумажные документы с личной подписью.