Использование защищенных устройств для хранения ключей электронной подписи
Существуют различные варианты хранения ключей ЭП, например, флешка, жесткий диск компьютера или реестр. Но есть нюансы: флешку можно случайно отформатировать, операционную систему Windows переустановить и забыть, что в реестре хранились ключи ЭП.
Поэтому наиболее безопасным способом является хранение ключей ЭП на физических устройствах – токенах или смарт-картах, например, линейки Рутокен ЭЦП 3.0. Они имеют дополнительную защиту в виде PIN-кода и являются активными ключевыми носителями с возможностью генерации неизвлекаемых ключей на «борту». Так ключи ЭП будут максимально защищены.
Изменение PIN-кода пользователя и PIN-кода администратора
При получении токена или смарт-карты важно помнить, что на них установлены PIN-коды по умолчанию. Эти PIN-коды можно найти в открытом доступе в интернете. Напомним, что знание PIN-кода является одним из условий двухфакторной аутентификации (фактор знания), поэтому если он общеизвестен, смысла в таком факторе нет. Следовательно, при получении устройства необходимо поменять PIN-код на свой собственный.
В токенах и смарт-картах Рутокен предусмотрены дополнительные меры безопасности. К примеру, ограничение на количество попыток ввода PIN-кода. При превышении лимита токен блокируется до введения PIN-кода администратора. В случае, если количество попыток ввода PIN-кода администратора также будет превышено, токен будет заблокирован окончательно.
Надежное хранение ключевых носителей
Если токен или смарт-карта не используются, держите их в сейфе или другом недоступном месте. В случае, если вы храните устройство на рабочем столе, не пишите PIN-код на стикерах или на самом устройстве.
Кроме того, важно соблюдать правила эксплуатации ключевых носителей, которые можно найти на сайте производителя.
Давайте рассмотрим, какие ключи могут храниться на токене.
Извлекаемые и неизвлекаемые ключи ЭП
Ключи ЭП можно разделить на два типа: извлекаемые и неизвлекаемые.
Извлекаемые ключи генерируются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционной системе. Для работы с ними подойдет любая модель устройства Рутокен, которая выступает как защищенное PIN-кодом хранилище.
Почему такие ключи называются извлекаемыми? Потому что при работе с ними требуется извлечение закрытого ключа в оперативную память компьютера.
Извлекаемые ключи делятся на:
- экспортируемые (разрешено копирование устройства на другие носители);
- неэкспортируемые (запрещено копирование устройства на другие носители) – именно такие ключи выдаются в Удостоверяющем Центре ФНС России.
Криптографические (активные) ключевые носители генерируют ключи ЭП с помощью встроенных аппаратных криптографических механизмов. Все криптографические операции производятся внутри устройства, ключ ЭП никогда не извлекается из чипа и не копируется в операционную систему и на другие носители.
По формату неизвлекаемые ключи делятся на:
- ключи по стандарту PKCS#11 (генерация ключей и работа с ними производится с помощью аппаратного СКЗИ внутри активного носителя Рутокен) – при использовании данного стандарта программы работают напрямую с аппаратными реализациями алгоритмов ЭП и шифрования внутри ключевых носителей;
- ключи в формате ФКН (генерация ключей и работа с ними производится с помощью аппаратных возможностей устройства Рутокен и программных возможностей СКЗИ «КриптоПро CSP», и их взаимодействие дополнительно защищается использованием протокола SESPAKE).
Оба описанных типа неизвлекаемых ключей можно записать на ключевые носители в удостоверяющем центре ФНС России.
Выбор формата ключей
Выбор формата ключей ЭП зависит от задачи. К примеру, участникам рынка алкогольной продукции или разработчикам, которые хотят использовать Рутокен SDK, подойдут неизвлекаемые ключи по стандарту PKCS#11.
Помимо работы с ЕГАИС Алкогольтабакрегулирование, некоторые сервисы позволяют работать с неизвлекаемыми ключами по стандарту PKCS#11 без дополнительной установки криптопровайдера: личные кабинеты ИП и юридических лиц ФНС (Windows), Честный знак, OFD, Госуслуги и Диадок.
Неизвлекаемые ключи формата ФКН можно применять в ситуациях, когда необходимо использовать максимально защищенный вариант работы. Помимо использования неизвлекаемых ключей, канал между криптопровайдером и токеном зашифрован, и PIN-код не передается в открытом виде.
Для этого подойдут устройства из линейки Рутокен ЭЦП 3.0. Это
активный токен, который генерирует неизвлекаемые ключи (как ФКН, так и по стандарту PKCS#11) и работает с ними, а формирование ЭП происходит с использованием встроенных аппаратных криптографических механизмов.
Извлекаемые ключи – это самый простой, но наименее защищенный формат ключей. Вне зависимости от того, экспортируемые ключи сгенерированы на токен или неэкспортируемые, при работе они ненадолго извлекаются в оперативную память компьютера, где могут быть перехвачены вредоносной программой.
Если же принято решение использовать извлекаемые ключи, важно убедиться, что они являются неэкспортируемыми. Так можно обезопасить себя от несанкционированного копирования ключей ЭП с токена третьими лицами.
Расширенные политики PIN-кодов
Раньше панель управления Рутокен (программа для работы с токенами и смарт-картами) устанавливала политики безопасности PIN-кодов непосредственно на рабочее место. И если токен в дальнейшем переносили на другой компьютер, все политики безопасности исчезали.
С появлением устройств линейки Рутокен ЭЦП 3.0 появилась возможность настроить внутри токена расширенные аппаратные политики безопасности PIN-кодов, которые не привязаны к рабочему месту. Такие политики безопасности контролируются микропрограммой токена при выполнении соответствующих операций. Вот примеры политик безопасности, которые можно установить:
- запрет на использование PIN-кода по умолчанию;
- включение в PIN-код хотя бы одной буквы, цифры или специального символа;
- отказ от применения одного повторяющегося символа в PIN-коде;
- запрет на последующие изменения политик PIN-кода.
Некоторое время назад расширенные политики PIN-кодов устанавливались только с помощью консольной утилиты rtAdmin. Но теперь прошить аппаратные политики PIN-кодов стало возможно с помощью нового продукта Компании «Актив» – Центра управления Рутокен.
Приложение поддерживает работу с устройствами из линеек Рутокен ЭЦП 3.0, ЭЦП 2.0 и Рутокен Lite.
На данный момент обеспечена совместимость первой версии продукта с операционными системами Linux, в том числе отечественными Astra Linux, РЕД ОС, ОС Альт и ОС РОСА.
С помощью Центра управления Рутокен можно просматривать и управлять содержимым устройства, выполнять функции администрирования и, что важно, устанавливать аппаратные политики качества PIN-кодов для линейки Рутокен ЭЦП 3.0. В ближайших планах Компании «Актив» выпустить версию Центра управления Рутокен, поддерживающую работу в операционных системах Windows и macOS.