Чем отличаются смарт-карты и токены. Какой тип устройств для какой задачи подходит?
Как быстро получить квалифицированный сертификат ключа проверки электронной подписи, мы писали в предыдущем посте. Давайте теперь поговорим о том, какой ключевой носитель выбрать. В этот раз сравним два форм-фактора – USB-токены и смарт-карты для электронной подписи.
Токены и смарт-карты - в чем отличие?
Токен – это не обычная флешка, а защищенный PIN-кодом специализированный носитель для безопасного хранения контейнера с сертификатом и ключом электронной подписи. Такие специализированные носители бывают как "базового уровня" (пассивные), так и активные, криптографические. Более подробно о пассивных и активных токенах мы писали тут.
Токены выпускаются в нескольких фактор-формах:
- USB Type-A – токен со стандартным разъемом флеш-карты (например, Рутокен Lite и Рутокен ЭЦП 2.0 2100);
- USB Type-A micro – токен в миниатюрном исполнении. Его основное отличие от форм-фактора USB Type-A - это размер. В качестве примера можно привести модель Рутокен Lite micrо (требует установки программы-криптопровайдера) или Рутокен ЭЦП 2.0 2100 micro (является самостоятельным СКЗИ). Более подробно об отличиях этих двух моделей мы рассказали здесь. Такой токен отлично подойдет тем, кто преимущественно работает на ноутбуках или небольших мобильных кассах, ведь он выступает за пределы разъема всего на 5 мм.
- USB Type-C – это улучшенный вариант форм-фактора Type-A, расширяющий возможности применения токенов на современных устройствах. Без переходников или USB-хабов они подсоединяются к компьютерам iMac и Mac mini последнего поколения, ноутбукам MacBook Pro, MacBook Air и MacBook, а также к планшетам, смартфонам и ноутбукам иных производителей, оснащенных этим разъемом (кроме Apple iPad Pro).
Достойным выбором в этой категории будет модель Рутокен ЭЦП 2.0 2100 Type-С. Этот ключевой носитель обеспечивает повышенный уровень безопасности ваших данных, имеет сертификаты ФСТЭК и ФСБ и является СКЗИ. Для некоторых сценариях его использования, таких как работа в ЛК ИП и ЮЛ ФНС на ОС Windows, Честный знак, ЕГАИС, OFD, Госуслуги, Диадок, не нужно устанавливать дополнительные программы-криптопровайдеры. Рутокен ЭЦП 2.0 2100 Type-С (как и его аналог Рутокен ЭЦП 2.0 2100 Type-А) подходит для хранения сертификата и ключа подписи и подписания документов усиленной квалифицированной электронной подписью, а также для организации защиты доступа с помощью двухфакторной аутентификации.
Смарт-карты для электронной подписи
Что касается ключевых носителей в формате смарт-карт, то эти устройства также обладают встроенным защищенным микроконтроллером, имеют аналогичную с USB-токеном функциональность и могут выступать полноценным СКЗИ и средством электронной подписи. Некоторым пользователям удобен такой формат носителя, его можно держать в бумажнике, и они предпочитают его токенам. Примером тут может служить смарт-карта Рутокен ЭЦП 2.0 2100 с поддержкой новых российских криптографических стандартов, сертифицированная ФСТЭК и ФСБ. Работа со смарт-картами предполагает использование специального считывающего устройства - ридера, обеспечивающего связь между чипом карты и компьютером.
Смарт-карты и токены для бесконтактного взаимодействия с мобильными устройства задействуют для связи технологию NFC. Однако их масштабное использование возможно сегодня только в рамках корпоративных проектов. Остальные смогут повсеместно применять их для электронной подписи и сдачи налоговой отчетности со смартфонов в будущем, когда все популярные сервисы для электронного документооборота разработают мобильные приложения с поддержкой электронной подписи, реализуемой по каналу NFC.
Также отличительной чертой смарт-карт является то, что они могут быть использованы как часть системы физической безопасности предприятия. Смарт-карта может служить универсальным электронным удостоверением сотрудника, выполнять роль хранилища всей необходимой информации о нем (фото, должность, образец подписи, срок действия удостоверения и т.д.). Также они могут быть оснащены RFID-меткой для использования в системах контроля и управления доступом (СКУД). Сочетание в одной смарт-карте персонального средства аутентификации и RFID-метки без лишних затрат и практически полностью решает проблему вторжений злоумышленников по причине незаблокированных компьютеров и сессий.
Как видим, смарт-карты имеют несколько более широкий спектр действия, чем USB-токены, благодаря возможности нанесения персональной информации и встраивания дополнительных технологических решений (RFID-метки).
Что выбрать – токен или смарт-карту?
Чтобы правильно подобрать форм-фактор ключевого носителя, необходимо в первую очередь понять, какие задачи перед вами стоят.
Если вам нужен самый простой способ защиты закрытого ключа электронной подписи от копирования – ваш выбор, скорее всего, падёт на Рутокен Lite или Рутокен Lite micrо.
Для работы с квалифицированной электронной подписью, а также для работы в ЕГАИС или других государственных системах учета и маркировки подойдут Рутокен ЭЦП 2.0 2100 (разъем Type-А) или Рутокен ЭЦП 2.0 2100 Type-С.
Напомним, что и на Рутокен Lite, и на Рутокен ЭЦП 2.0 можно хранить ключи электронной подписи и сертификаты. Однако, Рутокен Lite – это пассивный носитель, и для работы с ним всегда нужен программный криптопровайдер. Также у данной модели токена отсутствует аппаратная защита закрытого ключа электронной подписи от копирования. В свою очередь, Рутокен ЭЦП 2.0 2100 – это активный носитель, который может работать без программного провайдера. Неизвлекаемые ключи электронной подписи, хранящиеся на таком токене, нельзя скопировать или перехватить - подпись максимально защищена на аппаратном уровне. Неизвлекаемые ключи, защищенные PIN-кодом, доступны через СКЗИ «КриптоПро CSP» 5.0 R2 и новее, а также через ПО (PKCS#11), работающее с такими ключами. Подробно об особенностях пассивных и активных носителей мы писали тут.
И, наконец, если среди ваших задач есть обеспечение дополнительной физической безопасности в офисе, рассмотрите решение на базе смарт-карт, в рамках которого получится объединить функционал, обеспечивающий физическую и информационную безопасность вашей организации. В рамках такого решения можно дополнить смарт-карты бесконтактными RFID- метками для контроля прохода через СКУД. Выбирайте осознанно, и пусть ваша информационная безопасность (и безопасность вашего бизнеса) будет основана на верном решении и надежных устройствах.