Почему ФНС выдает сертификат КЭП именно на токене?

Мы уже знаем, какие преимущества дает использование электронной подписи, обсуждали, как и где можно получить квалифицированный сертификат ЭП. Однако в процессе подготовки к получению сертификата и выбора ключевого носителя (токена) у некоторых пользователей может возникнуть вопрос - а обязательно ли нужен именно токен? Почему бы закрытый ключ ЭП не записать на какой-то другой носитель, например, обычную флешку? Какими возможностями обладает токен и почему он надежно защищает ключи электронной подписи?

Начнем с того, что квалифицированная электронная подпись должна полностью соответствовать всем требованиям закона «Об электронной подписи» 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе. Следование этим требованиям и есть залог безопасности ЭП как аналога собственноручной подписи. Ответственность за конфиденциальность ключа подписи несет не только владелец подписи, но и уполномоченный орган, который ее выдал (согласно ФЗ-63).

Самую высокую степень защиты ключей ЭП обеспечивают на сегодня специализированные ключевые носители (смарт-карты или USB-токены) с использованием встроенных аппаратных криптографических механизмов. Закрытый ключ ЭП не записывается, а генерируется прямо внутри такого носителя. Каким образом? С помощью криптографического ядра внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.

Мы видим, что такие сложные устройства с криптографией «на борту» невозможно назвать просто «флешками». Им действительно можно доверить конфиденциальность ключей ЭП, которые, согласно требованию регуляторов, следует держать в секрете. Ведь в случае, если кто-то завладеет вашем ключом ЭП и сертификатом, он сможет от вашего имени заключать сделки, в том числе совершать куплю-продажу имущества и т.п. За внешним визуальным сходством токена с флешкой скрываются сложные технологии и высокий уровень безопасности вашей электронной подписи.

Кроме того, для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.

В зависимости от задач, сферы использования и требований регулятора пользователь выбирает активный или пассивный защищенный ключевой носитель. Мы уже касались темы их различий в предыдущих постах. Напомним лишь, что главное отличие активных носителей в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства - встроенного микрокомпьютера. Ключи сгенерированные в криптоядре - неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям. Подобные устройства непременно должны обладать действующим сертификатом ФСБ России, на сегодняшний день они могут быть рекомендованы как наиболее защищенные. Примером могут служить такие токены как Рутокен ЭЦП 3.0 3100.