5 способов повысить безопасность электронной подписи::БИТ 02.2024
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
май    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

27.04.2024

RAMAX Group рассказала на Smart Mining & Metals об особенностях пилотирования ML-проектов

Читать далее 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

показать все 

Статьи

19.05.2024

«Лишние люди» в бизнесе

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

показать все 

5 способов повысить безопасность электронной подписи

Главная / Архив номеров / 2024 / Выпуск №02 (135) / 5 способов повысить безопасность электронной подписи

Рубрика: Тема номера /  Электронный документооборот


Ксения Шавроваведущий менеджер по сопровождению партнеров Компании «Актив»


5 способов

повысить безопасность электронной подписи

Область применения технологий электронной подписи с каждым годом расширяется. Все больше задач можно решить с помощью электронного документооборота. Естественно, вопрос защищенного хранения и использования ключей электронной подписи (ЭП) встает все более остро. Эксперт Компании «Актив» Ксения Шаврова рассмотрела пять способов, которые помогут обеспечить дополнительную безопасность ЭП, а также рассказала, почему токены и смарт-карты являются одними из самых надежных устройств для хранения ключей ЭП. 

 

Использование защищенных устройств для хранения ключей электронной подписи

Существуют различные варианты хранения ключей ЭП, например, флешка, жесткий диск компьютера или реестр. Но есть нюансы: флешку можно случайно отформатировать, операционную систему Windows переустановить и забыть, что в реестре хранились ключи ЭП.

Поэтому наиболее безопасным способом является хранение ключей ЭП на физических устройствах – токенах или смарт-картах, например, линейки Рутокен ЭЦП 3.0. Они имеют дополнительную защиту в виде PIN-кода и являются активными ключевыми носителями с возможностью генерации неизвлекаемых ключей на «борту». Так ключи ЭП будут максимально защищены.


Изменение PIN-кода пользователя и PIN-кода администратора

При получении токена или смарт-карты важно помнить, что на них установлены PIN-коды по умолчанию. Эти PIN-коды можно найти в открытом доступе в интернете. Напомним, что знание PIN-кода является одним из условий двухфакторной аутентификации (фактор знания), поэтому если он общеизвестен, смысла в таком факторе нет. Следовательно, при получении устройства необходимо поменять PIN-код на свой собственный.

В токенах и смарт-картах Рутокен предусмотрены дополнительные меры безопасности. К примеру, ограничение на количество попыток ввода PIN-кода. При превышении лимита токен блокируется до введения PIN-кода администратора. В случае, если количество попыток ввода PIN-кода администратора также будет превышено, токен будет заблокирован окончательно.


Надежное хранение ключевых носителей

Если токен или смарт-карта не используются, держите их в сейфе или другом недоступном месте. В случае, если вы храните устройство на рабочем столе, не пишите PIN-код на стикерах или на самом устройстве.

Кроме того, важно соблюдать правила эксплуатации ключевых носителей, которые можно найти на сайте производителя.

Давайте рассмотрим, какие ключи могут храниться на токене.


Извлекаемые и неизвлекаемые ключи ЭП

Ключи ЭП можно разделить на два типа: извлекаемые и неизвлекаемые.

Извлекаемые ключи генерируются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционной системе. Для работы с ними подойдет любая модель устройства Рутокен, которая выступает как защищенное PIN-кодом хранилище.

Почему такие ключи называются извлекаемыми? Потому что при работе с ними требуется извлечение закрытого ключа в оперативную память компьютера.

Извлекаемые ключи делятся на:

  • экспортируемые (разрешено копирование устройства на другие носители);
  • неэкспортируемые (запрещено копирование устройства на другие носители) – именно такие ключи выдаются в Удостоверяющем Центре ФНС России.

Криптографические (активные) ключевые носители генерируют ключи ЭП с помощью встроенных аппаратных криптографических механизмов. Все криптографические операции производятся внутри устройства, ключ ЭП никогда не извлекается из чипа и не копируется в операционную систему и на другие носители.

По формату неизвлекаемые ключи делятся на:

  • ключи по стандарту PKCS#11 (генерация ключей и работа с ними производится с помощью аппаратного СКЗИ внутри активного носителя Рутокен) – при использовании данного стандарта программы работают напрямую с аппаратными реализациями алгоритмов ЭП и шифрования внутри ключевых носителей;
  • ключи в формате ФКН (генерация ключей и работа с ними производится с помощью аппаратных возможностей устройства Рутокен и программных возможностей СКЗИ «КриптоПро CSP», и их взаимодействие дополнительно защищается использованием протокола SESPAKE).

Оба описанных типа неизвлекаемых ключей можно записать на ключевые носители в удостоверяющем центре ФНС России.


Выбор формата ключей

Выбор формата ключей ЭП зависит от задачи. К примеру, участникам рынка алкогольной продукции или разработчикам, которые хотят использовать Рутокен SDK, подойдут неизвлекаемые ключи по стандарту PKCS#11.

Помимо работы с ЕГАИС Алкогольтабакрегулирование, некоторые сервисы позволяют работать с неизвлекаемыми ключами по стандарту PKCS#11 без дополнительной установки криптопровайдера: личные кабинеты ИП и юридических лиц ФНС (Windows), Честный знак, OFD, Госуслуги и Диадок.

Неизвлекаемые ключи формата ФКН можно применять в ситуациях, когда необходимо использовать максимально защищенный вариант работы. Помимо использования неизвлекаемых ключей, канал между криптопровайдером и токеном зашифрован, и PIN-код не передается в открытом виде.

Для этого подойдут устройства из линейки Рутокен ЭЦП 3.0. Это
активный токен, который генерирует неизвлекаемые ключи (как ФКН, так и по стандарту PKCS#11) и работает с ними, а формирование ЭП происходит с использованием встроенных аппаратных криптографических механизмов.

Извлекаемые ключи – это самый простой, но наименее защищенный формат ключей. Вне зависимости от того, экспортируемые ключи сгенерированы на токен или неэкспортируемые, при работе они ненадолго извлекаются в оперативную память компьютера, где могут быть перехвачены вредоносной программой.

Если же принято решение использовать извлекаемые ключи, важно убедиться, что они являются неэкспортируемыми. Так можно обезопасить себя от несанкционированного копирования ключей ЭП с токена третьими лицами.


Расширенные политики PIN-кодов

Раньше панель управления Рутокен (программа для работы с токенами и смарт-картами) устанавливала политики безопасности PIN-кодов непосредственно на рабочее место. И если токен в дальнейшем переносили на другой компьютер, все политики безопасности исчезали.

С появлением устройств линейки Рутокен ЭЦП 3.0 появилась возможность настроить внутри токена расширенные аппаратные политики безопасности PIN-кодов, которые не привязаны к рабочему месту. Такие политики безопасности контролируются микропрограммой токена при выполнении соответствующих операций. Вот примеры политик безопасности, которые можно установить:

  • запрет на использование PIN-кода по умолчанию;
  • включение в PIN-код хотя бы одной буквы, цифры или специального символа;
  • отказ от применения одного повторяющегося символа в PIN-коде;
  • запрет на последующие изменения политик PIN-кода.

Некоторое время назад расширенные политики PIN-кодов устанавливались только с помощью консольной утилиты rtAdmin. Но теперь прошить аппаратные политики PIN-кодов стало возможно с помощью нового продукта Компании «Актив» – Центра управления Рутокен.

Приложение поддерживает работу с устройствами из линеек Рутокен ЭЦП 3.0, ЭЦП 2.0 и Рутокен Lite.

На данный момент обеспечена совместимость первой версии продукта с операционными системами Linux, в том числе отечественными Astra Linux, РЕД ОС, ОС Альт и ОС РОСА.

С помощью Центра управления Рутокен можно просматривать и управлять содержимым устройства, выполнять функции администрирования и, что важно, устанавливать аппаратные политики качества PIN-кодов для линейки Рутокен ЭЦП 3.0. В ближайших планах Компании «Актив» выпустить версию Центра управления Рутокен, поддерживающую работу в операционных системах Windows и macOS. 

Термины, которые могут пригодиться для понимания статьи


  • Ключи ЭП – ключи подписи и проверки подписи, которые составляют ключевую пару.
  • Ключ подписи – уникальная последовательность символов, предназначенная для создания ЭП. Его используют для формирования ЭП, поэтому его не следует разглашать. Если ключ подписи попал к злоумышленнику, то он сможет подписать любой документ от имени владельца ключа.
  • Ключ проверки подписи – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП. Его значение помещается в сертификат ключа проверки ЭП, который потом используется при проверке подписи под документом.
  • Ключевой носитель – специальное устройство (токен, смарт-карта), которое в защищенной PIN-кодом памяти хранит ключи ЭП.
  • Активный ключевой носитель – вид ключевого носителя, в котором ключ ЭП хранится в памяти устройства в неизвлекаемом виде, т.е. без возможности копирования.
  • Квалифицированная электронная подпись (КЭП) – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа ЭП и средства ЭП, сертифицированного ФСБ РФ.
  • Информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.
    КЭП регулируется законом № 63-ФЗ «Об электронной подписи» и рядом подзаконных актов.
  • Средство криптографической защиты информации (СКЗИ) – в данном случае программа для создания и проверки ЭП и шифрования данных.
  • PIN-код – набор символов, который разблокирует доступ к защищенной памяти ключевого носителя.
  • Рутокен SDK – комплект разработчика, в котором рассмотрено и описано большинство возможных сценариев встраивания устройств и программного обеспечения Рутокен.
  • Протокол SESPAKE – защищенный протокол, позволяющий провести аутентификацию без передачи в открытом виде PIN-кода пользователя, а также установить защищенный канал для обмена сообщениями между криптопровайдером и активным ключевым носителем.


Ключевые слова: Рутокен, СКЗИ, PIN-код, квалифицированная электронная подпись, активный ключевой носитель, ключи ЭП.


Полную версию статьи читайте в журнале.
Подпишитесь на журнал
Купите в Интернет-магазине

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №03 (136) 2024г.
Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика