Поскольку защита учётных записей с помощью логина и пароля давно устарела, многие производители в качестве альтернативного решения начали предлагать USB-токены.

Токены - это наиболее часто используемое название носителей ключа электронной подписи. Это аппаратные ключи для безопасной авторизации и надёжного хранения персональных данных. Неофициально называют «флешка для ЭЦП». Есть и другие названия: электронный ключ, аппаратный ключ, ключевой носитель, электронный идентификатор, носитель ЭЦП (ЭП), USB-ключ, криптографический токен и даже донгл.

Стоит сказать, что на волне популярности биткойнов под токеном стали подразумевать единицу криптовалюты. Во избежание путаницы в терминологии могут добавлять к названию носителей приставку «usb» - usb-токен.

USB-токен - небольшое устройство, похожее на обычную флешку с защищенной паролем картой памяти, на которой хранится информация для создания подписи. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации. Токен обеспечивает двухфазную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.

USB-токен отличается от флешки следующим:

- токены, в отличие от флешки, защищенные устройства. Поэтому сделать USB-токен из флешки не выйдет.

- файловые данные на флешке можно добавлять или изменять, а на токене — нет.

- ключ, находящийся на токене, никогда не покидает устройство, а данные с флешки, можно легко перенести на другой носитель.

  - информацию, находящуюся на флешке, может прочитать практически любой человек, а на токене — нет. Она зашифрована.

- ресурс USB-накопителя, как правило, ограничен. В то время как токены USB от проверенных производителей предназначены для более безопасного и долгосрочного хранения учетных данных.

Поэтому обычная флешка для ключа электронной подписи не подойдёт. Токен только внешне напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль (пин-код) и сертификацию ФСТЭК/ФСБ. В продвинутых моделях есть аппаратное криптоядро устройства - встроенное средство криптографической защиты информации (СКЗИ). Если криптоядра нет, нужно установить специальную программу на ПК - криптопровайдер. Чаще всего используют СКЗИ «КриптоПро CSP». Программа покупается отдельно.

Защищенные носители делятся на 2 вида: токены со встроенной криптозащитой(СКЗИ) и токен без встроенной криптозащиты.

Токены без СКЗИ

Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, они не подойдут для работы с алкоголем в ЕГАИС. Сюда относятся: Рутокен Lite, Рутокен Lite SD, Рутокен Lite RF, Рутокен S, JaCarta LT.

Устройства Рутокен Lite - бюджетный вариант токена. Э то защищенные носители закрытых ключей электронной подписи для электронного документооборота, можно хранить секретные ключи или цифровые идентификаторы и считывать их при необходимости по предъявлении пользователем PIN-кода. Совместимы с отечественными программными СКЗИ (криптопровайдерами) в основных операционных системах. Устройства сертифицированы ФСТЭК России.

Рутокен Lite обеспечивает двухфакторную аутентификацию в компьютерных системах безопасного использования квалифицированной электронной подписи и защиту от несанкционированного доступа. Для успешной аутентификации требуется выполнение двух условий: знание пользователем уникального пароля — PIN-кода и обладание им уникальным предметом — самим устройством. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с традиционным доступом по паролю.

При утере или краже устройства безопасность не нарушается: для доступа к информации требуется PIN-код.

Рутокен S - это компактное USB-устройство, предназначенное для защищенного хранения ключей шифрования и ключей электронной подписи, а также цифровых сертификатов и иной информации.

Рутокен S чаще всего применяется в качестве носителя закрытого ключа электронной подписи для доступа к различным ресурсам, для электронного документооборота и для дистанционного банковского обслуживания. Рутокен S выступает удачной альтернативой традиционным «хранилищам» ключевой информации, таким как Flash-диски или реестр компьютера. В отличие от них пароли и сертификаты пользователя хранятся на Рутокен S в защищенной внутренней памяти устройства. Доступ к этим данным возможен только по предъявлению PIN-кода. Сертифицированы ФСТЭК России.

JaCarta LT - не включает в себя средство криптографической защиты и не подходит для работы с ЕГАИС. Для использования ЭП понадобится установка СКЗИ на ПК. Например, КриптоПро. Носитель сертифицирован ФСТЭК.

Токены с СКЗИ

Обладают более высоким уровнем безопасности, сертифицированы ФСТЭК и ФСБ. Формирование электронной подписи у них может производиться внутри носителя, а не в программе-криптопровайдере. При генерации аппаратных ключей может использоваться внутренняя криптография токена. Благодаря этому установка криптопровайдера на ПК при использовании данных моделей не нужна на таких ресурсах, как Госуслуги, сервисы ФНС, Честный знак и др. Для работы в ЕГАИС необходимо приобретать именно такие токены. К ним относятся следующие разновидности USB-токенов:

Рутокен ЭЦП 2.0. Рутокен ЭЦП 2.0 снимаются с производства в связи с выходом новой продуктовой линейки. Преемником данных моделей являются устройства Рутокен ЭЦП 3.0, обратно совместимые со всеми моделями Рутокен ЭЦП 2.0.

Рутокен ЭЦП 2.0 - это линейка устройств для практически любых приложений электронной подписи и строгой двухфакторной аутентификации.Это полнофункциональные СКЗИ и средства электронной подписи с аппаратной реализацией ГОСТ Р 34.10-2012 с длиной ключа 256/512 бит и ГОСТ Р 34.11-2012. Операции выполняются без извлечения ключа в память компьютера.  Рутокен ЭЦП 2.0 широко применяется в информационных системах с самыми высокими требованиями к информационной безопасности, такими как: дистанционное банковское обслуживание, электронный документооборот в государственном секторе, система ЕГАИС. Сертифицирован ФСБ России как средство криптографической защиты информации и средство электронной подписи.

Рутокен ЭЦП 3.0 -  принципиально новая линейка USB-токенов и смарт-карт для подписания документов электронной подписью и строгой двухфакторной аутентификации на настольных и мобильных устройствах. Продукты линейки являются полнофункциональными аппаратными СКЗИ.   

Токен с улучшенными скоростными характеристиками и увеличенным объемом памяти - 128 Кб. Поддерживает новые алгоритмы шифрования и позволяет устанавливать расширенные политики пин-кодов. В линейке есть модели, которые работают и через USB, и по протоколу NFC. Подходит для работы в ЕГАИС. Сертифицирован по требованиям ФСБ и ФСТЭК.

JaCarta-2 SE. Сертифицирован ФСТЭК и ФСБ.  В отличие от Рутокена, у JaCarta-2 SE 2 преимущества:

- На модель можно установить 2 пин-кода. Первый пользователь вводит, когда заходит в систему (стандартно для продвинутых токенов), второй - когда проводит транзакции или подписывает документы. Это снижает риск ошибочных действий и повышает безопасность данных.

- В JaCarta реализован новый механизм защиты от блокировки. Носитель не заблокируется, если несколько раз ввести неверный пин, такое происходит на моделях «Рутокен». Если пользователь несколько раз ввел неправильный код, то попытки ввода исчерпаются. Верный пин можно будет ввести через определенное время - этот промежуток устанавливается заранее. Не нужно обращаться в УЦ, чтобы разблокировать носитель.

JaCarta-2 ГОСТ. Сертифицирован ФСТЭК и ФСБ. Не подходит для работы с ЕГАИС. Главное преимущество в том, что в чип смарт-карты можно загрузить дополнительные компоненты (апплеты). Это расширит возможности токена:

- Биометрическая идентификация. Доступ к устройству настраивается по отпечатку пальца.

- Платежные приложения. Можно проводить банковские операции без посещения банка, расплачиваться с помощью смарт-карты.

Смарт-карты поддерживают беспроводную передачу данных NFC, транспортные приложения, корпоративные карты. Например, банковская карта МИР может работать одновременно как карта «Тройка» и носитель ЭП.

Очень важно выбрать токен хорошего качества - таким образом вы снижаете риски несанкционированного использования ваших данных или подписи.  Выбирая ключи, ориентируйтесь в первую очередь на то, в каких целях вы хотите их использовать.

Мы рекомендуем приобретать те модели токенов, которые могут быть сертифицированы ФСБ, такие как Рутокен ЭЦП 3.0 или JaCarta-2, они более надежные.

Токен можно купить в удостоверяющем центре, специализированном интернет-магазине или у производителей носителей. Главное ― чтобы носитель был сертифицирован ФСТЭК России или ФСБ России. При покупке запросите у продавца сертификат, так как налоговая может потребовать его для записи КЭП на купленный носитель.

Чтобы облегчить вам задачу, мы, как Обособленное подразделение Доверенного удостоверяющего центра, можем предоставить по вашему запросу. Обращайтесь!

Контакты:

Телефон: +79493030555 (телефон + телеграмм)

Электронная почта: http://consult.dnr@buka-consult.com

ВК: https://vk.com/dnr_consulting