Поддержка пользователей защищенных носителей (токенов)

В связи с необходимостью обязательно использовать защищенные носители при подписании электронных документов, у пользователей могут возникнуть некоторые вопросы. В том разделе мы ответим Вам на все самые основные вопросы, касающиеся использования защищенных носителей.

Что такое защищенный носитель ключевой информации?

Защищенный носитель ключевой информации представляет собой устройство, предназначенное для безопасного хранения ключей ЭП. По сути это аппаратно-программное средство ЭП, выполненное в виде токена – USB-устройства (внешне похожего на флешку) или смарт-карты (пластиковой карты с чипом). Особенности защищенных носителей:

  • Обеспечивают неизвлекаемость секретного (личного) ключа ЭП. Секретный ключ никогда не покидает носитель. Таким образом, ключ существует в единственном экземпляре и копирование ключа невозможно.
  • Генерация ключа и все операции с ним выполняются внутри носителя. При подписании документ передается в носитель, вычисление ЭП проводится внутри носителя.
  • Канал защищен паролем доступа. Ограничения на количество попыток подбора пароля: 7 раз. Это защищает ключ от несанкционированного использования в случае потери носителя.

В чем различие между защищенным носителем и флешкой, на которую установлен пароль?

Защищенный носитель (токен) имеет главное и принципиальное отличие: ключ ЭП генерируется в памяти токена и никогда его не покидает. Подписание документа происходит внутри токена.

На зашифрованной флешке после введения пароля данные доступны, как и на обычном диске. Никаких операций с ключом она не выполняет, так как не рассчитана на это.

К сожалению, некоторые государственные предприятия используют для хранения ключей флеш-накопители с возможностью создания шифрованного раздела и аргументируют это тем, что в действующем законодательстве не прописано, каким именно должен быть защищенный носитель.

Эта информация не соответствует действительности. В статье 1 Закона Украины "Об электронных доверительных услугах" есть такие определения:

  • Средство квалифицированной электронной подписи или печати - аппаратно-программное или аппаратное устройство или программное обеспечение, реализующее криптографические алгоритмы генерации пар ключей и/или создания квалифицированной электронной подписи или печати, и/или проверки квалифицированной электронной подписи или печати, и/или хранения личного ключа квалифицированной электронной подписи или печати, которое отвечает требованиям этого Закона;
  • Средство усиленной подписи или печати - аппаратно-программное или аппаратное устройство или программное обеспечение, реализующее криптографические алгоритмы генерации пар ключей и/или создания усиленной электронной подписи или печати, и/или проверки усиленной электронной подписи или печати, и/или хранения личного ключа усиленной электронной подписи или печати;

Итак, законом явно предусмотрено, что носитель должен иметь экспертное заключение и не должен предоставлять возможности непосредственного доступа к ключам. И в Постановлении №749 также сказано, что средство КЭП должно иметь экспертное заключение.

Флешка, на которой установлен пароль, не соответствует этим требованиям, и следовательно, не может использоваться для хранения ключей КЭП (ЭЦП) вместо защищенного носителя.

Для кого обязательно использование защищенных носителей?

На основании требований статьи 18 Закона Украины "Об электронных доверительных услугах", который вступил в силу с 07.11.2018 года, квалифицированная электронная подпись или печать считается прошедшей проверку и получившей подтверждение, если при проверке с помощью квалифицированного сертификата электронной подписи или печати получено подтверждение того, что личный ключ, который принадлежит подписанту или владельцу электронной печати, хранится в средстве квалифицированной электронной подписи или печати.

Обращаем внимание!

В соответствии со статьей этого закона всем владельцам квалифицированной электронной подписи (КЭП) рекомендуем в дальнейшем использовать защищенные носители информации (токены) для обеспечения надежного хранения собственных КЭП (ЭЦП).

Нотариусы, государственные регистраторы обязаны использовать защищенные носители в соответствии со статьей 17 Закона "Об электронных доверительных услугах". Органы государственной власти, местного самоуправления и предприятия государственной формы собственности обязаны использовать защищенные носители в соответствии с постановлением КМУ №749 от 07.11.2018 года.

Начиная с 16.04.2019 г., в контролирующих органах включена проверка наличия отметки о хранении КЭП подписанта на защищенном носителе информации. Информация о хранении личного ключа в средстве квалифицированной электронной подписи или печати содержится в сертификате. В случае, если документ поступил от подписчика в контролирующий орган с КЭП, который не сохраняется на токене, то ему приходят квитанции об обработке его документов и отчетности с предупреждением. На сегодняшний день это предупреждение никоим образом не влияет на принятие и обработку электронной отчетности. Цель этого сообщения - заранее уведомить всех о необходимости в дальнейшем использовать защищенные носители личных ключей.

Рекомендуем уже сейчас позаботиться о записи ваших КЭП на защищенные носители информации! Использование защищенных носителей гораздо безопаснее, чем хранение ключей в файлах. Поэтому с введением обязательного требования использования защищенных носителей для органов государственной власти и других, одновременно отменяется ограничение на использование ЭП для заключения договоров на сумму более 1 млн. грн.

Можно ли работать с защищенным носителем как с флешкой?

Нет, защищенный носитель не определяется операционной системой как диск и работать с ним как с флешкой невозможно. Исключением являются носители с дополнительной флэш-памятью, например, Автор Secure Token 337F

Чем отличаются различные виды защищенных носителей «Автор»?

Носители Автор Secure Token 337M и Автор Secure Token 337K не имеют функциональных различий и отличаются только корпусом. Secure Token 337M имеет маленький корпус и пластиковый разъем USB, который является частью корпуса. Secure Token 337K имеет больший и прочный корпус с металлическим разъемом USB.

Носители Автор Secure Token 337F по внешнему виду аналогичны Secure Token 337K, однако имеют дополнительную флэш-память и могут быть использованы как флешка. Объем флэш-памяти может составлять 8, 16 или 32 ГБ. С помощью специальной утилиты от производителя можно создать на носителе зашифрованный диск, доступ к данным на котором возможен только после ввода пароля.

Сколько секретных ключей можно хранить на защищенном носителе?

Один защищенный носитель = один секретный ключ, т.е. сертификат директора, бухгалтера и печати должны храниться на отдельных носителях.

Например, один носитель может хранить секретный ключ директора подписания и шифрования одновременно.

Сколько паролей нужно вводить при подписании документа?

На защищенном носителе ключ генерируется внутри устройства и хранится в защищенной области памяти, при этом он не зашифровывается. Поэтому пароль доступа к ключу в данном случае отсутствует. Для выполнения операций с ключом необходим только пароль доступа к носителю. То есть при подписании электронных документов необходимо вводить только один пароль.

Какой пароль доступа изначально установлен на защищенном носителе?

Стандартный пароль доступа к защищенному носителю задан производителем. Для носителей «Автор» его значение - 12345678.

Для носіїв Алмаз-1К від виробника АТ “ІІТ” необхідно задати пароль виконавши ініціалізацію носія

Пользователь в дальнейшем может (и должен) изменить пароль. Это можно сделать с помощью программы M.E.Doc.