USB-токен — это специализированный сертифицированный носитель ключевой информации, который применяется для её защиты от несанкционированного копирования и использования. Несмотря на внешнее сходство с USB-флешкой, является принципиально другим устройством.
Среди требований различных информационных систем есть требование применять сертифицированные носители ключевой информации. В настоящее время сертифицированные носители подразделяются на два типа:
- Носители, сертифицированные ФСТЭК России, — предназначенные для хранения ключевых контейнеров сертифицированных российских СКЗИ, ключей, профилей и паролей пользователей.
- Носители с СКЗИ, сертифицированные ФСБ России, — такие носители содержат аппаратную реализацию криптографических алгоритмов и могут использоваться без программного СКЗИ, установленного на компьютере.
Для того чтобы определить нужный тип носителя, необходимо понимать, в каких информационных системах будет приниматься электронная подпись, создаваемая при помощи содержащейся на носителе ключевой информации, какие существуют ограничения по используемым операционным системам и прикладному программному обеспечению.
Токен может быть носителем ключевой информации (для использования при подписании информации посредством программной СКЗИ на компьютере), а может самостоятельно выполнять помимо роли носителя для ключей ещё и функцию СКЗИ. Во втором случае нет необходимости использовать вместе с носителями программные СКЗИ, подписание данных выполняется только при помощи токена.
На практике наиболее часто используются популярные сертифицированные носители: USB-токен JaCarta-2 SE, USB-токен JaCarta LT и Рутокен ЭЦП 3.0. Они хорошо известны, проверены временем, одобрены большинством систем к применению в сценариях электронной подписи. Соответственно, удостоверяющие центры чаще всего предлагают именно их.
Чтобы правильно выбрать конкретный токен, необходимо определить:
- Каким будет его назначение — где (на каких площадках, в каких системах) и для каких целей будет использоваться электронная подпись.
- Нужен ли для имеющихся целей токен с криптографией на борту или нужно подобрать токен как носитель для программного СКЗИ. Поддерживается ли данный носитель этим СКЗИ.
- С какими устройствами и операционными системами (например, MS Windows, Linux, MacOS) должен быть совместим токен.
- Есть ли у целевой системы требования по сертификации носителей. Какая сертификация необходима.
Записывать сертификат и ключи на обычный диск или флешку нельзя — такие носители не гарантируют безопасность информации. Помимо классического способа записи ключей и сертификата на защищённый электронный носитель, существуют технологии облачной и дистанционной электронной подписи, при которых формирование электронной подписи происходит во взаимодействии пользователя со специальной информационной системой.
В варианте дистанционной электронной подписи система защищает ключи электронной подписи, которые находятся в его мобильном устройстве. В технологии облачной электронной подписи на мобильном устройстве пользователя хранится только ключи для управления, а ключи электронной подписи находятся в информационной системе.
В настоящее время законодательство не позволяет сделать технологию облачной электронной подписи полностью легитимной, так как для этого производителю необходимо подтвердить соответствие используемых средств облачной электронной подписи требованиям, которые на сегодняшний день еще не опубликованы.
Технология дистанционной электронной подписи напротив может считаться полноценной и одобренной законом альтернативой классическому варианту. Первое сертифицированное в России средство электронной подписи для использования на смартфоне — приложение IDPoint, позволяющее выполнять множество задач, связанных с формированием электронной подписи и подписанием документов без использования электронного носителя.
Стандартный подход — приобретение носителя в удостоверяющем центре вместе с оформлением сертификата электронной подписи. Его преимущества очевидны — не нужно изучать технические характеристики, проверять совместимость, выбирать и покупать токен отдельно. Будет подобран носитель, который полностью соответствует нормативным требованиям и заказанному сертификату.
Если удостоверяющий центр не предлагает токены, информацию нужно записывать на заранее приобретённый носитель. В таком случае необходимо заблаговременно проконсультироваться или получить список требований, которым должен удовлетворять токен.
В настоящее время покупка отдельно токена становится всё более востребованной опцией. Например, сейчас оформлением электронных подписей для компаний занимается Удостоверяющий центр ФНС, однако ведомство требует, чтобы заявитель сам предоставлял носитель определённого вида. Надёжнее всего купить носитель в аккредитованном удостоверяющем центре, который давно представлен на рынке и предлагает все необходимые средства электронной подписи.
