Как правильно хранить ключ личной электронной подписи
Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что может сравниться по возможным последствиям с подделкой подписи на бумажном документе.
Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что по возможным последствиям аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом реализовано в специализированных хранилищах. К слову, электронная подпись это не сохраненная в виде файла картинка с вашими закорючками, а строка бит, полученная в результате криптографического преобразования информации с использованием закрытого ключа, позволяющая идентифицировать владельца и установить отсутствие искажения информации в электронном документе. У электронной подписи имеется и открытый ключ – код, который доступен всем, с помощью него можно определить, кто и когда подписал электронный документ.
Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в том числе:
● Ключ необходимо устанавливать на все компьютеры, на которых работает пользователь. А это, во-первых, неудобно, во-вторых, потенциально небезопасно. Почему? Получив доступ к системе (например, пользователь забыл заблокировать систему пред уходом), можно беспрепятственно подписывать документы или скопировать ключ, используя средства экспорта.
● Для экспорта/импорта закрытого ключа, например, если возникнет необходимость переехать с одного рабочего места на другое, необходима определенная квалификация и права доступа. Как вариант, можно оформить заявку администраторам, но это потеря времени и не всегда удобно.
Теперь вернемся к специализированным хранилищам. На текущий момент в некоторых системах электронного документооборота реализована возможность использования хранилищ, например e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти.
Помимо указанных выше преимуществ при использовании защищенных хранилищ можно выделить следующие:
● гарантируется сохранность ключа, в том числе при потере носителя на время, необходимое для отзыва сертификата (ведь о потере ЭЦП необходимо срочно сообщать в удостоверяющий центр, как сообщается в банк при потере банковской карты);
● нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь;
● «токен» можно одновременно использовать для авторизации при входе в операционную систему компьютера и в СЭД. То есть он становится персональным средством аутентификации.
Если СЭД имеет интеграционные решения со специализированными хранилищами для закрытых ключей, то все преимущества проявляются и при работе с системой.
Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.
Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты рекомендуют использовать подобные устройства в работе, но выбор, конечно, всегда остается за вами.
Подготовлено на основе материала Хранение закрытого ключа электронной подписи.
Комментарии 17
Алена, я конечно понимаю, что статья носит несколько "общеознакомительный" характер, но все же стоит более широко осветить список "достоинств и недостатков" каждого решения. Я ничуть не опровергаю конечный вывод о большей надежности smartcards, но потенциально они создают куда больше сложностей чем банальное "предполагает дополнительные расходы".
Далее мои замечания, буду рад, если вы найдете время разобраться и ответить на них.
По ключам на локальном компьютере
Однако (опять-таки, судя по документации Rutoken) токены могут выступать и просто как шифрованные хранилища. Например, так они работают в связке с КриптоПро CSP. Ну а дальше вывод очевиден - раз одно ПО может получить доступ к ключам, значит это может сделать и другое.
Дополнительные вопросы
К списку выше нужно добавить еще некоторые вопросы, которые также следует учитывать при принятии решения о переходе на токены:
2 Вадим Майшев
Это как?
Это никоим образом не оправдывает внесение в текст заведомо искаженной информации. Даже более того, если материал предназначен для начинающих пользователей он просто обязан содержать только проверенные факты
Где?
Категорично. Что значит "свободно"?
Но я согласен, угроз больше.
Я говорю, что он провинился? Нет.
Я всего лишь указал, что в состав стандартного ПО, который предоставляет Rutoken нет интеграции со службами распространения ключей и чем это грозит.