Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

Пытаюсь разобраться в статьях:

Смутила меня фразочка:

Устройства в режимах Активный и ФКН можно использовать как устройства в режиме Пассивные. Но это значительно понижает защищенность ключа эл. подписи.

Не понял. В режиме ФКН я могу использовать токен как автивный и как пассивный?

Я доставил в КриптоПро необходимые пакеты (Linux):

  • cprocsp-rdr-cpfkc-64 - для ФКН

  • cprocsp-rdr-cryptoki-64 - для PKCS11

Получил два новых считывателя

$ csptest -enum -info -type PP_ENUMREADERS -flags 32
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 15674611
GetProvParam(...PP_ENUMREADERS...) until it returns false
Flags: 0x20
  Len    Byte  NickName/Name/Media
___________________________________
 0x012a  0x0b  PKCS11 Aktiv Rutoken ECP 00 00 0
               Rutoken ECP
               pkcs11_rutoken_ecp_3d715e0a
 0x012a  0x00  HDIMAGE
               HDD key storage
               NO_UNIQUE
 0x012a  0x1b  Aktiv Rutoken ECP 00 00
               Rutoken FKC
               rutoken_fkc_3d715e0a
 0x012a  0x03  Aktiv Rutoken ECP 00 00
               Rutoken FKC
               rutoken_ecp_3d715e0a
Cycle exit when getting data. 4 items found. Level completed without problems.
Total: SYS: 0,000 sec USR: 0,020 sec UTC: 0,980 sec
[ErrorCode: 0x00000000]

В графическом интерфейсе "Инструменты КриптоПро" (cptools) в расширенном режиме можно это увидеть в разделе "Управление носителями". Там появился новый считыватель "PKCS11 Aktiv Rutoken ECP 00 00 0" с приложением "pkcs11_rutoken_ecp_3d715e0a" и новое приложение "rutoken_fkc_3d715e0a" в уже имевшемся считывателе "Aktiv Rutoken ECP 00 00".

Что-то я не вижу возможности комбинировать PKCS11 и ФКН.

Re: Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

kiav, здравствуйте.
В предложении имелось ввиду, что на модели Рутокен, которые имеют функциональность аппаратных ключевых носителей и ФКН, можно так же записать и программные ключи (пассивные).
То есть, например, вместо того, чтобы сгенерировать неизвлекаемые ключи формата PKCS#11 на Рутокен ЭЦП 2.0 2100 можно записать программный ключи формата КриптоПро CSP. Но пассивные ключи будут гораздо менее безопасными по сравнению с PKCS#11.
А формат ФКН на Рутокен ЭЦП 2.0 3000 или смарт-карте Рутокен ЭЦП 3.0 NFC будет самым защищенным из них, ведь при использовании режима активного токена с защитой канала, ключи никогда не покидают памяти токена.

Если ключи уже сгенерированы в режиме ФКН, то они такими и останутся.

Спасибо за сигнал, мы переформулируем это предложение в статье.

Re: Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

Ксения Шаврова пишет:

режима активного токена с защитой канала, ключи никогда не покидают памяти токена

ФКН - это всегда активные ключи? Т.е. выбирая ФКН я получаю и защиту канала, и активный ключ? Без вариантов?

Re: Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

Да, ФКН это всегда активный токен.
В терминологии КриптоПро есть всего 3 режима:
Пассивный токен - программные ключи сгенерированные через КриптоПро CSP;
Активный токен без защиты канала - аппаратная генерация ключей формата PKCS#11;
Активный токен с защитой канала - ключи ФКН.

(2022-01-20 12:39:09 отредактировано drass)

Re: Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

Доступны ли ключи, записанные на токен в режиме ФКН с защитой канала, без использования этой защиты? Например, в VipNet CSP, как это происходит с ключами записанными в обычном активном режиме (без защиты канала).
Т.е. стоит ли записывать ключи на токен в режиме ФКН, если предполагается возможность использования этой подписи с другими СКЗИ (например подпись директора можно получить только один раз, и привязываться только к КриптоПро - чревато).

Re: Рутокен ЭЦП 2.0 3000 и активный ключ ФКН

drass, приветствую.
В таком случае завязываться на ФКН не надо. ФКН это специальный формат ключей с защитой канала, который доступен для работы только в связке с «КриптоПро CSP» версии 5.0 и выше.
Вам подойдет режим «Активный токен без защиты канала» - аппаратная генерация ключей формата PKCS#11