Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

Покурил форумы, но понял чем дальше копать тем больше непонятней.... Помогите, пожалуйста разобраться в нашей задаче.
Стоит задача:
1. Выпустить в УД, например, Контур, усиленную квалифицированную подпись (ЭЦП и закрытый ключ) - 2штуки
2. Закрытый ключ записать на Рутокен ЭЦП
3. На веб сервере (php) развернута crm/erp система собственной разработки
4. В системе генерируется pdf файл, который необходимо подписать обоими ключами.
5. На клиентскую машину никакого тяжелого софта тпа Крипто ПРО устанавливать не нужно.
6. Закрытый ключ на рутокен должен быть неизвлекаемым.
7. Подписанный документ должен иметь юридическую силу и приниматься в суде для разбора полетов если что.

Вопросы:
1. Нужно сначала выпускать сертификаты/закрытые ключи, а потом покупать рутокен ЭЦП или сначала рутокен ЭЦП и передать его оператору УЦ для генерации пары и записи на токен?
2. Рутокен ЭЦП сможет без установки дополнительного софта (кроме собственной разработки, например, плагина) подписывать документ?
3. Документ должен передаваться на клиентскую машину и загружаться в рутокен для этого?
4. Или можно что-то передавать на веб-сервер и там делать подпись?

P.S. И еще, для этих целей Рутокен web подходит? Я немного запутался…

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

Здравствуйте!

1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.
2. Если требуется усиленная квалифицированная подпись, средство подписи должно иметь соотв. сертификат. Сертифицированная версия Рутокен ЭЦП такой сертификат имеет. Функции, необходимые для подписи и хеширования, на нем реализованы. при помощи браузерного плагина можно подписывать данные или хеши.
3/4. Известны реализации, предусматривающие хеширование документа на сервере и передающие по защищенному каналу для подписи на токене уже вычисленный хеш. Хеширование можно выполнять и на клиентской стороне, "на борту" токена. В этом случае удобство использования зависит от размеров подписываемых данных.

Рутокен Web для этих целей (усиленная квалифицированная подпись) не подходит, поскольку не является сертифицированным средством подписи, хотя в нем и реализованы все необходимые функции.

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

Vladimir Ivanov пишет:

Здравствуйте!
1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.

Спасибо за оперативный и полный ответ. По пункту 1 еще вопрос - Берем токен, выпускаем на нем ключевую пару, передаем в УЦ открытый ключ, УЦ по этому ключу выпускает сертификат и размещает его у себя в УЦ и передает нам. Все верно?

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

nsimonov пишет:
Vladimir Ivanov пишет:

Здравствуйте!
1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.

Спасибо за оперативный и полный ответ. По пункту 1 еще вопрос - Берем токен, выпускаем на нем ключевую пару, передаем в УЦ открытый ключ, УЦ по этому ключу выпускает сертификат и размещает его у себя в УЦ и передает нам. Все верно?

С точки зрения техники, в УЦ передается не просто открытый ключ, а запрос на сертификат, содержащий в себе открытый ключ и подписанный на закрытом ключе. С точки зрения самой процедуры в разных УЦ могут быть свои нюансы, поэтому нужно выяснять непосредственно в УЦ.

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

Владимир, Спасибо!

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

Обновлю ветвь вопросов.
Уже на пути к покупке - возникли еще вопросы.

Нужен ли Крипто-Про  Рутокен CSP для моей задачи? Если будем плагином подписывать хэш на ключе, будет ли легитимной эта операция? Мне навязывают Рутокен CSP - можно ли юридически (и технически) работать без него?

Re: Помогите пожалуйста разобраться в решении Рутокен ЭЦП + Web + подпись

nsimonov пишет:

Нужен ли Крипто-Про  Рутокен CSP для моей задачи?

Однозначно ответить на этот вопрос нельзя. Это программно-аппаратное СКЗИ, в состав которого входит и криптопровайдер, и специальная версия Рутокен ЭЦП с поддержкой технологии ФКН (функциональный ключевой ностиель). Могут быть случаи, когда действительно предпочтительнее использовать этот продукт. Например, если таким образом проще реализовать какие-то архитектурные решения, либо когда установлены требования, исключающие необходимость инсталляции дополнительного софта. Это с технической стороны.
С юридической стороны разницы в принципе нет.

nsimonov пишет:

Если будем плагином подписывать хэш на ключе, будет ли легитимной эта операция?

Зависит от того, чем и где вычислен хеш. Для работы с квалифицированной подписью хеш тоже должен вычисляться сертифицированным средством, поскольку вычисление хеша - это криптографическая операция. Если хеш вычисляется на стороне сервера, то еще важно как и чем защищен канал, по которому хеш передается на клиентскую сторону.

nsimonov пишет:

Мне навязывают Рутокен CSP - можно ли юридически (и технически) работать без него?

Если имеется в виду КриптоПро Рутокен CSP, то я в принципе ответил на это в первом вопросе. Если нет, уточните пожалуйста, какой именно CSP имеется в виду.