Нужен ли Крипто-Про  Рутокен CSP для моей задачи?

Однозначно ответить на этот вопрос нельзя. Это программно-аппаратное СКЗИ, в состав которого входит и криптопровайдер, и специальная версия Рутокен ЭЦП с поддержкой технологии ФКН (функциональный ключевой ностиель). Могут быть случаи, когда действительно предпочтительнее использовать этот продукт. Например, если таким образом проще реализовать какие-то архитектурные решения, либо когда установлены требования, исключающие необходимость инсталляции дополнительного софта. Это с технической стороны.
С юридической стороны разницы в принципе нет.

Зависит от того, чем и где вычислен хеш. Для работы с квалифицированной подписью хеш тоже должен вычисляться сертифицированным средством, поскольку вычисление хеша - это криптографическая операция. Если хеш вычисляется на стороне сервера, то еще важно как и чем защищен канал, по которому хеш передается на клиентскую сторону.

Если имеется в виду КриптоПро Рутокен CSP, то я в принципе ответил на это в первом вопросе. Если нет, уточните пожалуйста, какой именно CSP имеется в виду.

Нужен ли Крипто-Про  Рутокен CSP для моей задачи? Если будем плагином подписывать хэш на ключе, будет ли легитимной эта операция? Мне навязывают Рутокен CSP - можно ли юридически (и технически) работать без него?

Vladimir Ivanov пишет:

Здравствуйте!
1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.

Спасибо за оперативный и полный ответ. По пункту 1 еще вопрос - Берем токен, выпускаем на нем ключевую пару, передаем в УЦ открытый ключ, УЦ по этому ключу выпускает сертификат и размещает его у себя в УЦ и передает нам. Все верно?

С точки зрения техники, в УЦ передается не просто открытый ключ, а запрос на сертификат, содержащий в себе открытый ключ и подписанный на закрытом ключе. С точки зрения самой процедуры в разных УЦ могут быть свои нюансы, поэтому нужно выяснять непосредственно в УЦ.

Здравствуйте!
1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.

Спасибо за оперативный и полный ответ. По пункту 1 еще вопрос - Берем токен, выпускаем на нем ключевую пару, передаем в УЦ открытый ключ, УЦ по этому ключу выпускает сертификат и размещает его у себя в УЦ и передает нам. Все верно?

1. Исходя из п.6 (неизвлекаемость ключа) сперва нужен токен, на котором генерируется ключевая пара - открытый и закрытый ключи. Сертификат выдается УЦ на открытый ключ (ключ проверки подписи). По 63-ФЗ генерация ключевой информации может выполняться и клиентом и УЦ.
2. Если требуется усиленная квалифицированная подпись, средство подписи должно иметь соотв. сертификат. Сертифицированная версия Рутокен ЭЦП такой сертификат имеет. Функции, необходимые для подписи и хеширования, на нем реализованы. при помощи браузерного плагина можно подписывать данные или хеши.
3/4. Известны реализации, предусматривающие хеширование документа на сервере и передающие по защищенному каналу для подписи на токене уже вычисленный хеш. Хеширование можно выполнять и на клиентской стороне, "на борту" токена. В этом случае удобство использования зависит от размеров подписываемых данных.

Рутокен Web для этих целей (усиленная квалифицированная подпись) не подходит, поскольку не является сертифицированным средством подписи, хотя в нем и реализованы все необходимые функции.

Вопросы:
1. Нужно сначала выпускать сертификаты/закрытые ключи, а потом покупать рутокен ЭЦП или сначала рутокен ЭЦП и передать его оператору УЦ для генерации пары и записи на токен?
2. Рутокен ЭЦП сможет без установки дополнительного софта (кроме собственной разработки, например, плагина) подписывать документ?
3. Документ должен передаваться на клиентскую машину и загружаться в рутокен для этого?
4. Или можно что-то передавать на веб-сервер и там делать подпись?

P.S. И еще, для этих целей Рутокен web подходит? Я немного запутался…