Расскажите, пожалуйста, для чего вам нужен импорт?

Чтобы использовать рутокен как микро скзи и распределить симметричные ключи между несколькими рутокенами.

Я поподробнее описал задачу в письме на sales@ (там часть вопросов к ним) утром понедельника, но, видимо, коллеги еще письмо не прочитали :-)

Мне вычленить техническую часть и отправить на hotline@?
Не очень хотелось бы обсуждать специфику задачи публично.

Коллеги, я правильно понял, что в сертифицированной ФСБ версии (для всех моделей) нельзя ни импортировать ключи (симметричные), ни экспортировать наружу (сгенерированные на рутокене)?

А на несертифицированной версии такого ограничения нет?
Какую модель рутокена брать?

Задача выработать имитовставку, которую проверить в другом устройстве, ЭЦП не подходит - места (под подпись) в сообшении мало.

Здравствуйте,  Сергей.

Импорт ГОСТ ключей на Рутокен запрещен. Расскажите, пожалуйста, для чего вам нужен импорт?

А на несертифицированной версии такого ограничения нет?
Какую модель рутокена брать?

Задача выработать имитовставку, которую проверить в другом устройстве, ЭЦП не подходит - места (под подпись) в сообшении мало.

Vladimir Ivanov пишет:

kvazy пишет:

Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.

Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":

"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"

То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.

С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?

Токены, с записанными на него ключами - однозначно СКЗИ, это понятно. А вот если несертифицированный ФСБ токен куплен и на него ничего не записано, он  сам по себе не является СКЗИ? А как же шифрование файловой системы по ГОСТ 28147-89, указанное для всех видов рутокена? Если применяется криптографическое преобразование информации для обеспечения ее безопасности - значит это СКЗИ.

В 313 Постановлении:
"3. Настоящее Положение не распространяется на деятельность с использованием:
...
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной;
...."

Как раз наш случай. Доп. инфо отправил по почте

kvazy пишет:

Vladimir Ivanov пишет:

С чем связан вопрос? Теоретический интерес или практическая задача?

Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.

Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":

"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"

То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.

С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?

Токены, с записанными на него ключами - однозначно СКЗИ, это понятно. А вот если несертифицированный ФСБ токен куплен и на него ничего не записано, он  сам по себе не является СКЗИ? А как же шифрование файловой системы по ГОСТ 28147-89, указанное для всех видов рутокена? Если применяется криптографическое преобразование информации для обеспечения ее безопасности - значит это СКЗИ.

Vladimir Ivanov пишет:

kvazy пишет:

Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?

С чем связан вопрос? Теоретический интерес или практическая задача?

Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.

Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":

"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"

То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.

С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?

kvazy пишет:

Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?

С чем связан вопрос? Теоретический интерес или практическая задача?

Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.

Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?

С чем связан вопрос? Теоретический интерес или практическая задача?

kvazy пишет:

Да, Вы правильно поняли, в качестве криптопровайдера у нас используется КриптоПро CSP. Т.е. в данном случае Рутокен сам по себе не является СКЗИ? И нам будет достаточно Рутокена с действующим сертификатом ФСТЭК?

Да, это так. Если не задействуется криптография токена, то будет достаточно.

Использование сертифицированного средства подписи (СКЗИ) - это одно из требований к квалифицированной ЭП. В Вашем случае необходимо использовать сертифицированную ФСБ версию КриптоПро CSP.

Спасибо за оперативные ответы! =)

Да, Вы правильно поняли, в качестве криптопровайдера у нас используется КриптоПро CSP. Т.е. в данном случае Рутокен сам по себе не является СКЗИ? И нам будет достаточно Рутокена с действующим сертификатом ФСТЭК?

Да, это так. Если не задействуется криптография токена, то будет достаточно.

Использование сертифицированного средства подписи (СКЗИ) - это одно из требований к квалифицированной ЭП. В Вашем случае необходимо использовать сертифицированную ФСБ версию КриптоПро CSP.

Если я правильно понял, в качестве средства электронной подписи у Вас используется криптопровайдер. Соответственно, поддержка новых алгоритмов подписи и хеширования должна обеспечиваться именно криптопровайдером. Это для случаев, когда токен применяется в качестве носителя ключа подписи и его собственная криптография не задействуется применяемым CSP. В таком случае можно использовать любую из перечисленных моделей и сертификат ФСБ на токен не требуется, поскольку он не является средством подписи и СКЗИ.

Если нужна работа с неизвлекаемым ключом подписи, реализация алгоритмов должна присутствовать в токене и он является средством подписи и СКЗИ. Новые алгоритмы реализованы в Рутокен ЭЦП 2.0. Для квалифицированной подписи нужно приобретать токены с сертификатом ФСБ.

Криптопровайдер - КриптоПро CSP.
ОС - MS Windows.

Выбираю среди моделей Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0.