Выбор модели Рутокен
День добрый!
Криптопровайдер - КриптоПро CSP.
ОС - MS Windows.
Выбираю среди моделей Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0.
#1 2018-01-09 11:49:01 (2018-03-22 16:37:53 отредактировано kvazy)
Re: Выбор модели Рутокен
Добрый день!
Если я правильно понял, в качестве средства электронной подписи у Вас используется криптопровайдер. Соответственно, поддержка новых алгоритмов подписи и хеширования должна обеспечиваться именно криптопровайдером. Это для случаев, когда токен применяется в качестве носителя ключа подписи и его собственная криптография не задействуется применяемым CSP. В таком случае можно использовать любую из перечисленных моделей и сертификат ФСБ на токен не требуется, поскольку он не является средством подписи и СКЗИ.
Если нужна работа с неизвлекаемым ключом подписи, реализация алгоритмов должна присутствовать в токене и он является средством подписи и СКЗИ. Новые алгоритмы реализованы в Рутокен ЭЦП 2.0. Для квалифицированной подписи нужно приобретать токены с сертификатом ФСБ.
Re: Выбор модели Рутокен
kvazy пишет:
Да, Вы правильно поняли, в качестве криптопровайдера у нас используется КриптоПро CSP. Т.е. в данном случае Рутокен сам по себе не является СКЗИ? И нам будет достаточно Рутокена с действующим сертификатом ФСТЭК?
Да, это так. Если не задействуется криптография токена, то будет достаточно.
kvazy пишет:
И не совсем понял по поводу квалифицированной подписи. У нас используется квалифицированная, к чему нас это обязывает?
Использование сертифицированного средства подписи (СКЗИ) - это одно из требований к квалифицированной ЭП. В Вашем случае необходимо использовать сертифицированную ФСБ версию КриптоПро CSP.
#4 2018-01-09 16:00:27 (2018-03-22 16:40:46 отредактировано kvazy)
Re: Выбор модели Рутокен
Vladimir Ivanov пишет:
kvazy пишет:Да, Вы правильно поняли, в качестве криптопровайдера у нас используется КриптоПро CSP. Т.е. в данном случае Рутокен сам по себе не является СКЗИ? И нам будет достаточно Рутокена с действующим сертификатом ФСТЭК?
Да, это так. Если не задействуется криптография токена, то будет достаточно.
Использование сертифицированного средства подписи (СКЗИ) - это одно из требований к квалифицированной ЭП. В Вашем случае необходимо использовать сертифицированную ФСБ версию КриптоПро CSP.
Спасибо за оперативные ответы! =)
#5 2018-03-20 10:08:58 (2018-03-22 16:42:39 отредактировано kvazy)
Re: Выбор модели Рутокен
День добрый!
Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?
Re: Выбор модели Рутокен
kvazy пишет:
Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?
С чем связан вопрос? Теоретический интерес или практическая задача?
Re: Выбор модели Рутокен
Vladimir Ivanov пишет:
kvazy пишет:Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?
С чем связан вопрос? Теоретический интерес или практическая задача?
Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.
Re: Выбор модели Рутокен
kvazy пишет:
Vladimir Ivanov пишет:kvazy пишет:Хотел опять вернуться к обсуждению вопроса: является ли сам по себе рутокен (модели без шифрования на "борту") - СКЗИ?
С чем связан вопрос? Теоретический интерес или практическая задача?
Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.
Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":
"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"
То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.
С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?
Re: Выбор модели Рутокен
Vladimir Ivanov пишет:
kvazy пишет:Vladimir Ivanov пишет:С чем связан вопрос? Теоретический интерес или практическая задача?
Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.
Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":
"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.
С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?
Токены, с записанными на него ключами - однозначно СКЗИ, это понятно. А вот если несертифицированный ФСБ токен куплен и на него ничего не записано, он сам по себе не является СКЗИ? А как же шифрование файловой системы по ГОСТ 28147-89, указанное для всех видов рутокена? Если применяется криптографическое преобразование информации для обеспечения ее безопасности - значит это СКЗИ.
Re: Выбор модели Рутокен
kvazy пишет:
Vladimir Ivanov пишет:kvazy пишет:Конечно практическая =) Если сам по себе носитель - является СКЗИ, то на него распространяются все требования законодательства: ФАПСИ 152, Постановление правительства 313 и т.д. А если не является СКЗИ, то это просто флешка.
Ну если рассматривать в таком контексте, то вовсе даже не "просто флэшка":
"Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования..."
"ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;"
"ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);"То есть токены с ключами на них учитывать в любом случае надо по 152 приказу.
С другой стороны, если токен поставляется в несертифицированном ФСБ варианте, то он не полдежит учету, если на нем нет ключевой информации. Вы же мобильные телефоны не учитываете в качестве СКЗИ?
Токены, с записанными на него ключами - однозначно СКЗИ, это понятно. А вот если несертифицированный ФСБ токен куплен и на него ничего не записано, он сам по себе не является СКЗИ? А как же шифрование файловой системы по ГОСТ 28147-89, указанное для всех видов рутокена? Если применяется криптографическое преобразование информации для обеспечения ее безопасности - значит это СКЗИ.
В 313 Постановлении:
"3. Настоящее Положение не распространяется на деятельность с использованием:
...
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной;
...."
Как раз наш случай. Доп. инфо отправил по почте
Re: Выбор модели Рутокен
Коллеги, я правильно понял, что в сертифицированной ФСБ версии (для всех моделей) нельзя ни импортировать ключи (симметричные), ни экспортировать наружу (сгенерированные на рутокене)?
А на несертифицированной версии такого ограничения нет?
Какую модель рутокена брать?
Задача выработать имитовставку, которую проверить в другом устройстве, ЭЦП не подходит - места (под подпись) в сообшении мало.
Re: Выбор модели Рутокен
Сергей Б пишет:
Коллеги, я правильно понял, что в сертифицированной ФСБ версии (для всех моделей) нельзя ни импортировать ключи (симметричные), ни экспортировать наружу (сгенерированные на рутокене)?
А на несертифицированной версии такого ограничения нет?
Какую модель рутокена брать?Задача выработать имитовставку, которую проверить в другом устройстве, ЭЦП не подходит - места (под подпись) в сообшении мало.
Здравствуйте, Сергей.
Импорт ГОСТ ключей на Рутокен запрещен. Расскажите, пожалуйста, для чего вам нужен импорт?
#13 2019-07-17 09:11:07 (2019-07-17 09:11:57 отредактировано Сергей Б)
Re: Выбор модели Рутокен
Павел Анфимов пишет:
Расскажите, пожалуйста, для чего вам нужен импорт?
Чтобы использовать рутокен как микро скзи и распределить симметричные ключи между несколькими рутокенами.
Я поподробнее описал задачу в письме на sales@ (там часть вопросов к ним) утром понедельника, но, видимо, коллеги еще письмо не прочитали :-)
Мне вычленить техническую часть и отправить на hotline@?
Не очень хотелось бы обсуждать специфику задачи публично.