Тема от Golanov Mark

  • Golanov Mark
  • Посетитель
  • Неактивен

консультация по работе и выбору типа токена

Приветствую.
Уточните пожалуйста
1) планируется ли выпуск версии Драйвера Рутокена в которой для доступа к информации по токену надо сначала ввести PIN-код?
Например, в nix-версиях драйвера для просмотра содержимого токена надо сначала ввести PIN.
В вот в Windows-версии ввод PIN кода требуется только когда надо форматировать токен. Соответственно просматривать содержимое токена можно свободно.
2) насколько защищен введенный сохраненный PIN в настройках токена от взлома? как происходит сброс блокировки при нескольких неудачных попытках ввода?
3) если ли какие-либо принципиальные отличия в настройках и ввода PIN между Rutoken 2.0 и Rutoken 3.0?
4) где можно посмотреть список ресурсов на которых может использоваться личная ЭЦП на Rutoken, для подписания каких-либо документов?
5) возможны ли ресурсы или какие-то категории документов которые не потребуют ввода PIN в процессе подписания? например, если на таких ресурсах есть настройки возможности подписания с помощью ЭЦП без запроса PIN, применится ли такая настройка, даже если на самом токене установлен нестандартный персональный PIN? Или будет требовать ввода PIN всегда и в любом случае?
6) есть ли какая-либо принципиальная разница в записи КЭП ФЛ для работы ЕГАИС (в рамках внедрения МЧД) между Rutoken 2.0 и Rutoken 3.0?

Спасибо.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: консультация по работе и выбору типа токена

Golanov Mark, добрый день.
1. Нет, такой версии не планируется. В nix системах так же доступна информация об объектах на токене без ввода пин-кода. Отображаются сертификаты и открытые ключи. Закрытые ключи отображаются только после ввода пин-кода. Все что видно на токене без ввода пин-кода - это открытая информация. Подписать без ввода пин-кода невозможно.
2. Сохраненный пин-код где? В самом токене? Или в каком-то ПО?
При блокировке пин-кода пользователя, администратор может разблокировать пин-код. И станут доступны еще несколько попыток ввода. Условно снимается флаг "заблокирован".
3. В семействе Рутокен ЭЦП 3.0 появились дополнительные аппаратные политики пин-кодов. Изменить их можно с помощью утилиты rtadmin https://dev.rutoken.ru/pages/viewpage.a … Id=7995615
По ссылке выше в таблице указаны эти дополнительные политики.
4. Мы не ведем такую статистику. Личная ЭЦП - это неквалифицированная?
5. На ресурсах может стоять политика "Кешировать пин-код". В этом случае пин-код определенного токена на таком ресурсе сохраняется. Но обычно такое не делают по соображениям безопасности.
Настроить возможность подписания документов без ввода пин-кода хотя бы один раз(чтобы его закешировать) невозможно. Не будет доступа к закрытому ключу.
Поэтому пин-код должен запрашиваться каждый раз.
6. Нет, для ЕГАИС различий между ЭЦП 2.0 и 3.0 не будет. Внедрение МЧД - это вопрос к разработчикам ЕГАИС. Токены про МЧД не знают.

Ответ от Golanov Mark

  • Golanov Mark
  • Посетитель
  • Неактивен

Re: консультация по работе и выбору типа токена

1. "В nix системах так же доступна информация об объектах на токене без ввода пин-кода." - никак нет. в NIX-системе без ввода PIN-кода Панель управления рутокен вообще не впускает (на проваливается) в основное меню. См. прикрепленные скриншоты.https://forum.rutoken.ru/uploads/images/2023/07/52bf6671a59b8b4aa38fbfea8df28b06.jpg
https://forum.rutoken.ru/uploads/images/2023/07/271f25ea9745079c1d52852fc97da50d.jpg
https://forum.rutoken.ru/uploads/images/2023/07/4b83cc63a1663b96a4a8fe63beb0b421.jpg
Очень хотелось бы такое настроить и на Windows-версии Панели управления.
2." Сохраненный пин-код где? " - имелось внутри токена.
"Или в каком-то ПО?" - а что есть некие отдельные ПО которые могут у себя сохранять PIN?
3. "В семействе Рутокен ЭЦП 3.0 появились дополнительные аппаратные политики пин-кодов" - спасибо за информацию. Насколько изменение таких политик целесообразно при условии изначального применения большого (длинного) PIN кода?
4. "Личная ЭЦП - это неквалифицированная?" - да, в данном случае, я подразумеваю КЭП - квалифицированную электронную подпись физического лица (ФЛ). Интересует в каких текущих системах/ресурсах возможно ее применение для подписания документов. Я имею ввиду не ЕГАИС, а например, работа с оформлением документов связанных с недвижимостью или другой любой собственностью. Если у Вас нет информации, можете ли подсказать, где ее искать/посмотреть, пожалуйста.
5. "На ресурсах может стоять политика "Кешировать пин-код". В этом случае пин-код определенного токена на таком ресурсе сохраняется. Но обычно такое не делают по соображениям безопасности." - полагаю это отслеживать можно в настройках каждого конкретного ресурса/сайт? а настройки браузера могут тут участвовать?
6. Еще раз благодарю за информацию, есть ли какая-либо информация о полном переходе на Rutoken 3.0 взамен Rutoken 2.0? В смысле как долго еще планируется поставка Rutoken 2.0?

Спасибо.

Ответ от Павел Анфимов (2023-07-19 15:39:14 отредактировано Павел Анфимов)

  • Павел Анфимов
  • Администратор
  • Неактивен

Re: консультация по работе и выбору типа токена

Golanov Mark, добрый день!

1. Это разные подходы к разработке ПО. Где-то удобнее запрашивать ПИН перед выполнением всех операций, а где-то исключительно перед теми операциями, что требуют ПИН-кода.
2. Криптопровайдеры могут кешировать ПИН-код. Извлечь значение ПИН из токена, без разрушения целостности чипа невозможно.
3. Аппаратные политики больше подходят предприятиями, где системный администратор подготавливает сотрудникам устройства. Эти политики не дают сотрудникам выставлять слабые ПИН-коды.
4. Работа с неизвлекаемыми ключами без установки программного криптопровайдера возможна на порталах и сервисах: ЛК ИП и ЮЛ ФНС (Windows), Честный знак, ЕГАИС, OFD, Госуслуги, Диадок. В остальных случаях понадобиться программный криптопровайдер, например КриптоПро CSP 5.0 R2.
5. Зависит от реализации механизма кеширования.
6. Отказ от поддержки в ПО Рутокен ЭЦП 2.0 не запланирован.