консультация по работе и выбору типа токена

Приветствую.
Уточните пожалуйста
1) планируется ли выпуск версии Драйвера Рутокена в которой для доступа к информации по токену надо сначала ввести PIN-код?
Например, в nix-версиях драйвера для просмотра содержимого токена надо сначала ввести PIN.
В вот в Windows-версии ввод PIN кода требуется только когда надо форматировать токен. Соответственно просматривать содержимое токена можно свободно.
2) насколько защищен введенный сохраненный PIN в настройках токена от взлома? как происходит сброс блокировки при нескольких неудачных попытках ввода?
3) если ли какие-либо принципиальные отличия в настройках и ввода PIN между Rutoken 2.0 и Rutoken 3.0?
4) где можно посмотреть список ресурсов на которых может использоваться личная ЭЦП на Rutoken, для подписания каких-либо документов?
5) возможны ли ресурсы или какие-то категории документов которые не потребуют ввода PIN в процессе подписания? например, если на таких ресурсах есть настройки возможности подписания с помощью ЭЦП без запроса PIN, применится ли такая настройка, даже если на самом токене установлен нестандартный персональный PIN? Или будет требовать ввода PIN всегда и в любом случае?
6) есть ли какая-либо принципиальная разница в записи КЭП ФЛ для работы ЕГАИС (в рамках внедрения МЧД) между Rutoken 2.0 и Rutoken 3.0?

Спасибо.

Re: консультация по работе и выбору типа токена

Golanov Mark, добрый день.
1. Нет, такой версии не планируется. В nix системах так же доступна информация об объектах на токене без ввода пин-кода. Отображаются сертификаты и открытые ключи. Закрытые ключи отображаются только после ввода пин-кода. Все что видно на токене без ввода пин-кода - это открытая информация. Подписать без ввода пин-кода невозможно.
2. Сохраненный пин-код где? В самом токене? Или в каком-то ПО?
При блокировке пин-кода пользователя, администратор может разблокировать пин-код. И станут доступны еще несколько попыток ввода. Условно снимается флаг "заблокирован".
3. В семействе Рутокен ЭЦП 3.0 появились дополнительные аппаратные политики пин-кодов. Изменить их можно с помощью утилиты rtadmin https://dev.rutoken.ru/pages/viewpage.a … Id=7995615
По ссылке выше в таблице указаны эти дополнительные политики.
4. Мы не ведем такую статистику. Личная ЭЦП - это неквалифицированная?
5. На ресурсах может стоять политика "Кешировать пин-код". В этом случае пин-код определенного токена на таком ресурсе сохраняется. Но обычно такое не делают по соображениям безопасности.
Настроить возможность подписания документов без ввода пин-кода хотя бы один раз(чтобы его закешировать) невозможно. Не будет доступа к закрытому ключу.
Поэтому пин-код должен запрашиваться каждый раз.
6. Нет, для ЕГАИС различий между ЭЦП 2.0 и 3.0 не будет. Внедрение МЧД - это вопрос к разработчикам ЕГАИС. Токены про МЧД не знают.

Re: консультация по работе и выбору типа токена

1. "В nix системах так же доступна информация об объектах на токене без ввода пин-кода." - никак нет. в NIX-системе без ввода PIN-кода Панель управления рутокен вообще не впускает (на проваливается) в основное меню. См. прикрепленные скриншоты.https://forum.rutoken.ru/uploads/images/2023/07/52bf6671a59b8b4aa38fbfea8df28b06.jpg
https://forum.rutoken.ru/uploads/images/2023/07/271f25ea9745079c1d52852fc97da50d.jpg
https://forum.rutoken.ru/uploads/images/2023/07/4b83cc63a1663b96a4a8fe63beb0b421.jpg
Очень хотелось бы такое настроить и на Windows-версии Панели управления.
2." Сохраненный пин-код где? " - имелось внутри токена.
"Или в каком-то ПО?" - а что есть некие отдельные ПО которые могут у себя сохранять PIN?
3. "В семействе Рутокен ЭЦП 3.0 появились дополнительные аппаратные политики пин-кодов" - спасибо за информацию. Насколько изменение таких политик целесообразно при условии изначального применения большого (длинного) PIN кода?
4. "Личная ЭЦП - это неквалифицированная?" - да, в данном случае, я подразумеваю КЭП - квалифицированную электронную подпись физического лица (ФЛ). Интересует в каких текущих системах/ресурсах возможно ее применение для подписания документов. Я имею ввиду не ЕГАИС, а например, работа с оформлением документов связанных с недвижимостью или другой любой собственностью. Если у Вас нет информации, можете ли подсказать, где ее искать/посмотреть, пожалуйста.
5. "На ресурсах может стоять политика "Кешировать пин-код". В этом случае пин-код определенного токена на таком ресурсе сохраняется. Но обычно такое не делают по соображениям безопасности." - полагаю это отслеживать можно в настройках каждого конкретного ресурса/сайт? а настройки браузера могут тут участвовать?
6. Еще раз благодарю за информацию, есть ли какая-либо информация о полном переходе на Rutoken 3.0 взамен Rutoken 2.0? В смысле как долго еще планируется поставка Rutoken 2.0?

Спасибо.

(2023-07-19 15:39:14 отредактировано Павел Анфимов)

Re: консультация по работе и выбору типа токена

Golanov Mark, добрый день!

1. Это разные подходы к разработке ПО. Где-то удобнее запрашивать ПИН перед выполнением всех операций, а где-то исключительно перед теми операциями, что требуют ПИН-кода.
2. Криптопровайдеры могут кешировать ПИН-код. Извлечь значение ПИН из токена, без разрушения целостности чипа невозможно.
3. Аппаратные политики больше подходят предприятиями, где системный администратор подготавливает сотрудникам устройства. Эти политики не дают сотрудникам выставлять слабые ПИН-коды.
4. Работа с неизвлекаемыми ключами без установки программного криптопровайдера возможна на порталах и сервисах: ЛК ИП и ЮЛ ФНС (Windows), Честный знак, ЕГАИС, OFD, Госуслуги, Диадок. В остальных случаях понадобиться программный криптопровайдер, например КриптоПро CSP 5.0 R2.
5. Зависит от реализации механизма кеширования.
6. Отказ от поддержки в ПО Рутокен ЭЦП 2.0 не запланирован.

Re: консультация по работе и выбору типа токена

Здравствуйте! Помогите, пожалуйста, разобраться и определиться с выбором токена.
Подпись нужна будет для налоговой и для участия в торгах и закупках. Я правильно понимаю, что для токенов со встроенным СКЗИ не требуется установка КриптоПро? Или список сервисов, которыми я могу пользоваться без программы, ограничен? Влияет ли на это тип сертификата (ФСТЭК или ФСБ)?
Есть ли у вас в линейке продукции токены, которыми я смогу пользоваться на всех ресурсах без КриптоПро? Заранее большое спасибо!

(2024-02-01 11:09:01 отредактировано Николай Киблицкий)

Re: консультация по работе и выбору типа токена

Здравствуйте Анна И..

Анна И. пишет:

Я правильно понимаю, что для токенов со встроенным СКЗИ не требуется установка КриптоПро? Или список сервисов, которыми я могу пользоваться без программы, ограничен? Влияет ли на это тип сертификата (ФСТЭК или ФСБ)?
Есть ли у вас в линейке продукции токены, которыми я смогу пользоваться на всех ресурсах без КриптоПро?

Использование программы КриптоПро CSP в основном зависит от требований площадок на которых вы планируете работать. То есть если сервисы в которых планируется работать использую ПО Криптопро, то и вам на своем рабочем месте придется устанавливать эти программы.
На сколько нам известно сервисы торгов и закупов используют ПО Криптопро. Поэтому без КриптоПро CSP не обойтись.

Re: консультация по работе и выбору типа токена

Николай, спасибо за ответ!
Если я приобрету Рутокен Лайт без СКЗИ, то смогу ли я хотя бы сдать документы в налоговую без КриптоПро?

Re: консультация по работе и выбору типа токена

Анна И. пишет:

Если я приобрету Рутокен Лайт без СКЗИ, то смогу ли я хотя бы сдать документы в налоговую без КриптоПро?

Нет, не сможете. На носители Рутокен Litу чаще всего записывают ключи электронных подписей как раз через КриптоПро CSP и без нее они вообще не работают.