Какой Rutoken выбрать?

добрый день

подскажите пожалуйста по такой схеме:

1. есть корпоративный УЦ на базе "КриптоПро УЦ"
2. планируется использовать ЭП в ИС для согласования и утверждения КД
3. в ИС реализована поддержка ЭП (PKI) с поддержкой стандартов RSA/SHA

можно ли использовать (и если да - то какой) Rutoken для защищенного хранения закрытых ключей пользователей ИС если все алгоритмические преобразования происходят на стороне ИС?

Re: Какой Rutoken выбрать?

creeper пишет:

добрый день

подскажите пожалуйста по такой схеме:

1. есть корпоративный УЦ на базе "КриптоПро УЦ"
2. планируется использовать ЭП в ИС для согласования и утверждения КД
3. в ИС реализована поддержка ЭП (PKI) с поддержкой стандартов RSA/SHA

можно ли использовать (и если да - то какой) Rutoken для защищенного хранения закрытых ключей пользователей ИС если все алгоритмические преобразования происходят на стороне ИС?

Добрый день!

Если будет использоваться подпись на RSA, рекомендуем применять Рутокен ЭЦП PKI (https://www.rutoken.ru/products/catalogue/info_75.html)
либо смарт-карты Рутокен ЭЦП SC (https://www.rutoken.ru/products/catalogue/info_64.html)

Re: Какой Rutoken выбрать?

да, подпись на RSA
но важно ли это, учитывая что подпись на стороне ИС?

Re: Какой Rutoken выбрать?

creeper пишет:

да, подпись на RSA
но важно ли это, учитывая что подпись на стороне ИС?

В каком смысле подпись на стороне ИС? Пользователь подписывает что-то своим ключом?

Re: Какой Rutoken выбрать?

пользователь подписывает своим ключом, но генерация подписи по алгоритму происходит на сервере ИС.
с учетом этого я и хотел уточнить - есть ли принципиальная разница в выборе типа носителя?

главное требование, что бы ключ имел дополнительную защиту по пин-коду.

Re: Какой Rutoken выбрать?

creeper пишет:

пользователь подписывает своим ключом, но генерация подписи по алгоритму происходит на сервере ИС.
с учетом этого я и хотел уточнить - есть ли принципиальная разница в выборе типа носителя?

главное требование, что бы ключ имел дополнительную защиту по пин-коду.

То есть приватный ключ отправляется на сервер, где происходит непосредственно вычисление подписи? Я правильно понял? Если так, это как-то совсем неправильно. Подпись со стороны пользователя должна вычисляться в его сеансе на его машине или терминале.
Если нужно устройство, которое просто хранило бы контейнер с ключами и сертификатом и отдавало его в приложение по PIN-коду, то это Рутокен Lite.
Однако я бы рекомендовал задуматься о принципиальном изменении подхода, который заключается в вычислении подписи на токене, на неизвлекаемом ключе подписи. Иначе существуют риски дублирования ключа подписи и проблемы с неотрекаемостью.