Рутокен или криптопро что выбрать
Сравнение JaCarta и Рутокен
Из нашей статьи вы узнаете:
Рутокен, eToken или JaCarta — когда встаёт вопрос о выборе носителя электронной подписи, сделать этот выбор бывает затруднительно, так как все они имеют схожие функции.
В этой статье мы проведём сравнение носителей JaCarta и Рутокен по основным характеристиками. В конце подведём итог и ответим на вопрос: «Что лучше: Рутокен или JaCarta?».
Сравнение Рутокен и JaCarta по основным характеристикам
Сравнивать JaCarta и Рутокен мы будем по основным характеристикам: внешнему виду, объёму памяти и ценам. Оба семейства носителей электронной подписи являются отечественными, поэтому их сравнение вполне обоснованно.
Внешний вид не влияет на работу носителя, но иногда он может стать решающим фактором, а производитель может либо вызывать доверие, либо наоборот. С этого мы и начнём.
Производитель
Производителем носителей JaCarta является российская компания «Аладдин Р.Д.». Она предлагает клиентам токены, смарт-карты, мобильные приложения, программное обеспечение для компьютера и другие продукты и решения.
Средства аутентификации и электронной подписи под названием «Рутокен» представлены отечественной компанией «Актив». Кроме идентификаторов Рутокен, эта компания выпускает ключи защиты Guardant, а также занимается заказной разработкой.
Внешний вид
Сравнивать два семейства носителей по внешнему виду сложно, так как оба семейства имеют множество продуктов, каждый из которых имеет собственный дизайн, цвет и особенности формы.
Продукты Рутокен могут быть представлены в белом, красном и синем цвете, при этом на лицевой стороне носителя будет нанесено название продукта в фирменном стиле, например, «Рутокен ЭЦП 2.0 Flash».
Дизайн смарт-карт и токенов JaCarta выглядит более проработанным, а пластик, из которого он сделан, не кажется дешёвым. Большая часть продуктов выполнена в сочетании двух цветов, обычно это чёрный с дополнительным цветом, например, оранжевым. Но встречаются также носители с однотонной расцветкой, например, «JaCarta SF/ГОСТ» гранатового цвета.
Как мы уже сказали, внешний вид не влияет на внутренние характеристики, поэтому этот параметр важен только для эстетического восприятия продукта.
Объём защищённой памяти
Этот параметр имеет большее значение, чем прошлый, так как напрямую влияет на то, сколько электронных подписей вы сможете хранить на защищённом носителе. Но тут нужно понимать, что у «Аладдин Р.Д.», что у «Актив» много разных продуктов, а значит и объём памяти у них будет варьироваться. Приведём конкретные примеры.
JaCarta-2 SE — 144 Кб
JaCarta-2 ГОСТ — 50 Кб
Rutoken Lite — 64 Кб
Рутокен ЭЦП 2.0 — 128 Кб
Но если обобщить все имеющиеся носители, то получится, что JaCarta может иметь объём защищённой памяти от 32 Кб до 144 Кб, а Рутокен — от 32 Кб до 128 Кб. Стоит упомянуть, что одна и та же модель может выпускаться с различным количеством памяти по запросу покупателя.
Программное обеспечение и поддержка операционных систем
Немаловажным является ещё пара моментов: какие системы будут поддерживать работу с носителем и какое программное обеспечение выпускается для этой задачи.
JaCarta поддерживается на всех системах Windows начиная с XP, а также на Mac OS и GNU/Linux. «Аладдин Р.Д.» также разработало специальное программное обеспечение для работы со всеми носителями JaCarta — «Единый клиент JaCarta».
Рутокен также поддерживается на большинстве систем, включая Windows, Mac OS и GNU/Linux. Но драйверы нужно скачивать и устанавливать по отдельности в отличие от JaCarta. Тем не менее некоторым моделям Рутокен вообще не требуется инициализация драйверов для работы.
Дополнительные опции
Дополнительные опции могут быть следующими: расширенные объём карты памяти, специальные проверки и исследования токенов, голографические наклейки и т.д. Их особенность состоит в том, что они не обязательны для работы устройства, но при этом могут улучшить её.
Чтобы заказать JaCarta с дополнительными опциями, при заказе вам нужно будет уточнять эти моменты с менеджером. Возможность самостоятельной настройки опций при заказе на сайте отсутствует.
Рутокен даёт возможность выбрать дополнительные опции (дополнительную флеш-память и RFID-метку) в качестве отдельной позиции при заказе на сайте. В вопросе удобства здесь Рутокен одерживает победу.
Сравнивать токены по цене сложно: что у «Аладдин Р.Д.», что у «Актив» есть большое количество продуктов, функции которых схожи, но имеют мелкие отличия. Но можно попробовать провести сравнение аналогичных товаров.
Цены актуальны на октябрь 2021 года.
Сложность в сравнении токенов вызвана не только различающимися функциями, но и порядком продажи. Рутокен, например, на официальном сайте некоторые позиции продаёт только от 10 штук, при этом в комплектацию может входить обязательная документация, стоимость которой тоже будет прибавлена.
Как выбрать носитель
Покупать носитель можно только у производителя, либо официального дилера, который имеет лицензию на его выпуск и продажу. Сам выбор должен исходить из потребностей. Приведём примеры.
Если вы пользуетесь ноутбуком, то удобнее будет пользоваться компактным носителем. И JaCarta, и Рутокен выпускаются в укороченных форм-факторах, которые не сильно выступать за пределы корпуса.
Если вы используете большое количество электронных подписей, то вам нужен носитель с увеличенным объёмом защищённой памяти. Напомним, что максимальный объём у Рутокена 128 Кб (вмещает 31 контейнер), а у JaCarta — 144 Кб.
У носителей JaCarta и Рутокен различия не принципиальны, и каждая из компаний может предложить продукт, который закроет ваши потребности.
Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ
Введение
Традиционно под токенами понимаются портативные устройства, которые содержат во внутренней памяти «секрет» (криптографические ключи, сертификаты, пароли). Это могут быть смарт-карты, SIM-карты, USB-устройства на основе смарт-карт и др. Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр.
Обычно токен оснащен защищенным микропроцессором, операционной системой, ядром для исполнения криптографических алгоритмов, защищенным хранилищем чувствительных данных («секрета»), одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.
С использованием токенов в зависимости от их функциональных особенностей может быть реализовано множество функций безопасности:
Даже из приведенного краткого описания видно, что за понятием «токен» кроется обширное множество решений. Они могут различаться почти во всех отношениях, начиная от форм-фактора изделия и заканчивая ограничениями на среду его функционирования. Оборотная сторона разнообразия — трудный выбор.
Как показывает опыт, разночтения есть даже в самом понимании сущности токена. Иногда потребитель рассчитывает на наличие несвойственных токену функций — например, возможности защищенного хранения пользовательских данных. Или может не принимать во внимание имеющиеся ограничения (поддерживаемые интерфейсы встраивания; операционные системы, в которых может работать токен; поддерживаемые криптографические алгоритмы и др.). Зачастую игнорируются упомянутые выше требования российского законодательства, предписывающие применение только сертифицированных средств защиты информации.
Наконец, производитель порой выбирает настолько сложную схему сертификации изделия, что неискушенному человеку трудно разобраться в ней. Список факторов, влияющих на выбор, широк.
При существующем положении вещей полезно иметь компактный справочник с указанием основных характеристик, функциональных возможностей и ограничений токенов. Особенно наглядна такая информация в виде сравнительной таблицы — она представляет сведения о каждом токене в удобной форме и позволяет сравнить токены разных производителей между собой.
Методология сравнения токенов
Сведения, представленные в рамках сравнения, включают:
Параметры сравнения выбирались таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывалось как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:
Оценка токенов согласно выбранным параметрам производилась на основании сведений из открытых источников, уточненных производителями решений по нашей просьбе. Авторы сравнения старались, чтобы сведения были максимально полными и достоверными. Но реалии таковы, что полностью исключить возможность ошибки нельзя. Поэтому мы готовы внести в материал коррективы, которые помогут повысить его качество.
При использовании сравнительной таблицы следует принять в расчет ряд оговорок частного характера:
В сравнении мы намеренно не делаем выводов, не выделяем продукты и производителей. Этот материал следует расценивать как сводку информации о токенах, без замалчиваний и преувеличений. Окончательный выбор всегда остается за потребителем, поскольку только он способен адекватно оценить значимость каждого показателя в выборе токена в своем, частном случае.
Благодарим за активное участие в создании статьи:
Владимира Иванова, директора по развитию компании «Актив»
Антона Кузнецова, ведущего менеджера по развитию продуктов компании «Аладдин Р.Д.»
Максима Садовского, ведущего специалиста компании «Валидата»
Илью Моргасова, генерального директора компании «Инфокрипт»
Извлечение ключа из токена с неизвлекаемым ключом
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Конфигурация тестового стенда
Методика тестирования
Проведение тестирования
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Особенности использования ЭЦП на «Рутокене»
«Рутокен ЭЦП 2.0» – это серия устройств для хранения ключей и сертификата электронной подписи (ЭП). Носитель обеспечивает надежную защиту конфиденциальной информации. Для получения ЭП нужно обратиться в удостоверяющую компанию.
Что такое «Рутокен»
Термин Rutoken состоит из 2 частей:
Линейка аппаратных средств представлена несколькими разновидностями токенов и смарт-карт. Это устройства для хранения информации – ключей и сертификата электронной подписи, удостоверений, лицензий, паролей и др.
От простых флеш-накопителей и карт памяти они отличаются наличием чипа, выполняющего следующие функции:
.jpg "Рутокен или криптопро что выбрать. Смотреть фото Рутокен или криптопро что выбрать. Смотреть картинку Рутокен или криптопро что выбрать. Картинка про Рутокен или криптопро что выбрать. Фото Рутокен или криптопро что выбрать")
Сравнение с «Рутокеном S»
«Рутокен С» – это еще одна серия носителей от компании «Актив». Отличие от рассматриваемой линейки состоит в том, что для работы с устройством нужно устанавливать драйвер. «Рутокен ЭЦП 2.0» в этом не нуждается: носители данного типа используют штатный модуль CCID ОС Windows Vista и более новых версий. На старые операционные системы, например Windows XP, расширение CCID устанавливают отдельно.
«Рутокен С» – самая надежная и дорогая разновидность токенов и смарт-карт. Носители отвечают наиболее строгим критериям безопасности, установленным стандартами РФ, и в основном используются в государственных корпорациях.
Сфера применения «Рутокена ЭЦП 2.0» – цифровые системы оборота документов, удаленный банкинг, ЕГАИС.
Основные моменты работы с «Рутокеном ЭЦП 2.0»
Главные функции устройства – хранение и применение электронной подписи.
Она состоит из таких элементов:
Заверение документа электронной подписью дает такой результат:
ЭЦП выдают удостоверяющие центры.
Чтобы ее применить, нужно установить на компьютер специальную программу. В случае с «Рутокеном» это «КриптоПро CSP».
Где купить «Рутокен» и ЭЦП
Выгоднее всего приобретать носители на официальном сайте – rutoken.ru.
Также здесь можно заказать:
Носители продают партиями от 10 шт. Пользователям, желающим приобрести продукцию поштучно, производитель предлагает обратиться к одному из партнеров. Список для своего города можно увидеть здесь же, на сайте.
Например, в Москве с компанией «Актив» сотрудничают такие фирмы (указаны не все):
Инструкция по настройке «Рутокена»
Установку и настройку носителя производят в таком порядке:
Когда система предложит задать ПИН-код, вводят «12345678». Далее нужно скачать и установить на ПК программу «КриптоПро».
Как установить сертификат ЭЦП
Есть несколько способов установки сертификата.
В первом случае поступают так:
Перед тем как установить сертификат ЭЦП на компьютер этим способом, убедитесь, что он имеется в контейнере на «Рутокене», иначе в «Панели управления» отобразится пустая ключевая пара без удостоверения.
Копирование через «КриптоПро»
Во втором случае используют программу «КриптоПро»:
.jpg "Рутокен или криптопро что выбрать. Смотреть фото Рутокен или криптопро что выбрать. Смотреть картинку Рутокен или криптопро что выбрать. Картинка про Рутокен или криптопро что выбрать. Фото Рутокен или криптопро что выбрать")
Как скопировать ЭЦП на флешку
В случае повреждения токена, а также для передачи другому лицу подпись дублируют на флеш-карту.
Если подписывать документы приходится часто, делать это с помощью токена или флеш-карты становится неудобно. ЭП копируют в реестр Windows.
Действуют в той же последовательности, что и в случае с флеш-накопителем. Только в последнем окне пунктом назначения вместо сменного носителя указывают «Реестр».
Этот способ неудобен, если подписью пользуются несколько человек. Кроме того, после поломки жесткого диска или переустановки операционной системы выпуск сертификата придется повторить.
Копирование ЭП из реестра
Если стандартными способами скопировать подпись не удалось, ее извлекают из реестра.
Адрес нужной ветки зависит от разрядности Windows:
В результате данные о контейнере попадают в реестр.
Пользователю остается установить личный сертификат с помощью программы «КриптоПро CSP» вручную.
Установка сертификата ЭЦП с «Рутокеном»
Инсталлировать удостоверение можно и через команду «Посмотреть сертификаты в контейнере» во вкладке «Сервис» программы «КриптоПро».
После ее запуска делают следующее:
Перед тем как скопировать ЭЦП этим способом, убедитесь в наличии контейнера с сертификатом на токене, иначе «КриптоПро CSP» выдаст сообщение об отсутствии открытого ключа в контейнере закрытого кода.
Установка ЭЦП с флешки на компьютер
Инсталляцию подписи с флеш-накопителя производят так:
После этого подпись появляется в компьютере.
Если окно с выбором считывателя не отобразилось, поступают так:
Как перенести контейнер на «Рутокен»
Перенос тоже выполняют с помощью программы «КриптоПро CSP»:
.jpg "Рутокен или криптопро что выбрать. Смотреть фото Рутокен или криптопро что выбрать. Смотреть картинку Рутокен или криптопро что выбрать. Картинка про Рутокен или криптопро что выбрать. Фото Рутокен или криптопро что выбрать")
Проверка срока действия «Рутокена ЭЦП 2.0»
Чтобы выяснить конечную дату действия подписи, делают так:
Отображается окно с информацией об ЭП, в т.ч. сроке ее действия.
Другой способ предусматривает использование браузера Internet Explorer:
Рядом отображается срок его действия.
Удаление сертификата с «Рутокена»
Устаревший сертификат деинсталлируют в таком порядке:
Возможные проблемы с ЭЦП на «Рутокене»
Программа «КриптоПро» может не увидеть на «Рутокене» или ином носителе файлы закрытого ключа (он имеет расширение *.key). Это значит, что их записали в корневой каталог или во вложенную папку. Чтобы исправить ошибку, переместите файлы в папку первого уровня.
Если при попытке воспользоваться подписью появляется сообщение «На носителе Рутокен ЭЦП не найдено ни одного сертификата», причиной могут быть:
В первом случае проблему решают переустановкой утилиты, во втором – покупкой нового носителя, в третьем – заменой операционной системы.
Получаем подпись в ФНС: как выбрать носитель
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Как работать с носителями
Порядок получения электронной подписи на токен выглядит следующим образом:
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Какие могут возникнуть ошибки
Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.
Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.