Ключи электронной подписи - Форум по вопросам информационной безопасности

Товарищи, помогите, пожалуйста разобраться в вопросе.

В общем, на e-mail организации от нашего Удостоверяющего центра пришло письмо такого содержания:

Информируем Вас о том, что в соответствии с Приказом ФСБ от 27.12.2011 № 796 ключи электронной подписи должны быть записаны на носители со встроенной функцией шифрования (токены), такие как Рутокен или eToken. Эти устройства обладают физической надежностью и высокой степенью защиты информации.

Записывать ключи на незащищенные носители ( дискеты, флэшки) ЗАПРЕЩЕНО!
------------------------

Я посмотрела этот приказ. Конечно читала его не настолько детально, поэтому возможно и пропустила, но, в общем не нашла где там сказано, что нельзя записывать закрытые ключи ЭП на обычные флешки.

Ткните носом, пожалуйста, или может быть УЦ просто хочет денег содрать с нас, а на самом деле допускает запись ключей на флешки?

Спасибо!

Так Вы попросите УЦ дать разъяснение на основании какого пункта и какого абзаца вышеупомянутого приказа они делают заключение, что "Записывать ключи на незащищенные носители ( дискеты, флэшки) ЗАПРЕЩЕНО!". Желательно в письменном виде письмо от вас и ответ от них, чтобы не полемизировать с ними.

Но нам с Вами можно :)

Возможно, они опираются на требования из "Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии (версия 4.3)" (http://smev.gosuslugi.ru/portal/api/files/get/1562), в которых говорится:
==Начало цитаты==
12. При выборе программно-аппаратных средств для хранения ключевой информации следует учитывать, что данное средство должно иметь сертификат ФСТЭК России, подтверждающий, что:
 данное устройство является программно-аппаратным средством аутентификации и хранения ключевой информации пользователей в автоматизированных системах до класса защищенности 1Г включительно;
 может использоваться при создании информационных систем персональных данных до 1 класса включительно.
При выборе в качестве программно-аппаратных средств для хранения ключевой информации устройств, реализующих криптографические алгоритмы и протоколы, указанные средства должны соответствовать требованиям приказа ФСБ России № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» в соответствии с утвержденной для информационной системы ОГВ моделью угроз.
==Конец цитаты==

Однако, стоит отметить, что этот документ распространяется на применение в рамках "...межведомственном электронном взаимодействии при предоставлении государственных услуг (исполнении государственных функций) с использованием Единой системы межведомственного электронного взаимодействия (далее – СМЭВ) и региональных систем межведомственного электронного взаимодействия (далее – РСМЭВ).". А дальше уже можно развить полемику в части относится оно к Вам или нет. А еще этот документ носит характер рекомендаций.

Также на форуме КриптоПро (http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=51128#post51128) приводится в пример случай, что при изготовлении криптоключей удостоверяющим центром в отсутствии владельца сертификата на несертифицированный ключевой носитель, можно рассматривать этот случай как компрометацию криптоключей. Согласно 63-ФЗ удостоверяющий центр обязан обеспечить конфиденциальность изготавливаемых криптоключей. Однако, запись криптоключей на сертифицированный носитель лишь уменьшает вероятность компрометации, а не исключает ее.

К тому же, в соответствии с тем же 63-ФЗ (и скорее всего в соответствии с регламентом УЦ), решение о компрометации (нарушении конфиденциальности) криптоключей владелец сертификата принимает самостоятельно "при наличии оснований полагать" это. А Вы, как владелец сертификата, можете всецело доверять вашему УЦ и не считать, что криптоключи, записанные на флешку, были скомпрометированы в момент их изготовления, тем более если Вы присутствовали лично. А при дальнейшем жизненном цикле Ваших криптоключей Вы сами должны обеспечить их конфиденциальность и никому не давать их использовать. А для этого можно использовать не только сертифицированный ключевой носитель, а например хранить флешку в сейфе, соблюдать "чистоту" Вашего компьютера, используя лицензионные антивирусные средства, системы защиты от несанкционированного доступа и т.п.

Елена, отпишитесь тут пожалуйста по итогам "полемики" с УЦ. очень интересно узнать на какой именно пункт вышеназванного вами приказа ваш УЦ ссылается и насколько это обоснованно

Артем
Спасибо за мнение и выдержки из НПА.

Петр
В ближайшее время свяжусь с УЦ и попытаюсь выяснить детали, хотя бы на словах.

В общем по результатам получается следующее:
Представители УЦ несколько дней выясняли. а сегодня позвонили и начали мямлить, что это мол нужно, это обязательно, т.к. ЭП нужно защищать и т.п.
Я говорю, что конечно нужно, но только почему ЭП ОБЯЗАТЕЛЬНО хранить ТОЛЬКО на носителях. с определенным техническими характеристиками, мол в каком НПА это сказано.
Минут на 30 пропали, потом опять звоня и опять начинаю мямлить. В итоге я сама им сказал, что получается это установлено регламентом УЦ и больше мне ничего внятного не сказали.

Но человек, который со мной разговаривал - менеджер. Консультировался он с кем или нет - не знаю, но в его компетенции я совсем не уверена.

Вот так вот в общем.

Поэтому я в серьезном раздумье.(

ИМХО:
Получив документ от контрагента со ссылкой на приказом ФСБ от 27.12.2011 № 796 следует:
1. Ознакомиться с приказом.
2. Понять относится ли этот приказ к вам.
3. Понять чем вам этот приказ грозит (в случае если к вам относится, если не относится то дальше можно ничего не делать).
4. Неофициально согласовать с контрагентом дальнейшие действия.
5. Закрепить неофициальные договоренности обменявшись официальными письмами.
Подозреваю что УЦ нарывается на неприятности. И судя по тому что письмо по электронке а не через официальный документооборот понимает это. И они и вы скорее всего не сможете быстро задействовать встроенные функции шифрования токена.
Сама по себе идея хранить закрытый ключ на токене хорошая а идея использовать токен с неизвлекаемым ключом очень хорошая. Только это не всегда можно реализовать на практике.

2Пессимист:

Ну, про неизвлекаемый (неэкспортируемый) ключ из токена вообще речи не шло. Само по себе это просто отлично, с т.з. безопасности, но плохо с т.з. надежности и доступности. К тому же нигде нет требования делать ключ неэкспортируемым. Если же смотреть глубже, то с т.з. безопасности надо использовать ФКН (функциональный ключевой носитель), который стоит в несколько раз дороже обычного токена (около 2000 руб.), не говоря уже о флешке.

2Елена:

Токен - дело хорошее и не всегда сильно дороже обычной флешки (в пределах 300-400 руб. можно найти). Я знаю несколько УЦ, которые клиентам выдают токены бесплатно.

2Артём:
Фразу "ключи электронной подписи должны быть записаны на носители со встроенной функцией шифрования" я понял как требование использовать токен осуществляющий криптографические операции внутри, это фактически указание использовать ФКН.
Но в тексте приказа ничего подобного напрямую нет, как я понимаю.

Добрый день!

Токены в любом случае будем покупать т.к. в скором будущем будет СМЭВ.
Помогите, пожалуйста, разобраться еще в нескольких вопросах:
1) Если покупать токен, то RuToken или eToken?
2) Можно ли будет с токена самостоятельно с помощью криптопро сделать копию закрытого ключа (в реестр или на флешку), как это делается с обычной флешки или это будет сложнее? А на другой токен?
3) Токен, с точки зрения, использования работает так же как ключ в реестре (на флешке, дискете) или нужно еще дополнительные манипуляции совершать при подписании документа?

Спасибо!

Здравствуйте.
Если необходимо выполнение условия 2), то покупайте РуТокен S или Lite. У еТокенов и руТокен ЭЦП контейнер с ключевой информацией неизвлекаемый, т.е. скопировать закрытый ключ на другой носитель (в реестр) средствами КриптоПро CSP не сможете.
3) работа с токеном аналогичная работе с перечисленными Вами носителями. Есть ограничения по количеству контейнеров (читай закрытых криптоключей), которые можно записать на токен. Зависит от объема памяти токена.