Rutoken или etoken - Форум по вопросам информационной безопасности

Уважаемый Ученик, сертификата на драйвер + ключевой носитель я не вижу. Указанный Вами сертификат соответствия ФСБ России № СФ/111-2750 относится только к прикладному софту.
P.S.: как пример, сертифицированный ФСБ КриптоАРМ без сертификата ФСБ на КриптоПро требованиям не соответствует.

ФСБ выдает сертификаты на средства криптозащиты информации. Если какое-либо аппаратное устройство или ПО, взятое отдельно, не подходит под определение СКЗИ и не соответствует требованиям, то и никакого сертификата у него быть не может )

Конкретнее про матчасть и различия...
1. Сертификации подвергается только программное обеспечение. В составе ПАК (программно-аппаратные комплексы) - это ПО можно назвать прошивкой на борту ПАК. В части Рутокенов, еТокенов и проч. - сертификация и по линии ФСТЭК, и по линии ФСБ - утилиты взаимодействия с аппаратной частью + системное ПО на уровне ОС (драйверы, демоны, службы и т.д.) + системное ПО на уровне аппаратной части (та самая прошивка). Чтобы не было недопонимания, уточню, - как таковое "железо" сертификацию не проходит.
2. НДВ4 не позволяет использовать eToken Pro в ГТ АС в качестве средства идентификации. НДВ3 - позволяет до 3 категории. Об этом различии я и говорил ранее.
3. Аппаратная реализация ГОСТ в Rutoken S, конечно, есть. Только по заявлению Актива, подавляющее большинство современных решений, разработанных совместно с ними другими производителями ориентировано уже на Rutoken ECP. Функционал этого токена больше (на почитать: http://dev.rutoken.ru/pages/viewpage.action?pageId=2228237) и сравним с eToken PRO. А наличие сертификата на НДВ3 все равно не дает возможность использовать Rutoken S как криптосредство в ГТ, ибо класс СКЗИ по ФСБ низковат (и выше не будет ни у Рутокена, ни у еТокена). А с учетом того, что большинство УЦ применяют для генерации и выдачи квалифицированной ЭП КриптоПро в качестве криптопровайдера и категорически не умеют (не хотят) использовать функционал аппаратной криптографии (аппаратных криптопровайдеров), предоставляемый компанией Актив в своей продукции (Рутокены) - eToken, увы, даже в приоритете будет.

Господа. Такая интересная беседа, за что вам большое спасибо, но я конкретно запутался.

Какой же все таки носитель разрешено использовать для квалифицированных ЭП в рамках СМЭВ в ГИС?

Любой из выше перечисленных с сертификатом ФСБ в качестве СКЗИ под нужный вам класс. Класс определяется моделью нарушителя. Орг. и тех. требования к СКЗИ с ЭП вот тут: http://specremont.su/library/normativnyie-i-normativno-metodicheskie-dokumentyi/prikaz-fsb-rf-796-ob-utverzhdenii-trebovanij-k-sredstvam-elektronnoj-podpisi-i-trebovanij-k-sredstvam-udostoveryayushhego-czentra.html.
Функционал и удобство использования, как я уже отмечал выше, связан с политиками удостоверяющего центра, который будет выдавать вам квалифицированную ЭП. На практике некоторые УЦ отказываются работать с аппаратной реализацией криптоалгоритмов, реализованной на борту Рутокен S и Рутокен ЭЦП. + некоторые интернет-площадки, на которых принимается ЭП, работают только через криптопровайдер КриптоПро (опять-таки без поддержки аппаратной криптухи Рутокен). Т.е. в такой ситуации выгоднее покупать и записывать ЭП на eToken - не платить за функционал, который все равно использоваться не будет.
Справедливости ради, отмечу, что Рутокен применим в любых УЦ и на любых площадках без использования КриптоПро и т.п. Но это, увы, сложнее (ибо отличается от повсеместного использования КриптоПро) в реализации процедуры генерирования сертификатов, закрытых и открытых ключей и проч. - поэтому менее распространено.

Stalker | 60750 30.01.2016 10:04
Господа. Такая интересная беседа, за что вам большое спасибо, но я конкретно запутался.

Какой же все таки носитель разрешено использовать для квалифицированных ЭП в рамках СМЭВ в ГИС?

В ГИС любой с сертфикатом ФСТЭК.

to Ученик
Не путайте автора и читающих. Электронная подпись к ФСТЭК России не имеет никакого отношения. Нужен сертификат ФСБ России под требуемый класс СКЗИ. Максимум для чего ключевому носителю ЭП в ГИС (1 и 2 классов) нужен еще и сертификат ФСТЭК России, так это для проверки его функционального/системного программного обеспечения на НДВ по 4 классу. И то не факт, если ключевой носитель исполняет только функции СКЗИ (в данном случае, электронной подписи), а не, к примеру, служит дополнительным средством идентификации и аутентификации пользователей. Криптопровайдеры (тот же КриптоПро) вообще не имеют и не должны иметь сертификатов ФСТЭК России. Потому что в 17 приказе ФСТЭК России по ГИС, дословно, "не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации." В 21 приказе ФСТЭК России по ИСПДн аналогично.

to Stalker
Со СМЭВ плотно сталкиваться не приходилось, но, исходя из метод.рекомендаций 2.4.5 (опубликованы на сайте СМЭВ), должна применяться ЭП аналогично требованиям ЕСИА (Госуслуги). Читаем требования к ЭП на gosuslugi.ru: "При реализации этого механизма используются отечественные стандарты ЭП ... и применяются сертифицированные в системе сертификации ФСБ России средства криптографической защиты информации, такие как «Aladdin e-Token ГОСТ» и «КриптоПро CSP», что дает основания считать данную подпись ... усиленной квалифицированной электронной подписью." Примеры СКЗИ видите сами. Класс СКЗИ, насколько я помню, КС2. От себя отмечу, что Рутокен ЭЦП также взаимодействует с Госуслугами (проверено на практике в прошлом году). Но сейчас у них что-то поломалось (ответа от тех.поддержки Госуслуг пока нет).

Госопда, спасибо. Особенно oko.

Поставщик (между прочим лицензиат ФСТЭК, как минимум) на запрос информации по рутокену и етокену прислал такое:

USB-ключ eToken PRO (Java), защищённая память 72 КБ - 2199 р.
Электронный идентификатор Рутокен S 64 КБ - 1115 р.

По моему это совсем не то, что мне нужно?

------------------------------
Что имем:

От Алладина:
1) eToken PRO (Java)
Сертификат ФСТЭК России № 1883.
Классификация по 4 уровню контроля НДВ.
Сертификата ФСБ, для него, судя по всему нет.

2) USB-ключи и смарт-карты eToken ГОСТ
Сертификат соответствия ФСБ России № СФ/111-2750.
КС1 (исполнение 1) и КС2 (исполнение 2)... создание ЭП, проверка ЭП, создание ключа ЭП, создание ключа проверки ЭП.
Сертификата ФСТЭК на него, судя по всему, нет.

От Актива:
Рутокен S
Сертификат на ПАК Рутокен №2584 ФСТЭК РФ
по 4 уровню контроля НДВ.
Сертификат на СПО Рутокен №1461 ФСТЭК РФ
по 3 уровню контроля НДВ.
Сертификат на СКЗИ Рутокен №СФ/124-2166 ФСБ РФ
СКЗИ класса КС2 может использоваться для шифрования и имитозащиты информации, не содержащей сведений, составляющих государственную тайну.
------------------------------


Возможно я чего-то не понимаю, но из трех приведенных примеров - наиболее предпочтительным является именно Рутокен S от Актива?

Удивительно, что он ещё и стоит дешевле чем eToken PRO (Java).

Коллеги, а по-моему, вопрос о том, нужен ли сертификат для средств ЭП при их использовании в ГИС должен ставиться только в случае, если средство ЭП заявлено (используется) в качестве средства защиты информации в ГИС. Раз это СЗИ - должно быть сертифицировано.
Если же средства ЭП в ГИС выполняют другие функции (т.е. применяются именно для работы с ЭП, по прямому назначению), то с точки зрения 17-го Приказа это обыкновенное прикладное ПО, средством защиты информации не являющееся. Ставьте то, которое вам нужно, разумеется, выполняя требования законодательства к средствам ЭП (а не к СЗИ).

Предпочтительнее, да, но есть нюанс, о котором я уже говорил выше. Давайте еще раз.
Для СМЭВ/ЕСИА (gosuslugi.ru) - почитайте про ЕСИА, кстати, на сайте госуслуг - необходима квалифицированная ЭП. Ее выдает аккредитованный в этом направлении Удостоверяющий центр (их много, можно выбрать по своему региону). Для ее получения вам необходимо:
1. Иметь криптопровайдер и криптоноситель. В случае с Rutoken - в целом достаточно только его, поскольку на борту Рутокена реализован собственный криптопровайдер (аппаратная криптография). В случае с eToken ГОСТ потребуется отдельный криптопровайдер (к примеру, КриптоПро CSP).
2. Криптопровайдер и криптоноситель должны иметь сертификаты только ФСБ России. ФСТЭК России тут ни при чем, поскольку не регулирует вопросы криптографии в стране. Класс средств критозащиты (СКЗИ) должен быть одинаков у криптопровайдера и у криптоносителя. Путем рассуждений ранее пришли к выводу, что это класс КС2.
3. Дополнительно, насколько я знаю, вместо защищенного криптоносителя для ЭП возможно использовать обычный flash-накопитель. При условии, что закрытые ключи хранятся в криптопровайдере на конкретной ПЭВМ. Т.е. использовать ЭП в таком случае возможно будет только с той ПЭВМ, на которой установлен криптопровайдер и имеются ключи шифрования. В случае с тем же Рутокен - полная мобильность. С eToken не знаю, но по логике вещей мобильности не получится (возможно, меня сведущие поправят в дальнейших постах).
Но:
1. Не все УЦ работают с аппаратной криптографией в составе продукции Актива. Большинство все равно делают сертификаты, "понимаемые" только сторонним криптопровайдером. Как правило это программное обеспечение КриптоПро CSP.
2. Рутокен S не позволяет выполнить часть функций ЭП. Посмотрите приведенную мною выше ссылку по сравнению Рутокен S и Рутокен ЭЦП. По-идее вам нужен именно Рутокен ЭЦП. Во всяком случае с ним у меня полгода назад получилось реализовать подключение к ЕСИА. С Рутокен S нет.

Резюмируя:
Вначале найдите УЦ, готовый выдать вам квалифицированную ЭП для подключения к СМЭВ/ЕСИА. По их рекомендациям подберите носитель и криптопровайдер. Если УЦ готов работать с продукцией Актива - берите Рутокен ЭЦП. Не готов - берите eToken ГОСТ + КриптоПро CSP - более того, данная "связка" вообще рекомендована к использованию в ЕСИА. Также обращаю ваше внимание, что на текущий момент времени имеется нерешенная проблема поддержки Рутокен ЭЦП в ЕСИА. В прошлом году такой проблемы не было - очевидно, Ростелеком что-то в ЕСИА "обновил". Но проблема решается - лучше всего обратиться в Актив напрямую, если решите использовать Рутокен ЭЦП.
Вне зависимости от выбора продукция должна иметь действующий сертификат ФСБ России по классу не ниже КС2. Сертификаты ФСТЭК России по НДВ4 нужны только в случае ГИС 1 или 2 класса защищенности + когда криптоноситель используется в системе защиты информации как дополнительное средство идентификации и аутентификации, а не только как СКЗИ.