Коротко:
- Флешка — обычный носитель файлов. USB‑токен — средство электронной подписи.
- Активный токен: генерирует и хранит закрытый ключ внутри и сам выполняет криптооперации (ГОСТ), закрытый ключ не извлекается.
- Пассивный токен: служит защищённым контейнером/памятью, криптооперации выполняет компьютером через ПО; ключ может покидать устройство.
USB-токен или флешка: в чём разница
На вид они почти одинаковы: небольшие устройства, которые вставляются в USB-порт компьютера. Но для работы с электронной подписью (ЭП) разница между обычной флешкой и USB-токеном принципиальна. Она заключается в уровне безопасности и самом принципе работы.
Флешка
Когда вы сохраняете ключ электронной подписи на флешку, вы просто записываете на неё файлы (обычно с расширением .key). Это так же, как сохранить фотографию или текстовый документ.
— Безопасность: Низкая. Файл с ключом можно легко скопировать с флешки на компьютер или любую другую флешку. Если вы потеряете накопитель или в ваш компьютер проникнет вирус, злоумышленник сможет украсть ключ и подписывать документы от вашего имени.
— Принцип работы: Компьютер считывает файл с ключом с флешки и проводит все операции по подписанию документа с помощью специальной программы (криптопровайдера).
USB-токен
USB-токен (или просто токен) — это специальное защищённое устройство. Его главная задача — безопасно хранить закрытый ключ электронной подписи и выполнять криптографические операции.
Пассивный USB-токен
Пассивные токены (например, Рутокен Lite, JaCarta LT). Это наиболее распространённый и доступный вариант. Они надёжно хранят ключ, но для выполнения самой операции подписания используют вычислительные ресурсы компьютера и установленного на нём криптопровайдера (например, КриптоПро CSP).
— Безопасность: Средняя. Ключ подписи генерируется программно — криптопровайдером.
— Принцип работы: Когда вы подписываете документ, ключ загружается из токена в память компьютера, а подписание выполняет программный криптопровайдер.
— Дополнительная защита: Доступ к ключу на токене защищён PIN-кодом. Если ввести его неверно несколько раз подряд (обычно 5-10 попыток), токен блокируется. Это защищает от подбора пароля.
Активный USB-токен
Активные токены (например, Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ). Это более продвинутые и дорогие устройства. У них есть собственный криптографический процессор, который выполняет все вычисления прямо на борту токена. Это обеспечивает ещё более высокий уровень безопасности, так как чувствительные операции не зависят от среды операционной системы компьютера, которая может быть скомпрометирована.
— Безопасность: Высокая. Ключ подписи генерируется и хранится внутри защищённого чипа токена (Активные токены). Самое главное — этот ключ невозможно скопировать или извлечь из токена. Он никогда не покидает устройство.
— Принцип работы: Когда вы подписываете документ, компьютер отправляет на токен не сам ключ, а лишь запрос на подпись (хэш документа). Токен внутри себя выполняет операцию подписания с помощью неизвлекаемого ключа и возвращает результат обратно.
— Дополнительная защита: Доступ к ключу на токене защищён PIN-кодом. Если ввести его неверно несколько раз подряд (обычно 5-10 попыток), токен блокируется. Это защищает от подбора пароля.
Все токены, которые используются для квалифицированных электронных подписей в России, проходят сертификацию ФСТЭК или ФСБ. Это подтверждает, что они соответствуют государственным стандартам безопасности.