Режимы работы Рутокена 3.0: форматы контейнеров
Рассмотрим какой выбрать режим работы Рутокен 3.0 при генерации ключей электронной подписи. Этот токен поддерживают три основных режима работы.
- CSP — пассивный ключевой носитель, программная работа через крипотпро
- CS#11 — аппаратная работа на криптоядре токена
- FKC — аппаратная работа на криптоядре с защитой канала связи
Отличие между ними заключается в месте генерации ключевой пары, способе выполнения криптографических операций и уровне защиты канала связи.
📁 Режим CSP (пассивный ключевой носитель)
Рутокен выступает в роли защищённого хранилища ключей, но все криптографические операции (подписание, шифрование) выполняются программно самим криптопровайдером (КриптоПро CSP) на стороне компьютера.
Технические детали: Контейнер с секретными ключами хранится в контейнере на токене. При выполнении любой операции закрытый ключ извлекается из контейнера в оперативную память ПК. Такой ключ считается извлекаемым – его можно скопировать или экспортировать через программные средства. Аутентификация пользователя выполняется через стандартный PIN-код Пользователя Рутокена.
Когда применять: Этот режим стоит выбирать, когда важна максимальная совместимость с любым программным обеспечением, работающим через КриптоПро CSP, и нет жестких требований к неизвлекаемости ключа. Он идеально подходит для старых сервисов и приложений, которые не поддерживают аппаратные вызовы через PKCS#11.
⚡ Режим PKCS#11 (активный ключевой носитель)
Внутри Рутокена находится встроенное «криптоядро» – специализированный чип, способный самостоятельно выполнять криптографические операции. Закрытый ключ никогда не покидает защищённую среду этого чипа.
Технические детали: Генерация ключевой пары производится непосредственно внутри криптоядра токена. Все операции формирования электронной подписи, шифрования и расшифрования выполняются аппаратно на самом устройстве. В оперативную память компьютера передаётся только результат вычислений. Такой подход делает ключи физически неизвлекаемыми – их невозможно украсть, скопировать или экспортировать. Для доступа к операциям используется PIN-код Пользователя Рутокена.
Когда применять: Режим PKCS#11 рекомендуется использовать везде, где безопасность стоит на первом месте. Используется для ЭДО, отчётности, работы с государственными информационными системами и любые сценарии, где важны повышенные требования безопасности для исключения компрометации закрытого ключа. Для использование в ЕГАИС (продажа алкоголя) ключ обязательно должен быть в этом формате
🛡️ Режим FKC (функциональный ключевой носитель с защитой канала)
Это эволюция активного режима PKCS#11, дополненная шифрованием канала связи между токеном и компьютером. Все данные, которыми обмениваются Рутокен и ПК, передаются по защищённому протоколу, что предотвращает их перехват злоумышленником.
Технические детали: Режим FKC реализует протокол аутентификации и обмена данными SESPAKE. PIN-код и все команды передаются только по зашифрованному каналу. Ключи, как и в PKCS#11, генерируются и хранятся внутри криптоядра, являясь неизвлекаемыми.
Важная особенность аутентификации: В режиме FKC используется отдельная система паролей, независимая от стандартных PIN-кодов Пользователя и Администратора Рутокена. При создании первого контейнера ФКН на устройстве задаются:
- ФКН Пароль – используется для доступа к ключам и выполнения операций;
- ФКН PUK – служит для разблокировки ФКН Пароля в случае его блокировки.
Эти пароли не имеют значения по умолчанию и устанавливаются пользователем (или сотрудником удостоверяющего центра) в момент генерации ключей. Они действуют для всех последующих ФКН-контейнеров на данном токене. В отличие от PIN-кода Пользователя, ФКН Пароль нельзя восстановить при утере – только сбросить через ФКН PUK или полностью перевыпустить ключи.
Когда применять: Режим FKC выбирают при самых высоких требованиях к защите. Он обязателен при использовании Рутокена по беспроводному каналу (NFC) или если политика безопасности организации предписывает применение защищённого обмена SESPAKE. Также его рекомендуют для систем, работающих с особо важной конфиденциальной информацией.
📊 Сравнительная таблица режимов
| Характеристика | Режим CSP (пассивный) | Режим PKCS#11 (активный) | Режим FKC (ФКН с защитой канала) |
|---|---|---|---|
| Генерация и хранение ключа | В контейнере на токене (программная генерация через КриптоПро CSP) | Во внутреннем криптоядре Рутокена (аппаратная генерация) | Во внутреннем криптоядре Рутокена (аппаратная генерация) |
| Выполнение операций | Программно, через криптопровайдер на компьютере | Аппаратно, криптоядром Рутокена | Аппаратно, криптоядром Рутокена |
| Доступ к ключу | Извлекаемый (может быть скопирован) | Неизвлекаемый | Неизвлекаемый |
| Защита канала связи | Отсутствует | Отсутствует | Шифрование по протоколу SESPAKE |
| Аутентификация пользователя | Стандартный PIN-код Пользователя Рутокена | Стандартный PIN-код Пользователя Рутокена | Отдельный ФКН Пароль (независим от PIN-кодов токена) |
| Восстановление доступа | Через PIN-код Пользователя или Администратора | Через PIN-код Пользователя или Администратора | Только через ФКН PUK (при его наличии) |
| Рекомендуемый сценарий | Максимальная совместимость с сервисами и приложениями через КриптоПро CSP | Высокая безопасность, работа через PKCS#11, отсутствие требований к защите канала. Работа с ЕГАИС. |
Максимальная безопасность, обязательное шифрование канала (особенно для NFC/Bluetooth) с независимой аутентификацией |
Итоговая рекомендация: Если ваше приложение работает через КриптоПро CSP и не требует неизвлекаемости ключа – используйте режим CSP. Когда нужна аппаратная защита и поддержка PKCS#11 – выбирайте PKCS#11. Для самых строгих систем безопасности, особенно с беспроводным подключением или требованиями к изоляции аутентификации ключей, предпочтителен режим FKC с его отдельным ФКН Паролем и шифрованием канала.