Что такое защищенный носитель ключевой информации?

Защищенный носитель ключевой информации представляет собой устройство, предназначенное для безопасного хранения ключей ЭП. По сути это аппаратно-программное средство ЭП, выполненное в виде токена – USB-устройства (внешне похожего на флешку) или смарт-карты (пластиковой карты с чипом). Особенности защищенных носителей:

• Обеспечивают неизвлекаемость секретного (личного) ключа ЭП. Секретный ключ никогда не покидает носитель. Таким образом, ключ существует в единственном экземпляре и копирование ключа невозможно.
• Генерация ключа и все операции с ним выполняются внутри носителя. При подписании документ передается в носитель, вычисление ЭП проводится внутри носителя.
• Канал защищен паролем доступа. Ограничения на количество попыток подбора пароля: 7 раз. Это защищает ключ от несанкционированного использования в случае потери носителя.

В чем различие между защищенным носителем и флешкой, на которую установлен пароль?

Защищенный носитель (токен) имеет главное и принципиальное отличие: ключ ЭП генерируется в памяти токена и никогда его не покидает. Подписание документа происходит внутри токена.

На зашифрованной флешке после введения пароля данные доступны, как и на обычном диске. Никаких операций с ключом она не выполняет, так как не рассчитана на это.

К сожалению, некоторые государственные предприятия используют для хранения ключей флеш-накопители с возможностью создания шифрованного раздела и аргументируют это тем, что в действующем законодательстве не прописано, каким именно должен быть защищенный носитель.

Эта информация не соответствует действительности. В статье 1 Закона Украины "Об электронных доверительных услугах" есть такие определения:

• Средство квалифицированной электронной подписи или печати - аппаратно-программное или аппаратное устройство или программное обеспечение, реализующее криптографические алгоритмы генерации пар ключей и/или создания квалифицированной электронной подписи или печати, и/или проверки квалифицированной электронной подписи или печати, и/или хранения личного ключа квалифицированной электронной подписи или печати, которое отвечает требованиям этого Закона;
• Средство усиленной подписи или печати - аппаратно-программное или аппаратное устройство или программное обеспечение, реализующее криптографические алгоритмы генерации пар ключей и/или создания усиленной электронной подписи или печати, и/или проверки усиленной электронной подписи или печати, и/или хранения личного ключа усиленной электронной подписи или печати;

Итак, законом явно предусмотрено, что носитель должен иметь экспертное заключение и не должен предоставлять возможности непосредственного доступа к ключам. И в Постановлении №749 также сказано, что средство КЭП должно иметь экспертное заключение.

Флешка, на которой установлен пароль, не соответствует этим требованиям, и следовательно, не может использоваться для хранения ключей КЭП (ЭЦП) вместо защищенного носителя.

Для кого обязательно использование защищенных носителей?

На основании требований статьи 18 Закона Украины "Об электронных доверительных услугах", который вступил в силу с 07.11.2018 года, квалифицированная электронная подпись или печать считается прошедшей проверку и получившей подтверждение, если при проверке с помощью квалифицированного сертификата электронной подписи или печати получено подтверждение того, что личный ключ, который принадлежит подписанту или владельцу электронной печати, хранится в средстве квалифицированной электронной подписи или печати.

Обращаем внимание!

В соответствии со статьей этого закона всем владельцам квалифицированной электронной подписи (КЭП) рекомендуем в дальнейшем использовать защищенные носители информации (токены) для обеспечения надежного хранения собственных КЭП (ЭЦП).

Нотариусы, государственные регистраторы обязаны использовать защищенные носители в соответствии со статьей 17 Закона "Об электронных доверительных услугах". Органы государственной власти, местного самоуправления и предприятия государственной формы собственности обязаны использовать защищенные носители в соответствии с постановлением КМУ №749 от 07.11.2018 года.

Начиная с 16.04.2019 г., в контролирующих органах включена проверка наличия отметки о хранении КЭП подписанта на защищенном носителе информации. Информация о хранении личного ключа в средстве квалифицированной электронной подписи или печати содержится в сертификате. В случае, если документ поступил от подписчика в контролирующий орган с КЭП, который не сохраняется на токене, то ему приходят квитанции об обработке его документов и отчетности с предупреждением. На сегодняшний день это предупреждение никоим образом не влияет на принятие и обработку электронной отчетности. Цель этого сообщения - заранее уведомить всех о необходимости в дальнейшем использовать защищенные носители личных ключей.

Рекомендуем уже сейчас позаботиться о записи ваших КЭП на защищенные носители информации! Использование защищенных носителей гораздо безопаснее, чем хранение ключей в файлах. Поэтому с введением обязательного требования использования защищенных носителей для органов государственной власти и других, одновременно отменяется ограничение на использование ЭП для заключения договоров на сумму более 1 млн. грн.

Можно ли работать с защищенным носителем как с флешкой?

Нет, защищенный носитель не определяется операционной системой как диск и работать с ним как с флешкой невозможно. Исключением являются носители с дополнительной флэш-памятью, например, Автор Secure Token 337F

Чем отличаются различные виды защищенных носителей «Автор»?

Носители Автор Secure Token 337M и Автор Secure Token 337K не имеют функциональных различий и отличаются только корпусом. Secure Token 337M имеет маленький корпус и пластиковый разъем USB, который является частью корпуса. Secure Token 337K имеет больший и прочный корпус с металлическим разъемом USB.

Носители Автор Secure Token 337F по внешнему виду аналогичны Secure Token 337K, однако имеют дополнительную флэш-память и могут быть использованы как флешка. Объем флэш-памяти может составлять 8, 16 или 32 ГБ. С помощью специальной утилиты от производителя можно создать на носителе зашифрованный диск, доступ к данным на котором возможен только после ввода пароля.

Сколько секретных ключей можно хранить на защищенном носителе?

Один защищенный носитель = один секретный ключ, т.е. сертификат директора, бухгалтера и печати должны храниться на отдельных носителях.

Например, один носитель может хранить секретный ключ директора подписания и шифрования одновременно.

Сколько паролей нужно вводить при подписании документа?

На защищенном носителе ключ генерируется внутри устройства и хранится в защищенной области памяти, при этом он не зашифровывается. Поэтому пароль доступа к ключу в данном случае отсутствует. Для выполнения операций с ключом необходим только пароль доступа к носителю. То есть при подписании электронных документов необходимо вводить только один пароль.

Какой пароль доступа изначально установлен на защищенном носителе?

Стандартный пароль доступа к защищенному носителю задан производителем. Для носителей «Автор» его значение - 12345678.

Для носителей Алмаз-1К от производителя АТ “ІІТ” необходимо задать пароль, произведя инициализацию носителя.

Пользователь в дальнейшем может (и должен) изменить пароль. Это можно сделать с помощью программы M.E.Doc.