Що таке захищений носій ключової інформації?

Захищений носій ключової інформації являє собою пристрій, призначений для безпечного зберігання ключів ЕП. По суті це апаратно-програмний засіб ЕП, виконаний у вигляді токена - USB-пристрою (зовні схожого на флешку) або смарт-карти (пластикової картки з чіпом). Особливості захищених носіїв:

• Забезпечують невилучення секретного (особистого) ключа ЕП. Секретний ключ ніколи не залишає носій. Таким чином, ключ існує в єдиному екземплярі і копіювання ключа неможливе.
• Генерація ключа і всі операції з ним виконуються всередині носія. При підписанні документ передається в носій, обчислення ЕП проводиться всередині носія.
• Носій захищений паролем доступу. Обмеження на кількість спроб підбору пароля: 7 разів.
  Це захищає ключ від несанкціонованого використання в разі втрати носія.

У чому відмінність між захищеним носієм і флешкою, на яку встановлено пароль?

Захищений носій (токен) має головну і принципову відмінність: ключ ЕП генерується в пам'яті токена і ніколи його не покидає. Підписання документа відбувається всередині токена.

На зашифрованій флешці після введення пароля дані доступні, як і на звичайному диску. Ніяких операцій з ключем вона не виконує, тому що не розрахована на це.

На жаль, деякі державні підприємства використовують для зберігання ключів флешки з можливістю створення шифрованого розділу і аргументують це тим, що в чинному законодавстві не прописано, яким саме має бути захищений носій.

Ця інформація не відповідає дійсності. У статті 1 Закону України "Про електронні довірчі послуги" є такі визначення:

• Засіб кваліфікованого електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам цього Закону;
• Засіб удосконаленого електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення удосконаленого електронного підпису чи печатки, та/або перевірки удосконаленого електронного підпису чи печатки, та/або зберігання особистого ключа удосконаленого електронного підпису чи печатки;

Отже, законом явно передбачено, що носій повинен мати експертний висновок і не повинен надавати можливості безпосереднього доступу до ключів. І в Постанові №749 також сказано, що засіб КЕП повинен мати експертний висновок.

Флешка, на яку встановлено пароль, не відповідає цим вимогам, а, отже, не може бути використана для зберігання ключів КЕП (ЕЦП) замість захищеного носія.

Для кого обов'язково використання захищених носіїв?

На підставі вимог статті 18 Закону України "Про електронні довірчі послуги", який набув чинності з 07.11.2018 року, кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки.

Звертаємо увагу!

Відповідно до статті цього закону всім власникам кваліфікованого електронного підпису (КЕП) рекомендуємо в подальшому використовувати захищені носії інформації (токени) для забезпечення надійного зберігання власних КЕП (ЕЦП).

Нотаріуси, державні реєстратори зобов'язані використовувати захищені носії відповідно до статті 17 закону “Про електронні довірчі послуги”. Органи державної влади, місцевого самоврядування та підприємства державної форми власності зобов'язані використовувати захищені носії відповідно до постанови КМУ №749 від 07.11.2018 року.

Починаючи з 16.04.2019 р., у контролюючих органах увімкнена перевірка наявності відмітки про збереження КЕП підписанта на захищеному носії інформації. Інформація щодо зберігання особистого ключа в засобі кваліфікованого електронного підпису чи печатки міститься у сертифікаті. Якщо документ надійшов від підписувача до контролюючого органу з КЕП, який не зберігається на токені, то йому надходять квитанції про обробку його документів та звітності з попередженням. На сьогоднішній день це попередження ніяким чином не впливає на прийняття та обробку електронної звітності.> Мета цього повідомлення – заздалегідь повідомити всіх про необхідність в подальшому використовувати захищені носії особистих ключів.

Рекомендуємо вже зараз подбати про запис ваших КЕП на захищені носії інформації! Використання захищених носіїв набагато безпечніше, ніж зберігання ключів в файлах. Тому із введенням обов'язкової вимоги використання захищених носіїв для органів державної влади та інших, одночасно скасовується обмеження на використання ЕП для укладення договорів на суму понад 1 млн. грн.

Чи можна працювати з захищеним носієм як з флешкою?

Ні, захищений носій не визначається операційною системою як диск і працювати з ним як з флешкою неможливо. Винятком є носії з додатковою флеш-пам'яттю, наприклад, Автор Secure Token 337F

Чим відрізняються різні види захищених носіїв «Автор»?

Носії Автор Secure Token 337M і Автор Secure Token 337K не мають функціональних відмінностей і розрізняються тільки корпусом. Secure Token 337M має маленький корпус і пластиковий роз'єм USB, який є частиною корпусу. Secure Token 337K має більший і міцний корпус з металевим роз'ємом USB.

Носії Автор Secure Token 337F по зовнішньому вигляду аналогічні Secure Token 337K, проте мають додаткову флеш-пам'ять і можуть бути використані як флешка. Обсяг флеш-пам'яті може становити 8, 16 або ж 32 ГБ. За допомогою спеціальної утиліти від виробника можна створити на носії зашифрований диск, доступ до даних на якому можливий тільки після введення пароля доступу.

Скільки секретних ключів можна зберігати на захищеному носії?

Один захищений носій = один секретний ключ, тобто сертифікат директора, бухгалтера та печатки повинні зберігатися на окремих носіях.

Наприклад, один носій може зберігати секретний ключ директора підписання та шифрування одночасно.

Скільки паролів потрібно вводити при підписання документа?

На захищеному носії ключ генерується всередині пристрою і зберігається в захищеній області пам'яті, при цьому він не зашифровується. Тому пароль доступу до ключа в даному випадку відсутній. Для виконання операцій з ключем необхідний тільки пароль доступу до носія. Тобто при підписані е-документів необхідно вводити тільки один пароль.

Який пароль доступу спочатку встановлений на захищеному носії?

Стандартний пароль доступу до захищеного носія заданий виробником. Для носіїв «Автор» його значення - 12345678.

Для носіїв Алмаз-1К від виробника АТ “ІІТ” необхідно задати пароль, виконавши ініціалізацію носія.

Користувач в подальшому може (і повинен) змінити пароль за допомогою програмного забезпечення M.E.Doc.