Носитель ключа ЭП (токен) — это защищенная «флешка» для хранения электронной подписи. Выбор носителя зависит от сферы применения.
Расскажем про виды токенов и их различия.
Что вы узнаете
Почему обычная флешка не подойдет
Токен напоминает флешку, но отличается от нее повышенным уровнем защиты: имеет пароль, сертификацию ФСТЭК/ФСБ, на продвинутых моделях встроено средство криптографической защиты информации (СКЗИ). Если его нет — нужно установить специальную программу на ПК. Чаще всего используют СКЗИ «КриптоПро». Программа покупается отдельно.
Виды токенов
Защищенные носители делятся на 2 вида: со встроенным СКЗИ и без него.
В таблице — сравниваем основные характеристики токенов.
Модель
Встроенный СКЗИ
Работа с ЕГАИС
Двухфакторная защита
Сертификаты
Рутокен Lite
Расскажем подробнее о каждом носителе.
Токены без СКЗИ
Такие носители подойдут для сдачи отчетности, участия в торгах, подписания документов по ЭДО или регистрации на Честном знаке. В них нет встроенного СКЗИ, токены не подойдут для работы с алкоголем в ЕГАИС.
Рутокен Lite
Это самый бюджетный вариант токена. В нем нет дополнительных функций, но есть все необходимое для работы. Сертифицирован ФСТЭК.
Рутокен Lite micro
Та же модель, но в мини-версии. Удобна для тех, кто работает с ноутбука. СКЗИ приобретается отдельно (для работы в СБИС СКЗИ не требуется).
Токены с СКЗИ
Главное различие таких носителей — в наличии дополнительного пин-кода и возможности восстановления при блокировке.
Рутокен ЭЦП 2.0
Это базовая и самая популярная модель. На токене стоит ограничение по введению неправильного пин-кода. После нескольких попыток носитель заблокируется. Подходит для работы в ЕГАИС.
Рутокен ЭЦП 2.0 Type-c
Та же модель, но с другим разъемом. Подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года). Подходит для работы в ЕГАИС.
JaCarta-2 SE
В отличие от Рутокена, JaCarta-2 SE имеет 2 преимущества:
Если пользователь несколько раз ввел неправильный код, количество попыток аннулируется. Верный пароль можно будет ввести через определенное время — этот промежуток устанавливается заранее. Не нужно обращаться в УЦ, чтобы разблокировать носитель.
Смарт-карты
Однако производители предлагают альтернативный вариант — карты с бесконтактной технологией NFC: в качестве считывателя подойдет любой смартфон или планшет. Чтобы подписать документы, достаточно приложить смарт-карту к мобильному устройству — электронная подпись будет получена, даже если на телефоне или планшете нет интернета.
На рынке защищенных носителей известны смарт-карты Рутокен и электронные удостоверения JaCarta.
Bluetooth-токены
Такие токены можно подключать:
Одним из ведущих производителей является Рутокен. Модель Рутокен ЭЦП Bluetooth удобна для «мобильных сотрудников»: пользователь может подписывать электронные документы, не доставая токен из кармана или сумки. Устройство соединяется с телефоном или планшетом по Bluetooth, для начала работы требует код активации. Он защищает токен от случайного подключения к другому устройству.
Электронная подпись
Полезные статьи
Документы для получения электронной подписи
Электронная подпись — виды, способы применения и получения
Проверить работоспособность ключа
Электронная подпись заканчивается — что делать?
Удостоверяющий центр – что это и зачем?
Что такое СКЗИ, и какие они бывают
Потеряли, украли подпись — что делать?
Как и где можно хранить электронную подпись
Что делать, если забыли пароль на ЭП
Установить защиту для НЭП
Электронная подпись, не выходя из дома
Настроить компьютер для работы с ЭП
Доверить использование электронной подписи уполномоченному сотруднику
Вопрос: Что такое токен (token) и смарт-карта (smart-card)?
Токен (англ. Token) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных. Проще говоря токен — это подобие USB-флешки с защищенной памятью, где может храниться ценная информация: пароли, цифровые сертификаты, ключи шифрования и электронно-цифровые подписи.
Смарт-карты (англ. Smart Card) представляют собой пластиковые карты со встроенной микросхемой.
Несмотря на очень сильные различия во внешнем виде, и токены, и смарт-карты являются идентичными устройствами. Основу их составляет специальная микросхема с защищенной памятью. Различие заключается в том, что токены непосредственно подключены к ПК через USB-порт, а смарт-карты требуют дополнительного оборудования — считывателей.
Токены и смарт-карты позволяют решать целый спектр задач, связанных с криптографией, электронной цифровой подписью и аутентификацией. Например, один и тот же токен (или смарт-карту) сотрудник может использовать для входа в операционную систему, для защищенного обмена информацией с удаленным офисом, для работы с онлайновыми сервисами, для подписи документов (ЭЦП), для хранения закрытых ключей и сертификатов (технология PKI) и т. д.
Токен в самом простом варианте применения позволяет заменять небезопасные парольные системы защиты, обеспечивая двухфакторную аутентификацию. Все что должен сделать пользователь для доступа к приложению — подключить токен к USB-порту и набрать PIN-код. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код).
Проблемы с паролями в больших офисах. Компьютеры проникли и продолжают проникать во многие отрасли. Многие заводы и большие компании внедряют у себя компьютерную технику и создают информационную инфраструктуру. На обучение персонала и на процесс перехода от бумажного документооборота к электронному тратятся большие средства. Контроль доступа к информационным ресурсам становится сложной задачей. Часто случается, что работники записывают пароли на бумажках, которые лежат на рабочих столах или приклеены к мониторам.
Компании пытаются решать эту проблему с помощью электронных ключей — USB брелков, смарт-карт и других аппаратных аутентификаторов. При определенных условиях это решение оправдывает себя. А именно:
Как будет показано далее Смарт-карты и USB брелки требуют особого внимания при инсталляции и использовании.
Аутентификация с помощью USB flash drive. Проблемы с паролями и безопасностью, хотя и в меньшей степени, но все же актуальны и для обычных пользователей. Использование USB брелка или смарт-карты для входа в Windows на домашнем компьютере является скорее личным предпочтением, нежели насущной необходимостью.
Аутентификация с помощью USB брелка или смарт-карты больше всего подходит для малых и средних офисов, а также для частных предприятий, на компьютерах руководящих работников. Наличие такого ключа к своему компьютеру здорово упрощает аутентификацию (доступ пользователя в Windows), хотя защита паролем присутствует.
Для аутентификации в Windows лучше всего использовать обычный USB накопитель (flash drive). С помощью программы Rohos Logon Key Вы можете убедиться в том, насколько удобно использование USB накопителя в качестве ключа для входа в Windows или для доступа к Зашифрованному Диску.
Программа Rohos Logon Key сама настроит USB ключ для хранения пароля. Причем на USB накопителе может хранится не сам пароль, а лишь та служебная информация о пароле, которая необходима программе Rohos Logon, чтобы аутентифицировать Вас как хозяина системы. То есть, если Вы вдруг потеряли свой USB накопитель, то единственная возможность для злоумышленника воспользоваться вашим зашифрованным диском, это сесть с вашей флэшкой за ваш компьютер, что, согласитесь, проблематично. А, значит, Ваша информация останется конфиденциальной. Итак, с USB накопителем:
Особые преимущества использования USB накопителя и программы Rohos Logon Key :
Смарт-карты и USB брелки Смарт-карты и USB брелки предназначены именно для защиты данных, шифрования и аутентификации в больших сетях. Их установкой и использованием должен руководить специалист.
Чтобы понять, почему обычный USB накопитель является наилучшим выбором для защиты персонального компьютера или малого офиса, рассмотрим особенности смарт-карт и USB брелков.
Смарт-карта Это пластиковая карточка с встроенным микро-чипом (микропроцессор и память), наподобие банковской или телефонной карточки.
USB брелок Это симбиоз смарт-карт считывателя и смарт-карты. В USB брелок (или токен) впаян микрочип от смарт-карты. Для использования USB брелка необходимо инсталлировать драйвера (вставление/вытаскивание аналогично вставлению/вытаскиванию карты в считыватель). Чтобы начать использовать USB токен в приложениях, его тоже необходимо подготовить (отформатировать) специальной утилитой. Не все приложения, которые работают с USB токенами, будут поддерживать именно ваш токен, это необходимо проверить. Если же вы покупаете комплект — программа с USB токеном или смарт-картой — то надо убедится, что вас обеспечат драйверами для USB токена и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой. Память USB токена также мала и предназначена только для хранения данных малого размера.
Но если вы всерьез заинтересовались Смарт-картами и USB токенами, то вначале узнайте, возможно ли купить их в вашем городе. Поскольку эти устройства даже сейчас являются редкостью в компьютерных магазинах.
Сравнение Смарт-карт и USB flash drive
Сравнение USB flash drive и Смарт-карт. Хотя смарт-карты и USB брелки нельзя сравнивать с USB флэшками, но все же рассмотрим несколько ситуаций:
Может ли злоумышленник сделать дубликат смарт-карты или USB Ключа (flash drive), если он окажется у него в руках?
Смарт-карта: Если установлен PIN код, то дубликат сделать невозможно. Если PIN кода нет, то возможно, но с помощью специальной утилиты. Все зависит от конкретного типа смарт-карты. В некоторых случаях выполнить полноценный дубликат невозможно.
USB flash drive: Нет, по умолчанию login-профайл (на flash накопителе) «привязан» к серийному номеру USB накопителя. А если есть PIN код, то это в большей степени препятствует возможности воспользоваться этим ключем, и узнать пароль злоумышленник не сможет. А в некоторых случаях и отсутствие PIN кода не позволяет узнать пароль (см. привязка USB ключа к компьютеру).
Если использовать USB flash накопитель для Авторизации в Windows, то сотрудники могут их использовать также для выноса конфиденциальной информации за пределы компании или наоборот принести в компанию вирус. А с помощью смарт-карт это невозможно…
Смарт-карта: Верно, копировать файлы на смарт-карту не возможно.
Резюме Итак, если речь идет о безопасности в большой компании, которая готова потратить деньги на специализированные устройства, какими являются смарт-карты и USB брелки, то именно они будут наилучшим выбором. При этом важно помнить, что понадобится еще и специалист для их настройки и обслуживанию.
Если Вы хотите ограничить доступ к информации на личном компьютере или повысить надежность паролей в офисе, то для Вас наилучший выбор — USB накопитель. А чтобы превратить такой универсальный накопитель в ключ к информации, достаточно установить программу Rohos Logon Key. Ещё большую безопасность информации обеспечит использование виртуального зашифрованного диска программы Rohos Disk.
Rohos Logon Key для компаний. Rohos Logon Key 2.6 удовлетворяет ряду требований для использования в компаниях:
Проблемы с паролями в больших офисах. Компьютеры проникли и продолжают проникать во многие отрасли. Многие заводы и большие компании внедряют у себя компьютерную технику и создают информационную инфраструктуру. На обучение персонала и на процесс перехода от бумажного документооборота к электронному тратятся большие средства. Контроль доступа к информационным ресурсам становится сложной задачей. Часто случается, что работники записывают пароли на бумажках, которые лежат на рабочих столах или приклеены к мониторам.
Компании пытаются решать эту проблему с помощью электронных ключей — USB брелков, смарт-карт и других аппаратных аутентификаторов. При определенных условиях это решение оправдывает себя. А именно:
Как будет показано далее Смарт-карты и USB брелки требуют особого внимания при инсталляции и использовании.
Аутентификация с помощью USB flash drive. Проблемы с паролями и безопасностью, хотя и в меньшей степени, но все же актуальны и для обычных пользователей. Использование USB брелка или смарт-карты для входа в Windows на домашнем компьютере является скорее личным предпочтением, нежели насущной необходимостью.
Аутентификация с помощью USB брелка или смарт-карты больше всего подходит для малых и средних офисов, а также для частных предприятий, на компьютерах руководящих работников. Наличие такого ключа к своему компьютеру здорово упрощает аутентификацию (доступ пользователя в Windows), хотя защита паролем присутствует.
Для аутентификации в Windows лучше всего использовать обычный USB накопитель (flash drive). С помощью программы Rohos Logon Key Вы можете убедиться в том, насколько удобно использование USB накопителя в качестве ключа для входа в Windows или для доступа к Зашифрованному Диску.
Программа Rohos Logon Key сама настроит USB ключ для хранения пароля. Причем на USB накопителе может хранится не сам пароль, а лишь та служебная информация о пароле, которая необходима программе Rohos Logon, чтобы аутентифицировать Вас как хозяина системы. То есть, если Вы вдруг потеряли свой USB накопитель, то единственная возможность для злоумышленника воспользоваться вашим зашифрованным диском, это сесть с вашей флэшкой за ваш компьютер, что, согласитесь, проблематично. А, значит, Ваша информация останется конфиденциальной. Итак, с USB накопителем:
Особые преимущества использования USB накопителя и программы Rohos Logon Key :
Смарт-карты и USB брелки Смарт-карты и USB брелки предназначены именно для защиты данных, шифрования и аутентификации в больших сетях. Их установкой и использованием должен руководить специалист.
Чтобы понять, почему обычный USB накопитель является наилучшим выбором для защиты персонального компьютера или малого офиса, рассмотрим особенности смарт-карт и USB брелков.
Смарт-карта Это пластиковая карточка с встроенным микро-чипом (микропроцессор и память), наподобие банковской или телефонной карточки.
USB брелок Это симбиоз смарт-карт считывателя и смарт-карты. В USB брелок (или токен) впаян микрочип от смарт-карты. Для использования USB брелка необходимо инсталлировать драйвера (вставление/вытаскивание аналогично вставлению/вытаскиванию карты в считыватель). Чтобы начать использовать USB токен в приложениях, его тоже необходимо подготовить (отформатировать) специальной утилитой. Не все приложения, которые работают с USB токенами, будут поддерживать именно ваш токен, это необходимо проверить. Если же вы покупаете комплект — программа с USB токеном или смарт-картой — то надо убедится, что вас обеспечат драйверами для USB токена и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой. Память USB токена также мала и предназначена только для хранения данных малого размера.
Но если вы всерьез заинтересовались Смарт-картами и USB токенами, то вначале узнайте, возможно ли купить их в вашем городе. Поскольку эти устройства даже сейчас являются редкостью в компьютерных магазинах.
Сравнение Смарт-карт и USB flash drive
Сравнение USB flash drive и Смарт-карт. Хотя смарт-карты и USB брелки нельзя сравнивать с USB флэшками, но все же рассмотрим несколько ситуаций:
Может ли злоумышленник сделать дубликат смарт-карты или USB Ключа (flash drive), если он окажется у него в руках?
Смарт-карта: Если установлен PIN код, то дубликат сделать невозможно. Если PIN кода нет, то возможно, но с помощью специальной утилиты. Все зависит от конкретного типа смарт-карты. В некоторых случаях выполнить полноценный дубликат невозможно.
USB flash drive: Нет, по умолчанию login-профайл (на flash накопителе) «привязан» к серийному номеру USB накопителя. А если есть PIN код, то это в большей степени препятствует возможности воспользоваться этим ключем, и узнать пароль злоумышленник не сможет. А в некоторых случаях и отсутствие PIN кода не позволяет узнать пароль (см. привязка USB ключа к компьютеру).
Если использовать USB flash накопитель для Авторизации в Windows, то сотрудники могут их использовать также для выноса конфиденциальной информации за пределы компании или наоборот принести в компанию вирус. А с помощью смарт-карт это невозможно…
Смарт-карта: Верно, копировать файлы на смарт-карту не возможно.
Резюме Итак, если речь идет о безопасности в большой компании, которая готова потратить деньги на специализированные устройства, какими являются смарт-карты и USB брелки, то именно они будут наилучшим выбором. При этом важно помнить, что понадобится еще и специалист для их настройки и обслуживанию.
Если Вы хотите ограничить доступ к информации на личном компьютере или повысить надежность паролей в офисе, то для Вас наилучший выбор — USB накопитель. А чтобы превратить такой универсальный накопитель в ключ к информации, достаточно установить программу Rohos Logon Key. Ещё большую безопасность информации обеспечит использование виртуального зашифрованного диска программы Rohos Disk.
Rohos Logon Key для компаний. Rohos Logon Key 2.6 удовлетворяет ряду требований для использования в компаниях:
Как пользоваться ЭЦП с флешки
USB-flash-накопитель – популярный и довольно надежный носитель информации. К сожалению, его нельзя назвать универсальным – для хранения программных средств электронной подписи (далее – ЭЦП, ЭП, ЦП) он не годится. Похищение информации с этого устройства не представляет никакой сложности. Обычная «флешка» – это незащищенный носитель, годящийся только для хранения простой или неквалифицированной цифровых подписей. Он не может гарантировать конфиденциальность персональных данных. Квалифицированную ЭП записывают на специализированные устройства – USB-токены или смарт-карты.
Что такое безопасная «флешка» для ЭЦП? Это, к примеру, Рутокен или eToken.
Безопасным устройством также считается и JaCarta, но внешне она сильно отличается от упомянутых носителей. Являясь смарт-картой, она больше похожа на Secure Digital Memory Card (SD).
Ниже будем разбираться, как пользоваться ЭЦП с «флешки» и как превратить ее в электронный ключ. Расскажем, что «делает» Рутокен и на что он еще годится, кроме хранения ЭЦП. Объясним, как репродуцировать ключевые контейнеры на «флешку» и подписать документы, не перенося сертификаты в «операционку» (далее – ОС).
Оформим ЭЦП за один день без вашего участия!
Оставьте заявку и получите консультацию в течение 5 минут.
Как пользоваться электронной подписью с флешки
Работник удостоверяющего центра (далее – УЦ) по обращению заявителя выдает ему средства ЭП. В их перечень входят:
Возможность приобретения токена/смарт-карты обозначена на сайтах многих УЦ в качестве дополнительной услуги. Почему ее предлагают в качестве выделенной опции, не включая в стандартный пакет, и на какие типы устройств вам могут записать ЦП?
Классический USB-flash-накопитель. В обычный договор о получении ЭП входят только программные средства ее генерации и верификации с последующим их предоставлением заявителю. Аккредитованные УЦ по собственной инициативе не станут переносить персональные данные на носители упомянутого типа – они считаются незащищенными. Сначала заявителя ознакомят с рисками. Только после этого, если клиент будет настаивать, ЦП запишут на его «флешку».
USB-flash-накопитель с безопасным хранилищем. Флешка, «превращенная» в подобие токена. Ее память сегментирована – доступ к участку с личной информацией охраняется PIN-кодом (или паролем). Вы можете создать такое устройство самостоятельно.
Токен/смарт-карта. На момент написания статьи большинство центров сертификации выдают ЭП именно на них.
Таблица 1 – типы защищенных носителей
Характеристики
Модель
Рутокен 1.0
Рутокен 2.0, JaCarta ГОСТ/2 ГОСТ, eToken PRO
криптопроцессор
+
+
функция генерации открытого ключа ЭП
– (при установке личного сертификата в систему используется секретный ключ)
+ (публичный ключ пользователя создается на основе закрытого аппаратными средствами устройства
дополнительная защита
–
личные данные становятся доступны только после ввода PIN-кода
уровень безопасности
средний
высокий
Примечание. Сегодня под «флешками» понимают не только обычные USB-flash-накопители, но и токены.
Чтобы начать пользоваться электронной подписью с «флешки», нужно знать, как настроить автоматизированное рабочее место (далее – АРМ). Эксперты рекомендуют владельцам ЦП работать в ОС Windows 7 и выше.
Скачайте и установите СКЗИ КриптоПРО версии 3.8 и моложе. Первые 90 дней вы сможете работать с программой в демонстрационном режиме совершенно бесплатно.
Если вы держите ЦП на токене, потребуется скачать и инсталлировать соответствующий драйвер для Рутокен, eToken или JaCarta.
Примечание. Обязательно пропишите корневой сертификат (далее – КС) УЦ в систему. Без проведения этой процедуры пользоваться ЭЦП не получится – ОС будет оповещать об ошибке.
Работник УЦ репродуцирует КС на токен или вашу «флешку». Информация на носителе структурирована следующим образом:
КС аккредитованного УЦ, как правило, публикуется на одной из страниц веб-сайта организации. Вы можете загрузить его через сеть Интернет, воспользовавшись веб-обозревателем Windows Internet Explorer:
Алгоритм добавления КС в реестр ОС Windows 10:
Теперь нужно произвести настройку считывателей. Пошаговая инструкция:
Теперь все готово для того, чтобы начать пользоваться электронной подписью с «флешки». Визировать документ ЭЦП в текстовом процессоре Microsoft (далее – MS) Word можно двумя способами: средствами программного комплекса или с помощью плагина КриптоПро Office Signature. Рассмотрим оба.
Способ №1 – заверение документа средствами MS Word 2010:
За 30 минут настроим ЭЦП Рутокен для работы «под ключ».
Оставьте заявку и получите консультацию в течение 5 минут.
Способ №2 – визирование документа в MS Word с помощью КриптоПро Office Signature:
Подробнейшее руководство по использованию криптопровайдера и его дополнительных модулей в связке с MS Word/Excel 2003 / 2007 / 2010 находится здесь.
Чтобы завизировать ЦП документ формата PDF, вам потребуется загрузить и инсталлировать лицензионные версии Adobe Acrobat Pro версии 8 и моложе или Adobe Reader 11 и плагин КриптоПро PDF. Пошаговый алгоритм подписания на примере Adobe Acrobat:
Подробная инструкция по работе с плагином находится здесь.
Участникам ЭДО важно понимать, как работать с ЦП непосредственно в сети Интернет. Рассмотрим подробнее программные приложения, которые обеспечивают эту возможность.
КриптоПро ЭЦП Browser plug-in (он же CADESCOM или Кадеском). Плагин, позволяющий визировать ЭЦП:
Вы сможете использовать свою ЭЦП на партнерских сайтах, электронных торговых площадках (далее – ЭТП), в интернет-банкинге, интернет-офисах с веб-доступом.
Руководство по инсталляции и настройке компонента на примере работы в Единой информационной системе в сфере закупок находится здесь.
Примечание. Учтите, что настройки плагина могут меняться в зависимости от того, на какой ЭТП вы находитесь. Если у вас возникают затруднения, загрузите инструкцию по применению компонента для совершения операций на конкретной ЭТП.
Программный комплекс КриптоАРМ – модуль, специально предназначенный для кодирования и дешифровки цифровых бумаг и данных, генерации и верификации ЭП. Его разработчиком является ООО «Цифровые технологии». Приложение «заточено» для защиты корпоративных и персональных данных, которыми участники ЭДО обмениваются в сети Интернет или путем передачи друг другу съемных носителей (дисков, «флешек») с ними. Подробнее о продукте можно узнать здесь.
Чтобы ознакомиться с кратким руководством пользователя модуля КриптоАРМ, пройдите по этой ссылке.
Примечание. Поддержка веб-обозревателя КриптоПро Fox, к сожалению, прекращена.
Как записать на флешку ЭЦП
Предупреждение! Держать программные средства ЭЦП на обычной «флешке» опасно. Злоумышленникам не составит труда их похитить. Если доверенное лицо использует вашу ЦП в корыстных целях, возможно, придется обращаться в суд. В процессе разбирательства дела в уполномоченной инстанции убедить суд, что электронной подписью пользовались не вы, будет очень сложно даже хорошему адвокату.
Если вы осознаете риски, но все равно намерены перенести личную информацию на незащищенный носитель, например, для передачи ЦП доверенному лицу, следуйте пошаговому алгоритму, изложенному ниже.
Как перенести электронную подпись из реестра ОС на «флешку»:
Криптопровайдер вернется к основному окну копирования контейнера секретного ключа.
Как записать на флешку ЭЦП – переносим ее с Рутокен / eToken / JaCarta:
Примечание. Держите PIN-код в недоступном для других пользователей месте. Если его забыть или потерять, восстановить доступ к каталогу с секретным ключом станет невозможно.
Как установить сертификат ЭЦП на флешку
Многие участники ЭДО, руководствуясь соображениями безопасности, опасаются прописывать личные сертификаты и, особенно, переносить секретные ключи в реестр ОС, установленной на рабочей машине с корпоративным пользовательским доступом. Тем не менее, у них возникает необходимость использования программных средств ЭП для обмена данными с другими пользователями. Для этого может понадобиться репродукция открытого ключа на «флешку».
Примечание. Как установить личный открытый сертификат ЭЦП в хранилище ОС, мы рассказали в одной из предыдущих статей – в случае с «флешкой» под «установкой» подразумевается процесс копирования файла.
Как просмотреть и репродуцировать открытый сертификат ЭЦП на «флешку» с Рутокен, eToken, JaCarta или из реестра ОС:
В окне системного оповещения об окончании операции щелкните «Ok».
Как сделать из флешки электронный ключ аутентификации в Linux
С помощью Pluggable Authentication Modules (далее – PAM-модуль) вы сможете сделать из вашей «флешки» электронный ключ (далее – ЭК).
PAM-модуль представляет собой набор библиотек, которые используются системой Linux для динамического распознавания пользователя в приложениях и/или службах.
Как работает USB-flash-накопитель, «превращенный» посредством PAM-модуля в ЭК:
Рассмотрим подробнее, как сделать из «флешки» электронный ключ и какие действия потребуется совершить, чтобы корректно настроить PAM-модуль.
Во-первых, нужно инсталлировать libpam_usb.so и компоненту координации:
$ sudo apt-get install libpam-usb pamusb-tools
Во-вторых, вставьте накопитель, который вы намерены применять как аутентификационный ключ, в USB-разъем компьютера. Далее требуется выполнить:
$ sudo pamusb-conf —add-device имя
Модуль произведет сбор сведений, дополнит ими базу и сгенерирует 2 Kb рандомных данных. Теперь для обнаружения устройства начнет задействоваться Udisks. Параметр «Имя» – для присвоения устройству произвольного названия. Критически важно, чтобы все прочие периферийные накопители были отключены перед началом процесса настройки.
В-третьих, ассоциируйте «флешку» с конкретной учетной записью (например, Ivan Ivanov):
$ sudo pamusb-conf —add-user Ivan Ivanov
В-четвертых, запустите проверку достоверности собранных сведений в качестве подстраховки – «флешка» могла некорректно определиться. Например, вы забыли отключить какой-либо внешний накопитель, и система идентифицировала его вместо вашей «флешки»:
$ sudo pamusb-check Ivan Ivanov
В-пятых, добавьте pam_usb в перечень модулей, обязательных для осуществления процедуры распознавания владельца ЭК. В сборках, базирующихся на Debian (например, Ubuntu) следует модифицировать файл /etc/pam.d/common-auth. Нужно обнаружить строку (запись) типа auth required pam_unix.so и под ней дописать еще одну:
auth sufficient pam_usb.so
Таким образом, вы сообщите PAM-модулю, что во время совершения попытки входа любым пользователем управление должно передаваться palm_usb – он и будет проводить ревизию наличия соответствующей «флешки», а в случае провала аутентификации упомянутым способом запрашивать пароль.
Если вы предпочитаете полностью заблокировать пользователю доступ после неудачной аутентификации посредством созданного на основе «флешки» ЭК, подмените «sufficient» значением «required».
В-шестых, расширьте набор функций pam-usb путем использования pamusb-агента. Его задача – автоматизация процессов блокировки/разблокировки «учетки» при извлечении/введении электронного ключа из/в USB-разъема/разъем. Допишите в конфигурирующий файл /etc/pamusb.conf этот скрипт:
Предупреждение! Вышеприведенный код сконструирован и протестирован на Gnome. При использовании pamusb-агента в другой среде, 3 и 4 команды потребуется модифицировать соответствующим образом.
Если проверка прошла успешно, пропишите агента в автозапуск:
Примечание. Электронный ключ не предназначен для хранения на нем криптографических и программных средств ЭЦП, логинов, паролей. Он создается только для аутентификации пользователя в системе.
Вам будет интересно: Как установить ЭЦП на компьютер
Можно ли использовать Рутокен как флешку
Да, можно. Правда, получится «флешка» очень маленькой емкости – стандартный объем памяти Рутокен 2.0 составляет всего 4 GB. Другое дело, что под заказ можно приобрести устройство с объемом памяти до 64 GB. По окончании срока действия электронной подписи (как правило, он составляет 1 календарный год), владелец может не захотеть использовать Рутокен 2.0 для повторной записи перевыпущенных сертификатов и ключей ЭЦП.
Токен использует управляемую flash-память – она вполне может быть сегментирована, а доступ к получившимся разделам будет предоставляться только после ввода PIN-кода. На устройстве можно будет хранить не только личные данные, но и дистрибутивы программ и прочие файлы. Но можно ли добраться до защищенных участков flash-памяти и как подготовить устройство, чтобы потом использовать его как безопасную «флешку»?
Программа Рутокен Диск (информацию о цене и возможности сделать заказ уточняйте на веб-портале разработчика) позволит вам управлять защищенным разделом flash-памяти устройства. Есть, как минимум, два отличных руководства по работе с приложением: «Рутокен Диск. Установка программы» и «Начало работы с программой Рутокен Диск в Windows».
Подберем ЭЦП на любой бюджет! Консультация и помощь в течение 24 часов.
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Проблемы с паролями в больших офисах. 
Аутентификация с помощью USB брелка или смарт-карты больше всего подходит для малых и средних офисов, а также для частных предприятий, на компьютерах руководящих работников. Наличие такого ключа к своему компьютеру здорово упрощает аутентификацию (доступ пользователя в Windows), хотя защита паролем присутствует.
