Как определить, когда нужен носитель, сертифицированный в ФСБ, а когда во ФСТЭК?

Ключи электронной подписи ФНС России записывают только на специальные носители ключевой информации. Причем носители эти должны быть сертифицированы ФСТЭК или ФСБ. В этой статье мы хотим пояснить, в каких случаях ключевой носитель сертифицирует ФСБ, а в каких – ФСТЭК, и почему это важно.

Как работают и чем отличаются ключевые носители

Сразу оговоримся, что мы ведем речь о юридически квалифицированной электронной подписи.

Устройство для электронной подписи работает следующим образом: с помощью криптографических средств генерируется ключ электронной подписи, после чего обладатель сертификата ЭП заверяет документы. И от того, какими средствами будет генерироваться ключ ЭП, по сути, и зависит, какое ведомство сертифицирует ключевой носитель.

Ключ генерируется за пределами устройства (пассивные ключевые носители)

В некоторых случаях создание ключа подписи и дальнейшая работа с ними возможна только при наличии ГОСТ-криптопровайдера, специальной программы, установленной на компьютере пользователя (например КриптоПро, VipNet). То есть, ключ генерируется за пределами устройства, передается затем в него и там хранится. Таким образом, здесь ключевой носитель выступает всего лишь как защищенное PIN-кодом хранилище ключей электронной подписи. Ключи из хранилища, сгенерированные с помощью программного криптопровайдера, хоть и ненадолго, но извлекаются в оперативную память компьютера для работы, поэтому их еще называют извлекаемыми. По требованиям УЦ ФНС пассивный носитель должен быть сертифицирован во ФСТЭК, что подтверждает отсутствие недекларируемых возможностей у устройства. А криптопровайдер, установленный на компьютер, должен быть сертифицирован в ФСБ.

Ключ генерируется в самом устройстве (активные ключевые носители)

В этом случае сами ключевые носители содержат в себе средство криптографической защиты информации (СКЗИ), благодаря которому могут сами генерировать ключи и формировать электронную подпись с использованием аппаратной криптографии. Закрытый ключ, сгенерированный с помощью активного ключевого носителя, никогда не извлекается наружу, а все операции происходят внутри носителя, поэтому такие ключи называются неизвлекаемыми.

Юридически для того, чтобы подпись считалась квалифицированной, активный носитель должен быть сертифицирован в ФСБ, что подтверждает корректность реализации криптографии с использованием внутреннего криптографического ядра устройства.

Получается, что определяющим фактором в вопросе сертификации ключевых носителей является тот способ, с помощью которого генерируются ключи и производится последующая работа с ними. Одни устройства СКЗИ внутри не содержат, поэтому только получают и хранят ключи ЭП (токен сертифицирует ФСТЭК), другие являются СКЗИ, генерируют ключи и никуда их не передают (токен сертифицирует ФСБ).

Резюме

Если вы приобретаете носитель с сертификатом ФСТЭК, то дополнительно нужно купить лицензию на программный криптопровайдер.

Если приобрели носитель с сертификатом ФСБ, то ничего больше покупать не нужно.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*
*