Активный ключевой носитель

Активный ключевой носитель — это специализированное защищённое устройство, предназначенное для хранения закрытого ключа электронной подписи и выполнения криптографических операций (подпись, шифрование) внутри самого устройства.

Основная идея:

Закрытый ключ никогда не покидает пределов устройства — он не извлекается в оперативную память компьютера, что обеспечивает высокий уровень безопасности.

Основные характеристики активного ключевого носителя:

ХарактеристикаОписание
Выполнение операцийКриптографические операции (подпись, проверка) выполняются внутри устройства
Хранение ключаЗакрытый ключ не может быть считан или скопирован снаружи
ЗащитаАппаратная защита от взлома, встроенный чип, защита от физического и логического доступа
Требования 63-ФЗСоответствует требованиям закона для квалифицированной электронной подписи (КЭП)
ПримерыТокены, смарт-карты, HSM-модули

Примеры активных носителей:

УстройствоПроизводительОсобенности
RutokenАктивРоссийская разработка, поддержка ГОСТ
JaCartaИнфотексПоддержка облачной ЭП, ГОСТ и PKCS#11
eTokenThales (бывш. SafeNet)Международный стандарт, используется в банках
Смарт-карта с чипомРазные производителиЧасто используется в госорганах
HSM (Hardware Security Module)Thales, UtimacoДля серверов и крупных организаций

Как работает:

  1. Пользователь вставляет токен в компьютер (через USB или картридер);
  2. Вводит PIN-код для разблокировки;
  3. Программа отправляет данные для подписи на токен;
  4. Токен сам подписывает данные с помощью закрытого ключа;
  5. Подпись возвращается на компьютер;
  6. Закрытый ключ при этом нигде не сохраняется и не передаётся.

Это исключает риск его копирования или утечки через вирусы.

Требования к активному носителю по 63-ФЗ:

Согласно Федеральному закону № 63-ФЗ «Об электронной подписи» и требованиям Минцифры:

  • Для квалифицированной электронной подписи (КЭП) обязательно использование активного ключевого носителя;
  • Носитель должен быть защищён от несанкционированного доступа;
  • Должна быть реализована защита от извлечения ключа;
  • Устройство должно соответствовать российским криптографическим стандартам (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012).

Чем отличается от пассивного носителя?

КритерийАктивныйПассивный
Ключ извлекается?НетДа (в память ПК)
Подпись внутри устройства?ДаНет (на ПК)
Защита от копирования ключаВысокаяНизкая
Подходит для КЭП?✅ Да❌ Нет

Преимущества активного носителя:

  • Высокая безопасность;
  • Соответствие требованиям закона;
  • Защита от вредоносного ПО;
  • Юридическая значимость подписи.

Важно: даже с активным носителем необходимо:

  • Надёжно хранить устройство;
  • Не передавать PIN-код;
  • Своевременно отзывать сертификат при утере.

Пример из жизни:

Вы — бухгалтер. Подписываете отчётность в ФНС через Контур.Диадок.

  • Используете Rutoken, в который записан ваш КЭП;
  • При подписании документа:
    → вводите PIN,
    → токен сам создаёт подпись,
    ключ не покидает токен.
  • ФНС принимает документ — подпись юридически значима.