Пассивный ключевой носитель — это устройство или среда, предназначенное для хранения криптографических ключей (в частности, закрытого ключа электронной подписи), но не выполняющее криптографические операции (например, подпись или шифрование) на своей аппаратной основе.
Отличие от активного носителя:
Характеристика | Пассивный носитель | Активный носитель |
---|---|---|
Криптографические операции | Нет (выполняются на ПК) | Да (внутри самого устройства) |
Примеры | USB-флешка, диск, файл | Токен, смарт-карта, HSMHSM (Hardware Security Module) — это аппаратное устройство, предназначенное для безопасного хранения, обработки и использования криптографических к More |
Безопасность | Ниже | Выше |
Уязвимость | Закрытый ключЗакрытый ключ — это одна из двух частей асимметричной криптографической системы, которая используется для расшифровки данных или созд More может быть скопирован | КлючКлюч в криптографии — это основной элемент, используемый для шифрования и расшифровки данных. Ключ представляет собой секретную информ More не извлекается, защищён внутри чипа |
Как работает пассивный ключевой носитель?
- Закрытый ключЗакрытый ключ — это одна из двух частей асимметричной криптографической системы, которая используется для расшифровки данных или созд More хранится в зашифрованном виде на носителе (например, в файле на USB-флешке);
- При подписании документа:
- КлючКлюч в криптографии — это основной элемент, используемый для шифрования и расшифровки данных. Ключ представляет собой секретную информ More считывается с носителя;
- Расшифровывается (при вводе пароля);
- Криптографическая операция (подпись) выполняется на процессоре компьютера.
- После использования ключКлюч в криптографии — это основной элемент, используемый для шифрования и расшифровки данных. Ключ представляет собой секретную информ More может оставаться в памяти ОЗУ, если не очищен.
Это снижает безопасность, так как закрытый ключЗакрытый ключ — это одна из двух частей асимметричной криптографической системы, которая используется для расшифровки данных или созд More может быть перехвачен вредоносным ПО.
Почему пассивные носители не рекомендуются для квалифицированной ЭП?
Согласно требованиям закона № 63-ФЗ и регуляторам (Минцифры, ФСБ):
- Для квалифицированной электронной подписи (КЭПКЭП — это аббревиатура, которая расшифровывается как «квалифицированная электронная подпись». Это один из видов электронной подписи, о More) требуется использование активных ключевых носителей.
- Пассивные носители не обеспечивают достаточный уровень защиты закрытого ключа.
Поэтому на практике:
- Удостоверяющие центры (УЦ) не выдают КЭПКЭП — это аббревиатура, которая расшифровывается как «квалифицированная электронная подпись». Это один из видов электронной подписи, о More на пассивные носители;
- Госорганы (ФНС, Росреестр и др.) не принимают подпись, если ключКлюч в криптографии — это основной элемент, используемый для шифрования и расшифровки данных. Ключ представляет собой секретную информ More хранится на пассивном носителе.
Где могут использоваться пассивные носители?
- Для обучения или тестирования;
- В системах с низким уровнем риска (внутренний документооборот без юридической значимости);
- В некоторых системах облачной ЭП (но там ключКлюч в криптографии — это основной элемент, используемый для шифрования и расшифровки данных. Ключ представляет собой секретную информ More хранится на сервере с усиленной защитой, а не на обычной флешке).
Примеры:
- Пассивный: файл .pfxФормат .pfx (Personal Information Exchange) — это стандарт хранения криптографических данных в виде одного защищённого файла. Он используется для хране More, .p12Формат .p12 (также известный как PKCS #12) — это стандарт хранения криптографических материалов в защищённом виде. Он представляет собой един More, .keyФайл с расширением .key представляет собой файл, содержащий криптографический ключ — открытый или закрытый. Он может быть частью пары клю More на USB-флешке.
- Активный: токен JaCarta, Rutoken, EToken, смарт-карта.
Вывод:
Пассивный ключевой носитель — это средство хранения ключа, но не выполнения операций. Он не соответствует требованиям безопасности для квалифицированной электронной подписи по 63-ФЗ и не используется в официальном документообороте.