Пассивный ключевой носитель

Пассивный ключевой носитель — это устройство или среда, предназначенное для хранения криптографических ключей (в частности, закрытого ключа электронной подписи), но не выполняющее криптографические операции (например, подпись или шифрование) на своей аппаратной основе.

Отличие от активного носителя:

ХарактеристикаПассивный носительАктивный носитель
Криптографические операцииНет (выполняются на ПК)Да (внутри самого устройства)
ПримерыUSB-флешка, диск, файлТокен, смарт-карта, HSM
БезопасностьНижеВыше
УязвимостьЗакрытый ключ может быть скопированКлюч не извлекается, защищён внутри чипа

Как работает пассивный ключевой носитель?

  1. Закрытый ключ хранится в зашифрованном виде на носителе (например, в файле на USB-флешке);
  2. При подписании документа:
  • Ключ считывается с носителя;
  • Расшифровывается (при вводе пароля);
  • Криптографическая операция (подпись) выполняется на процессоре компьютера.
  1. После использования ключ может оставаться в памяти ОЗУ, если не очищен.

Это снижает безопасность, так как закрытый ключ может быть перехвачен вредоносным ПО.

Почему пассивные носители не рекомендуются для квалифицированной ЭП?

Согласно требованиям закона № 63-ФЗ и регуляторам (Минцифры, ФСБ):

  • Для квалифицированной электронной подписи (КЭП) требуется использование активных ключевых носителей.
  • Пассивные носители не обеспечивают достаточный уровень защиты закрытого ключа.

Поэтому на практике:

  • Удостоверяющие центры (УЦ) не выдают КЭП на пассивные носители;
  • Госорганы (ФНС, Росреестр и др.) не принимают подпись, если ключ хранится на пассивном носителе.

Где могут использоваться пассивные носители?

  • Для обучения или тестирования;
  • В системах с низким уровнем риска (внутренний документооборот без юридической значимости);
  • В некоторых системах облачной ЭП (но там ключ хранится на сервере с усиленной защитой, а не на обычной флешке).

Примеры:

  • Пассивный: файл .pfx, .p12, .key на USB-флешке.
  • Активный: токен JaCarta, Rutoken, EToken, смарт-карта.

Вывод:

Пассивный ключевой носитель — это средство хранения ключа, но не выполнения операций. Он не соответствует требованиям безопасности для квалифицированной электронной подписи по 63-ФЗ и не используется в официальном документообороте.