Где хранить контейнеры с ключами электронной подписи

При использовании электронной подписи, вы можете хранить свою ЭЦП в любом месте, которое может использовать для своей работоспособности программа крипто-шифрования КриптоПро CSP.

Средства хранения электронной подписи ЭЦП
Средства хранения электронной подписи ЭЦП

Фактически, пользователю, использующему электронное подписание документов, предлагается 4 основные варианта хранения ключей электронной подписи ЭЦП на своем компьютере:

  1. USB-токен;
  2. Директория;
  3. Флешка или несистемный жёсткий диск;
  4. Реестр.

Согласно 63-ФЗ «Об электронной подписи» пользователь самостоятельно отвечает за сохранность и безопасность своих ключей электронной подписи. Удостоверяющему центру запрещено хранить у себя ключи ЭП конечного пользователя. Следовательно, в случае утраты или дискредитации ключа необходимо немедленно перевыпустить новый сертификата электронной подписи.

USB-токен

USB-токен — хранение контейнера с ключами квалифицированной электронной подписи на специализированном устройстве USB-токене. В настоящее время является самым защищенным и безопасным способом хранения.

В продаже имеется большое количество моделей ключевых носителей (USB-токенов) для хранения электронной подписи. Их главное отличие от обычных флэшек — это наличие встроенного средства криптографической защиты информации (СКЗИ). Самые используемые модели: РутокенeTokenJaCarta.

Каждый USB-токен для хранения электронной подписи имеет специальный пин-код, и только после его ввода пользователь получает доступ к работе с ЭП. Стандартный пароль устанавливается производителем устройства. Сразу после приобретения токена мы рекомендуем сменить пароль.

Программное обеспечение КриптоПро CSP имеет специальный функционал для копирования ключа электронной подписи. Таким образом, существует риск копирования ключа ЭЦП на другой носитель или компьютер. Для исключения такой ситуации, собственник ключа ЭЦП может установить защиту от копирования.

Директория (Directory)

«Директория» — хранение контейнера на системном диске. Доступно на Windows, macOS и других ОС и с версией КриптоПро CSP 5.0 и выше.

Операционная система Windows сохраняет контейнер с ключом электронной подписи в следующей директории:

C:\Users\<имя пользователя>\AppData\Local\Crypto Pro

Помните, что каталог «AppData» является скрытым и чтобы отобразить его, необходимо включить отображение скрытых файлов или набрать «%appdata%» (без кавычек) прямо в адресной строке проводника.

Директория на macOS

Операционная система macOS сохраняет контейнер с ключом электронной подписи в следующей директории:

/var/opt/cprocsp/keys/

где <username> — имя пользователя macOS.

директорию для постоянного хранения контейнера по следующим причинам:

Недостатки хранения ЭП в компьютере:

  1. При выходе из строя жёсткого диска (винчестер) вы потеряете свой ключ навсегда. После установки нового диска и переустановки операционной системы, необходимо выпустить новый ключ ЭЦП;
  2. Ключ электронной подписи фактически будет доступен всегда. Это вызывает огромные проблемы с безопасностью — в случае взлома вашего компьютера или внедрения вирусного ПО, злоумышленник легко может скопировать ключ электронной подписи и совершать противоправные действия используя вашу цифровую подпись;
  3. Если у Вас ноутбук — вы банально можете его потерять или его просто могут украсть.

Флешка или несистемный жёсткий диск

Контейнер с ЭЦП можно хранить и на обычной флэшке в любой папке. Собственно говоря, Вы можете сохранить эту папку в любой каталог жесткого диска (хоть внешнего).

Папка с файлами контейнера должна находится в корне диска и иметь определённый формат:«xxxxxxxx.nnn», где «xxxxxxxx» — 8 символов имени контейнера, может содержать только [a-z], [A-Z], [0-9] или ‘-‘; «nnn» — порядковый номер контейнера. Например, «ivanovaa.000».

При несоблюдении формата и местоположения контейнера КриптоПро СSP не сможет работать с этим контейнером.

Файлы, содержащиеся в папке контейнера:

  • header.key
  • masks.key
  • masks2.key
  • name.key
  • primary.key
  • primary2.key

Объём всех файлов контейнера 4-5 килобайт, что практически не занимает места.

Достоинства хранения ЭП на компьютере:

  1. Средняя безопасность. Хранение электронной подписи на персональном компьютере обеспечивается общий уровнем безопасности доступа к самому компьютеру, идентификации по логину и паролю, а так же защита крипто-контейнера с ключами ЭЦП сложным паролем.
  2. Удобство использования. Если на компьютере имеется специальное программное обеспечение для работы с электронной подписью, автоматизирующее подписание документов, то это значительно упрощает сам процесс подписания документов электронно-цифровой подписью.
  3. Доступность. Электронная подпись может быть легко доступна пользователю в любое время, когда компьютер включён и подключён к интернету.
  4. Безусловная возможность быстрого использования нескольких электронных подписей. Очень часто бывает, что у ответственного сотрудника (например, бухгалтера) несколько электронных подписей — в этом случае, Вы можете хранить контейнеры с ЭЦП на диске в определенной папке и переключаться между ними по мере необходимости.

Реестр операционной системы

«Реестр» — возможность хранение контейнера с ЭЦП непосредственно в реестре Windows.

Плюсы — почти как при хранении на диске (флэшке), однако установить пароль на доступ к ЭП не получится, а следовательно будет существенный минус в безопасности использования такого способа хранения. В случае получения доступа к вашему компьютеру или внедрения вирусного ПО, злоумышленник легко может скопировать ключ электронной подписи.

Другие новости ЭЦП и ЭДО