Как скопировать сертификат электронной подписи на флешку или иной электронный носитель?

Самым популярным вариантом использования ЭЦП на данный момент является рутокен – это специальный флеш-накопитель, на который записывается закрытый ключ. Главное отличие такого носителя информации – в нем имеется криптопроцессор, с помощью которого и генерируется открытый ключ, используемый для подписи документов. А как использовать электронную подпись с флешки, какое ПО для этого понадобится? Всегда ли необходим рутокен для подписи тех же документов?

На каких флешках можно хранить ЭЦП

ЭЦП можно записать на следующие варианты флешек:

  1. Обычный USB накопитель. Данный способ использования электронной подписи не рекомендуется, так как украсть сертификат не составит проблем. Сейчас практически ни один удостоверяющий центр не предоставляет услуги выпуска ЭЦП с его записью на обычный USB-накопитель.
  2. USB-носитель с защищенным хранилищем. По факту, это тот же самый обычный накопитель, но внутренняя память у него разделена на несколько разделов. И доступ к одному из них, где и хранится ЭЦП, защищен паролем. Это достаточно удобный вариант, но защита – умеренная, украсть подпись опытному мошеннику не составит проблем.
  3. USB-токены с криптопроцессором. Нередко их называют как «Рутокен 1.0». Главный их недостаток – при установке сертификата в систему используется именно закрытый ключ, который впоследствии можно украсть уже с жесткого диска.
  4. USB-токены с функцией генерации ЭЦП. На текущий момент – самый совершенный вариант хранения электронной подписи. Часто их именуют как «Рутокен 2.0». Имеют все преимущества USB токенов с криптопроцессорами, но при этом умеют «на лету» генерировать открытые ключи, которые впоследствии и устанавливаются на компьютер. Украсть в этом случае сертификат не получится, так как доступ к внутренней памяти ограничен аппаратно (данные с флеш-накопителя доступны только криптопроцессору), защищен также секретным ключом.

И когда сейчас говорят о флешках, на которых хранится ЭЦП, то в 95% имеют ввиду именно USB-токены с функцией генерации открытой подписи. Именно их сейчас и выдают во всех удостоверяющих центрах, предлагающих получение усиленной квалифицированной подписи.

Принцип работы USB-токенов

Чтобы понять, каким образом выполняется подпись документов, необходимо разобраться с самой технологией работы ЭЦП.

  1. Итак, на рутокене записывается закрытый ключ, доступ к которому предоставляется через секретный код – он имеется только у владельца ЭЦП.
  2. С помощью специализированного ПО (например, КриптоПро CSP) генерируется открытый ключ – его копия хранится также в удостоверяющем центре (на случай возникновения споров касательно подлинности сертификата).
  3. При простановке подписи на электронном документе в конец файла добавляется небольшая часть информации – данные открытого сертификата (также может добавляться в качестве отдельного файла). А при установке сертификата на компьютер происходит генерация открытого ключа (это выполняется через КриптоПро CSP).

Как работать с USB-токеном

image Мнение эксперта Александра Степанова Консультант по подбору ЭЦП Как пользоваться ключом ЭЦП на флешке? Все операции выполняются через криптопровайдера, то есть, специальное ПО, которое через интернет проверяет актуальность используемой электронной подписи. Единственная аккредитованная для этого программа на территории Российской Федерации – это КриптоПро CSP (сейчас допускается использовать версию 3.0 или выше).

Часть операций с электронной подписью выполняется также через КриптоАРМ – это специальный плагин для браузеров. С помощью данной программы, к примеру, предоставляется доступ к системе электронных торгов (где выставляются государственные тендеры, на аккредитованных площадках).

Рекомендуемая операционная система для работы с ЭЦП – Windows, редакции 7 или старше. Для работы с электронными документами следует использовать Microsoft Office версии 2007 или старше (работает и в версии 2003, но с определенными ограничениями по функционалу). Что касательно браузера, то плагин КриптоАРМ работает со всеми актуальными веб-обозревателями, но специалисты рекомендуют пользоваться Google Chrome последней версии или Internet Explorer версии 9.0 или старше.

Установка сертификата на компьютер

Рутокен – это физическое устройство, которое механически повредить не составит проблем. Если каждый раз при возникновении необходимости подписать документ использовать флеш-накопитель, то вероятность его выхода из строя увеличивается. Альтернатива этому есть – это установка открытого сертификата в операционную систему. После этого подписать документ можно без рутокена.

Итак, для установки ЭЦП на компьютер необходимо:

  • инсталлировать КриптоПро CSP актуальной версии;
  • запустить программу, перейти во вкладку «Сервис», кликнуть на «Просмотреть сертификаты в контейнере»;
  • в нижней части окна выбрать поставщика сертификата (CryptoPro);
  • вставить в USB-порт токен;
  • выбрать «Найти сертификат автоматически»;
  • следовать инструкциям на экране (необходимо будет ввести секретный ключ).

После установки сертификата в систему настоятельно рекомендуется перезагрузить операционную систему для вступления всех изменений в действие. После – в списке «Просмотреть сертификаты в контейнере» появится новый, только что установленный ключ.

Использование сертификата с накопителя

Если в будущем не планируется использовать ПК для периодического применения ЭЦП, то можно выполнить подпись документа и без установки сертификата в систему. Но все равно обязательно потребуется актуальная версия КриптоПро CSP (3.0 или старше).

Как пользоваться электронной подписью с флешки? Если необходимо просто подписать цифровой документ, то выполняется это следующим образом:

  • выбрать «Файл», далее – «Защита документа», кликнуть на «Добавить цифровую подпись»;
  • затем в диалоговом окне выбрать необходимый сертификат (в нижней части указать в качестве источника Рутокен);
  • завершить шифрование и сохранить подписанный документ на жестком диске.

Необходимо учесть, что для корректной работы КриптоПро CSP в сочетании с Microsoft Office в системе должен быть установлен плагин КриптоПро Office Signature (скачать можно на сайте КриптоПро бесплатно).

Устанавливать открытый ключ в ОС при этом не нужно – он будет сгенерирован автоматически программой КриптоПро, после использования сертификат удаляется, на жестком диске его копия не сохраняется. Аналогичным образом выполняется подпись с флешки XML или PDF-файлов (в последнем случае потребуется предустановленный Adobe Reader актуальной версии).

Использование ЭЦП для торгов

Для работы с ЭЦП в окне браузера необходимо установить плагин КриптоАРМ. Он поставляется как отдельная программа (при её установке плагин интегрируется во все установленные в ОС совместимые веб-обозреватели) и как плагин для конкретного браузера. После установки КриптоАРМ обязательно необходимо перезагружать браузер!

В электронных торгах ЭЦП необходима для подтверждения заявок на участие в аукционах или на подачу запроса на проведения торгов. Здесь все происходит автоматически – сайт самостоятельно обращается к КриптоАРМ, когда ему необходимо заверить с помощью ЭЦП пользовательский запрос. Далее – появляется диалоговое окно КриптоПро (браузер может выдать запрос на запуск стороннего ПО), где и следует выбрать в качестве источника подписи вставленный в USB рутокен. Дальнейшая генерация открытого сертификата и идентификация личности выполняется автоматически.

Аналогичным образом можно работать с ЭЦП на флешке и на других сайтах, где используется идентификация или вход на портал через проверку электронной подписи. К таковым, к примеру, относятся сайты из списка Госуслуг, портал ФНС для подачи финансовой отчетности в электронном виде.

Итого, как пользоваться ЭЦП с флешки? Все, что для этого потребуется – это установленная и активированная версия КриптоПро CSP версии 3 и старше, а также плагины для Microsoft Office или браузеров (в зависимости от того, для какой цели используется рутокен). Однако все равно рекомендуется сертификат устанавливать в ОС, чтобы каждый раз не приходилось использовать USB¬-токен. Но даже если он будет выведен из строя – заменить его можно будет через удостоверяющий центр (при этом выдается новая ЭЦП, старая — аннулируется.

Заказать ЭЦП Подобрать ЭЦП imageХолодный способ хранения криптовалюты на выносном носителе — легкий способ защитить сбережения. Как сделать оффлайн-кошелек Биткоин на флешке? Какие ещё существуют варианты безопасных бумажников? –> Содержание статьи: Биткоин-кошелек на флешке — холодный тип хранилища, надежно защищенный от взлома, вирусов и кражи криптовалюты через Интернет. Он подходит для продолжительного хранения больших сумм виртуальных монет и является хорошей альтернативой дорогостоящим аппаратным бумажникам. Как сделать такой кошелек, и что для этого потребуется? В чем преимущества и недостатки такого способа? О каких еще способах холодного накопления BTC необходимо знать? Эти и ряд иных важных аспектов разберем подробнее в статье.

Что такое Биткоин-кошелек на флешке — общие положения

С ростом спроса на криптовалюту все чаще поднимается вопрос, как правильно хранить виртуальные деньги. В распоряжении пользователей сети имеется два варианта:

  1. Горячий способ. Суть таких бумажников заключается в подключении к глобальной сети, что позволяет в любой момент использовать виртуальные деньги (переводить, получать, обменивать). Горячий вариант хранилищ подходит для владельцев виртуальных монет, которые часто проводят сделки с Bitcoin и используют при этом небольшие суммы. Но при выборе таких бумажников важно осознавать риски для криптовалюты. Горячие кошельки подвержены взлому, влиянию вирусов, атакам злоумышленников. В результате виртуальные монеты могут быть украдены без возможности возврата.
  2. Холодный способ. В отличие от горячего, такой тип хранения подразумевает нахождение личного ключа пользователя вне Интернета. Удобное решение — создание Биткоин-кошелька на флешке, о котором и пойдёт речь в статье. Вариант с холодным бумажником подходит людям, инвестирующим в BTC и хранящим Bitcoin продолжительное время. При этом они могут быть уверены в надежной защите накоплений от рассмотренных выше факторов.В холодных хранилищах для получения виртуальных монет применяется общедоступный ключ (адрес), а для вывода — личный. Как только такой кошелек оказался в онлайн-режиме, он меняет свой статус на горячий. В результате уровень безопасности снижается.

Холодные кошельки набирают популярности на фоне новостей о взломе криптовалютных бирж, на которых тысячи пользователей хранят свои накопления. Наиболее резонансным событием последних месяцев стала атака на крупную биржевую площадку Bithumb. Если поднимать историю, таких случаев было много: Существуют и другие примеры краж, при которых злоумышленникам удалось увести сотни миллионы долларов (в криптовалюте). Из наиболее резонансных событий стоит выделить несколько взломов BTC-e (в 2016 и 2017 г.), взлом BitGrail (февраль 2018 года) и прочие. В результате действий злоумышленников тысячи людей остаются без накоплений, вернуть которые (хотя бы частично) удается не всегда. Главной целью атак является проникновение на сервер биржевой площадки или компьютер пользователя с целью последующей кражи приватного ключа. При получении такой информации злоумышленник с легкостью выводит деньги. Дополнительным фактором, подталкивающим людей к холодному хранению криптовалюты, являются частые блокировки аккаунтов пользователей на онлайн-сервисах (часто необоснованные), а также ряд других проблем (заморозка средств, трудности с технической поддержкой и прочие). Если у человека лежит крупная сумма Bitcoin на счету, потеря доступа к ней даже на короткое время может привести к значительному уменьшению прибыли (например, при торговле). В 2018 году оффлайн-кошелек Биткоин на флешке — реальный выход из сложившейся ситуации. Такое хранилище представляет собой накопитель с установленной на нем программой для безопасного пользования виртуальными монетами. Устройство находится вне зоны глобальной сети, что снижает риски в процессе пользования и защищает криптовалюту от многих негативных факторов. Его легко использовать и всегда можно держать при себе, проводя операции по мере необходимости. Особенность хранилища в том, что сделки с BTC подписываются с помощью закрытого ключа внутри устройства. Это значит, что личная информация не попадает в Интернет и не становится доступной третьим лицам. В ситуации с горячим кошельком личный ключ находится на биржевой площадке или специальном онлайн-сервисе, что делает его легкой добычей.

Как сделать Биткоин-кошелек на флешке — инструкция

Как отмечено выше, один из вариантов холодного хранения Bitcoin — использование стандартного накопителя, который надежно защищён от записи. Такой способ подходит для продолжительного хранения криптовалюты и все чаще применяется долгосрочными инвесторами. Но здесь имеются нюансы. Если с получением монет не возникает трудностей, при отправке BTC информация о закрытом ключе передается (это необходимо для подписи перевода). При этом взлом ПК не несет рисков для владельца криптовалюты, ведь прямое копирование приватного ключа исключено. Популярность рассмотренного хранилища Bitcoin не вызывает сомнений. Вопрос в том, как сделать Биткоин-кошелек на флешке. Для начала подготавливаем загрузочный накопитель, где будет находиться персональный (закрытый) ключ кошелька. Оптимальный вариант — применение дистрибутива Tails на Linux, который гарантирует анонимность пользователя и безопасность проведения транзакций в сети. Процесс создания загрузочной флешки имеет следующий вид: Теперь приступаем к созданию холодного хранилища на накопителе. Для этого:

  1. В настройках бумажника Электрум находим опцию «Просмотр транзакций перед подписанием» и устанавливаем напротив нее «флажок». Такая предусмотрительность позволяет видеть сведения о проводимой операции перед ее проведением.

Теперь делаем кошелёк на смартфоне или компьютере в режиме «только для просмотра». Алгоритм такой: Рассмотрим, как правильно переводить виртуальные деньги. Чтобы защитить накопления при проведении транзакций (отправке криптовалюты), делаем такие шаги: Перед тем, как установить Биткоин-кошелек на флешку, важно заранее подготовить ПО, изучить инструкцию по инсталляции хранилища и правила пользования BTC при проведении перевода. При этом стоит учесть главное правило безопасности. Если случайно подключить холодное хранилище к Интернету, надёжность кошелька снизится. Если все сделать правильно, бумажник на USB-накопителе по надежности аналогичен аппаратным хранилищам. При этом владелец кошелька имеет автономный доступ к средствам и возможность быстро восстановиться в случае утери пароля через сид-фразу. Стоимость такого бумажника не превышает расходы на покупку флешки. Для сравнения аппаратное хранилище Ledger Nano S стоит около 150 долларов. Многие пользователи упрощают задачу и просто устанавливают программу на USB-накопитель (без создания загрузочной ОС). Такой вариант возможен, но степень защиты ниже. –> –>

Преимущества и недостатки Биткоин-кошелька на флешке

Создание накопителя с бумажником Bitcoin — надежный способ хранения криптовалюты, позволяющий сэкономить на покупке аппаратного хранилища. Для максимальной защиты рекомендуется купить качественную флешку, изготовленную из надёжного материала, способного выдерживать воздействие воды и пламени. Перед созданием такого бумажника важно разобраться с плюсами и минусами устройства — сведем их в таблицу.

Преимущества Недостатки
Компактность. Изделие имеет небольшие габариты, что позволяет держать его при себе и использовать в случае необходимости. Высокая вероятность поломки. Накопитель USB представляет собой механическое устройство, которое подвержено различным воздействиям и может выйти из строя.
Удобство. Нет необходимости переписывать и отдельно хранить информацию по закрытому ключу. Риск потери данных. Информация на флешке может повредиться в результате внешних негативных факторов, к примеру, воздействия магнитных полей.
Надежность. Сведения надежно защищены на устройстве и не доступны злоумышленникам. Неудобство передачи монет. Для совершения транзакции необходимо подключить флешку к ПК и учитывать ряд правил безопасности.
Риск заражения вирусом. При подсоединении накопителя к компьютеру остается опасность проникновения вредоносных программ.

Альтернативы оффлайн-кошелька на флешке

Если вариант с Bitcoin-хранилищем на выносном носителе показался трудным и запутанным, стоит рассмотреть иные варианты холодного хранения.

Бумажный кошелек

Бумажный Биткоин-кошелек, созданный на сайте bitaddress.org Это холодное хранилище, где личный и общедоступные ключи отражаются на листе бумаги. Для создания такого бумажника можно воспользоваться одним из многочисленных сервисов (пример — bitaddress.org). Для получения кошелька переходим по указанной ссылке, после чего выполняем рекомендации (перемещаем указатель мышки по экрану). Как только достигнут предел в 100%, получаем бумажное хранилище и распечатываем его на бумаге. С левой стороны приводится код QR и общедоступный ключ для получения виртуальных монет. Эту информацию можно передавать другим пользователям или использовать для уточнения сведений о балансе. Справа находится личный ключ, который важно хранить в защищенном месте. При получении посторонними доступа к этой информации можно остаться без накоплений. Приватный ключ стоит переписать на отдельный лист или распечатать, после чего хранить в сейфе или ином надежном месте. Бумажный кошелек хорош тем, что он независим от целостности техники и гарантирует максимальную защиту от взлома. Кроме того, лист бумаги легко спрятать. Но имеется и ряд негативных моментов. Бумажный носитель подвержен физическому воздействию. Кроме того, при переносе информации можно ошибиться, а сам личный ключ легко сфотографировать (если владелец оставил его без внимания). Для дополнительной защиты средств на бумажном кошельке можно использовать функцию шифрования. Для этого переходим в раздел «Бумажный кошелек» и делаем отметку в секции BIP38 Encrypt?». В предложенной графе указываем набор символов, которые выступают в роли пароля для бумажного хранилища. Для надежности стоит подготовить 2–3 копии таких кошельков.

Хранение на ПК

Особенность способа в том, что сведения о хранилище находятся на ПК. Информация может иметь вид записанного личного ключа (сид-фразы) или резервной копии. Этот вариант хранения не так надёжен из-за риска поломки компьютера. Кроме того, ПК связан с Сетью, что повышает риск заражения его вирусами или атаки хакеров. Хранение на компьютере максимально безопасно, когда ПК никогда не подключается к Интернету, и на нем установлено надежное антивирусное обеспечение. Удобство хранения криптовалюты на компьютере в том, что при необходимости можно быстро открыть кошелек и использовать монеты. Если речь идет о ноутбуке, пользоваться накоплениями еще удобнее. Минус в том, что ПК может выйти из строя. В случае нарушения целостности жесткого диска восстановление данных выльется в крупную сумму. Нельзя забывать и о том факте, что ПК «боится» вирусов и червей.

Bitcoin-монета

Некоторые производители создают специальные монеты Биткоин, представляющие собой металлическое или стеклянное изделие с приватным ключом. Это оригинальный способ хранения BTC, но вот надёжным его не назовешь. К примеру, изготовитель может скопировать личный ключ пользователя до нанесения. Кроме того, монета может быть повреждена действием воды или пламени. Из плюсов стоит выделить лишь компактность и возможность ощутить реальную тяжесть Bitcoin в своих руках.

Аппаратный бумажник

Чтобы не разбираться с вопросом, как создать Биткоин-кошелек на флешке, можно взять во внимание уже готовые устройства, а именно аппаратные хранилища. Это небольшие изделия, с габаритами и внешним видом USB-накопителя. Задача — хранение виртуальных монет и подпись операций с помощью личного ключа. Человек, который хочет передать кому-либо BTC, подключает аппарат к ПК через разъем USB, а далее подтверждает или отменяет сделку. Особенность аппаратного хранилища — нахождение личного ключа в «холодном режиме», вне Интернета. Ценная информация не подвержена действию вирусов, а само устройство сделано из прочного материала. Это гарантирует его устойчивость к физическим воздействиям. Такие бумажники являются универсальными и позволяют хранить не только BTC, но и ряд иных виртуальных монет. К популярным аппаратным хранилищам стоит отнести Trezor, Ledger и прочие. Они компактны, позволяют быстро провести операцию с виртуальными монетами, а также гарантируют защиту приватного кошелька. При утрате аппаратного хранилища в большинстве случаев можно вернуть доступ к средствам. Если говорить в целом, Биткоин-кошелек на флешке — надежный, удобный и дешевый способ хранения криптовалюты. Несмотря на ряд недостатков, этот вариант подойдет для пользователей, имеющих в распоряжении большой объём крипты и не желающих тратить 100–150 долларов на покупку аппаратного кошелька. При этом важно помнить о недостатках и рисках такого способа хранения, чтобы исключить неприятные «сюрпризы» в будущем. Видео о создании кошелька на флешке: –> 09.07.2010

В рамках рубрики “Клуб экспертов” мы продолжаем публикацию книги А.В.Лукацкого “Мифы и заблуждения информационной безопасности”

Алексей Лукацкий – менеджер по развитию бизнеса Cisco Systems

После далеко неединичных инцидентов с кражей секретных ключей ЭЦП, используемых для цифровой подписи платежных поручений, на многих конференциях, в маркетинговых материалах, в рекомендациях разработчиков банковского софта и средств защиты звучит одна общая рекомендация – использовать USB-токены. Мол, это позволит полностью исключить кражу секретных ключей ЭЦП и защитит банковских клиентов от несанкционированного перевода средств на подставные счета. Но так ли это на самом деле? Не лукавят ли производители АБС и аппаратных USB-токенов?

Начнем с того, что токеном называется компактное устройство в виде USB-брелка, смарткарты или иной формы, которое служит для авторизации пользователя. Следуя этому определению обычные USB-флешки не подходят под понятие токен. Однако некоторые поставщики таких носителей информации все-таки называют их токенами, ссылаясь на то, что на них можно хранить PKI-сертификаты, по которым в свою очередь можно аутентифицировать пользователей. Чтобы не вступать в полемику с такой позицией, рассмотрим все виды USB-носителей, используемых для хранения секретных ключей ЭЦП. Их несколько:

  1. Обычная USB-флешка. Данный тип носителя никак не влияет на защищенность хранимых на нем данных. По данному критерию такой USB-токен мало чем отличается от дискеты. Украсть с него секретные ключи не представляет никакого труда и использовать такой токен для поставленной задачи нельзя. Хотя некоторые банки допускают это.
  2. USB-флешка с защищенным хранилищем. Этот тип носителя стал распространяться не так давно. Это USB-носители с встроенным шифрованием. Примером такого носителя является Verbatim Store ‘n’ Go USB Executive Secure, семейство разнообразных носителей Kingston DataTraveler или Buffalo RUF2-HSCL-U (последняя помимо шифрования поддерживает еще и встроенную антивирусную проверку хранящихся файлов). Данное решение обладает более высокой защищенностью чем обычная флешка, но также не может быть рекомендована как хранилище секретных ключей ЭЦП. Все дело в том, что в защищенном виде ключи хранятся только на самой флешке. Однако для того, чтобы подписать платежное поручение или какой-нибудь документ, ключ должен быть извлечен из флешки в память компьютера и отдан в программу, реализующую функцию ЭЦП. Вот в этот момент секретный ключ (а также любые иные защищаемые данные) могут быть украдены. Более того, получив доступ к секретной информации, злоумышленник может ее модифицировать и заново записать на флешку.
  3. USB-токен с встроенным криптопроцессором. Этот тип носителя помимо функции хранения обладает еще и ярко выраженной функцией идентификации его владельца. Различные примеры таких токенов позволяют генерить одноразовые пароли, использоваться как смарт-карта или применяться для бесконтактной RFID-идентификации. С точки зрения хранения секретных ключей такой токен мало чем отличается от предыдущего примера. Разве что у них может присутствовать две области хранения секретной информации – одна в режиме чтение/запись, а вторая только для чтения. Именно в нее можно записать секретные ключи ЭЦП, которые нельзя будет модифицировать… но вот украсть их можно в момент их передачи от токена в программу формирования ЭЦП. При этом дальнейшее наличие токена уже не нужно, т.к. у нас имеется копия перехваченного секретного ключа. PIN-код для доступа к токену также может быть перехвачен специализированным программным обеспечением. Примером такого типа устройства является VeriSign USB Token, eToken PRO или Rutoken.
  4. USB-токен с встроенной генерацией ЭЦП. Этот тип носителя отличается от всех остальных тем, что он не только хранит секретный ключ ЭЦП и самостоятельно вырабатывает ее внутри себя. Иными словами, на вход этого токена подается платежное поручение, которое и подписывается внутри USB-устройства. Как правильно пишут разработчики таких устройств, секретный ключ никогда не покидает токен. Сегодня на российском рынке представлено только одно сертифицированное в ФСБ решение – « iBank 2 Key», работающий с АБС iBank компании «БИФИТ». На сертификации находятся аналогичные решения eToken ГОСТ от компании Aladdin и Rutoken ЭЦП от компании «Актив».

Последнее время вокруг «iBank 2 Key» нагнетается ажиотаж. Причем его активно подпитывают и сами банки, которые для своих клиентов дают такие рекомендации: «Радикальной мерой борьбы с выявленным трояном, является использование носителя ключевой информации – USB-токен, который делает невозможным копирование ключей ЭЦП». Другой банк приводит на своем сайте такую рекомендацию: «Если в настоящий момент для работы в Интернет-банке Вы используете обычные носители для хранения ключей ЭЦП (дискета, «флэшка», жесткий диск), то мы настоятельно рекомендуем Вам перейти на использование аппаратного криптопровайдера USB-токен “iBank 2 Key“.Это радикальная мера защиты для противодействия хищению ключей ЭЦП Клиента. Основное достоинство заключается в том, что ключи, созданные на USB-токен, невозможно скопировать. Так, физическое нахождение у Вас  токена, дает гарантию того, что никто другой им не воспользуется, и Вы смело можете использовать открытые точки доступа в Интернет». Насколько это корректно?

Если обратить внимание на рекламу такого токена, то можно обратить внимание, что в качестве его «радикального» преимущества преподносится защита секретного ключа ЭЦП. В этом и кроется подвох или непонимание продавцами всей глубины проблемы. Ведь не в краже секретных ключей ЭЦП состоит основная угроза. Ключевая же проблема заключается в несанкционированном переводе средств клиента банка. Кража секретных ключей – это всего лишь один из вариантов ее реализации, но далеко не единственный. Сходу можно предложить иной метод кражи денег – подать на вход USB-токена поддельное платежное поручение. Токен благополучно подпишет его и оно будет отправлено в банк, где банк в соответствии с договор банковского обслуживания переведет сумму, указанную в платежке на подставные реквизиты. Легко ли реализовать такую атаку? Не сложнее, чем перехватывать PIN-код доступа к обычному USB-токену. Достаточно написать троянца, который будет перехватывать документ, отправляемый клиентским приложением к токену, и подменять платежные реквизиты. Можно полностью подменить платежное поручение, а можно отдать токену две платежки – оригинальную и несанкционированную. При этом в банковском приложении будут отображаться не вызывающие подозрения реквизиты и статус подписи.

С точки зрения специалиста по безопасности проблема с кражей секретных ключей может быть решена рассматриваемым USB-токеном. А вот с точки зрения клиента внедрение такого токена не дает ничего нового (кроме затрат на покупку токенов). Если клиент подхватил где-то троянца, крадущего секретные ключи ЭЦП, то он с таким же успехом может подхватить и троянца, подменяющего платежки. Усилия по внедрению таких вредоносных программ идентичны. И USB-токен в встроенной ЭЦП, решив одну проблему, ничего не может поделать с другой.

Частично решить проблему с подменой платежки могло бы хранение всех подписанных документов в энергонезависимой памяти токена. В этом случае при разборе конфликтов всегда можно было бы обнаружить, что подписанный документ не тот, который был подан со стороны клиентского приложения ДБО. Правда, и несанкционированный перевод средств уже был произведен. С точки зрения законодательства вина может лежат как на юридическом лице, нарушившем условия договора банковского обслуживания, в котором были прописаны условия обеспечения безопасности ДБО, так и на банке, которые не внес в договор (именно в договор) рекомендаций по защите. Однако из имеющихся сегодня на рынке решений только у eToken ГОСТ (в модификации eToken ГОСТ/Flash) объем памяти составляет 4 Гб (стоимость, правда, тоже возрастает. У Rutoken ЭЦП объем памяти для хранения данных всего 64 Кбайт. iBank 2 Key также не предусматривает архивного хранения хоть сколько-нибудь большого количества подписанных документов.

Некоторые разработчики признают, что аппаратные токены с встроенными криптографическими возможностями не обеспечивают защиту от подмены. Правда, они сразу оговариваются, что «реализация такой атаки ограничена во времени — она осуществима только на время физического подключения токена к компьютеру». Но во-первых, я могу сфальсифицировать всего одно платежное поручение на крупную сумму, которая окупит все затраты злоумышленника. А во-вторых, описанная мной выше схема с подменой платежек как раз и рассчитана на то время, когда токен подключен к компьютеру; ведь именно в этом момент он и осуществляет подписание документов.

Но вернемся к самому токену с встроенной генерацией/проверкой ЭЦП. Можно ли все-таки украсть с него секретный ключ или это полностью исключено, как утверждают разработчики? Оказывается можно. Помимо простого физического доступа к внутренностям токена (что достаточно быстро обнаруживается) существует целый класс атак, называемых side channel attack или атака по сторонним каналам. В отличие от криптоанализа, направленного на алгоритмы, используемые для шифрования или ЭЦП, данные атаки опираются на сведения, полученные в результате наблюдения за физическим процессом работы USB-токена. Данные атаки известны еще с 80-х годов и, как это ни странно, они не настолько дороги в реализации, как кажется. А в 1998-м году известный специалист по безопасности Брюс Шнайер писал об успешности таких атак против смарт-карт и токенов безопасности. Существует даже отдельный сайт, посвященный данным атакам ( http://www.sidechannelattacks.com/).

К каким выводам мы пришли? Во-первых, широко разрекламированный USB-токен, якобы защищающий от кражи секретных ключей, на самом деле может быть взломан. Вероятность успеха такой атаки достаточно высока. Вопрос только в том, насколько ценна будет та информация, которая хранится в USB-токене. Во-вторых, говоря о невозможности кражи секретных ключей из токена его продавцы лукавят, т.к. задача клиента банка – не сохранить ключи в секрете, а предотвратить несанкционированный перевод средств. А эту задачу USB-токены решают лишь частично и только для отдельных видов атак.

Что же получается? USB-токены не нужны? Конечно же нет. Они повышают уровень защиты секретных ключей ЭЦП и другой конфиденциальной информации. Но полностью полагаться на них не стоит. Как бы не хотели мы доверять заявлениям поставщиков, что USB-токен радикально решает проблему, необходимо четко для себя уяснить – защита системы дистанционного банковского обслуживания – это проблема комплексная, и только одним устройством нерешаемая.

Оценить: 16 3

Читайте также

Урок № 4. Стратегия инвестиций: инструмент для выбора инструментов. Обучение Банки.ру За какую страховку можно получить налоговый вычет? Инфографика

Содержание

После перехода по ссылке нужно дать разрешение всплывающим окнам.

Должна появиться такая страница:image

Если вы увидели окно, то двигайтесь далее.image

И если вы увидите это окно, это значит, что не установлен криптопро эцп browser. Смотрите пункт проверки установки ниже (со слов «Важно!»).image

При появлении такого окна, значит, что CAdES криптопро ЭЦП Browser Plug-in не установлен. Смотрите пункт проверки/установки.

Важно! Рекомендуется провести проверку установленного плагина ЭЦП на сайте, чтобы понять, что всё установлено правильно и элементы системы работают надежно друг с другом, перейдя по ссылке:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

image Вячеслав Вяткин IT специалист. Администратор сайта. Проконсультирую вас по многим вопросам из сферы информационных технологий! Установка электронной цифровой подписи не представляет сложности. Производители программного обеспечения позаботились о том, чтобы данная задача была под силу даже неопытным пользователям персонального компьютера. Получение сертификатов возможно в нескольких видах: с обычной флешки, токена (Jacarta, Rutoken, eToken) или реестра в виде папки с файлами закрытого ключа. Читайте также:  VNC клиент для Windows. Как скачать, установить и настроить!

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий