| Носители ключевой информации | ||
|---|---|---|
 |
2.8.3. Электронная подпись | 
|
| Носители ключевой информации | ||
|---|---|---|
|
|
2.8.3. Электронная подпись |
|
В качестве физического устройства для хранения пользователем ключевой информации СКЗИ (в виде специального зашифрованного файла – криптоконтейнера) могут использоваться каталоги локальной файловой системы вашего компьютера либо различные сменные носители, подключаемые к АРМ пользователя при необходимости постановки / снятия подписи: USB флеш-накопители, дискеты, сетевые диски и т. п. Также банком может допускаться использование незащищенных сменных носителей.
USB-токены представляют собой специализированные сменные носители, в которых защита ключевой информации осуществляется на аппаратном уровне. Отдельные модели поддерживают не только хранение ключевой информации, но и выполнение различных криптографических операций.
Использование USB-токенов практически полностью исключает возможность компрометации ключевой информации и повышает безопасность системы в целом.
![[Внимание!]](../img/admon/important.png) |
Внимание! |
|---|---|
|
В системе введено лицензирование возможности хранения ключевой информации на USB-токенах при использовании следующих СКЗИ:
При отсутствии данной возможности в составе лицензии системы произойдет отказ в обслуживании клиентов, использующих USB-токены. Отказ в обслуживании клиентов подсистемы будет проявляться в отказе выполнения операции формирования запроса на сертификат и выполнения операции на перевыпуск сертификата. |
Для выполнения операций по постановке / снятию подписи USB-токен должен быть подключен к рабочей станции в момент выполнения операции.
При использовании для подписи документов токенов с аппаратной криптографией Рутокен ЭЦП™, eToken GOST™, которые предполагают
ввод PIN-кода, пользователю требуется вводить PIN при каждой операции подписи. Система предоставляет возможность "запоминания" введенного PIN на время сессии и
его автоматического использования без повторного ввода при подписи документов (см. разд. «Предложение запомнить ПИН-код USB-токена в рамках сеанса работы»). Настройка
параметров кеширования PIN выполняется при помощи свойства сервиса Настройки криптографии, соответствующего используемому СКЗИ (см. разд. «Конфигурационные параметры сервиса аутентификации»).
Матрица поддержки средств криптографической защиты информации (СКЗИ), электронных USB-ключей (токенов) и смарт-карт представлена в разд. «Совместимость USB-ключей и смарт-карт с поддерживаемыми типами СКЗИ» .
При использовании СП на базе MessagePRO™, доступно хранение ключевой информации (секретного ключа) либо локально, либо на незащищенных сменных носителях, с использованием специального криптоконтейнера, закрытого паролем. Под незащищенными носителями понимаются любые съемные устройства, отличные от USB-токенов или смарт-карт. При использовании подобных носителей, в свойствах СП должны быть сняты флаги Токен и Токен BSS.
По умолчанию в ДБО Corporate используется сохранение криптоконтейнера в каталог локальной файловой системы. Для установки в качестве
способа хранения памяти незащищенных сменных носителей, либо для предоставления клиенту возможности выбора одного из двух допустимых способов используется свойство конфигурации
Место хранения ключевой информации без использования токенов сервиса
"Настройки криптографии (общие)".
Пароль на криптоконтейнер может быть установлен при помощи вспомогательного ПО Admin-PKI™ от компании Сигнал-КОМ. Установка пароля может быть произведена на уже сформированный криптоконтейнер с секретным ключом, для которого уже выпущен сертификат проверки ЭП. После установки пароля на криптоконтейнер все перечисленные далее криптографические операции с использованием сертификата данного ключа потребуют от пользователя дополнительного ввода пароля для доступа к криптоконтейнеру:
запрос на перевыпуск сертификата;
запрос на отзыв сертификата;
постановка подписи / снятие подписи под документом.
|
|
 |
|
| Переход к Message-PRO v.5.x™ от Message-PRO v.4.x™ |  |
Детализация настроек подписания ЭД |