Если у вас возникла необходимость в приобретении устройства хранения электронных ключей для ЕГАИС — токена, вам придется сделать выбор, какое из устройств целесообразно приобрести.
Токен — фактически это USB-флешка защищенная специальными алгоритмами. Обычно на ней хранятся ключи ЭЦП (электронной цифровой подписи). На российском рынке присутствуют три вида токенов: eToken, ruToken и токен Jacarta
Попробуем разобраться, в чем разница между ними, какое из устройств обеспечивает наиболее надежную защиту?
Rutoken — это российский продукт, который был разработан с учетом современных требований к устройствам защиты информации совместно компаниями «Актив» и «Анкад». Главное отличие Rutoken от зарубежных аналогов заключается в том, что в нем аппаратно реализован российский стандарт шифрования — ГОСТ 28147-89.
ruToken — построен на базе серийного микроконтроллера, в котором аппаратно реализован только российский симметричный алгоритм ГОСТ 28147-89, аппаратной поддержки западных алгоритмов нет – при их вызове осуществляется «проброс» к стандартному криптопровайдеру. Ключ в этом случае выполняет функцию «защищенной PIN кодом флэшпамяти» для хранения ключевых контейнеров.
У Рутокена объем доступной памяти: 32 Kb, 64 Kb, 126 Kb, которая вмещает от 3 до 25 контейнеров.
eToken — это персональное средство строгой аутентификации и хранения данных, поддерживающее работу с цифровыми сертификатами и ЭЦП на аппаратном уровне.
eToken выпускается в виде USB-ключа смарт-карты. Защищенный объем памяти 72 Kb, пользователю доступны 47 Kb из них.
eToken поддерживает работу и интегрируется практически со всеми основными системами и приложениями работающими по технологии смарт-карт PKI (Public Key Infrastructure).
eToken и JaCarta на российском рынке продвигает ЗАО «Аладдин Р.Д.» (http://www.aladdin.ru/catalog/etoken/).
У JaCarta — производитель тот же, что и у eToken, поэтому он имеет похожие функции. Количество встроенной памяти 72 Кб. Наличие аутентификации. Совместим с ОС: Microsoft Windows XP SP3/Vista SP2/7 SP1/ 8, Mac OS X и GNU/Linux.
eToken может использоваться в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещение с ограниченным доступом, в компьютер компьютерную сеть, для доступа к защищенным данным, для защиты электронных документов, для проведения финансовых транзакций, для установления защищенных соединений.
Но есть модификации Рутокена с RFID метками, которые способны выполнять те-же функции.
Из документации к Рутокену:
Аппаратное выполнение криптографических операций в доверенной среде (в микросхеме ключа: генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функции, выработка ЭЦП).
Из описания:
Криптография реализована в чипе смарт-карты, закрытые ключи никогда не покидают чип, что обеспечивает высочайшую защищенность этих устройств.
Как мы видим, главное различие этих устройств в способе выполнения криптографических операций по ГОСТ 34.10.
При использовании алгоритмов основанных на российских стандартах eToken используется как защищенный носитель для ключей, как криптографический контейнер, он отдает ключ криптоядру операционной системы, которая выполняет криптографичесикие операции в защищенном сегменте памяти операционной системы.
RuToken же в отношении криптографических операций основанных на российских стандартах выступает в роли криптопроцесора, выполняя такую операцию самостоятельно, он использует неизвлекаемые ключи электронной подписи, поэтому закрытый ключ не покидает устройство в процессе выполнения криптографических операций.
Конечно, в еТокене тоже есть криптопроцессор и он способен выполнять криптографические операции самостоятельно, но это не относится к операциям осуществляемым в соответствии алгоритмами основанными на российских стандартах, аппаратной поддержки наших алгоритмов в нем нет и криптопроцессор в этом случае не используется.
Таким образом, при использовании шифрования по западным стандартам подойдет eToken, а для отечественных производителей ГОСТ 34.10 — ruToken.
Однако в действительности принципиальной разницы в плане безопасности между ними нет.
Нарушитель с низкой квалификацией не сумеет перехватить ключ, отдаваемый eToken’ом, а при высокой квалификации нарушителя неотдача ключа — не является помехой. Ему не понадобится ключ — он перехватит PIN к носителю и даст ключу команду на выполнение криптографической операции от имени пользователя.
