Федеральная налоговая служба России (ФНС) выпустила рекомендации по использованию носителей, на которых хранятся ключи электронных подписей. В рекомендациях собрана основная методическая информация о видах носителей, правилах работы с ними и мерах предосторожности, которые помогут снизить риски при использовании ЭП.

Закрытые ключи делятся на два вида: пассивные и активные. Пассивные защищаются только PIN-кодом, а активные – встроенными функциями средства криптографической защиты информации (СКЗИ). Безопасность закрытого ключа зависит от ответственности владельца при его использовании, свойств самого ключа и функциональных особенностей ключевого носителя.

Экспортируемый и неэкспортируемый

Экспортируемость и неэкспортируемость – одно из главных свойств закрытого ключа электронной подписи. Это свойство устанавливается на этапе формирования закрытого ключа. Если ключ экспортируемый, его можно скопировать, а это опасно для конфиденциальности данных. Для того, чтобы скопировать закрытый ключ, злоумышленнику потребуется получить доступ к ключевому носителю и узнать PIN-код владельца. Неэкспортируемый ключ невозможно скопировать, так как он защищен стандартными СКЗИ.

Извлекаемый и неизвлекаемый

Неизвлекаемость закрытого ключа электронной подписи означает то, что сам ключ никогда не покидает носитель, в котором он был сгенерирован. Для того, чтобы добиться неизвлекаемости, ключ должен быть записан на активный носитель с функциями СКЗИ. В этом случае извлечь его будет невозможно. Извлекаемые ключи – все остальные, в том числе экспортируемые и неэкспортируемые.

Пассивный ключевой носитель

Чтобы получить доступ к закрытому ключу, записанному на пассивный носитель, необходимо ввести PIN-код. При формировании закрытого ключа PIN-код устанавливается производителем, поэтому при первом использовании его лучше изменить.

При подписании электронных документов с помощью пассивного ключевого носителя происходит следующее: закрытый ключ копируется в память компьютера, далее в системе выполняются криптографические операции по формированию электронной подписи, после чего закрытый ключ удаляется из памяти устройства. Все это происходит в течение нескольких секунд.

Если несколько раз ввести PIN-код неправильно, пассивный ключевой носитель блокируется. Однако это не избавляет от риска утечки данных. Во время подписания документа данные закрытого ключа несколько секунд хранятся в памяти компьютера, откуда потенциальный злоумышленник может их перехватить.

Виды пассивных ключевых носителей: USB-носитель, смарт-карта, носитель с бесконтактным интерфейсом (NFC интерфейс).

Активный ключевой носитель

Активный ключевой носитель защищается не только PIN-кодом, но и функциями СКЗИ. Закрытый ключ при этом создается прямо на активном носителе с использованием аппаратных криптографических функций. Подписание электронных документов также происходит на носителе, а не в системе компьютера: данные о закрытом ключе не копируются в память устройства. Так, закрытый ключ никогда не покидает носитель.

Безопасность активного ключевого носителя может быть нарушена только в том случае, если злоумышленник похитит его вместе с PIN-кодом.

Виды активных ключевых носителей: USB-носитель, смарт-карта, носитель с бесконтактным интерфейсом (NFC интерфейс).

Рекомендации ФНС

Для того, чтобы максимально обезопасить конфиденциальные данные от злоумышленников, ФНС составила список рекомендаций по работе с ключевыми носителями электронных подписей:

• Использовать ключевые носители с наивысшей степенью защиты закрытого ключа
• Сменить пароль (PIN-код), установленный изготовителем, на собственный
• Пароль должен содержать не менее 6 символов, не должен являться последовательностью символов, расположенных на клавиатуре (qwerty, 123456), не должен быть основан на ассоциации, связанной с владельцем (например, кличка питомца)
• Не активировать функцию «запомнить пароль» в средствах электронной подписи и настройках ПО
• Не хранить данные о закрытом ключе (например, пароль) в открытых местах
• Не передавать ключевой носитель третьим лицам
• Не оставлять ключевой носитель без присмотра
• Если необходимо, выдать сотрудникам компании, которые не имеют права действовать без доверенности, их персональные закрытые ключи и сертификаты ЭП, чтобы они могли по доверенности подписывать документы
• Хранить ключевой носитель в недоступном месте
• В случае утери или кражи ключевого носителя необходимо обратиться в свой удостоверяющий центр и прекратить действие сертификата, а также в срочном порядке сообщить контрагентам, что утраченный сертификат недействителен

С 1 июля 2021 стартует новый порядок получения электронных подписей. В период с 1 июля по 1 января 2022 продолжится переходный период, а с 1 января новые правила оформления и использования ЭП вступят в законную силу и станут обязательными для участников электронного документооборота. Частично начать работать по новым правилам можно уже сейчас. Изменения – часть поправок к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи», принятых в 2019 году. Подробнее об изменениях читайте здесь.