Использование eToken в системе DIRECTUM

Токены - с чем их едят и для чего они нужны?

Токены - это с персональное средство аутентификации, выполненное в формате USB-брелок, предназначенное для хранения закрытого ключа, а также криптографическими операциями с открытым ключом. Иными словами, это специализированная USB-флешка для подписания электронных документов, а также иных операций необходимых для реализации юридически-значимого документооборота, а также электронного документооборота.

На текущий момент выбор токенов достаточно широк, и позволяет выбрать необходимый носитель исходя из требований. На данный момент самыми популярными токенами на российском рынке является Rutoken компании Актив, Etoken компании Аладдин, а также Kaztoken компании Цифровой Поток.

Для работы с токенами необходимо соответствующие средства СКЗИ, которые позволяют реализовать механизм работы. Вдаваться в подробности о работе токена и взаимосвязи с СКЗИ мы не будем, поэтому приступим непосредственно с тем, каким образом реализовать работу токена с системой DIRECTUM, а также подробную его настройку.

На текущий момент для демонстрации возможностей токена при работе с системой DIRECTUM я выбрал eToken, т.к. для меня он удобней при настройке и установке.

eToken (от англ. electronic — электронный и англ. token — признак, жетон) — торговая марка для линейки персональных средств аутентификации в виде USB-брелоков и смарт-карт, а также программные решения с их использованием. Торговая марка была создана израильской компанией Aladdin, впоследствии приобретенной SafeNet.

Первоначальная настройка

Прежде всего необходимо проделать следующие пункты для работы с eToken:

1. Необходимо установить программный продукт позволяющий работать с токеном, в моем случае это СКЗИ Крипто-Про CSP. Механизм подписания, а также в целом вся работа с указанным СКЗИ уже реализована в системе DIRECTUM, поэтому выбор пал именно данное СКЗИ.

2. Драйвера для eToken. Драйвера можно скачать непосредственно с официального сайта.

3. Получить пару закрытый-открытый ключ для работы с токеном.

Думаю подробно описывать установку Крипто-Про CSP, драйвера для токена нет смысла, поэтому опустим эти действия. Также представим, что на токене уже имеется закрытый ключ, поэтому дополнительных операций по внесению закрытого ключа также не будем описывать.

Настройка токена

После успешной установки драйвера для eToken, необходимо настроить работу его с Крипто-Про CSP.

Для этого необходимо открыть программу Крипто-Про CSP, зайдите в раздел Настроить считыватели, проверьте, чтобы у вас было доступна запись в разделе "Все считыватели смарт-карт" (в последних версиях Крипто-Про CSP данный раздел предлагается внести при установке Крипто-Про CSP)

Если данного пункта нет, то необходимо нажать кнопку "Добавить", в мастере по настройке выбрать соответствующее устройство, произвести его добавление в список.

Если все корректно, то перейдем к следующей части настройки. Если же данного пункта нет, то обратитесь к инструкции по настройке Крипто-Про CSP для работы со считывателями. В интернете довольно много информации по данному поводу.

Установка открытого ключа в профиль пользователя

Для установки открытого ключа (если он не выдавался отдельно) необходимо в программе Крипто-Про обратиться в раздел "Сервис":

1. Выберите кнопку "Просмотреть сертификаты в контейнере".

2. Выберите имя контейнера находящегося на токене нажав кнопку "Обзор". После выбора контейнера нажмите кнопку "Далее".

3. В следующем окне необходимо выбрать кнопку "Установить", при этом необходимо согласиться со всеми предложенными пунктами по установке сертификата.

После успешного завершения операции, открытый ключ установлен в профиль пользователя. 

Установка открытого ключа в DIRECTUM

Для установки открытого ключа в систему DIRECTUM необходимо проделать следующие действия:

1. Откройте компоненту Пользователи. Откройте карточку пользователя. Нажмите клавишу "Дополнительно".

2. Выберите закладку "Сертификаты". Нажмите клавишу "Регистрация".

3. Выберите модуль подписания и шифрования "CryptoPro Encryption". Проведите регистрацию сертификата.

4. Заполните информацию о сертификате, выберите тип сертификата. Сохраните изменения в карточке.

После выполнения указанных действий сертификат зарегистрирован в системе DIRECTUM.

Подписание ЗЗУ, документов в DIRECTUM

Если проделанные операции выше выполнены корректно, то можно работать с токеном в системе DIRECTUM. Теперь для подписания объектов в системе DIRECTUM необходимо просто воткнуть токен в usb-порт и провести подписание. Пример:

1. Выбираем задание для подписания. Выбираем пункт контекстного меню "Подписать".

2. Перед непосредственном подписании необходимо ввести пин-код к eToken. В случае некорректного ввода данных, подписание невозможно. 

Также необходимо помнить, что если планируется частое подписание данных, то можно установить галочку в пункте: "Запомнить pin-код". В этом случае при корректном введении пароля, Крипто-про запоминает пин-код. В дальнейшем ввода пин-кода не требуется.

Также необходимо помнить, что установка галочки в поле "Запомнить pin-код", снижает уровень безопасности хранения данных, т.к. при утере брелока, и не своевременного отозвания сертификата, данным брелоком и его сертификатом может воспользоваться третье лицо.

Также следует сменить пин-код ключевого носителя с заводского на уникальный в рамках пользования.

3. В случае корректного ввода данных пин-кода, а также доступности всех настроек, подписание задания проведено успешно.

В моем случае прошло все отлично, задание подписано, носитель с закрытым ключом при мне, и я знаю, что никто другой не сможет воспользоваться им.

Преимущества

Преимуществ в использовании указанных носителей уже отчасти было указано в тексте материала, но стоит выделить их отдельно:

1. Конфиденциальность информации.

2. Хранение ключей на отчуждаемом носителе.

3. Действия с ключевым носителем только после ввода пин-кода.

4. Обеспечить удобный переход пользователя с одного рабочего места на другое.

5. Возможность выполнения других операций связанных с аутентификацией пользователя: вход в windows, вход в систему DIRECTUM.

6. Установка пары ключей с центра сертификации напрямую на eToken.

7. Простота использования.

Следует также учесть, что указанный носитель сертифицирован ФСБ и ФСТЭК России.