eToken
Общее описание
eToken — это серия аппаратных криптографических токенов, разработанных компанией Safenet (ныне часть Thales/Gemalto), предназначенная для: - безопасного хранения закрытых ключей; - формирования и проверки электронной подписи; - шифрования данных; - двухфакторной аутентификации; - интеграции с корпоративными и государственными системами.
Несмотря на то, что eToken изначально был ориентирован на западные стандарты (RSA, SHA), в России он также широко используется благодаря поддержке ГОСТ-криптографии через сторонние модули и плагины. В частности, eToken совместим с российскими криптопровайдерами, такими как КриптоПро CSP, Льгота CSP, Валента CSP и др.
Основные функции
1. Хранение закрытых ключей
- Закрытые ключи никогда не покидают пределов устройства.
- Возможность генерации ключевых пар непосредственно на токене.
- Поддержка нескольких ключевых пар на одном устройстве.
2. Поддержка алгоритмов
- Стандартные:
- RSA (1024–4096 бит)
- ECDSA
- SHA-1 / SHA-256
- Через дополнительные модули:
- ГОСТ Р 34.10-2012 / ГОСТ Р 34.10-2001
- ГОСТ Р 34.11-2012
- ГОСТ 28147-89
3. Формирование и проверка ЭЦП
- Полная совместимость с российскими и международными стандартами ЭЦП.
- Интеграция с КриптоАРМ, КриптоПро CSP, Льгота CSP и др.
4. Шифрование и расшифрование данных
- Поддержка как симметричного, так и асимметричного шифрования.
- Использование открытого ключа для шифрования, закрытого — для расшифровки.
5. Двухфакторная аутентификация
- Доступ возможен только при наличии:
- физического токена
- правильного PIN-кода
6. Работа с PKCS#11
- Совместимость с Linux через PKCS#11 API.
- Возможность использования в СБИС, Диадок, ЕГАИС, SAP и других системах.
Модели eToken
| Модель | Особенности |
|---|---|
| eToken PRO USB | Базовая модель, поддержка RSA и ECDSA |
| eToken 5110 | Универсальная модель, поддержка Java Card, PKCS#11 |
| eToken 7300 | Высокая защита, FIPS 140-2 Level 3, HSM-класс |
| eToken NG-FLASH | Поддержка пользовательских приложений, flash-память |
| eToken 72K KeyGold | Поддержка ГОСТ через специализированный Java-апплет |
⚠️ Для работы с ГОСТ-алгоритмами необходима установка специализированного Java-апплета или использование внешнего криптопровайдера.
Архитектура и компоненты
1. USB-интерфейс
- Все модели подключаются через USB-порт (USB 2.0 или 3.0).
- Автоматическое определение устройства в Windows/Linux/macOS (при наличии драйверов).
2. Java Card
- Поддержка загрузки пользовательских Java-апплетов.
- Возможность реализации ГОСТ-алгоритмов на уровне токена.
3. PKCS#11 библиотека
- Используется в Linux и приложениях, поддерживающих стандарт PKCS#11.
4. Управление PIN-кодом
- Защита от несанкционированного доступа.
- Блокировка токена после нескольких попыток ввода неверного PIN.
Требования к окружению
| Компонент | Требования |
|---|---|
| ОС | Windows 7 SP1 и выше, Linux (Debian, Ubuntu, Astra Linux и др.), macOS |
| USB-порт | USB 2.0 и выше |
| Криптопровайдер | КриптоПро CSP, Льгота CSP, Safenet ProtectToolkit C и др. |
| Программное обеспечение | Thales/Gemalto, pkcs11-tool (Linux), КриптоАРМ |
Установка и настройка
На Windows:
Шаг 1. Подключение токена
Вставьте eToken в USB-порт.
Шаг 2. Установка драйверов
- Перейдите на официальный сайт
- Скачайте и установите:
- SafeNet Authentication Client — основной пакет драйверов и утилит
- ProtectToolkit C — библиотеки для работы с PKCS#11 и CryptoAPI
Шаг 3. Проверка работы
- Откройте "certmgr.msc"
- В разделе "Личное" → "Сертификаты" должен отображаться сертификат, связанный с токеном.
Шаг 4. Интеграция с криптопровайдером
- Убедитесь, что установлен и активирован КриптоПро CSP или другой ГОСТ-совместимый провайдер.
- Используйте КриптоАРМ или другие программы для работы с ЭЦП.
Инструменты диагностики и управления
| Утилита | Назначение |
|---|---|
certmgr.msc |
Управление сертификатами Windows |
csptest.exe |
Диагностика КриптоПро CSP |
cspclean.exe |
Очистка остаточных данных криптопровайдера |
pkcs11-tool (Linux) |
Работа с токеном через PKCS#11 |
eToken Tools / Token Administrator |
Управление PIN, метаданными, сертификатами |
Интеграция с приложениями
| Приложение | Поддержка eToken |
|---|---|
| КриптоАРМ | Да, через КриптоПро CSP |
| 1С (ЕГАИС, ФНС, ПФР) | Да |
| СБИС++ | Да, через PKCS#11 |
| Диадок | Да |
| ЕГАИС | Да |
| WebAuthn / FIDO2 | Да, через специальные версии токенов |
| Льгота CSP | Да |
Особенности использования в терминальных средах
- При использовании на серверах с Remote Desktop Services (RDS):
- Требуется перенаправление токена на клиентскую машину
- Установка драйвера и криптопровайдера в контексте каждого пользователя
- Использование профилей с правами администратора
Безопасность
- Закрытые ключи невозможно извлечь из токена.
- PIN-защита предотвращает несанкционированный доступ.
- Токены соответствуют требованиям FIPS 140-2 Level 2/3.
- Поддержка сертификатов УЦ Минцифры, ФСБ, Контур, СКБ Контур и др.
Примечание: Для полноценной работы с eToken необходимо наличие: - драйверов и утилит с сайта - установленного криптопровайдера (например, КриптоПро CSP) - сертификата ЭЦП, импортированного на токен