iBank2Key Driver
(Драйвер токенов серии MSKEY - розовых прозрачных токенов (флешек), немного похожих на Рутокен)
Общее описание
iBank2Key-Driver — это драйвер устройства, предназначенный для обеспечения взаимодействия с аппаратными криптографическими токенами серии MSKEY, используемыми в системах Сбербанк iBank2, а также в других приложениях, требующих хранения закрытых ключей и сертификатов на защищённом носителе.
Этот драйвер позволяет операционной системе распознавать токен как криптографическое устройство (Cryptographic Service Provider — CSP) или PKCS#11-совместимый модуль, обеспечивая: - безопасное хранение закрытых ключей; - поддержку алгоритмов ГОСТ Р 34.10/11; - интеграцию с КриптоПро CSP и другими российскими криптопровайдерами; - работу с ЭЦП в корпоративных и государственных системах.
Основные функции
1. Распознавание и поддержка токенов MSKEY
- Поддерживает все версии токенов: MSKEY v1, v2, v3
- Взаимодействует с устройством через USB-интерфейс
- Обеспечивает стабильное подключение и определение устройства в системе
2. Интеграция с CryptoAPI / CNG Windows
- Предоставляет доступ к контейнерам закрытых ключей
- Интегрируется с хранилищем сертификатов Windows
- Совместим с приложениями, использующими Microsoft CryptoAPI
3. Поддержка ГОСТ-криптографии
- Поддерживает алгоритмы:
- ГОСТ Р 34.10-2012 (цифровая подпись)
- ГОСТ Р 34.11-2012 (хэширование)
- ГОСТ 28147-89 (симметричное шифрование)
4. Работа с КриптоПро CSP
- Полная совместимость с КриптоПро CSP 3.x / 4.x / 5.x
- Возможность использования токена в КриптоАРМ, КриптоШлюз и других продуктах
5. Управление PIN-кодом
- Блокировка токена после нескольких неудачных попыток ввода PIN
- Поддержка изменения и сброса PIN через утилиты поставщика
Архитектура и компоненты
1. USB-драйвер устройства
- Обеспечивает физическое взаимодействие с токеном
- Используется классический драйвер
usbccgp.sysили специализированный INF-файл
2. Криптопровайдер (CSP)
- Реализован в виде мини-фильтра или отдельного модуля
- Обеспечивает доступ к ключевым контейнерам через CryptoAPI
3. PKCS#11 библиотека
- Для совместимости с Linux и приложениями, поддерживающими PKCS#11
- Может быть использована в СБИС, Диадок, ЕГАИС и других системах
Требования к окружению
Аппаратные требования:
- USB-порт (USB 2.0 и выше)
- Процессор: Intel Core и выше / AMD эквивалент
- RAM: 1 Гб и более
Программные требования:
| ОС | Версия |
|---|---|
| Windows | 7 SP1 и выше (x86/x64) |
| Linux | Debian, Ubuntu, RHEL, CentOS, Astra Linux и др. |
| macOS | Не поддерживается официально |
Установка и настройка
На Windows:
Шаг 1. Подключите токен
Вставьте токен MSKEY в USB-порт.
Шаг 2. Установите драйвер
- Драйвер может быть установлен автоматически через Windows Update.
- Если нет, установите вручную:
- Открыть "Диспетчер устройств"
- Найти неопознанное устройство
- Выбрать "Обновить драйвер" → "Указать путь" → указать папку с
iBank2Key-Driver
Шаг 3. Проверка работы
- Открыть "certmgr.msc"
- Перейти в "Личное" → "Сертификаты"
- Убедиться, что сертификат привязан к токену
Шаг 4. Установка КриптоПро CSP
- Убедитесь, что токен отображается в списке провайдеров
- Используйте КриптоАРМ или другие программы для работы с ЭЦП
Диагностика и устранение ошибок
| Проблема | Причина | Решение |
|---|---|---|
| "Не найден токен" | Не установлен драйвер | Установите iBank2Key-Driver |
| "Ошибка открытия контейнера ключа" | Неверный PIN / повреждён токен | Попробуйте сбросить PIN или заменить токен |
| "Сертификат не имеет связанного закрытого ключа" | Некорректное подключение сертификата к закрытому ключу | Возможно ключ/сертификат был удален или не выпущен, необходим выпуск/перевыпуск ЭЦП |
| "Токен не поддерживает алгоритм ГОСТ" | Старая версия драйвера | Обновите драйвер и КриптоПро CSP |
Инструменты диагностики
certutil -scinfo— информация о смарт-картах и токенахcsptest -test -pin <PIN>— тестирование работы с токеномgost2012diag.exe— утилита проверки ГОСТ-совместимостиpkcs11-tool(Linux) — работа с токеном через PKCS#11
Интеграция с приложениями
| Приложение | Поддержка токена MSKEY |
|---|---|
| КриптоАРМ | Да, через КриптоПро CSP |
| 1С (ЕГАИС, ФНС, ПФР) | Да, при наличии драйвера и КриптоПро |
| СБИС++ | Да, через PKCS#11 |
| Диадок | Да, через КриптоПро CSP |
| ЕГАИС | Да |
| iBank2 | Да, изначально поддерживается |
Особенности использования в терминальных средах
- При использовании на серверах с Remote Desktop Services (RDS):
- Убедитесь, что токен перенаправлен на клиентскую машину
- Установите драйвер и КриптоПро CSP в контексте каждого пользователя
- Используйте профили пользователей с правами администратора
Безопасность
- Закрытые ключи никогда не покидают пределов токена
- PIN-защита предотвращает несанкционированный доступ
- Токены MSKEY соответствуют требованиям ФСБ РФ и Минцифры по защите информации
Примечание: Для полноценной работы с токеном необходимо наличие: - iBank2Key-Driver - КриптоПро CSP (или аналога) - Сертификата электронной подписи, импортированного на токен - Ссылка:
https://disk.yandex.ru/d/TUGzYM2Kkgqg8Q - x64
https://disk.yandex.ru/d/iu00bMnKoRoebQ - x32