Рутокен
Общее описание
Рутокен — это серия аппаратных криптографических токенов, разработанных компанией «Актив» (АО «Крипто-Про», дочерняя компания АО «РТКомм.РУ»), предназначенная для безопасного хранения закрытых ключей и выполнения операций электронной подписи, шифрования и аутентификации.
Токены серии Рутокен используются в государственных и коммерческих организациях России и стран СНГ для: - работы с ЭЦП по ГОСТ Р 34.10-2012/2001; - доступа к защищённым системам; - шифрования данных; - удостоверения личности сотрудников; - интеграции с ЕГАИС, ФНС, ПФР, ФСС, ЕИС (Единая информационная система в сфере закупок), Контур.Эвотор, Диадок, СБИС и другими системами.
Основные функции
1. Хранение закрытых ключей
- Закрытые ключи никогда не покидают пределов устройства.
- Поддержка нескольких пар ключей на одном токене.
- Возможность генерации ключей непосредственно на устройстве.
2. Поддержка ГОСТ-криптографии
- Алгоритмы:
- ГОСТ Р 34.10-2012 (цифровая подпись)
- ГОСТ Р 34.11-2012 (хэширование)
- ГОСТ 28147-89 (симметричное шифрование)
3. Формирование и проверка ЭЦП
- Полная совместимость с российскими стандартами ЭЦП.
- Интеграция с КриптоАРМ, КриптоПро CSP и другими криптопровайдерами.
4. Шифрование и расшифрование данных
- Поддержка как симметричного, так и асимметричного шифрования.
- Использование открытого ключа для шифрования, закрытого — для расшифровки.
5. Двухфакторная аутентификация
- Доступ к данным возможен только при наличии:
- физического токена
- корректно введённого PIN-кода
6. Работа с PKCS#11
- Совместимость с Linux и другими системами через PKCS#11 API.
- Возможность использования в СБИС, Диадок, ЕГАИС, SAP и других системах.
Модели Рутокен
| Модель | Назначение |
|---|---|
| Рутокен ECP | Для работы с ЭЦП по ГОСТ |
| Рутокен S | Поддержка ГОСТ и RSA |
| Рутокен RС | Поддержка Java Card, возможность загрузки пользовательских приложений |
| Рутокен ЭЦП 2.0 | Упрощённый вариант для работы с ЭЦП |
| Рутокен Web | Токен с поддержкой WebAuthn / FIDO2 |
| Рутокен P11 | Совместим с PKCS#11, без GUI |
Архитектура и компоненты
1. USB-интерфейс
- Все модели подключаются через USB-порт (USB 2.0 или 3.0).
- Автоматическое определение устройства в Windows/Linux/macOS (при наличии драйверов).
2. Криптопровайдер
- Интеграция с Microsoft CryptoAPI/CNG.
- Поддержка КриптоПро CSP, Льгота CSP, Актив Стандарт CSP и др.
3. PKCS#11 библиотека
- Используется в Linux и приложениях, поддерживающих стандарт PKCS#11.
4. Управление PIN-кодом
- Защита от несанкционированного доступа.
- Блокировка токена после нескольких попыток ввода неверного PIN.
Требования к окружению
| Компонент | Требования |
|---|---|
| ОС | Windows 7 SP1 и выше, Linux (Debian, Ubuntu, Astra Linux и др.), macOS (частично) |
| USB-порт | USB 2.0 и выше |
| Криптопровайдер | КриптоПро CSP, Актив Стандарт CSP и др. |
| Программное обеспечение | КриптоАРМ, drivers.rutoken.ru, pkcs11-tool (Linux) |
Установка и настройка
На Windows:
Шаг 1. Подключение токена
Вставьте Рутокен в USB-порт.
Шаг 2. Установка драйверов
- Перейдите на официальный сайт: rutoken.ru
- Скачайте и установите драйверы и утилиты:
- Драйверы Rutoken — драйверы для Windows и Linux
- Rutoken ECP — программное обеспечение для работы с токеном (входит в драйверы)
- Rutoken Web Utility — для управления Рутокен Web (входит в драйверы)
Шаг 3. Проверка работы
- Откройте "certmgr.msc"
- В разделе "Личное" → "Сертификаты" должен отображаться сертификат, связанный с токеном.
Шаг 4. Интеграция с криптопровайдером
- Убедитесь, что КриптоПро CSP установлен и активирован.
- Используйте КриптоАРМ для формирования подписей и шифрования.
Инструменты диагностики и управления
| Утилита | Назначение |
|---|---|
certmgr.msc |
Управление сертификатами Windows |
csptest.exe |
Диагностика КриптоПро CSP |
cspclean.exe |
Очистка остаточных данных криптопровайдера |
pkcs11-tool (Linux) |
Работа с токеном через PKCS#11 |
rutokentool |
Утилита для сброса PIN, изменения метаданных |
gost2012diag.exe |
Диагностика ГОСТ-совместимости |
Интеграция с приложениями
| Приложение | Поддержка Рутокен |
|---|---|
| КриптоАРМ | Да, через КриптоПро CSP |
| 1С (ЕГАИС, ФНС, ПФР) | Да |
| СБИС++ | Да, через PKCS#11 |
| Диадок | Да |
| ЕГАИС | Да |
| iBank2 | Да |
| WebAuthn / FIDO2 | Да, через Рутокен Web |
Особенности использования в терминальных средах
- При использовании на серверах с Remote Desktop Services (RDS):
- Требуется перенаправление токена на клиентскую машину
- Установка драйвера и криптопровайдера в контексте каждого пользователя
- Использование профилей с правами администратора
Безопасность
- Закрытые ключи невозможно извлечь из токена.
- PIN-защита предотвращает несанкционированный доступ.
- Токены соответствуют требованиям ФСБ РФ и Минцифры.
- Поддержка сертификатов УЦ Минцифры, ФСБ, Контур, СКБ Контур и др.
Примечание: Для полноценной работы с Рутокен необходимо наличие: - драйверов и утилит с сайта rutoken.ru - установленного криптопровайдера (например, КриптоПро CSP) - сертификата ЭЦП, импортированного на токен