Привет, Хабр! Недавно мы с коллегами стали вспоминать, как выглядела работа с электронной подписью (ЭП) и ключевые носители, когда мы только начали работать в этой области. Мы искренне удивились тому, как за такое короткое время технологии шагнули вперед. Так родилась идея для этой статьи. Она для всех, кто когда‑нибудь имел дело с настройкой компьютера для работы с ЭП, отправкой отчетности в контролирующие органы, знает, что такое токены, оказывал техническую поддержку по работе с электронным документооборотом. Особенно для тех, кто помнит Windows XP, шариковые мышки и дискеты. Очень надеюсь, что этот материал вызовет у вас такую же теплую ностальгию, которую ощутили мы с коллегами, когда вспоминали, как это было.

Как выглядела безопасность электронной подписи в 2007 году

Тогда я была студенткой первого курса университета и впервые познакомилась с понятием «электронная цифровая подпись» в московском филиале компании СКБ Контур. Там я начала работать специалистом отдела технической поддержки, а через два года стала заместителем руководителя этого отдела.

Мы с коллегами помогали пользователям с настройкой рабочих мест и отправкой отчетности в контролирующие органы. В удостоверяющем центре СКБ Контур для работы с ЭЦП использовался криптопровайдер КриптоПро CSP (тогда еще версии 2.0). В своей работе мы руководствовались N 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Сертификат электронно‑цифровой подписи выдавался на юридическое лицо на имя руководителя организации, ИП или полномочного представителя. После идентификации будущего владельца или предъявления доверенности ключи ЭЦП и сертификат генерировались на дискету 3,5» и передавались пользователю.

Кстати, серийный номер на КриптоПро CSP нужно было набирать только вручную, каждую группу из 5 символов в свое окошко, копипаст всего номера не работал. Серийный номер содержал только заглавные буквы, проверка была чувствительна к регистру, а при его вводе пользователи часто ошибались, путая цифру 0 и букву О.

Контейнер генерировался без пароля. Для максимальной сохранности ключевой пары на дискете можно было выставить переключатель в режим защиты от записи. На время работы с ключами электронной подписи переключатель нужно было вернуть в исходное положение, иначе работа с ключами ЭЦП в КриптоПро CSP была невозможна.

Некоторые клиенты использовали дискету как антистресс и постоянно щелкали металлической задвижкой. От этих действий дискета могла выйти из строя. А еще она могла размагнититься, например, после поездки на троллейбусе или метро. По моим наблюдениям, дискеты ломались часто, считать содержимое со сломанной дискеты было практически невозможно.


Очень хорошо помню, как слышала на другом конце провода у пользователя звук дисковода, который пытался прочитать сломанную дискету поздно вечером в последний день сдачи отчетности.

В офис СКБ Контур также можно было прийти с флешкой и попросить записать ключи ЭЦП на нее. Этот вариант был надежнее дискеты. Контейнер (как и на любом съемном носителе в файловой системе) записывался в главный раздел флешки подобно обычной папке. Контейнер не отображался в КриптоПро CSP, если он лежал не в корне флешки, а во вложенной папке. Кстати, если у папки с контейнером убирали расширение.000, она тоже переставала отображаться в КриптоПро CSP. Иногда ключи могли частично повредиться и переставали считываться. Но флешку можно было случайно отформатировать.

Контейнеры с ключами в то время можно было скопировать с любого носителя — они были извлекаемыми и экспортируемыми. Если уже в ходе последующего копирования контейнера пользователь устанавливал запрет на экспорт контейнера, то его можно было скопировать со съемного носителя через файловую систему.

Для удобства использования один сертификат ЭЦП на генерального директора раздавался всему штату бухгалтеров. Кто‑нибудь обязательно забывал носитель с ключами дома. Свободный USB‑разъем в компьютере был, скорее, редкостью. Поэтому очень популярно было копирование ключей в реестр ОС Windows.

Все это работало очень удобно до тех пор, пока пользователю не переустанавливали Windows, предварительно забыв сохранить ключи из реестра. А для расшифровки ранее отправленной отчетности были нужны старые ключи.

Все новое пугает 

В начале 2008 года СКБ Контур начал выдавать ключи ЭЦП на новое устройство — Рутокен. Поначалу все это было непонятно, страшно и непривычно. Вроде с виду флешка, но ее не видно в «Моем компьютере» как съемный носитель. Рутокен первой версии не являлся полноценным и уже привычным сейчас CCID‑устройством, поэтому для работы с ним обязательно нужно было установить Драйверы Рутокен. А для отображения в КриптоПро CSP устанавливались Модули поддержки. Содержимое токена можно было просмотреть только через криптопровайдер.

Тогда далеко не все версии КриптоПро CSP по умолчанию работали с токенами. Предварительно нужно было запустить КриптоПро CSP с правами администратора и во вкладке «Оборудование» добавить нужное количество виртуальных считывателей «Aktiv Co. ruToken».

И пусть первое время было сложнее настроить эти новые устройства, но статистика показывала, что они на порядок реже выходили из строя по сравнению с дискетами. Кроме того, вышедшие из строя токены без физических повреждений производитель заменял после экспертизы на новые, если случай признавался гарантийным. Некоторые токены, правда, имели все признаки неправильного использования:‑) Например, пользователи приносили устройства, сгоревшие в USB‑разъеме с напряжением, превышающем допустимое, токены со вскрытым корпусом или…заржавевшие… с просьбой заменить их на новые по гарантии. В некоторых случаях нам было очень интересно что же с ними произошло, это так и оставалось загадкой, так как пользователи чаще всего не говорили правду.

Постепенно мы обновили инструкции для сотрудников техподдержки и пользователей. Количество обращений по замене носителей стало значительно меньше по сравнению с дискетами. Первое время пользователи часто жаловались, что им при покупке не выдали «колпачок от флешечки». Колпачок, кстати, при желании, можно приобрести отдельно. Со временем я искренне полюбила эти устройства за их надежность. А еще их не надо было безопасно извлекать в отличие от флешек или дискет. Единственное, что мне сильно не нравилось на тот момент — первый Рутокен полностью блокировался, если некорректный PIN‑код Администратора был введен несколько раз подряд.

Первые модели Рутокен на смену всему старому

И вот нам представили новое устройство — Рутокен S. Это первое устройство, которое работало не только на Windows, но и на Linux и macOS после установки драйвера. Он был гораздо быстрее своего предшественника по скоростным характеристикам, а еще после блокировки устройства его можно было отформатировать и использовать повторно для записи ключей.

Интересный факт: по нашим наблюдениям, порядка 20% пользователей читают название первой вкладки Панели управления Рутокен «АДМИНИСТРАТИРОВАНИЕ». Каждый раз, когда слышу это слово, на всякий случай проверяю, вдруг все-таки опечатка :-) 

Примерно в это же время начали поступать обращения пользователей о злоумышленниках, отправляющих заведомо неверную отчетность в контролирующие органы с использованием чужих ключей и сертификата ЭЦП. Понятно, что любая отчетность потом могла быть скорректирована, но это создавало дополнительные проблемы организации. Так, например, бывший главный бухгалтер отправил налог на прибыль с повышенными показателями, чтобы отомстить за незаконное, по его мнению, увольнение. Поэтому мы начали информировать пользователей о необходимости смены PIN-кодов, рассказывали, как важно хранить носитель с электронной подписью в сейфе, а при подозрении на компрометацию ключей незамедлительно отозвать сертификат.

Все изменилось после появления новой модели — Рутокен ЭЦП. Помимо пассивного хранилища для ключевой пары и сертификата, это устройство могло выступать в роли самостоятельного криптопровайдера, генерировать неизвлекаемые ключи формата PKCS#11. В таком режиме Рутокен, как маленький компьютер, выполняет все операции внутри себя, никогда не отдавая закрытый ключ наружу. Эту модель можно было использовать и для двухфакторной аутентификации в домене.

Для работы с Рутокен ЭЦП, в отличие от предыдущих версий токенов, не обязательно было устанавливать драйверы — во всех современных ОС они назначались автоматически, оставалось только установить криптопровайдер.

Со временем ошибок при установке драйверов стало меньше, и мы уже не представляли жизнь ЭЦП без токена. Тем более, что комплектация системных блоков дисководом 3,5” встречалась все реже.

Возможность использования ЭЦП добавляется в большее количество сервисов. К отчетности в налоговую и пенсионный фонд добавляется отчетность в ФСС, работа на электронных торговых площадках и в государственных сервисах, системах ЭДО, банк-клиентах и т.д. Сертификаты ЭЦП выдаются с определенными областями применения в зависимости от стоящих перед пользователем задач.

В то время ключи в КриптоПро CSP генерируются с использованием алгоритмов  ГОСТ 2001 только в пассивном режиме. То есть для любой операции с электронной подписью закрытый ключ ненадолго извлекается в оперативную память компьютера. При использовании такого формата ключей существует риск перехвата их злоумышленником.

Токены других производителей, такие как eToken, JaCarta, на тот момент я встречала в своей практике реже, но поработать с ними тоже успела.

Новая работа, новые модели Рутокен, новые термины

В 2013 году, оставив исключительно теплые воспоминания о компании СКБ Контур, я пришла в Компанию «Актив» и начала свой путь со специалиста службы технической поддержки. Сейчас я работаю ведущим менеджером по сопровождению партнеров.

В те годы модель Рутокен ЭЦП была удобной и хорошей во всем кроме цены. Некоторым пользователям не нужны были дополнительные функции работы с неизвлекаемыми ключами, и Компания «Актив» учла их потребности и выпустила Рутокен Lite, который также не требовал установки драйверов, но при это работал только с пассивными контейнерами программных криптопровайдеров.

В эти годы активно развивались мобильные технологии. Кажется, абсолютно все разбирались в отличиях iPhone 4 от 4S и знали, как обновить Android на старом смартфоне. Поэтому складывалось ощущение, что совсем скоро вся работа полностью будет производиться с использованием мобильных устройств, в том числе и работа с ЭЦП. Поэтому первыми среди других производителей в России Компания «Актив» выпустила устройство Рутокен ЭЦП Bluetooth для подключения по беспроводному каналу к мобильным устройствам с iOS и Android. Но на тот момент рынок еще не был готов к этому.

В Панель управления Рутокен была добавлена вкладка «Сертификаты» для просмотра ключей и сертификатов на токене. Теперь пользователям был доступен экспорт и импорт ключей и установка сертификатов формата ГОСТ в личное хранилище. Со временем была добавлена проверка надежности сертификата и установка доверенных корневых сертификатов.

Для повышения безопасности работы с ЭП в КриптоПро CSP появляется режим ФКН — функциональный ключевой носитель. Ключи в таком формате неизвлекаемые, а канал обмена между токеном и компьютером шифруется для исключения возможности перехвата данных. Для этих целей был разработан программно‑аппаратный комплекс КриптоПро Рутокен CSP, который комплектовался специальной модификацией Рутокен ЭЦП с поддержкой только формата ФКН.

В 2014 году «электронная цифровая подпись» становится «электронной подписью».
Аккредитованных удостоверяющих центров к этому моменту было более 500. Мы консультировали не только по настройке системы для работы с устройством Рутокен, но и запоминали основные особенности настройки той или иной информационной системы, других криптопровайдеров (Signal‑COM, VipNet CSP, Лисси). Старались помогать со смежными проблемами: установкой доверенных корневых сертификатов и необходимых для работы плагинов. Если ранее к нам обращались пользователи преимущественно с ОС Windows, то теперь поступало все больше запросов по настройке ОС Linux и macOS. Мы учились устанавливать пакеты, работать со связкой ключей Keychain. Могли подружить VipNet CSP и КриптоПро CSP на одной машине.

Неизвлекаемые ключи

Глобальным событием стало внедрение системы ЕГАИС Росалкогольрегулирование, где для работы можно было использовать только неизвлекаемые ключи формата PKCS#11. Изначально в этой системе для работы поддерживались только ключи JaCarta. Когда в список поддерживаемых носителей был добавлен Рутокен ЭЦП, мы быстро разобрались в настройке универсального транспортного модуля, стали понимать логи ошибок программы и оказывать техническую поддержку и по этому направлению.

В КриптоПро CSP добавляется первый вариант работы с ключами PKCS#11, называемый rutoken_crypt.

А с 2019 года вводятся в использование ключи по новому стандарту электронной подписи — ГОСТ 2012. Поддержка этого формата была реализована в КриптоПро CSP версии 4.0, а для генерации неизвлекаемых ключей на токене Компания «Актив» выпустила новую линейку — Рутокен ЭЦП 2.0.

За эти годы я застала немало версий КриптоПро CSP: от версии 2.0 до версии 5.0 R3.

А помните такую особенность: с контейнером, созданным на старшей версии КриптоПро CSP, нельзя было работать на младшей версии?:‑)

Было немало сообщений о том, что большой токен, подключенный к системному блоку, пользователи могли задеть ногой, а уборщицы — шваброй. Поэтому был создан компактный Рутокен в форм-факторе micro.

Пользователям токенов нужны были более компактные и функциональные устройства: для работы на мобильных телефонах, ноутбуках и новых Macbook — так появился Рутокен с разъемом Type-C, а для одновременного использования в качестве пропуска — смарт-карты с метками для входа в помещение. В 2021 году, спустя 7 лет после выпуска первого устройства Рутокен ЭЦП Bluetooth, перед нами стояла задача сделать беспроводную работу более быстрой, надежной и удобной для встраивания. Так, в линейке Рутокен ЭЦП 3.0 появились модели с NFC.

Настоящее время и ближайшее будущее

С 2022 года квалифицированная электронная подпись на руководителя организации или ИП может быть получена только в УЦ ФНС России и у его доверенных лиц. Остальные аккредитованные удостоверяющие центры выдают КЭП только на уполномоченных представителей.

Федеральной налоговой службой выпущены методические материалы для налогоплательщиков, которые помогают пользователям разобраться в терминологии. К носителям ключей ЭП предъявляются все более строгие требования. Теперь КЭП можно получить только на сертифицированные устройства. Для повышения безопасности извлекаемые ключи генерируют только неэкспортируемыми, то есть с запретом на последующее копирование.

В электронный документооборот добавляется машиночитаемая доверенность, которая должна предоставляться с каждым направленным документом, если его отправляет не руководитель организации. А отправитель теперь будет использовать для подписания квалифицированный сертификат, выданный на физическое лицо.

В КриптоПро CSP добавлена возможность работы с библиотекой rtpkcs11ecp. Этот формат ключей называется Активный токен (pkcs11_rutoken_ecp). Для конечного пользователя разница в работе с КриптоПро CSP+КриптоПро Browser Plug‑In c различными форматами незаметна.

Начиная с версии КриптоПро CSP 5.0 добавлено кроссплатформенное графическое приложение «Инструменты КриптоПро» для работы с контейнерами и сертификатами, управления носителями и другими полезными функциями.

Развитие токенов тоже не стоит на месте. Появилась новая линейка устройств — Рутокен ЭЦП 3.0, которую можно использовать для хранения пассивных, активных или ФКН ключей. Они также поддерживают ГОСТ 2018 и работают в системе ЕГАИС Росалкогольрегулирование.

Для работы в сложном промышленном окружении были выпущены устройства Рутокен ЭЦП Metal с защитой от вибраций и с электромагнитной стойкостью. Некоторые заказчики просили внешне более красивые устройства, например, для того, чтобы у генерального директора был токен в стильном металлическом корпусе.

Для дополнительного хранения информации есть модели Рутокен с flash‑памятью или картридером для модулей памяти формата microSD. Самое удобное применение для таких моделей — хранение дистрибутивов программ для работы с системой, для которой выпущена ЭП.

Функциональность Панели управления Рутокен для Windows с каждым годом расширяется: сейчас с ее помощью можно устанавливать доверенные корневые сертификаты, доступны импорт и экспорт, расширены возможности администрирования.

В ближайшее время будет представлен новый продукт для работы в ОС Linux — Центр управления Рутокен.

Вместо заключения

Интересно, как за эти годы изменилось отношение пользователей к квалифицированной электронной подписи. Очевидно, что за многие годы развития электронной подписи, токены претерпели большие изменения. Они больше не ломаются, как Дискеты, и не позволяют с легкостью скомпрометировать данные. На мой взгляд, КЭП стала привычным и обязательным инструментом для электронного документооборота. Работа с защищенными ключевыми носителями — токенами и смарт‑картами, уже воспринимается как данность. Сейчас все больше людей осознанно выбирает безопасность, изменяя PIN‑код сразу после получения нового токена. Все чаще пользователи выбирают активные ключевые носители для защиты ключей ЭП от копирования или перехвата и просят сгенерировать в УЦ ключи КЭП в более защищенных форматах: неизвлекаемые ключи PKCS#11 или ФКН. Мобильная электронная подпись в наши дни становится все более реальной.

Ну и напоследок…

Мы с коллегами из отдела технической поддержки Актива в течение 10 лет собирали коллекцию, смешных названий, которые используют клиенты при обращении к нам за помощью. Сегодня настало время поделиться с вами :)

Вот такая ностальгическая статья получилась, надеюсь, вам понравилось. Многое из того, что описано в этой статье, уже стало историей. Буду рада и вашим воспоминаниям в комментариях, ведь так приятно иногда вспомнить как это было в самом начале :‑)