Информационная безопасность + Криптография

UPD2.
Спасибо за обратную связь. Если у вас есть конкретные замечания — готов обсудить. Проект в разработке, и ваша критика поможет сделать его лучше.

P.S. Архив этого поста уже будет в Obsidian Crypt — проверим, кто окажется прав через 10 лет

Понятие ЭП без токена

Госключ — это мобильное приложение, с помощью которого можно получить сертификат электронной подписи без необходимости посещать удостоверяющий центр. Оно доступно всем гражданам РФ, у кого есть подтверждённая учётная запись на Госуслугах. Ключи ЭП создаются и хранятся внутри приложения, а для их использования не требуются токены, СМС-коды или сторонние устройства — всё осуществляется через встроенную систему аутентификации. Это и есть основное отличие от схемы с токеном, где ключ подписи физически записан на носителе (флешке/токене), и управляется через криптовое ПО.

Преимущества:

• Отсутствие платного выпуска и физического носителя;

• Удалённая работа (особенно актуально для фрилансеров и удалённых сотрудников);

• Быстрое подписание документов через мобильный телефон в официальных интегрированных сервисах.

Недостатки:

• Ограниченный набор для операций с госорганами;

• Зависимость от смартфона и мобильного приложения;

• Недостаточная интеграция с большинством корпоративных СЭД и систем ЭДО.

Во многих случаях документы сначала необходимо открыть и согласовать на компьютере, а затем вручную инициировать подписание через смартфон. Это увеличивает количество действий, фрагментирует процесс и снижает удобство. Особенно это чувствуется в больших организациях, где необходимо подписывать десятки документов ежедневно и где важно централизованное управление маршрутами согласования.

Зачем всё ещё нужен токен

Токен остаётся единственным защищённым носителем, который позволяет записывать ключ УКЭП и употреблять его в системах государственной отчётности, где требуется квалифицированная электронная подпись. Такие системы включают:

• подачу налоговой отчётности в ФНС;

• взаимодействие с Росстатом, ПФР, ФСС;

• участие в государственных и коммерческих торгах на ЭТП;

• подписание юридически значимых документов с контрагентами;

• работу в специализированных СЭД с криптографическим шифрованием.

Если коротко, что ЭП без токена для физических лиц удобный и быстрый способ взаимодействия  с госорганами.  Но если ваша задача  юридически значимые действия в рамках 63-ФЗ и полного соответствия требованиям по криптографической защите информации, — без токена не обойтись. Именно он обеспечивает необходимый уровень доверия, контроля и совместимости с госинфраструктурой.

Флешка и токен: в чём разница

На первый взгляд флешка и токен выглядят одинаково: компактные USB-устройства, которые можно вставить в компьютер. Но их функциональность принципиально различается.

Флешка — это обычный накопитель, на который можно записывать любые файлы: документы, фотографии, музыку. Она не защищена от копирования или взлома.

Токен — это защищённое устройство, разработанное специально для хранения ключей электронной подписи (ЭП). Каждый токен имеет встроенную защиту, ограниченный доступ и сертифицированные параметры хранения. По факту, токен и флешка похожи только внешне. Однако, сбить с толку может то, что ЭП все-таки можно записать на обычную флешку. Этот вариант мы крайне не рекомендуем и вот почему.

Можно ли записать ЭП на обычную флешку? В некоторых случаях — да. Но если вы оформляете ЭП для ФНС, то использование обычной флешки не допускается. Налоговая инспекция требует строгого соответствия требованиям безопасности.

Токен ЭП для ФНС можно записать только на токен, сертифицированный ФСТЭК или ФСБ. Это обязательное условие, прописанное в регламенте работы удостоверяющих центров.

Что такое токен ЭП для ФНС

Токен ЭП для ФНС — это специальный USB-носитель, сертифицированный госорганами, предназначенный для записи и безопасного хранения ключа квалифицированной электронной подписи, используемой в работе с Федеральной налоговой службой. Эти устройства поддерживают шифрование, защиту от копирования, автоматическую блокировку и соответствуют всем требованиям безопасности для государственных платформ.

Можно ли использовать токен для других целей — например, хранить документы или музыку?

Обычный токен для ЭП не позволяет записывать на себя другие файлы. Исключение — модели вроде «Рутокен ЭЦП-Флеш», в которых есть два отделения: одно для ЭП, другое для пользовательских данных. Однако даже в этом случае мы не рекомендуем использовать токен как обычную флешку: это снижает его надёжность и может привести к конфликтам при работе с сертификатами.

Как выбрать токен ЭП для ФНС

При оформлении электронной подписи обязательно уточняйте в удостоверяющем центре, на какой именно токен будет записана подпись. Если подпись предназначена для подачи отчётности в ФНС, участия в торгах или юридически значимого документооборота, токен должен быть: официально сертифицирован; поддерживаться программным обеспечением (например, КриптоПро, ViPNet и др.); быть новым или полностью очищенным — повторное использование токена с другим сертификатом может вызвать ошибки.

Почему токен — безопаснее

Оформляя электронную подпись, особенно для взаимодействия с налоговой службой, выбирайте именно токен ЭП для ФНС — это не просто рекомендация, а требование по безопасности. Флешка в этом случае не подойдёт: только сертифицированные токены обеспечат корректную работу подписи, защиту данных и отсутствие проблем при подаче документов в электронном виде.Ранее мы публиковали отдельные большие статьи о безопасности токенов тут и тут .

Можно подробнее ознакомиться с аргументацией, почему для ЭП необходим правлиьный защищенный носитель.

Дополнительную сложность создаёт и сам портал Госуслуг. Несмотря на то, что формально ЕПГУ обязан проверять статус квалифицированных сертификатов через списки отзыва (CRL) удостоверяющих центров, до недавнего времени этого не происходило. Даже если пользователь отзывал сертификат напрямую через УЦ, на Госуслугах он мог продолжать отображаться как «Действующий». Только в конце 2024 года появились признаки того, что функционал начал дорабатываться: в некоторых случаях статус отозванного сертификата стал отображаться корректно. Однако это работает нестабильно и выборочно. Например, сертификаты, выданные УЦ Почты России, даже после утраты аккредитации и отзыва, продолжают числиться активными на портале. Госуслуги могут не прислать оповещение о скором окончании действия КЭП, либо, наоборот, уведомить о завершении действия уже отозванного или аннулированного сертификата. Это дезориентирует пользователей и может привести к пропуску сроков, срыву подачи документов и потере доступа к ЭДО, ФНС, порталам государственных закупок и другим критически важным системам.

Поэтому на вопрос «как записать ЭП на токен» правильный ответ будет не в пользу самостоятельной перезаписи. Рекомендуется обратиться в аккредитованный удостоверяющий центр и выполнить следующие шаги:

1.Оформить новый сертификат квалифицированной электронной подписи.

2.Получить новый токен или использовать существующий, но с предварительной полной очисткой и проверкой специалистом.

3.Установить подпись через официальное программное обеспечение.

4.Протестировать работу ЭП в необходимых системах.

Только такой подход гарантирует корректную работу электронной подписи, защиту от технических ошибок и уверенность в том, что статус сертификата будет обрабатываться системами, включая Госуслуги, без сбоев.

Самостоятельная перезапись электронной подписи на токен может показаться способом сэкономить время и деньги, но на практике чаще всего оборачивается потерянными часами, сбоями в работе и рисками для бизнеса или персональных данных.

Зачем нужен USB-токен для ЭП для работы с ФНС?

Сертификат ЭП, выданный удостоверяющим центром ФНС России или его доверенным лицом, нельзя скопировать на компьютер или хранить в облаке. Согласно требованиям налоговой службы, электронная подпись должна быть записана только на сертифицированный токен, что обеспечивает защиту от несанкционированного доступа и копирования.

Требования к USB-токенам для ФНС

При выборе устройства важно учитывать несколько критериев:

- Сертификация. Токен должен быть сертифицирован Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности (ФСБ). При покупке можно запросить сертификат подлинности, подтверждающий соответствие модели требованиям безопасности.

- Формат носителя. ФНС России работает с токенами USB тип-A.

- Совместимость с криптографическим ПО. В зависимости от модели, токен должен поддерживать работу с КриптоПро CSP, VipNet CSP или другими сертифицированными средствами защиты информации.

Какие бывают USB-токены для ЭП для работы с ФНС?

Все токены можно разделить на простые и продвинутые.

- Простые USB-токены требуют установки СКЗИ (средства криптографической защиты информации) на компьютер.

- Продвинутые USB-токены имеют встроенный чип шифрования и не требуют установки дополнительного программного обеспечения. Однако, если нужно подписывать документы в браузере, потребуется установка плагинов.

Какой токен для ЭП купить для ФНС?

Для отчетности в ФНС подойдет любой сертифицированный USB-токен.

Для работы в ЕГАИС («Алкоголь», «Лес») нужен продвинутый носитель со встроенной криптографией.

Для участия в торгах и подписания документов через электронный документооборот (ЭДО) рекомендуется выбирать токены, выданные сертифицированными УЦ с усиленной КЭП для защиты вашего бизнеса. Мы писали ранее о том, какие риски может нести непроверенная ЭП и как ее проверить самостоятельно .

Где купить токен для ЭП ФНС?

Купить сертифицированный USB-токен можно:

- В удостоверяющем центре ФНС – самый надежный вариант, так как центр гарантирует подлинность и совместимость устройства.

-  У официальных представителей производителей – можно запросить сертификат соответствия.

- В специализированных интернет-магазинах – важно проверять наличие сертификации ФСБ или ФСТЭК.