USB-токены представляют собой специализированные сменные носители, в которых защита ключевой информации осуществляется на аппаратном уровне. Отдельные модели поддерживают не только хранение ключевой информации, но и выполнение различных криптографических операций.

Использование USB-токенов практически полностью исключает возможность компрометации ключевой информации и повышает безопасность системы в целом.

Для выполнения операций по постановке / снятию подписи USB-токен должен быть подключен к рабочей станции в момент выполнения операции.

Токен выдается при заключении договора на обслуживание. Для его корректного подключения к АРМ может потребоваться установка специального ПО (см. ????docerror???? (sdCommon.demandsSoftClientWeb)).

Действия по установке ПО для токена и получению сертификата и ключей ЭП описаны в инстр. «Обеспечение использования ЭП».

При использовании для подписи документов токенов с аппаратной криптографией Рутокен ЭЦП™, eToken GOST™, JaCarta GOST™, которые предполагают ввод PIN-кода, пользователю требуется вводить PIN при каждой операции подписи. Система предоставляет возможность "запоминания" введенного PIN на время сессии и его автоматического использования без повторного ввода при подписи документов (см. разд. «Предложение запомнить ПИН-код USB-токена в рамках сеанса работы»).

При использовании СП на базе MessagePRO™, в зависимости от политики банка, доступно хранение ключевой информации (секретного ключа) либо локально, либо на незащищенных сменных носителях, с использованием специального криптоконтейнера, закрытого паролем. Под незащищенными носителями понимаются любые съемные устройства, отличные от USB-токенов или смарт-карт.

В отдельных случаях, банк может предоставлять возможность выбора между одним из двух способов хранения. Если банк предоставляет данную возможность, система будет запрашивать у вас выбор варианта хранения криптоконтейнера при сохранении сформированного запроса на новый сертификат / запроса на перегенерацию сертификата.

Пароль на криптоконтейнер может быть установлен при помощи вспомогательного ПО Admin-PKI™ от компании Сигнал-КОМ. Установка пароля может быть произведена на уже сформированный криптоконтейнер с секретным ключом, для которого уже выпущен сертификат проверки ЭП. После установки пароля на криптоконтейнер все перечисленные далее криптографические операции с использованием сертификата данного ключа потребуют от пользователя дополнительного ввода пароля для доступа к криптоконтейнеру: