В качестве физического устройства для хранения пользователем ключевой информации СКЗИ (в виде специального зашифрованного файла – криптоконтейнера) могут использоваться каталоги локальной файловой системы Вашего компьютера либо различные сменные носители, при необходимости постановки / снятия подписи подключаемые к АРМ пользователя: USB флеш-накопители, дискеты, сетевые диски и т. п. Также банком может допускаться использование незащищенных сменных носителей.
USB-токены представляют собой специализированные сменные носители, в которых защита ключевой информации осуществляется на аппаратном уровне. Отдельные модели поддерживают не только хранение ключевой информации, но и выполнение различных криптографических операций.
Использование USB-токенов практически полностью исключает возможность компрометации ключевой информации и повышает безопасность системы в целом.
Для выполнения операций по постановке / снятию подписи USB-токен должен быть подключен к рабочей станции в момент выполнения операции.
Токен выдается при заключении договора на обслуживание. Для его корректного подключения к АРМ может потребоваться установка специального ПО (см. ????docerror???? (sdCommon.demandsSoftClientWeb)).
Действия по установке ПО для токена и получению сертификата и ключей ЭП описаны в инстр. «Обеспечение использования ЭП».
При использовании для подписи документов токенов с аппаратной криптографией Рутокен ЭЦП™, eToken GOST™, JaCarta GOST™, которые предполагают ввод PIN-кода, пользователю требуется вводить PIN при каждой операции подписи. Система предоставляет возможность "запоминания"
введенного PIN на время сессии и его автоматического использования без повторного ввода при подписи документов (см. разд. «Предложение запомнить ПИН-код USB-токена в рамках сеанса работы»).
При использовании СП на базе MessagePRO™, в зависимости от политики банка, доступно хранение ключевой информации (секретного ключа) либо локально, либо на незащищенных сменных носителях, с использованием специального криптоконтейнера, закрытого паролем. Под незащищенными носителями понимаются любые съемные устройства, отличные от USB-токенов или смарт-карт.
В отдельных случаях, банк может предоставлять возможность выбора между одним из двух способов хранения. Если банк предоставляет данную возможность, система будет запрашивать у вас выбор варианта хранения криптоконтейнера при сохранении сформированного запроса на новый сертификат / запроса на перегенерацию сертификата.
Пароль на криптоконтейнер может быть установлен при помощи вспомогательного ПО Admin-PKI™ от компании Сигнал-КОМ. Установка пароля может быть произведена на уже сформированный криптоконтейнер с секретным ключом, для которого уже выпущен сертификат проверки ЭП. После установки пароля на криптоконтейнер все перечисленные далее криптографические операции с использованием сертификата данного ключа потребуют от пользователя дополнительного ввода пароля для доступа к криптоконтейнеру:
запрос на перевыпуск сертификата;
запрос на отзыв сертификата;
постановка подписи / снятие подписи под документом.