Тема захищених носіїв ключової інформації виникає у бухгалтерів та підприємців частіше, ніж здається. Хтось отримав повідомлення від ДПС про те, що «особистий ключ розміщено на незахищеному носії», хтось зіткнувся з вимогою держоргану надати підпис саме з апаратного токена, хтось просто хоче підвищити рівень безпеки свого КЕП. У всіх цих випадках відповідь одна: потрібен токен. Але яке саме рішення обрати, де придбати і як запустити в роботу — розберемо по кроках.
Що таке КЕП і навіщо йому захищений носій
Кваліфікований електронний підпис (КЕП) — це юридично значущий цифровий аналог власноручного підпису. Він використовується для підписання податкової звітності, первинних документів у системах ЕДО, реєстраційних дій, роботи з державними реєстрами, авторизації в ПРРО та десятках інших сценаріїв.
По суті КЕП — це пара криптографічних ключів: відкритий (сертифікат, що зберігається публічно) і закритий (особистий ключ, що має бути відомий лише власнику). Саме безпека особистого ключа є критично важливою: якщо хтось отримає доступ до нього — він зможе підписати будь-який документ від вашого імені. Зберігання ключа у файлі на комп’ютері або в хмарі без додаткового апаратного захисту несе цей ризик.
Для тих, хто хоче усунути цей ризик раз і назавжди, найпростіший шлях — купити токен для КЕП у перевіреного партнера та перенести ключ на захищений носій.
Моделі токенів «Автор»: яку обрати
Найбільш поширеними захищеними носіями в Україні є пристрої серії Secure Token від ТОВ «Автор». Розглянемо основні варіанти.
Secure Token 337M — найкомпактніша модель у пластиковому корпусі з міні-роз’ємом USB. Займає мінімум місця, зручна для постійного носіння на брелоку чи разом із ключами. Має 8 КБ пам’яті для зберігання ключів КЕП. Підходить для базових сценаріїв: звітність, підписання документів, робота з державними порталами.
Secure Token 337K — металевий USB-роз’єм, більший корпус. Міцніший механічно, краще переносить щоденне використання. Функціонально ідентичний 337M.
Secure Token 337F — поєднання захищеного носія КЕП і додаткової флеш-пам’яті (доступні варіанти з 16 або 32 ГБ). Зовнішня частина флеш-пам’яті використовується як звичайна флешка — для зберігання файлів, документів, дистрибутивів. При цьому захищена частина з ключами КЕП залишається повністю ізольованою.
Secure Token 338M і 338S — актуальна серія, що підтримує сучасні криптографічні стандарти та алгоритм ECDSA. Пластиковий (338M) і металевий (338S) варіанти. Рекомендовані для нових генерацій КЕП та для роботи з системами, що вимагають підтримки сучасних алгоритмів.
Також від «Автор» доступна лінійка смарт-карт серії CryptoCard — носії у форм-факторі пластикової банківської картки з чіпом. Для роботи з ними потрібен картрідер КР-371М. Це рішення зручне там, де вже є зчитувач карток або де форм-фактор флешки незручний конструктивно.
Процес отримання КЕП на токені
Генерація КЕП безпосередньо на захищений носій здійснюється під час первинного отримання підпису або при його перевидачі. Якщо ви вже маєте файловий КЕП і хочете перенести його на токен — повна перевидача ключа з новою генерацією безпосередньо в пам’ять носія. Саме цей процес і забезпечує апаратний захист: нова пара ключів генерується всередині токена і секретний ключ ніколи не існує поза ним.
Для тих, хто використовує M.E.Doc, є зручна можливість виконати перевидачу через інтерфейс програми — без відвідування офісу. Після генерації нового ключа на носій заявка надсилається до ЦСК «Україна» і після активації новий КЕП повністю готовий до роботи.
Якщо вам потрібно купити токен і одразу отримати допомогу з генерацією КЕП на нього, налаштуванням у програмі M.E.Doc або ПРРО та реєстрацією в ДПС — зверніться до авторизованого партнера, що надасть послугу «під ключ».
Практичні поради щодо використання
Заводський пароль токенів «Автор» — 12345678. Його необхідно змінити відразу після першого використання: це перший рівень захисту від несанкціонованого доступу. Пам’ятайте: після семи невдалих введень пароля токен блокується — тому пароль важливо записати у надійному місці або запам’ятати.
Для кожного особистого ключа — окремий токен. Якщо підприємство має три підписи (директор, бухгалтер, печатка) — потрібно три окремих носії. Не намагайтеся записати кілька КЕП на один токен — це суперечить вимогам безпеки та технічним обмеженням пристроїв стандартної лінійки.