Открыть сервис

USB-токен

USB-токен — это компактное аппаратное устройство, выполненное в форм-факторе USB-брелока, предназначенное для хранения криптографических ключей, сертификатов безопасности и выполнения криптографических операций (шифрование, подпись, аутентификация). USB-токены относятся к классу аппаратных средств криптографической защиты информации (СКЗИ) и обеспечивают более высокий уровень безопасности по сравнению с программными хранилищами ключей, так как секретные данные извлекаются из памяти устройства, а операции с ними выполняются внутри защищённой микросхемы.

История и предпосылки появления

Первые USB-токены появились в конце 1990-х годов как эволюция смарт-карт. Необходимость в компактном, портативном и защищённом носителе для цифровых подписей и аутентификации возникла с развитием электронного документооборота и удалённого доступа к корпоративным ресурсам. В отличие от смарт-карт, которые требуют специального считывателя, USB-токен подключается напрямую к стандартному USB-порту компьютера, что упрощает его использование.

Массовое распространение в России USB-токены получили в 2000-х годах, когда государство начало внедрять системы электронной подписи для физических и юридических лиц. Одним из первых массовых отечественных продуктов стал токен «eToken» производства компании Aladdin (позже — SafeNet, ныне часть Thales). В настоящее время российский рынок представлен такими производителями, как «Актив» (токены серии Рутокен), «Анкад» (токены JaCarta), и «КриптоПро» (токены в интеграции с собственным ПО).

Устройство и принцип работы

Аппаратная архитектура

USB-токен представляет собой небольшое устройство в пластиковом корпусе, в котором размещены:

Программное обеспечение

Для работы USB-токена на компьютере устанавливаются драйверы и клиентское ПО, которое взаимодействует с устройством через стандартные интерфейсы: PKCS#11, Microsoft CryptoAPI, OpenSC. В российских реалиях обязательна поддержка интерфейса КриптоПро CSP.

Принцип работы

Секретные ключи генерируются и хранятся только внутри микроконтроллера. Операции подписания или расшифрования выполняются на самом токене: на вход подаются данные, а на выходе — результат (подпись или расшифрованный текст). Ключ никогда не покидает микросхему. Для доступа к операциям пользователь вводит PIN-код (или пароль), который сверяется с хранящимся в памяти токена. В случае многократного ошибочного ввода токен блокируется.

Классификация USB-токенов

По функциональным возможностям

По форм-фактору и конструкции

По поддерживаемым криптоалгоритмам

Применение

Электронная подпись в РФ

В России USB-токены являются основным средством выработки квалифицированной электронной подписи (КЭП) для физических лиц, индивидуальных предпринимателей и юридических лиц при взаимодействии с госорганами (ФНС, ПФР, ФСС, Росреестр), системами электронного документооборота (ЭДО) и коммерческими площадками. Для получения КЭП токен должен быть сертифицирован ФСБ России как СКЗИ.

Защищённый удалённый доступ

Корпоративные VPN-сети, системы дистанционного банковского обслуживания (ДБО) и порталы государственных услуг используют USB-токены для двухфакторной аутентификации (что-то, что ты знаешь — PIN, и что-то, что у тебя есть — токен).

Шифрование данных

Токен может использоваться для шифрования файлов и папок на жёстком диске или для защищённого обмена конфиденциальными документами по почте.

Хранение приватных ключей для блокчейн-кошельков

Отдельное применение — хранение seed-фраз и приватных ключей криптовалютных кошельков в аппаратном исполнении, где транзакции подписываются только после физического подтверждения (нажатия кнопки на устройстве). Однако популярнее здесь специализированные аппаратные кошельки (например, Ledger, Trezor), а не универсальные USB-токены.

Сравнение с другими носителями

Тип носителяПортативностьЗащита от перехвата ключаСложность использованияСертификация в РФ
USB-токенВысокаяВысокая (аппаратная)Средняя (требует ПО)Возможна (СКЗИ)
Смарт-картаВысокаяВысокая (аппаратная)Низкая (нужен считыватель)Возможна
Программный ключ (контейнер)ВысокаяНизкая (в оперативной памяти)ВысокаяНевозможна для КЭП
HSM (аппаратный модуль безопасности)НизкаяОчень высокаяНизкая (стационарен)Возможна

Критика и ограничения

Перспективы

Основные тенденции развития USB-токенов:

В России сохраняется обязательное требование использования сертифицированных ФСБ СКЗИ для выпуска КЭП, что поддерживает спрос на отечественные USB-токены.

Источники

  1. Федеральный закон «Об электронной подписи» № 63-ФЗ от 06.04.2011.
  2. «Криптографическая защита информации. Основные понятия» — ГОСТ Р 50922-2006.
  3. Сертификаты ФСБ России на средства криптографической защиты информации (реестр СКЗИ).
  4. Сайты производителей: «Актив» (Рутокен), «Анкад» (JaCarta), SafeNet (eToken).
  5. «Аппаратные токены: принципы работы, виды и применение» — журнал «Защита информации. Инсайд» № 1, 2020.
  6. Материалы конференций по информационной безопасности (Positive Hack Days, Форум «Крипто-Про»).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →