При виборі захищеного носія для електронного підпису ви напевно бачили згадки про «експертний висновок ДССЗЗІ» або «сертифікацію». Що це означає, чому важливо та як перевірити, що токен справжній? Розберемося в цих питаннях.
Що таке ДССЗЗІ
ДССЗЗІ — це Державна служба спеціального зв'язку та захисту інформації України. Це центральний орган виконавчої влади, що відповідає за кіберзахист, криптографію та захист державних інформаційних ресурсів.
Одна з функцій ДССЗЗІ — експертиза засобів криптографічного захисту інформації. Перш ніж захищений носій потрапить на ринок для використання в державних органах, він повинен пройти перевірку експертів служби.
Це не формальність, а серйозна технічна експертиза. Спеціалісти перевіряють криптографічні алгоритми, архітектуру захисту, відповідність стандартам. Тільки після успішного проходження всіх перевірок виробник отримує експертний висновок.
Що таке експертний висновок
Експертний висновок — це офіційний документ ДССЗЗІ, що підтверджує відповідність криптографічного засобу вимогам законодавства та стандартам.
Висновок має унікальний номер та дату видачі. У ньому зазначено назву продукту, виробника, перелік підтримуваних стандартів та сфери дозволеного застосування.
Наявність експертного висновку означає, що держава перевірила та схвалила цей засіб захисту. Для державних органів використання лише сертифікованих засобів є обов'язковим. Для приватного сектору — сильно рекомендованим.
Чому сертифікація важлива
Несертифікований токен може мати вразливості, про які ви не знаєте. Можливо, в його архітектурі є помилки, що дозволяють викрасти ключ. Або криптографічні алгоритми реалізовані неправильно, що робить підпис ненадійним.
Експертиза ДССЗЗІ виявляє такі проблеми до того, як пристрій потрапить до користувачів. Це як технічний огляд автомобіля — ви можете їздити без нього, але ризикуєте своєю безпекою.
Сертифікація токенів АВТОР
Захищені носії виробництва ТОВ «АВТОР» мають усі необхідні експертні висновки для використання в Україні.
Серія SecureToken-338 S та Secure Token-338 M отримала експертний висновок ДССЗЗІ України № 04/03/02-133 від 20.01.2020р.,експертний висновок ДССЗЗІ України №04/05/02-1000 від 14.04.2021р. Цей документ підтверджує відповідність пристроїв стандарту цифрового підпису ДСТУ EN 419211-2:2016.
Це означає, що токени АВТОР можна використовувати в державних органах, для нотаріальної діяльності, для роботи з критичною інфраструктурою — будь-де, де закон вимагає сертифікованих засобів.
Як перевірити сертифікацію
Перед покупкою токена ви можете самостійно перевірити його сертифікацію.
Перевірка на сайті ДССЗЗІ
На офіційному сайті Держспецзв'язку є реєстр атестованих засобів криптографічного захисту. Ви можете знайти там токени АВТОР та переконатися в чинності їхніх експертних висновків.
Перевірка документів при покупці
При купівлі токена в офіційного продавця ви маєте право попросити копію експертного висновку або посилання на нього. Сумлінний продавець надасть цю інформацію без проблем.
Як не купити підробку
На жаль, ринок захищених носіїв не застрахований від підробок та сірого імпорту. Ось кілька порад, як уникнути проблем.
Занадто низька ціна
Якщо токен коштує суттєво дешевше, ніж у офіційних продавців — це привід насторожитися. Сертифіковані пристрої мають собівартість, і продавати їх нижче за неї ніхто не буде.
Токени АВТОР коштують від 510 гривень за смарт-карту до 1 752 гривень за модель із Flash-пам'яттю. Ціни нижче цього діапазону викликають питання.
Невідомий продавець
Купуйте токени в офіційних дистриб'юторів або напряму у виробника. СТ Центр є офіційним партнером ТОВ «АВТОР» з 1999 року — понад 25 років на ринку.
Уникайте покупок на невідомих сайтах, у соціальних мережах чи з рук. Ви не зможете перевірити походження такого товару.
Відсутність документів
Сертифікований токен супроводжується документами: гарантійний талон, інструкція, інформація про експертний висновок. Якщо продавець не може надати документи — це поганий знак.
Пошкоджена упаковка
Токен повинен бути в заводській упаковці без слідів відкриття. Пошкоджена упаковка може свідчити про те, що пристрій вже використовувався або в нього вносили зміни.
Що робити з несертифікованим токеном
Якщо ви виявили, що ваш токен не має експертного висновку ДССЗЗІ, є кілька варіантів дій.
Для приватного використання несертифікований токен формально не заборонений. Але ви берете на себе ризики щодо надійності захисту.
Для державних органів та регульованих галузей використання несертифікованого токена — порушення. Потрібно замінити пристрій на сертифікований.
У будь-якому разі рекомендуємо звернутися до офіційного постачальника для перевірки та, за потреби, заміни токена.
Підсумок
Експертний висновок ДССЗЗІ — це гарантія того, що ваш токен перевірений державою та відповідає стандартам безпеки. Для державного сектору сертифікація обов'язкова, для приватного — сильно рекомендована.
Токени АВТОР мають усі необхідні експертні висновки. Купуючи їх в офіційних дистриб'юторів, таких як СТ Центр, ви можете бути впевнені в автентичності та якості продукції.
