У цифрову епоху електронний підпис став невід’ємною частиною ведення бізнесу в Україні. Подання звітності, участь у тендерах, робота з програмними РРО, електронний документообіг — все це потребує надійного кваліфікованого електронного підпису (КЕП). Але де зберігати ключі, щоб вони були захищені від крадіжки та несанкціонованого доступу? Відповідь — токени та рідери, спеціальні захищені носії ключової інформації.
Що таке токен і чим він відрізняється від звичайної флешки
Токен (захищений носій, SecureToken, USB-ключ) — це спеціалізований пристрій для безпечного зберігання ключів електронного підпису. Зовні він нагадує звичайну USB-флешку, але має принципово інший принцип роботи та рівень захисту.
Головна відмінність токена від флешки полягає в тому, що секретний ключ генерується безпосередньо всередині пристрою та ніколи його не залишає. При підписанні документа сам документ передається в токен, де відбувається обчислення підпису. На звичайній флешці після введення пароля всі дані стають доступними для читання, зміни та копіювання — тому вона не може забезпечити належний рівень захисту ключів КЕП.
Ключові особливості токенів для зберігання підпису: секретний ключ існує в єдиному екземплярі та не може бути скопійований; доступ захищений паролем з обмеженою кількістю спроб (зазвичай 7); всі операції з ключем виконуються всередині захищеного носія; пристрої багаторазові — термін служби до 10 років.
Кому обов’язково потрібні захищені носії
Відповідно до Закону України «Про електронні довірчі послуги» та Постанови Кабміну №749, використання токенів для підписання є обов’язковим для певних категорій користувачів:
Органи державної влади та місцевого самоврядування зобов’язані застосовувати виключно КЕП на захищених носіях. Бюджетні установи та організації державної форми власності мають суворі правила — зберігати електронний підпис тільки на токенах. Учасники публічних закупівель (Prozorro) повинні використовувати КЕП на захищених носіях для підписання тендерних пропозицій. Користувачі державних реєстрів Міністерства юстиції, нотаріуси та державні реєстратори також зобов’язані працювати з токенами.
Для приватних підприємств та ФОП використання захищених носіїв поки що залишається рекомендованим, але не обов’язковим. Втім, експерти наполегливо радять перейти на токени всім, хто працює з електронним підписом — це суттєво підвищує безпеку ключів.
Види захищених носіїв: як обрати оптимальний варіант
На українському ринку представлено кілька типів захищених носіїв. Кожен має свої переваги та підходить для різних сценаріїв використання.
USB-токени
Найпоширеніший тип захищених носіїв. Мають вигляд компактної флешки в пластиковому або металевому корпусі. Популярні моделі: Алмаз-1К від АТ «Інститут Інформаційних Технологій», SecureToken-337 та SecureToken-338 від ТОВ «Автор». Токени з металевим USB-роз’ємом довговічніші, хоча й дещо дорожчі. Вартість USB-токенів — від 1000 до 1800 грн залежно від моделі та корпусу.
Смарт-картки
Захищений носій у формі пластикової картки з чіпом (CryptoCard-337). Найбюджетніший варіант — вартість близько 210 грн. Картка стандартного формату легко поміщається у гаманці. Для роботи зі смарт-картками потрібен спеціальний пристрій — карт-рідер (близько 350-500 грн). Недолік — нижча зносостійкість порівняно з токенами.
Хмарні сховища (CloudKey)
Сучасна альтернатива фізичним носіям. Електронний підпис зберігається у захищеній «хмарі» з доступом з будь-якого пристрою без додаткових налаштувань. CloudKey виключає можливість втрати ключа та забезпечує доступ до КЕП 24/7. Підходить для тих, хто працює з різних пристроїв або часто подорожує.
Мережеві криптомодулі
Рішення для великих організацій з багатьма співробітниками. Мережевий криптомодуль — це окремий мережевий вузол, який може зберігати від 100 до понад 4 мільйонів КЕП одночасно. Дозволяє розмістити всі підписи в одному місці з доступом користувачів через мережу.
Як налаштувати токени для роботи
Процес налаштування токенів доволі простий і не потребує спеціальних технічних знань. Для початку роботи потрібно виконати кілька кроків.
Перший етап — придбання токена. Захищені носії можна придбати у представників сертифікованих центрів ключів по всій Україні. Важливо обирати пристрої від перевірених виробників (ТОВ «Автор», АТ «ІІТ»), які мають експертні висновки Держспецзв’язку.
Другий етап — генерація КЕП на токен. Це можна зробити двома способами: особисто звернутись до акредитованого центру сертифікації ключів або виконати перевидачу дистанційно через програму M.E.Doc чи веб-сервіс СОТА. При генерації ключа потрібно обрати опцію «Зберігати секретний ключ на захищений носій», вставити токен в USB-роз’єм та ввести пароль (заводський пароль виробника «Автор» — 12345678, його рекомендовано змінити).
Третій етап — реєстрація КЕП у податковій. Після активації сертифіката потрібно відправити повідомлення про реєстрацію КЕП до контролюючого органу. Це можна зробити безпосередньо з програми M.E.Doc або веб-сервісу СОТА.
Токени для підписання: технічні характеристики
При виборі токенів для підписання варто звернути увагу на технічні характеристики. Сучасні захищені носії серії SecureToken-338 від ТОВ «Автор» побудовані на базі смарт-чіпів NXP Semiconductors P5CC037, які відповідають міжнародному рівню безпеки CC EAL5+.
Основні технічні параметри якісних токенів: підтримка національних стандартів криптографії ДСТУ 4145-2002; підтримка міжнародних алгоритмів RSA та ECDSA; шифрування по ГОСТ 28147:2009, DES, 3-DES, AES; обчислення хеш-функцій відповідно до ГОСТ 34.311-95, MD5, SHA; сумісність з операційними системами Windows, Linux, Mac OS.
Деякі моделі токенів мають додатковий об’єм пам’яті 16/32 Gb, що дозволяє використовувати їх також як звичайний USB-накопичувач для зберігання файлів.
Безпека та захист від крадіжки
Токени для зберігання підпису забезпечують максимальний рівень захисту ключової інформації. Електронний підпис, що перебуває на захищеному носії, неможливо ані вилучити, ані скопіювати. Доступ захищений PIN-кодом з обмеженою кількістю невдалих спроб — після 7 невірних введень токен автоматично очищується, а ключ самознищується.
Навіть якщо припустити фізичне викрадення токена, шанси зловмисника скористатися вашим КЕП близькі до нуля. Для цього йому потрібно було б знати пароль та встигнути ввести його правильно до блокування пристрою.
На відміну від файлового зберігання на звичайній флешці чи комп’ютері, де ключі можуть бути скопійовані шкідливим програмним забезпеченням, токен гарантує, що ваш підпис залишається у повній безпеці.
Де придбати токени та рідери
Якщо ви вирішили купити токен, важливо звернутися до офіційних представників виробників або акредитованих центрів сертифікації ключів. Це гарантує отримання сертифікованого пристрою з експертним висновком Держспецзв’язку та офіційною гарантією виробника.
Середні ціни на захищені носії у 2025 році: смарт-картка CryptoCard-337 — від 210 грн; карт-рідер КР-371М — від 350-500 грн; USB-токен Алмаз-1К у пластиковому корпусі — від 1000-1200 грн; USB-токен SecureToken-338М з металевим роз’ємом — від 1500-1600 грн; токен з додатковою пам’яттю 16/32 Gb — від 1550-1800 грн.
Бюджетним організаціям та державним установам токени можна придбати через систему Prozorro. Приватні підприємства можуть замовити пристрої безпосередньо у представників виробників з оформленням договору та відповідних документів для бухгалтерії.
Часті запитання про токени
Чи можна працювати з токеном як зі звичайною флешкою?
Ні, захищений носій не визначається операційною системою як диск. Це спеціалізований криптографічний пристрій, призначений виключно для зберігання та роботи з електронними підписами.
Скільки ключів можна записати на один токен?
Для кожного особистого ключа використовується окремий захищений носій. Це принципова вимога безпеки — неможлива підміна або плутанина між різними КЕП.
Що робити, якщо забув пароль до токена?
Після вичерпання ліміту невдалих спроб введення пароля (зазвичай 7 разів) токен блокується та очищується. У такому випадку потрібно відформатувати носій та отримати новий електронний підпис.
Чи сумісні токени різних виробників з різними програмами?
Захищені носії від виробників ТОВ «Автор» та АТ «ІІТ» сумісні з більшістю програм для роботи з електронним підписом: M.E.Doc, СОТА, державними онлайн-сервісами, системами електронного документообігу.
Висновки: інвестиція в безпеку бізнесу
Токени для електронного підпису — це не просто вимога законодавства для певних категорій користувачів. Це надійний інструмент захисту ключової інформації, який убезпечує ваш бізнес від кіберзагроз, підробки документів та несанкціонованого доступу до електронного підпису.
У 2025 році, коли цифровізація охопила практично всі сфери діяльності — від подання звітності до роботи з програмними РРО — захист електронного підпису набуває критичного значення. Вартість токена (від 1000 до 1800 грн) — це мінімальна інвестиція порівняно з потенційними втратами від компрометації ключів.
Рекомендуємо вже зараз подбати про перехід на захищені носії всім, хто працює з електронним підписом. Це забезпечить не лише відповідність вимогам законодавства, але й реальний захист ваших ключів та документів від зловмисників.
