Здравствуйте, sanyock, Вы писали:
S>Rutoken ECP (v1,v2,v3) имеют на борту микрокомпьютер, работающий независимо от основного большого персонального компа
Независимый микрокомпьютер имеет любой носитель типа smart card — eToken, RuToken, JaCarta и т.п.
S>Работать с такими ключами снаружи с персоналки можно только по некоторым протоколам типа PKCS11 в режиме клиент-сервер (запрос-ответ), которые не позволяют вычитать ключ, если внутри прошивки стоит запрет экспорта такого ключа.
Все это верно для любой smart card. Проблема лишь в том, что большинство аппаратно поддерживает только RSA, а КриптоПро нужен ГОСТ.
S>Считается, что снаружи не взломать внутреннюю прошивку токена, и не заставить ее экспортировать ключ, у которого стоит признак неэкспортируемый. Такой ключ никогда не покидает токен и не попадает на персональный комп через USB.
Это верно при использовании шифрования, аппаратно поддерживаемого носителем. Если носитель не поддерживает ГОСТ аппаратно, то КриптоПро использует его сугубо в качестве контейнера, и читает из него "неэкспортируемый" секретный ключ при каждом использовании подписи. А вот пользователю КриптоПро не дает экспортировать ключ. В этом и состоит "защита от честных людей".