ФСБ создает электронную подпись,...

> ... технологическое решение, позволяющее осуществлять доверенную аутентификацию граждан через облако без помощи физических токенов с записанными на них электронными подписями.

Ха-ха-ха! Идите с миром. Смысл токена/смарткарты состоит в привязке неизвлекаемых закрытых ключей ЭЦП к физическому объекту, который можно спокойно положить в сейф и не беспокоиться по поводу того, что кто-то может эти ключи украсть.

> Ну тут они собираются привязывать закрытый ключ к морде лица с анализами.

Биометрические признаки копируются, в отличие от неизвлекаемого закрытого ключа ЭЦП. Сертификат ключа ЭЦП можно отозвать и перевыпустить, а морду лица отозвать и перевыпустить не получится, она всегда одна и та же. Кроме того, биометрическими признаками можно заставить воспользоваться, а токен можно, например, физически уничтожить перед лицом угрозы принуждения, предотвратив его несанкционированное использование. Собственно, достаточно удалить с него неизвлекаемый ключ, и токен станет совершенно бесполезен.

> >морду лица отозвать и перевыпустить не получится

> А если упал на табурет, и рожу временно перекосило?

Во-первых, это временно. Во-вторых, если злоумышленники, незаметно для тебя уже скопировали твои биометрические признаки, уродовать себе рожу уже бесполезно.

> Я скажу страшное, большинство пользователей оставляют стандартные пины токенов, они даже не знают где их можно менять.

Принудительно поменять ПИН перед выдачей токена участнику системы защищённого документооборота -- обязанность выдающего этот токен сотрудника УЦ/ИБ. Кроме того, нормальные токены имеют два ПИНа - пользовательский и админский. Админский позволяет разблокировать токен и установить для него политику парольной защиты. То есть, ПО токена в нужный момент изнасилует пользователя и таки добьётся, чтобы то поменял себе пароль.

> А без сейфа так нельзя?

Можно. Но токен следует постоянно держать при себе. Обнаружил, что токена при себе нет -- бегом перевыпускать сертификат.

> в части принципов их работы не очень понимаю (пароли, учёт и т.д.)

Тут всё просто. Все принципы учёта токенов совершенно закономерно вытекают из типовых сценариев использования этих устройств и утверждённой в организации политики парольной защиты доступа к информационным ресурсам этой организации.

Итак, принципы учёта.

1. Токены должны учитываться по уникальному серийному номеру.

2. Должен вестись журнал приёма и выдачи токенов, с указанием серийного номера токена, табельного номера/ФИО сотрудника, которому он был выдан и даты/времени выдачи и приёма. Если журнал ведётся на бумаге, как сотрудник, так и офицер безопасности должны расписываться в получении токена, сотрудник -- при выдаче ему токена, офицер -- при возврате токена сотрудником. Всё обычно, стандартно и полностью аналогично типовому журналу учёта приёма/выдачи, например, ключей от помещений.

3. Должен вестись журнал технического обслуживания (ТО) токенов с указанием серийного номера токена, типа операции (инициализация/смена административного пароля), сведений об установленном административном пароле и даты/времени обслуживания. Для операции инициализации желательно также записывать в журнале параметры инициализации, которые должны соответствовать требованиям утверждённой в организации политике парольной защиты (длина, сложность и периодичность замены пароля) В бумажном журнале желательно расписываться, в ознаменование успешного завершения ТО.

Пояснения.

Журналы могут вестись как на бумаге, так и в какой-нибудь базе данных. Административный пароль токена является конфиденциальным, в связи с чем для электронного журнала ТО поле базы данных с административным паролем токена должно быть зашифровано. В случае отсутствия возможности избирательного шифрования полей базы данных следует зашифровать всю базу данных с журналом ТО. В случае ведения журнала ТО на бумаге имеет смысл хранить административные пароли не в самом журнале, а в отдельных ПИН-конвертах, а в журнал вносить только какие-нибудь идентификационные номера этих конвертов. ПИН-конверты с административными паролями, естественно, следует хранить в сейфе.

Административный пароль токена, он же пароль офицера безопасности, используется

а) для разблокирования токена,
б) для изменения пароля (PIN-кода) пользователя,
в) для повторной инициализации токенов, инициализированных в соответствии с требованиями стандарта FIPS 140-2.

Токен обязательно следует инициализировать с указанием административного пароля и обязательно сохранять этот пароль для каждого токена. К сожалению, пользователи зачастую забывают свои пароли. Некоторые принимаются подбирать пароль, что приводит к самоблокировке токена. Если административный пароль не был задан при инициализации, такой токен можно только повторно инициализировать, что приведет к утрате закрытых ключей, хранящихся на нём. Это, в свою очередь, приведет к безвозвратной утрате экземпляров документов, которые были зашифрованы только для пользователя, забывшего пароль к своему токену. Если токен был инициализирован в соответствии с требованиями стандарта FIPS 140-2, утрата и пользовательского, и административного пароля к нему просто превращает такой токен в тыкву бесполезный кусок пластика. В случае же наличия административного пароля достаточно всего лишь просто принудительно поменять пароль пользователя. Токен разблокируется и пользователь, довольный, побежит работать с ним дальше.

Заранее приношу извинения за некоторую сумбурность изложения. если что-то непонятно -- спрашивай, постараюсь ответить.