С 1 апреля 2026 года ФНС России переходит на использование новых межгосударственных стандартов криптографической защиты информации — ГОСТ 34.12‑2018 и ГОСТ 34.13‑2018, а поддержка устаревшего ГОСТ 28147‑89 прекращается. Это напрямую влияет на работу с электронной подписью при сдаче отчетности и обмене электронными документами с контрагентами.
Новые криптоалгоритмы ФНС: что меняется
Переход на ГОСТ 34.12‑2018 и ГОСТ 34.13‑2018 реализуется в рамках требований законодательства об электронной подписи и политики безопасности ФНС. Новые алгоритмы поддерживаются только современными программными СКЗИ и аппаратными ключевыми носителями, сертифицированными ФСБ России.
Реализовать шифрование по новым ГОСТам можно двумя основными способами:
- с использованием аппаратных криптографических механизмов активного ключевого носителя (при формировании закрытого ключа в неизвлекаемом виде по PKCS#11) — при этом электронная подпись создается и хранится внутри токена и не может быть скопирована;
- только с помощью программного СКЗИ (например, КриптоПро CSP 5.0 R2 и выше), когда носитель используется как пассивное хранилище ключей, что является менее защищенным вариантом.
Требования к КриптоПро CSP и токенам Рутокен
Чтобы продолжить сдачу отчетности в ИФНС и обмен электронными документами без перебоев, организациям нужно проверить:
- версию КриптоПро CSP на рабочих станциях;
- модель USB‑токена, на котором хранится ключ ЭП.
Если на компьютере установлена версия КриптоПро CSP ниже 5.0, СКЗИ следует обновить до актуального релиза, поддерживающего ГОСТ 34.12‑2018 и ГОСТ 34.13‑2018. При использовании Рутокен ЭЦП 2.0 в режиме неизвлекаемых ключей необходимо заменить активный ключевой носитель на устройство нового поколения, так как старые носители не поддерживают новые алгоритмы.
Реализация шифрования по новым ГОСТам в активном режиме возможна только при использовании Рутокен ЭЦП версии 3.0 и выше, которые поддерживают работу с неизвлекаемыми ключами по актуальным стандартам. Если закрытый ключ был записан на Рутокен ЭЦП 2.0, он не будет соответствовать новым требованиям безопасности.
При пассивном сценарии, когда ключи хранятся в виде извлекаемых и токен работает как обычный носитель (например, с КриптоПро CSP 5.0 R2 и выше), уровень защищенности ниже, но новые алгоритмы также могут быть применены при условии поддержки их со стороны программного СКЗИ.
Если вам нужно приобрести версию КриптоПро v. 5, обратитесь к нам — оставьте заявку на консультацию и мы поможем вам выпустить новую версию.
Как понять, нужно ли менять Рутокен
Дальнейшие действия зависят от того, где и как хранится ключ ЭП, а также какое СКЗИ используется.
Если ключ ЭП хранится на токенах Рутокен:
- При неизвлекаемом ключе ЭП (активный режим носителя или функциональный носитель с защитой канала) на Рутокен ЭЦП 2.0 потребуется заменить устройство на модель, которая поддерживает ГОСТ 34.12‑2018 и ГОСТ 34.13‑2018 для неизвлекаемых ключей (Рутокен ЭЦП 3.0) и выпустить новые ключи и сертификаты.
- Если ключ ЭП извлекаемый (пассивный режим) и хранится на токене без встроенного СКЗИ, например Рутокен Lite, менять носитель не требуется — достаточно проверить и при необходимости обновить версию КриптоПро CSP.
Проверить модель Рутокена и режим контейнера ключа ЭП можно через программу‑драйвер «Панель управления Рутокен». Для этого:
- откройте приложение через меню «Пуск» и перейдите на вкладку «Сертификаты»;
- в поле «Подключенные Рутокен» отобразится модель используемого носителя;
- тип режима контейнера определяется по предупреждению на вкладке: если указано «Для использования сертификата необходимо установить КриптоПро CSP», ключ ЭП считается извлекаемым.
Особенности токенов JaCarta
Если ключ ЭП хранится на носителях семейства JaCarta, также важно уточнить модель:
- новые алгоритмы шифрования ГОСТ 34.12‑2018 и ГОСТ 34.13‑2018 поддерживают только модели JaCarta версии 2 (за исключением JaCarta‑2 SE);
- при использовании более старых устройств потребуется их замена и выпуск нового сертификата ЭП.
Для носителей с неизвлекаемыми ключами это особенно критично, поскольку перевыпустить сертификат без смены устройства не получится.
Если ключ ЭП хранится в реестре или на диске
Когда ключ электронной подписи размещен в реестре или на диске компьютера, дальнейшие шаги зависят от используемого СКЗИ:
- при работе с КриптоПро CSP 4.0 необходимо обновиться до версии 5.0 и выше, после чего можно продолжать использовать существующие ключи, если они поддерживаются новым СКЗИ;
- если ключ ЭП был создан в ViPNet CSP с пометкой «экспортируемый», его можно перенести в КриптоПро CSP 5.0 и использовать там;
- если ключ ЭП помечен как неэкспортируемый, потребуется перевыпустить ключ и сертификат уже с использованием КриптоПро CSP 5.0.
Корректная проверка версии СКЗИ и типа хранения ключей заранее позволит избежать сбоев при сдаче отчетности и работе с электронными документами после вступления в силу новых требований ФНС.
