Подпись документов в вашем телефоне по NFC

КриптоАРМ ГОСТ сертифицируется совместно с КриптоПро CSP и дает больше возможностей использования, чем один криптопровайдер. Сертификаты подписи, для лица действующего без доверенности, можно получить в УЦ ФНС и ДУЦ совершенно бесплатно, обязательно - наличие носителя (сертифицированного ФСТЭК или ФСБ).

@@CryptostoreRuOfficial не только носителя! Ещё и КриптоПро CSP или любого другого CSP с поддержкой ГОСТ. А тут ещё зачем-то и вашу программу покупать.
И да, несколько криптопровайдеров с ГОСТ могут потребоваться только по работе тем кто входит на площадки какие-нибудь закупок, ну всё потому что каждая компания тянет лоскут на себя, там нужен и vipnet client и КриптоПро CSP для поддержки подписи организации. Там вот точно ваш КриптоАРМ не нужен.
Обычному пользователю никогда не потребуется два платных криптопровайдера.

Да, вы правы, неэкспортируемым является закрытый ключ. Но мы ведь также понимаем, что правильно говорить не сертификат, и не КЭП , а квалифицированный сертификат ключа проверки электронной подписи, но так мы тоже обычно не говорим, немного упрощая.

При подписи закрытый ключ остается на токене, даже в случае потери телефона, ключ не будет скомпрометирован. Подписать на телефоне может быть просто проще, чем на ноутбуке, телефон всегда с нами.

@@CryptostoreRuOfficial нет, не проще. Выбирать сертификат, выбирать файл и прочее.. в вашем же КриптоАРМ на компьютере - просто тупо по правой кнопке мыши подписать проще. А про безопасность я не имел ввиду что с телефона похитят ключ. Я имел ввиду, что могут похитить много другой информации, а при желании, можно написать вирус с прозрачным окном, которое, когда вы будете прикладывать токен, подменит информацию и сделает не ваши действия а свои.
Причём от такого вируса не всегда помогает и антивирус, мы уже с такими вирусами сталкивались.
Комповые ОС защищены на несколько порядков лучше, чем Андроид или ios, спросите любого безопасника.
Я, как и многие безопасники - никогда бы не рекомендовали держать банковские и прочие приложения с личными данными и доступом к деньгам и подписи - на мобильном телефоне.

​@@sabanticaДа неужели компьютер лучше защищён чем телефон, не верю. Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть.
О прозрачном окне конечно забавно, можно подумать что телефоне это делается сильно проще чем на десктопе.
Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений.
Если пользователь что-то разрешил сомнительное, то это не сильно снижает безопасность если выполнены предыдущие пункты.
Можно поставить отдельную защищённую операционку по типу GrapheneOS или использовать отдельное пространство например через Shelter.

​@@green.616Сколько забавной несуразицы вы тут написали, придётся потратить чуть времени на ответ, что я не люблю, но иногда делаю исключение.
"Если пользоваться последней версией Android и ставить все обновления (Google Pixel лучше в этом будет, в том числе аппаратно), то о каких-то известных уязвимостях можно забыть."
Я даже не знаю, почему так слепа вера в тяп-ляп программеров от гугла. Во-первых, как показывает практика, против новых атак часто НОВЫЕ патчи безопасности закрывают одни дыры и открывают другие, при этом такие атаки на старые версии Андроид невозможны, поскольку в патчах иногда ещё и добавляют программы для слежения, или заменяют старые таковые на новые. По поводу гугл пикселя, который напичкан программами слежения, диагностики и тестирования, как новогодняя ёлка гирляндами - почему вдруг он лучше, если там намного больше возможностей открывать каналы утечки - я так и не понял.
По поводу - про уязвимости можно забыть -да да, особенно если пользователи не используют НИКАКОГО сетевого экрана, я умолчу про HIPS, и просто открытые каналы обмена данными, на компе даже простенький, но сетевой экран какой никакой есть (да, у M$ он дырявый, но если ставят антивирусы, в них часто и сетевой экран свой, а в Каспере том же самом даже HIPS есть).
Едем дальше
"Вот на телефоне как раз-таки более защищены, в плане наличия шифрования памяти (на компьютере часто видите как включают эту функцию?), наличие защищённого хранилища секретов, в том числе неизвлекаемых, Trusted Execution Environment (Android - Trusty, Apple - Secure Enclave). Проверка подписи загрузчика операционной системы и всех приложений."
Эмм што? Начнём с главного. Помню как ругался по поводу того, что в паре моделей Xiaomi и Meizu автоматом шифруется основной раздел с данными пользователя, потому что там это было НЕ отключаемо, а ключ сам был где-то в недрах системы и при сбое - твои данные (без бэкапа если), улетали в трубу. Но возьмём типичное - у Самсунга, у некоторых Xiaomi и у Apple есть отдельный сейф, правда у аппл расшаривание ключа онлайн, что может (потенциально, не проверял) привести к тому что у админов облака Аппл есть твой ключ, но пользователям кусанного яблока не привыкать к утечкам, взломам и краже информации, это там уже частое явление.
Нодавайте допустим, что и у аппл и у самсунга (например) и у других вендоров прошивок есть сейфовая часть, куда можно сложить данные и приложения для их защиты. Вы знаете много народу, кто так делает? Из моих знакомых, даже айтишников - никто вообще.
Максимум пользуют какой-нибудь контейнер keepasss для хранения шифрованной базы паролей и что-то подобное для документов.
С одной стороны это надёжно, шифр есть шифр, с другой - если нет отслеживания памяти, перехватить ввод пароля - тоже можно, а антивирус и подобные им программы на Андроид ставят очень редко, про аппл я умолчу.
Доказано опять же, что есть вирусы на ios, которые перехватывают и себе копируют данные биометрии, так что отпечаток пальца тоже можно увести.
Проверка подписи загрузчика - да, но не мне говорить, что народ большинство моделей может рутовать и менять загрузчик. Так почему это не могут делать вирусы? В случае гигиены на Windows или на Линуксе - можно проверять досканально - что у вас грузиться, откуда, проверять и подписи и целостность ядра и системных файлов, а если есть грамотный антивирус - он контроллирует невмешательство в важные процессы - например, ввод пароля, аутентификацию по токену и многое другое.
В коммент не лезет, продолжу в следующем.

Единственное что годится только для физиков и только для так сказать персонального использования. Закрытый ключ хранится в телефоне, файлы можно подписать только те что можно загрузить на Госуслуги.