В чем разница между использованием сертификатов на аппаратных токенах и в системном хранилище?

Разница между использованием сертификатов на аппаратных токенах и в системном хранилище заключается в способе хранения и защиты ключей. habr.com dev.rutoken.ru

При использовании системного хранилища сертификаты хранятся в виде файлов, которые могут размещаться практически в любом месте, включая удалённые серверы. habr.com Такие файлы не ограничены в возможностях копирования и удаления, поэтому злоумышленник может легко сделать копию сертификата. habr.com dev.rutoken.ru

При использовании аппаратных токенов ключ генерируется на самом оборудовании и не экспортируется. habr.com Закрытый ключ никогда не покидает устройство, что затрудняет постороннему получение доступа и компрометацию. habr.com

Ещё некоторые особенности:

• Использование сертификата с токена требует ввода пароля каждый раз при его применении. habr.com Даже если кто-то получит токен, ему всё равно понадобится пароль. habr.com
• Хранение ключа в токене позволяет безопасно использовать один и тот же сертификат на нескольких компьютерах без необходимости создавать несколько копий и проходить процесс экспорта/импорта. habr.com
• Нет способа создать резервную копию сертификата при использовании токенов, поскольку закрытый ключ не экспортируется. habr.com