Сертификат без ключевой пары рутокен что делать

Сертификат без ключевой пары Рутокен: что это значит?

Сертификат без ключевой пары Рутокен представляет собой защищенный электронный документ, используемый для проверки подлинности и целостности данных. Он не только подтверждает идентификацию владельца, но и обеспечивает безопасность информации, передаваемой через сеть. Важно отметить, что в отличие от обычных сертификатов, сертификат Рутокен может работать без наличия ключевой пары.

Выполнение сертификата без ключевой пары Рутокен возможно благодаря технологии, которая позволяет создавать и управлять ключами на устройстве, не раскрывая их на компьютере пользователя. Это позволяет значительно повысить уровень безопасности и защитить данные от несанкционированного доступа.

Однако, использование сертификата без ключевой пары Рутокен имеет и свои последствия. Во-первых, такой сертификат нельзя использовать для создания электронной подписи. Во-вторых, при использовании сертификата Рутокен без ключевой пары необходимо обратить внимание на безопасность хранения данных на устройстве.

Важно помнить, что без ключевой пары сертификат Рутокен не является полностью надежным средством защиты данных. Для повышения безопасности рекомендуется использовать дополнительные меры защиты, такие как парольная защита или двухфакторная аутентификация.

В заключение, сертификат без ключевой пары Рутокен является эффективным средством защиты данных и обеспечения безопасной передачи информации. Однако, его использование требует особого внимания к безопасности и правильной настройке устройства. Следует учесть все последствия, чтобы использование сертификата Рутокен принесло только положительные результаты.

Что такое сертификат без ключевой пары Рутокен?

Сертификат без ключевой пары Рутокен – это сертификат, который относится к устройству Рутокен. Рутокен – это аппаратное устройство, предназначенное для безопасного хранения и использования цифровых сертификатов, ключей и других секретных данных.

Сертификат без ключевой пары представляет собой электронный документ, который содержит информацию о владельце сертификата и его открытый ключ. Сертификат выдается удостоверяющим центром и служит для проверки подлинности и целостности данных, а также для установления безопасного соединения между устройствами.

В отличие от сертификатов с ключевой парой, сертификаты без ключевой пары не содержат закрытого ключа. Это означает, что сам сертификат может быть использован для проверки подлинности и шифрования данных, но не может быть использован для подписи данных или создания электронной подписи.

Основным преимуществом сертификатов без ключевой пары Рутокен является их безопасность. Поскольку закрытый ключ не хранится на устройстве, его не может скомпрометировать злоумышленник даже при физическом доступе к устройству. Это делает использование сертификатов без ключевой пары Рутокен надежным и безопасным решением для различных задач, связанных с обеспечением информационной безопасности.

Как выполняется процесс?

Для получения сертификата без ключевой пары Рутокен, необходимо выполнить следующие шаги:

Подготовка ключевой пары: вначале пользователь должен создать ключевую пару на своем устройстве. Ключевая пара обычно состоит из приватного и публичного ключей. Приватный ключ должен храниться в надежном и защищенном от несанкционированного доступа месте.

Запрос сертификата: после создания ключевой пары, пользователь должен отправить запрос на получение сертификата в удостоверяющий центр (УЦ). Запрос на сертификат содержит информацию о пользователе, такую как имя, адрес электронной почты и другие данные, которые будут включены в сертификат.

Проверка авторизации: УЦ проводит проверку подлинности пользователя и его право на получение сертификата. Это может включать проверку документов, удостоверяющих личность пользователя, и других дополнительных процедур.

Подписание сертификата: после успешной проверки авторизации, УЦ подписывает сертификат с использованием своего приватного ключа. В результате получается подписанный сертификат, который содержит данные пользователя и публичный ключ.

Передача сертификата: подписанный сертификат отправляется обратно пользователю. Пользователь может сохранить сертификат на своем устройстве или использовать его приложениями, которым требуется подлинность и безопасность данных.

Важно отметить, что процесс получения сертификата без ключевой пары Рутокен может различаться в зависимости от политики и требований удостоверяющего центра. Некоторые этапы могут быть дополнительными или опускаться в зависимости от конкретного случая.

Какие могут быть последствия?

1. Возможность несанкционированного доступа к сертификату и персональным данным

Без ключевой пары Рутокен сертификат может оказаться уязвимым для несанкционированного доступа. Кто-то смог бы получить доступ к вашим личным данным, таким как фамилия, имя, паспортные данные и другие персональные информация. Кроме того, злоумышленник сможет имитировать вашу личность и представляться в вашем имени.

2. Потеря контроля над использованием сертификата

Если у вас нет ключевой пары Рутокен, вы не сможете контролировать использование вашего сертификата. Кто-то другой может использовать его для подписи документов, авторизации на сайтах или отправки зашифрованных сообщений. Может возникнуть ситуация, когда вы не сможете доказать, что не являетесь отправителем или автором тех действий, где использовался ваш сертификат.

3. Деактивация и блокировка сертификата

В случае утери или кражи ключевой пары Рутокен и без возможности предоставить её владельцу, о профилактической блокировке сертификата необходимо сообщить сертифицирующему центру или организации, которые этот сертификат выпустили. В результате ваш сертификат может быть деактивирован или заблокирован, что повлечёт недоступность его функционала и сервиса.

4. Потеря возможности использования электронных услуг и сервисов

Без ключевой пары Рутокен, вы можете потерять возможность использования электронной подписи для авторизации на сайтах, подписи документов, отправки зашифрованных сообщений и использования электронных услуг. Некоторые онлайн-сервисы могут быть недоступны для вас, так как они требуют обязательного использования электронной подписи.

5. Утрата доверия со стороны клиентов и партнеров

Если ваши персональные данные или сертификат попадут в чужие руки и будут использоваться для мошенничества или вредоносных действий, у вас есть риск потерять доверие со стороны клиентов или партнеров. Это может повлиять на вашу репутацию как профессионала и навредить вашему бизнесу.

6. Юридические последствия

Потеря или кража ключевой пары Рутокен и использование вашего сертификата со стороны третьих лиц может привести к юридическим последствиям. Вас могут обвинить в мошенничестве или злоупотреблении электронной подписью, что повлечет за собой не только повреждение репутации, но и юридические трудности.

Защита информации без использования ключевой пары

В современном цифровом мире защита информации является одним из важнейших аспектов, особенно в условиях постоянного развития киберугроз. Одним из методов защиты информации является использование сертификатов с открытыми ключами.

Однако, часто в системах безопасности возникает необходимость в использовании сертификатов без использования ключевой пары. Это может быть связано с техническими или организационными ограничениями, когда ключевая пара не может или не должна быть доступна для использования.

Преимущества использования сертификатов без ключевой пары:

• Упрощение процесса установки и использования — отсутствие ключевой пары позволяет избежать сложностей с ее генерацией, хранением и использованием.
• Повышение безопасности — отсутствие ключевой пары и, соответственно, отсутствие возможности ее утери или компрометации, повышает общую безопасность системы.
• Снижение затрат и упрощение процесса обслуживания — отсутствие ключевой пары позволяет избежать необходимости регулярного обновления, резервного копирования и восстановления ключей.
• Соответствие требованиям регуляторов — в некоторых случаях использование сертификатов без ключевой пары является требованием со стороны регуляторов или организаций, устанавливающих стандарты безопасности.

Однако, следует учитывать некоторые особенности использования сертификатов без ключевой пары:

• Ограничение функциональности — без использования ключевой пары невозможно осуществить определенные операции, такие как расшифрование данных, подписание документов или создание цифровых подписей.
• Необходимость использования доверенных механизмов — при отсутствии ключевой пары становится особенно важным использование доверенных механизмов аутентификации и авторизации для предотвращения несанкционированного доступа к сертификатам и конфиденциальной информации.

В итоге, использование сертификатов без ключевой пары является эффективным инструментом для защиты информации в тех случаях, когда организационные или технические ограничения не позволяют использовать ключевую пару. Однако, необходимо учитывать особенности использования и применять соответствующие механизмы для обеспечения безопасности и функциональности системы.

Вопрос-ответ

Как получить сертификат без ключевой пары Рутокен?

Для получения сертификата без ключевой пары Рутокен необходимо обратиться в Центр Сертификации Рутокен и предоставить все необходимые документы для подтверждения личности. После проверки данных и успешного прохождения процедуры выдачи сертификат будет выдан без привязки к ключевой паре.

Каковы последствия использования сертификата без ключевой пары Рутокен?

Использование сертификата без ключевой пары Рутокен позволяет обеспечить максимальную безопасность данных и защиту от несанкционированного доступа. В случае утери или кражи ключевой пары никто не сможет воспользоваться сертификатом, так как для его использования требуется пароль, который неизвестен злоумышленнику.

Какие документы необходимо предоставить для получения сертификата без ключевой пары Рутокен?

Для получения сертификата без ключевой пары Рутокен необходимо предоставить паспорт гражданина РФ и заявление о выдаче сертификата, заполненное лично заявителем. Также могут потребоваться дополнительные документы в зависимости от целей использования сертификата.

Сертификат без ключевой пары Рутокен: что это значит?

Установка и использование сертификатов является одной из важнейших задач при обеспечении безопасности информации. Одна из популярных технологий в этой области – использование Рутокенов. Рутокен – это ключ USB с программным обеспечением, позволяющий хранить сертификаты и выполнять криптографические операции. Однако их особенностью является возможность создания сертификата без пары ключей, что отличает их от других аналогичных устройств.

Сертификат без ключевой пары от Рутокена представляет собой цифровую метку, которая подтверждает личность владельца. Отсутствие ключевой пары означает, что владельцу не нужно генерировать и хранить секретный ключ, что повышает безопасность, так как секрет ключа не может быть украден или потерян. Это особенно актуально для приложений, где не требуется криптографическое шифрование, но присутствует необходимость подтверждения авторства и целостности данных.

Практическое применение сертификатов без ключевой пары Рутокен весьма обширно. Они широко используются в технологии электронной подписи, при работе с электронными документами и дистанционной подаче документов в государственные органы, а также в различных системах авторизации и аутентификации. Такие сертификаты обеспечивают надежную и безопасную передачу информации по сети и защиту от подделки.

Сертификат без ключевой пары Рутокен представляет собой удобное и надежное средство для обеспечения безопасности информации. Отсутствие секретного ключа, а также широкий спектр применений, делают его неотъемлемой частью системы информационной безопасности.

Разбор сертификата без ключевой пары Рутокен

Сертификат без ключевой пары Рутокен — это специальная форма сертификата, которая может быть использована для различных целей, например, для аутентификации или цифровой подписи. Этот тип сертификата имеет ряд особенностей, которые следует учитывать при его использовании.

Основные характеристики сертификата без ключевой пары Рутокен:

1. Отсутствие закрытого ключа: в отличие от обычных сертификатов, сертификат без ключевой пары Рутокен не содержит закрытого ключа. Это означает, что он может использоваться только для проверки подлинности и не может быть использован для создания цифровой подписи.
2. Может быть экспортирован: сертификат без ключевой пары Рутокен может быть экспортирован из устройства и использован на другом компьютере или устройстве. Это дает возможность использовать сертификат без доступа к самому ключу.
3. Не требуется ключевая пара: поскольку сертификат без ключевой пары Рутокен не имеет закрытого ключа, он не требует ввода ключевой пары для доступа к нему. Это делает его удобным для использования в случаях, когда доступ к ключу нежелателен.
4. Ограниченный набор функций: сертификат без ключевой пары Рутокен имеет ограниченный набор функций по сравнению с полноценными сертификатами. Он не может использоваться для создания цифровой подписи или выпуска новых сертификатов.

Сертификаты без ключевой пары Рутокен широко используются в различных сферах, где требуется проверка подлинности, но отсутствует необходимость в создании цифровой подписи. Они могут быть использованы для аутентификации пользователей, простой проверки целостности данных и подтверждения идентификации информационных ресурсов.

Из-за отсутствия закрытого ключа сертификат без ключевой пары Рутокен обладает повышенной стойкостью к взлому, поскольку для его использования требуется доступ к самому ключу, который хранится на устройстве.

Итак, сертификат без ключевой пары Рутокен представляет собой специальную форму сертификата, которая может быть использована для аутентификации и проверки подлинности. Он обладает рядом особенностей, которые следует учитывать при его использовании и позволяет повысить безопасность приложений и систем, где требуется проверка подлинности без создания цифровой подписи.

Что такое сертификат без ключевой пары Рутокен?

Сертификат без ключевой пары Рутокен — это специальный тип сертификата, который используется для шифрования данных без использования самого сертификата (т.е. без ключа).

Ключевая пара состоит из двух частей: открытого ключа и закрытого ключа. Обычно они связаны между собой, и для шифрования или расшифровки данных необходимы оба ключа.

Однако сертификаты без ключевой пары Рутокен позволяют создавать сертификаты, которые содержат только открытый ключ. Такие сертификаты можно использовать для шифрования данных, но невозможно провести операции, требующие предоставления закрытого ключа (например, цифровую подпись).

Применение сертификатов без ключевой пары Рутокен имеет ряд преимуществ:

• Упрощение процесса установки и настройки сертификатов;
• Повышение уровня безопасности, так как закрытый ключ не может быть скомпрометирован или украден;
• Возможность ограниченного использования сертификата для шифрования данных на уровне аппаратного носителя;
• Поддержка стандартных протоколов шифрования и обмена ключами (например, TLS/SSL).

Сертификаты без ключевой пары Рутокен находят широкое применение в таких областях, как электронная подпись, защита данных, обеспечение безопасности информационных систем и других решений, требующих устойчивой защиты и безопасной передачи данных.

Преимущества использования сертификата без ключевой пары Рутокен

Сертификат без ключевой пары в Рутокен является надежным и безопасным способом идентификации и аутентификации пользователей в сети, при этом не требуя ввода или хранения ключевой пары на компьютере пользователя.

Вот несколько преимуществ использования сертификата без ключевой пары Рутокен:

Защита от угроз: Злоумышленникам будет сложно получить доступ к закрытому ключу, так как он физически хранится в Рутокене. Это повышает безопасность, так как даже в случае компрометации компьютера пользователя, злоумышленнику понадобится физический доступ к самому устройству Рутокен.

Удобство использования: Пользователю не нужно запоминать и вводить пароль при каждом использовании сертификата. Рутокен автоматически выполняет процесс аутентификации без необходимости ввода дополнительных данных.

Мобильность: Поскольку сертификат хранится непосредственно в Рутокене, его можно безопасно использовать на любом компьютере или мобильном устройстве, на котором установлен Рутокен.

Совместимость: Сертификаты без ключевой пары Рутокен можно использовать с различными операционными системами и программными приложениями, что делает их универсальным и гибким решением для различных задач.

В целом, использование сертификата без ключевой пары Рутокен помогает улучшить безопасность и удобство аутентификации пользователей в сети, делая его привлекательным выбором для различных организаций и индивидуальных пользователей.

Установка и настройка сертификата без ключевой пары Рутокен

Сертификат без ключевой пары Рутокен — это специальный вид сертификата, который может быть установлен на устройства без поддержки криптографического аппаратного обеспечения. В данной статье мы рассмотрим процесс установки и настройки данного сертификата.

Шаг 1: Загрузка и установка Middleware

Middleware – это программное обеспечение, которое обеспечивает взаимодействие операционной системы с устройствами Рутокен. Чтобы установить сертификат без ключевой пары Рутокен, необходимо предварительно загрузить и установить Middleware с официального сайта Рутокен.

Шаг 2: Подключение и активация Рутокен

1. Подключите Рутокен к свободному USB-порту компьютера или другого устройства.
2. Дождитесь, пока операционная система обнаружит Рутокен и установит необходимые драйверы.
3. Запустите программное обеспечение Рутокен и выполните активацию устройства. Для активации потребуется указать серийный номер Рутокен и сгенерировать пароль.

Шаг 3: Установка сертификата без ключевой пары

Сертификат без ключевой пары Рутокен можно получить от удостоверяющего центра или просто создать самостоятельно. Чтобы установить сертификат без ключевой пары на Рутокен, выполните следующие действия:

1. Определите тип сертификата, который вы хотите установить (личный, организационный или другой).
2. С помощью программы управления Рутокеном выберите нужный сертификат и выполните его установку.
3. Укажите путь к файлу сертификата без ключевой пары (.cer или .crt).
4. При необходимости введите пароль для доступа к сертификату.
5. Дождитесь завершения процесса установки, после чего сертификат будет готов к использованию.

Шаг 4: Проверка установки сертификата

После установки сертификата без ключевой пары на Рутокен рекомендуется выполнить проверку его установки. Для этого используйте специальное программное обеспечение, которое позволяет просмотреть информацию о сертификатах на устройстве Рутокен.

Практическое применение сертификата без ключевой пары Рутокен

Сертификат без ключевой пары Рутокен может быть использован для различных целей, например:

• Подписи документов электронной подписью.
• Аутентификации при входе на защищенные ресурсы.
• Шифрования и расшифровки данных.
• Обмена защищенными сообщениями.

Для применения сертификата без ключевой пары в конкретной задаче необходимо использовать соответствующее программное обеспечение, которое поддерживает работу с устройствами Рутокен.

В итоге, установка и настройка сертификата без ключевой пары Рутокен – это достаточно простой процесс, который позволяет использовать устройства Рутокен даже на компьютерах без поддержки аппаратного криптографического обеспечения. Следуя данным инструкциям, вы сможете успешно установить сертификат без ключевой пары и использовать его для различных целей.

Механизм работы сертификата без ключевой пары Рутокен

Сертификат без ключевой пары Рутокен – это особый тип сертификата, который не содержит соответствующей ему закрытой ключевой пары. Такой сертификат используется для безопасного хранения и передачи открытых ключей и соответствующих им данных.

Основной механизм работы сертификата без ключевой пары Рутокен заключается в следующих шагах:

1. Генерация сертификата. Сертификат без ключевой пары создается с помощью специального программного обеспечения, такого как Ruvix, которое позволяет генерировать сертификаты и управлять ими.
2. Защита сертификата. Сгенерированный сертификат сохраняется и защищается с помощью криптографического оборудования Рутокен. Для доступа к сертификату необходимо предъявить личные данные и указать пароль, который используется для защиты ключевых операций.
3. Хранение и передача открытого ключа. Открытый ключ, соответствующий сертификату без ключевой пары, может храниться на самом Рутокене или быть экспортирован на другое устройство. Для безопасной передачи открытого ключа используется шифрование с использованием уже установленного сертификата без ключевой пары.

Сертификат без ключевой пары Рутокен имеет множество применений:

• Использование в электронной подписи. При использовании сертификата без ключевой пары возможно подписывать документы и сообщения, подтверждая их авторство и целостность.
• Шифрование данных. Открытый ключ, связанный с сертификатом без ключевой пары, может использоваться для шифрования информации и обмена зашифрованными сообщениями.
• Аутентификация пользователя. Сертификат без ключевой пары Рутокен позволяет подтверждение личности пользователя при доступе к различным ресурсам и информации.

Таким образом, сертификат без ключевой пары Рутокен является надежным инструментом для безопасного хранения и передачи открытых ключей, а также осуществления различных криптографических операций.

Применение сертификата без ключевой пары Рутокен в практике

Сертификат без ключевой пары Рутокен — это цифровой сертификат, который не содержит закрытого ключа, а только открытый. Он используется для различных целей, включая аутентификацию, шифрование и цифровую подпись.

Одним из основных преимуществ использования сертификата без ключевой пары Рутокен является возможность безопасного хранения закрытого ключа. Вместо того чтобы хранить его на компьютере или мобильном устройстве, где он может быть скомпрометирован, вы можете сохранить его на физическом устройстве Рутокен. Это обеспечивает высокую степень защиты ключа от несанкционированного доступа.

Практическое применение сертификата без ключевой пары Рутокен может быть разнообразным:

Аутентификация: Сертификат без ключевой пары Рутокен может использоваться для аутентификации пользователя в различных системах. Например, с использованием такого сертификата можно осуществлять вход в личный кабинет банка или другой онлайн-сервис, а также подписывать электронные документы или платежные поручения.

Шифрование: Сертификат без ключевой пары Рутокен позволяет зашифровывать и расшифровывать данные, обеспечивая их конфиденциальность. Такое шифрование может использоваться, например, при отправке конфиденциальной информации по электронной почте или при хранении файлов на удаленных серверах.

Цифровая подпись: Сертификат без ключевой пары Рутокен предоставляет возможность создания электронных подписей для документов и сообщений. Это позволяет подтвердить подлинность и целостность информации, а также установить, что она не была изменена после подписания. Цифровые подписи могут использоваться, например, в электронном документообороте или при передаче закрытой информации.

Использование сертификата без ключевой пары Рутокен обеспечивает высокий уровень безопасности и надежности при обработке и передаче электронных данных. Он позволяет снизить риски связанные с потерей или кражей закрытого ключа, а также обеспечивает возможность надежной аутентификации и защиты конфиденциальности информации.

Безопасность и надежность сертификата без ключевой пары Рутокен

Сертификат без ключевой пары Рутокен – это новый уровень безопасности и надежности в области информационной безопасности. Этот сертификат создается на основе уникального аппаратного токена Рутокен, который обеспечивает защиту от несанкционированного доступа к конфиденциальной информации и гарантирует ее сохранность.

Преимущества сертификата без ключевой пары Рутокен:

1. Аппаратное шифрование: Рутокен оснащен аппаратным модулем шифрования, что обеспечивает высокую степень защиты данных от взлома.
2. Отсутствие ключевой пары: сертификат без ключевой пары означает, что у пользователя отсутствует оперативный доступ к приватному ключу, что делает его более надежным и безопасным.
3. Физическая защита: Рутокен имеет физическую защитную оболочку, которая сохраняет интегритет аппаратного токена и защищает от механических повреждений.
4. Цифровая подпись: сертификат без ключевой пары Рутокен использует цифровую подпись для обеспечения аутентификации и подтверждения подлинности документов.

Практическое применение:

Сертификат без ключевой пары Рутокен нашел широкое применение в различных областях, где безопасность и надежность критичны:

• Банковское дело: сертификат Рутокен успешно применяется для защиты банковских транзакций, аутентификации пользователей и подтверждения подлинности документов.
• Государственные организации: сертификат без ключевой пары Рутокен используется для создания электронной подписи, подтверждения личности и обеспечения безопасного обмена электронными документами.
• Корпоративная сфера: сертификаты Рутокен позволяют организациям обеспечивать безопасность информации, контролировать доступ пользователей к защищенным данным и проводить электронную идентификацию.

Сертификат без ключевой пары Рутокен – это надежный и безопасный инструмент, который позволяет защитить конфиденциальные данные и обеспечить безопасность в различных сферах деятельности. Он установлен в устройствах Рутокен и применяется для аутентификации пользователей, подтверждения подлинности информации и электронной подписи документов. Это незаменимый инструмент для тех, кто ценит безопасность и надежность своих данных.

Вопрос-ответ

Что такое сертификат без ключевой пары Рутокен?

Сертификат без ключевой пары Рутокен — это специальный вид сертификата, который не содержит закрытого ключа. Вместо этого, он содержит только открытый ключ.

Для чего используется сертификат без ключевой пары Рутокен?

Сертификат без ключевой пары Рутокен используется для аутентификации пользователя в информационных системах и защиты данных путем электронной подписи. Он может быть использован в различных областях, например, в банковском секторе, государственных учреждениях, компаниях, работающих с электронной документацией и т.д.

Каким образом происходит аутентификация с использованием сертификата без ключевой пары Рутокен?

Аутентификация с использованием сертификата без ключевой пары Рутокен происходит следующим образом: пользователь передает открытый ключ, содержащийся в сертификате, на сервер системы, где происходит проверка подлинности сертификата. При успешной проверке пользователю предоставляется доступ к требуемой информации или функционалу.

Можно ли создать сертификат без ключевой пары Рутокен самостоятельно?

Нет, создание сертификата без ключевой пары Рутокен необходимо проводить с использованием специальных программ и устройств, таких как Рутокен. Данные устройства обеспечивают генерацию криптографических ключей и подписей, а также сохраняют закрытые ключи в надежной памяти, что обеспечивает безопасность процесса.

Какие преимущества имеет применение сертификата без ключевой пары Рутокен?

Применение сертификата без ключевой пары Рутокен имеет несколько преимуществ. Во-первых, отсутствие закрытого ключа в сертификате упрощает процесс администрирования, так как нет необходимости хранить и защищать ключи от несанкционированного доступа. Во-вторых, использование Рутокен обеспечивает высокий уровень безопасности за счет использования аппаратного криптографического модуля. В-третьих, сертификат без ключевой пары может быть электронно подписан, что позволяет использовать его для юридически значимых документов и электронной коммерции.

Сертификат без ключевой пары рутокен что делать

Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара (Страница 2 из 2)

Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации

На днях случайно нашел, как закрытый ключ извлекается из Rutoken lite на раз-два.
И понял, что читать надо побуквенно, прямо как в договорах, и что неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

Итого имеем, что ключ, выдаваемый налоговой может быть компрометирован как минимум:
Автором программы-генератора ключа на ПК
Системным администратором, администрирующим ПК сотрудника налоговой
Самим сотрудником налоговой
Ну в общем есть у меня теперь флешка на 64 килобайта, но с сертификатом ФСБ за 2000р.
Дорого конечно за флешку на 64 килобайта, ну да ладно.

А теперь вопрос, который возник при побуквенном прочтении топика.
ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).
Правильно я понял ?

Из ЭЦП 2.0 можно экспортировать публичный ключ, что собственно и делает налоговая, выдавая этот ключ.
Правильно я понимаю ?

И главный вопрос.

Если ключи формата PKCS#11 — то ключи не могли быть сгенерированы где-то ещё, кроме самого токена. Копирование уже сформированных ГОСТ-ключей на Рутокен ЭЦП 2.0/3.0 запрещено — это требование ФСБ.

Все же, приватный ключ ФСБ запрещает генерировать вне токена, и записывать на токен,
или этот токен физически не может принять на борт приватный ключ, сгенерированный не им ?
Т.е. не получится ли так же как в Lite версии, что ключ конечно хранится надежно, но ключ мог быть (пусть в нарушении требований ФСБ, но физически мог) сгенерирован вне токена ?
Ибо проверить, каким софтом и как настраивается токен я не могу.
А если токен позволяет залить на борт приватный ключ (т.е. его могли сгенерировать и скомпрометировать) — то как правильно заметил mihmig, получается самый что ни на есть "цирк безопасности".

#17 Ответ от Ксения Шаврова 2022-04-22 12:21:07

• Ксения Шаврова
• Администратор
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).

Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

Из ЭЦП 2.0 можно экспортировать публичный ключ, что собственно и делает налоговая, выдавая этот ключ.

Публичный ключ — открытая информация. Делает ли экспорт ИС ФНС — нужно уточнять у налоговой.

Все же, приватный ключ ФСБ запрещает генерировать вне токена, и записывать на токен, или этот токен физически не может принять на борт приватный ключ, сгенерированный не им ?

Вы можете использовать Рутокен ЭЦП как активный носитель (и работать с неизвлекаемыми ключами), так и как пассивный (аналогично Рутокен Lite). Оба варианта легитимные, если использовать сертифицированный в ФСБ СКЗИ.
Подробнее о разнице между активными и пассивными носителями можно прочитать на https://dev.rutoken.ru/pages/viewpage.a … d=98937400
Формат ключей можно увидеть в "Панели управления Рутокен" — на вкладке "Сертификаты".

#18 Ответ от biohumanoid 2022-04-22 14:57:45

• biohumanoid
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).

Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

PKCS#11 — платформонезависимый программный интерфейс доступа к криптографическим устройствам, в данном случае к Rutoken ЭЦП 2.0.
Также у вас есть библиотека PKCS#11, реализующая этот интерфейс.
Но меня интересует:
1. Действительно ли налоговая генерирует ключ для ЭЦП 2.0 средствами самого ЭЦП 2.0 через интерфейс PKCS#11 ?
2. И как я могу, получив этот токен убедиться, что закрытый ключ был действительно сгенерирован внутри токена, а не залит извне.
Что в панели управления Рутокен будет говорить о том, что ключ был сгенерирован внутри устройства ?

Легитимность = правомерность, т.е. я могу его использовать с ФНС.
Но меня волнует вопрос, действительно ли я единственный обладатель моего ключа.
В Rutoken lite таких гарантий нет, как выяснилось.
Вопрос — есть ли такие гарантии в ЭЦП 2.0 ?

#19 Ответ от Аверченко Кирилл 2022-04-22 16:17:37

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Добрый день.
1. Да, налоговая генерирует ключи в том числе через PKCS#11.
2. В панели управления Рутокен на вкладке Сертификаты необходимо убедиться, что в описании сертификата с ключем написано "Объект PKCS#11".
В статье https://dev.rutoken.ru/pages/viewpage.a … d=20120078 показаны скриншоты, как отображаются неизвлекаемые ключи формата PKCS#11 в Панели Управления Рутокен и Панели КриптоПро.

Импорт закрытых ключей формата ГОСТ PKCS#11 на носители семейства Рутокен ЭЦП физически невозможен.

#20 Ответ от Gleb 2022-10-29 07:27:56

• Gleb
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

1. Опишите плиз процедуру в налоговой, которую я должен соблюдать, когда туда пойду, чтоб точно получить ключевую пару сгенеренную внутри продукта rutoken эцп 3.0 с неизвлекаемым закрытым ключем, как генеральный директор ООО.
2. Возможно ли использовать встроенные алгоритмы шифрования для генерации неизвлекаемых ключей без установки всяких крипто про 5.0? Только с помощью софта от руктокена. Данные ключи не предполагается использовать для общения с государственными органами.

#21 Ответ от Аверченко Кирилл 2022-10-31 08:48:23

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

#22 Ответ от Gleb 2022-11-01 02:11:02

• Gleb
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

Спасибо большое. По пункту 2, какое это ПО, которое работает с вашей библиотекой? Список ПО есть какой-то? Нужен интерфейс который может искользовать Windows 10 — например шифровать данные или подписывать файлы из скриптов powershell. так-же есть задача использовать аппаратные ключи в сессиях ssh. Есть какой-то манул и пример реализации по данному вопросу? Может быть у вас есть какая-то утилита командной строки для windows/linux и ее исходный код?

#23 Ответ от ПользовательRutoken20эцп 2022-11-03 23:35:03

• ПользовательRutoken20эцп
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

У меня RuToken ЭЦП 2.0.

2022-06-08 был в налоговой, получил как ИП цифровую подпись, в свойствах RuToken Control Panel для сертификата указано "Crypto-Pro GOST R 34.10-2012 Cryptographic service provider". То есть, насколько я понимаю эту тему, подпись извлекаемая.

Прочитав эту тему (большое спасибо за толковые разъяснения!), сегодня отправился в налоговую получить новую подпись, так как я по соображениям безопасности хочу неизвлекаемую подпись. Я был в Москве, там единственное место выдает подписи — ИФНС 46.

Так вот, я им сразу сказал, что мне нужна именно аппаратная подпись, она же "как для ЕГАИС". Девушка в окошке возражать не стала. Когда подпись уже была записана на токен, я спросил — вы аппаратную сделали? На что мне ответили, что никакого выбора нет, и программа делает в зависимости от токена. Уже зная, что мне несколько месяцев назад сделали неправильную, я попросил кого-то кто может мне ответить, и подошедшая жещина снова мне сказала, что никакого выбора нет.

Ну ладно, я позвонил в поддержку 8-800-222-22-22, там поговорил с первой линией, меня перевели "на специалиста", где меня опять заверили, что никакого выбора нет, и они делают только неэкспортируемые (то есть, неправильные) подписи в формате CryptoPro, и все, точка, никаких больше вариантов.

И во тя добрался до дома, вставил токен, и тадам, RuToken Control Panel для новой подписи показывает "PKCS#11 Object, available using Crypto-Pro Gost 34.10-2012", то есть, я так понимаю, на этот раз она неизвлекаемая, как я и хотел.

Выводы:
1) Ни специалисты на телефоне, ни работники в окошке в налоговой сами нифига не понимают.
2) То ли они исправили программу за последние 5 месяцев, то ли они пишут подписи какие попало наугад.

#24 Ответ от Аверченко Кирилл 2022-11-07 11:14:30

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, Можно использовать openssl или примеры из нашего SDK.
Настройка openssl описана по ссылке https://dev.rutoken.ru/pages/viewpage.a … d=89096210
Сценарии использования https://dev.rutoken.ru/pages/viewpage.a … d=43450394
Примеры использования библиотеки rtpkcs11ecp находятся в СДК по пути sdk\pkcs11\samples
СДК можно скачать https://www.rutoken.ru/support/download/get/sdk.html
Так же можно использовать ПО КриптоАрм, Vipnet PKI Client или csptest из состава КриптоПро CSP.

#25 Ответ от Петрович 2023-01-13 13:05:53

• Петрович
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

как можно не штатными средствами?

штатными не дает экспортировать

#26 Ответ от Пользователь_345 2023-01-13 16:02:44

• Пользователь_345
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Здравствуйте.
Прошу проконсультировать.
Наша фирма использует как Рутокен Lite, так и 2.0. ЭП на Рутокене 2.0 работает исправно непосредственно в СБИС при сдаче отчетности и срабатывает при авторизации на Госуслугах, но при попытке подписать документы/заявления вне СБИС, сайты просто не видят носитель 2.0. Сертификат добавлен в хранилище "Личное". В КриптоПро CSP при просмотре сертификатов в контейнере, при нажатии на "обзор" видны только старые сертификаты в Реестре, контейнер Рутокен 2.0 не отображается (в отличие от Lite). При выборе "по сертификату" и нажатии на него, он не появляется в строке. При выборе в Крипто "установить личный сертификат", выбрав сохраненный файл на компьютере, не находится контейнер, ошибка: "не найден контейнер соответствующий открытому ключу сертификата".
Верно ли понимаю, что подписание заявлений с Рутокеном 2.0 не представляется возможным вне сайта СБИС (как у нас)?

#27 Ответ от Николай Киблицкий 2023-01-13 16:35:55

• Николай Киблицкий
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Здравствуйте Пользователь_345, пришлите, пожалуйста, скриншот окна "Панель управления Рутокен" — вкладки "Сертификаты" с подкюченным Рутокен ЭЦП 2.0.
Прислать скриншот можно на почту по адресу hotline@rutoken.ru

#28 Ответ от vukrov 2023-01-26 15:26:15

• vukrov
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Выше писали, что нашли способ копировать подписи, выданные ФНС на рутокен лайт.
Вопрос.
ФНС делает эти подписи неэкспортируемыми.
Насколько законно это копировать и чем это чревато?
Кроме собственной безопасности

#29 Ответ от Аверченко Кирилл 2023-01-27 10:55:57

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

vukrov, добрый день.
Скопировать неэкпортируемый контейнер можно только с применением нештатного ПО. Что в какой-то мере может попадать под ст 273 УК РФ.
Так же повышается риск компрометации ЭП. В случае возникновения инцидента, могут быть проблемы в суде.

Экспортировать неэкспортируемый сертификат с рутокена

Небольшая заметка как экспортировать неэкспортируемый ключ с Rutoken.

Внимательно читайте комменты

Если при создании ЭЦП не был установлен флаг дающий возможность экспортировать ключ, то при попытке скопировать ключ с Rutoken через КриптоПро у вас появится «Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг».

Но скопировать его все равно можно — для этого понадобится специальное ПО:

1. Утилита проверки Рутокенов версии 3.4.2

2. Сертфикс 1.1.27.3154

При помощи утилиты проверки Рутокенов версии 3.4.2 вы сможете экспортировать ключ с Рутокен на флешуку или реестр

После чего при помощи помощи Сертфикс 1.1.27.3154 вы сможете снять блокировку зажав клавишу Shift и кликнув по нужному сертификату правой кнопкой мыши выбрав пункт активации экспорта согласно вашему новому месту хранения выбранного в утилите проверки Рутокенов.

Важным моментом является то, что версия Сертфикс выше 1.1.27.3154 может быть программно ограничена на возможность сделать сертификат некоторых удостоверяющих центров экспортируемым.

Обновление программа проверяет при запуске, поэтому чтобы обновление не загрузилось необходимо заблокировать доступ в интернет для нее через брандмауэр Windows.

Сертификат без ключевой пары рутокен что делать

Иногда во время установки сертификатов электронной цифровой подписи через КриптоПро после выбора ключевого контейнера возникает ошибка: «В контейнере закрытого ключа отсутствует открытый ключ шифрования». Ее устранение в большинстве случаев не требует обращения в службу поддержки пользователей: достаточно лишь следовать пошаговой инструкции установки в контейнер закрытого ключа подписи.

Причины возникновения ошибки

Ошибка «В контейнере закрытого ключа отсутствует сертификат открытого ключа» может возникать во время установки нового личного сертификата, а также при попытке просмотра закрытых ключей через контейнеры или при экспорте данных с компьютера на флешку или с электронного носителя на ПК.

Обычно причина неисправности кроется в отсутствии на носителе открытого ключа. Исправить ситуацию можно простой установкой.

Пошаговая инструкция установки личного сертификата

Чтобы установить личный сертификат, не записанный на ключевой носитель, нужно:

• Запустить программу КриптоПро: «Пуск»/«Настройка»/«Панель управления»/«КриптоПро CSP».
• Перейти через раздел «Сервис» во вкладку «Установить личный сертификат».

• Нажать «Далее».
• Указать путь к закрытому ключу электронной цифровой подписи через кнопку «Обзор». Пользователь в открывшейся папке выбирает файл, заканчивающийся расширением .cer.
• После этого пользователю предстоит нажать «Открыть».

• В поле «Имя файла» должен появиться путь доступа к ключу ЭЦП, после чего для продолжения установки нажимают кнопку «Далее».
• В новом окне появляется сервисное сообщение КриптоПро CSP с данными владельца подписи и нового сертификата. Информацию нужно проверить и нажать «Далее».

Следующий шаг — это выбор ключевого контейнера. Пользователь должен:

• В рабочем окне «Контейнер закрытого ключа» нажать «Обзор» и выбрать контейнер, соответствующий названию ЭЦП.

• Нажать «Далее» после того, как в графе «Имя ключевого контейнера» появится название контейнера.
• При необходимости ввести пин-код ключевого носителя.

Затем нужно выбрать хранилище. Делает это так:

• Пользователь нажимает «Обзор» и выбирает «Личное хранилище».

• После того как название хранилища отразится в соответствующей графе пользователь нажимает «Далее».

• После выбора контейнера для подтверждения установки нужно нажать «Готово».

Если выйдет сообщение о том, что сертификат уже есть в хранилище, нужно нажать «Да».

Остается лишь перезагрузить компьютер и попробовать подписать документ. Если ошибка будет повторяться, то необходимо обратиться в сервисный центр для незапланированной замены носителя электронной подписи и закрытого ключа ЭЦП. Проблема может крыться в неисправности токена.

Установка в КриптоПРО версии 3.62 R2

Установка личного сертификата в КриптоПро версии 3.62 R2 и выше происходит иначе. В окне программы следует выбрать пункт «Установить» и подтвердить замену (если требуется). Если запроса на замену не вышло, нужно открыть вкладку «Сертификат для просмотра» и выбрать «Свойства».

В новом окне выбрать пункт «Установить».

После этого запустится «Мастер установки», в котором нужно нажать кнопку «Далее». После этого следует выбрать пункт «Поместить все сертификаты в хранилище». Для выбора хранилища нужно нажать «Обзор».

Для дальнейшей установки нужно выбрать «Личное хранилище».

В новом окне пользователю предстоит последовательно нажать «Далее» и «Готово». Через несколько секунд появится сообщение об успешной замене (установке) сертификата.

Ошибка отсутствия ключа электронной цифровой подписи в контейнера возникает обычно из-за отсутствия соответствующего сертификата. Решить проблему просто: установить личный сертификат и перезагрузить ПК. Способ установки зависит от версии используемого программного обеспечения КриптоПро и занимает всего несколько минут. Если после замены или установки открытого ключа проблема не исчезла, лучше обратиться в сервисный центр для перевыпуска электронной подписи.

Исправление ошибки отсутствия в контейнере закрытого ключа сертификата ЭП

ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.

Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.

Что может послужить причиной такой ошибки

Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:

• установка сертификата впервые;
• экспортирование данных на внешний носитель;
• попытка просмотра ключей в контейнерах ключей;
• загрузка информации на компьютер извне.

В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.

Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа

Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».

Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt

Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.

Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»

В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:

• «найти контейнер автоматически
• вручную через «обзор»

В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки

Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»

Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»

>

В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»

Затем появится окно с подтверждением данной операции, жмём «ДА»

В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.

Особенности версий КриптоПро

С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

1. ОС MS Windows 7 SP1
2. СКЗИ КриптоПРО CSP 3.9.8423
3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Методика тестирования

1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

Проведение тестирования

Для этого с помощью КриптоАРМ создадим в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN=test)









С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск—>Панель управления—>КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно.
Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны):





Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).
Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.
Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Выбираем токен для налоговой. Какие бывают и чем отличаются? ⁠ ⁠

С начала 2022 года, в соответствии с требованиями регулятора, УЦ ФНС России и его Доверенные лица стали единственным местом, где можно получить квалифицированную электронную подпись (сокращенно КЭП) руководителям юридических лиц, индивидуальным предпринимателям и нотариусам. Сделать это можно бесплатно, предоставив приобретенный ключевой носитель (подробнее о нем мы рассказываем в нашем посте), который соответствует требованиям ФСТЭК и ФСБ, а также, при необходимости, предъявив документы, подтверждающие подлинность носителя.

Какой же токен нужен для налоговой?

Перед получением квалифицированного сертификата в операционном зале УЦ ФНС или в одном из Доверенных лиц УЦ ФНС необходимо выбрать ключевой носитель (он же токен). Соответствовать он должен следующим требованиям:

1. Имеет действительный сертификат ФСТЭК России или ФСБ России (см. тонкости по сертификации ниже).

2. Имеет форм-фактор USB-токен Type-A (для понимания — это формат разъема всем известной флешки). Известны случаи, когда УЦ соглашался выпустить сертификат на ключевой носитель с другим интерфейсом (USB Type-C, смарт-карта) с переходником на USB-A, однако никто не может вам этого гарантировать.

В линейке устройств Рутокен вы можете выбрать одну из двух моделей токенов:

— Рутокен ЭЦП 2.0 2100. Сертифицирован ФСБ России, подходит для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России, в операционных залах налоговых органов, также рекомендован для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России и подходит под требования ЕГАИС Росалкогольрегулирования;

— Рутокен Lite 64КБ. Сертифицирован ФСТЭК, подходит для получения квалифицированных сертификатов в операционных залах налоговых органов.

Более подробное сравнение моделей можно найти по ссылке.

Запомните, что ключевой носитель при приобретении защищен PIN-кодом по умолчанию, который затем обязательно нужно будет сменить на уникальный.

Также важно знать, что для решения бизнес-задач в госсистемах, согласно российскому законодательству для компаний и индивидуальных предпринимателей, необходима именно квалифицированная электронная подпись и никакая другая.

Немного о сертификации ключевых носителей

Федеральный закон “Об электронной подписи” 63-ФЗ требует для создания и проверки КЭП применения средств электронной подписи (СКЗИ), сертифицированных ФСБ.

Чтобы проще было запомнить:

— ФСТЭК России сертифицирует средство защиты информации (устройство).

— ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ).

Таким образом, в случае с извлекаемыми ключами на Рутокен Lite, сгенерированными с помощью программного СКЗИ, в ФСБ должен быть сертифицирован именно программный криптопровайдер. А пассивный носитель Рутокен Lite в соответствии с Регламентом УЦ ФНС должен быть сертифицирован во ФСТЭК России.

В случае с неизвлекаемыми ключами на активном носителе Рутокен ЭЦП 2.0 2100, сертифицированным в ФСБ России должен быть сам носитель, так как при генерации ключей используется аппаратная криптография.

Также возможны варианты, когда Рутокен ЭЦП 2.0 2100 используется в качестве пассивного носителя с программным СКЗИ, которое должно быть сертифицировано в ФСБ или в качестве активного носителя совместно с программным СКЗИ (тогда сертификаты ФСБ должны быть и у токена, и у СКЗИ).

Про пассивные и активные ключевые носители мы рассказывали здесь.

Далее давайте рассмотрим токены для КЭП более детально и создадим пошаговую инструкцию по выбору ключевого носителя для налоговой и получения КЭП.

Какой же токен нужен в моей ситуации?

Выбор модели токена в зависимости от следующих факторов:

— Необходимость работы с ЕГАИС;

— Выбранное место получения квалифицированного сертификата (УЦ ФНС или Доверенные лица УЦ ФНС);

— Повышенный уровень безопасности, основанный на использовании неизвлекаемых ключей.

Если деятельность вашей организации связана с производством или реализацией этилового спирта, алкогольной и спиртосодержащей продукции (ЕГАИС Росалкогольрегулирование), то вам нужен Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы планируете получать квалифицированный сертификат в одной из точек выдачи Доверенных лиц УЦ ФНС, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы выбираете высокую степень защиты с помощью неизвлекаемых ключей на активном токене, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы хотите получить извлекаемые ключи, созданные программным криптопровайдером, на пассивном токене, то вам подойдет Рутокен Lite, сертифицированный ФСТЭК.

И еще один важный момент! Если вы не профессионал в области информационных технологий, очень важно приобретать токены компаний, обеспечивающих качественную техподдержку в случае внештатной ситуации. Крупные производители ключевых носителей, таких как Рутокен, всегда на связи с клиентами по различным каналам коммуникаций.

Порядок получения квалифицированных сертификатов на USB-токене

После выбора модели токена и его приобретения (кстати, приобрести его можно и у Доверенных лиц ФНС), для получения квалифицированного сертификата вам остается сделать всего пару последовательных шагов. А именно, записаться и прийти на прием в операционный зал ФНС или посетить одну из точек выдачи из списка Доверенных лиц УЦ ФНС вашего региона. Для идентификации заявителя прийти для получения сертификата потребуется лично, захватив с собой при этом пакет документов (перечень есть на сайте ФНС): паспорт, СНИЛС, ИНН (свой и организации), ОГРН и ОГРНИП, а также, разумеется, сам токен и документацию к нему. Хотя некоторые Доверенные лица УЦ ФНС организуют сегодня и дистанционное получение КЭП. После этих незначительных усилий ваша единственная и неповторимая электронная подпись будет у вас в кармане — причем в прямом и переносном смысле!

Как скопировать подпись ФНС: пошаговая инструкция

Не каждый владелец электронной подписи захочет передавать свои данные, записанные на специальный носитель, сотруднику или стороннему специалисту, чтобы тот выполнял действия от его имени. В этом случае поможет копия подписи, полученной в ФНС. Стандартные способы переноса данных здесь не помогут, но варианты решения все-таки есть. Подробности читайте в статье.

Можно ли скопировать неэкспортируемую ЭП от ФНС?

С 1 января 2022 года руководители компаний и предприниматели могут получать электронную подпись в местном отделении налоговой инспекции, в том числе и ЭП для участия в закупках на 8 федеральных электронных торговых площадках.

Работа тендерного специалиста предполагает дистанционный формат взаимодействия с клиентом или работодателем. В связи с этим у коллег возникает вопрос: как скопировать электронную подпись от ФНС?

Не каждый владелец готов передать ЭП специалисту. Налоговая не случайно наложила запрет на копирование подписи, т.к. конфиденциальные данные о владельце могут попасть не в те руки. И хранить сертификат ключа рекомендуется на специальном токене, а не на обычной флешке, т.к. токены оснащены особым уровнем защиты данных.

Можете попробовать скопировать ЭП традиционными способами и увидите системное уведомление об ошибке:

Обновленные средства КриптоПро также не приведут к желаемому результату – на экране появится надпись, что контейнер неэкспортируемый:

Самый простой способ не нарушать предписание ФНС – наделить сотрудника/специалиста полномочиями заниматься деятельностью от лица компании, т.е. выдать ему доверенность.

Но что делать, если скопировать неэкспортируемую подпись от ФНС все же нужно. Давайте разберем, какие есть варианты.

Копирование подписи с рутокена

Рутокен – это особый накопитель, который вмещает в себя почти три десятка сертификатов электронной подписи в зависимости от объема памяти. На практике приходится пользоваться этим способом, когда необходимо перенести зашифрованную информацию о владельце ключа с одного носителя на другой или временно добавить в цифровое сервисное хранилище или на винчестер.

Руководитель может «раздвоить» ЭП для передачи сотруднику, наделенному полномочиями выполнять действия от лица организации.

Стандартные методы переноса фалов с носителя на компьютер здесь не помогут. Копирование получится выполнить только при наличии одного из считывателей из списка:

• рутокен;
• съемный диск любого образца;
• реестр ПК.

Если изначально криптографические средства ключа записаны на USB-носитель, то контейнер с сертификатом должен быть добавлен в корневую папку. Одновременно его можно использовать и для хранения других данных, но сторонняя информация должна «дружить» с контейнером и не препятствовать работе с подписью.

Примечание: обычный USB-носитель следует использовать как временный вариант для хранения данных, т.к. он не обладает необходимой степенью защиты, и доступ к нему легко могут получить мошенники. Но как временный вариант для записи на него дополнительных фалов такой накопитель вполне подходит.

Копирование сертификата с Рутокена через КриптоПРО

Скопировать подпись ФНС с рутокена можно с помощью сервиса КриптоПРО CSP. Выполните следующие действия:

• открываем панель управления ПК, найдите программу КриптоПРО CSP и нажмите «Пуск»;
• переходим в раздел «Сервис»;
• кликаем «Просмотреть сертификаты в контейнере»;
• выбираем интересующий ключевой носитель во вкладке «Обзор»;
• соглашаемся с действием – «Ок»;
• нажимаем кнопку «Далее» (система может запросить PIN-код, по умолчанию пароль на рутокенах — 12345678, а для eтокенов — 1234567890);
• в появившемся окне переходим в «Свойства» и выбираем «Состав»;
• затем кликаем по действию «Копировать в файл…»;
• соглашаемся со всеми действиями установочного мастера и кликаем «Далее»;
• указываем действие «не экспортировать закрытый ключ»;
• выбираем формат DER X.509;
• указываем хранилище для дубликата и нажимаем «Ок» (название папки не меняем);
• система попросит ввести пароль два раза, а затем нажимаем «Ок».

Мы указали путь для копирования фалов, после чего они появятся в заданном месте на жестком диске или USB-накопителе. Теперь папку с ключами можно копировать стандартным путем.

Примечание: если далее в работе вы будете пользоваться дубликатом по прямому назначению, то названная папка должна быть размещена в корневой директории диска.

Копирование ЭП через функционал Windows

Если параметры ключа изначально записаны на USB-носитель, то перенос данных можно выполнить в операционной системе традиционным способом – скопировать фалы на нужный считыватель. В папке находятся 6 фалов формата .key. Вы можете увидеть ключ с расширением keyName.cer, который переносить не обязательно.

Копирование ЭП из реестра

При необходимости скопировать файлы с криптографией из реестра ПК первым делом нужно понять, в какой папке они содержатся. Путь к необходимому контейнеру будет отличаться в зависимости от версии операционной системы:

Далее следуйте инструкции:

• находим необходимую папку и кликаем по ней правой кнопкой мыши;
• в появившемся меню выбираем действие «Экспортировать»;
• даем название файлу и сохраняем его;
• записываем полученный файл на винчестер, который будет служить для вас рабочим местом;
• открываем полученный файл формата .reg (для этого используем «Блокнот» или альтернативную программку);
• изменяем в открытом файле SID* пользователя (чаще всего он находится в 3-й строке сверху);
• если копируем из версии ОС 32 бита в версию 64 бита, то добавляем после папки Software дополнительно Wow6432Node;
• нажимаем «Сохранить»;
• снова выделяем файл в реестре;
• в контекстном меню нажимаем строку «Слияние».

Если все сделано правильно, система уведомит об успешных изменениях в реестре. Если где-то была допущена ошибка, то проверьте корректность указанного пути к файлу.

Если все фалы легли ровно в реестр ПК, остается лишь добавить личный сертификат – это делается вручную с помощью программы КриптоПро CSP.

Инструкция по выгрузке личного сертификата с исходного ПК:

• заходим в настройки браузера и выбираем раздел «Содержание»;
• кликаем «Сертификаты»;
• выбираем искомый сертификат и запускаем экспортирование;
• нажимаем «Далее»;
• указываем действие не экспортировать закрытый ключ» и снова кликаем «Далее»;
• нас интересует формат сертификата в виде файла X.509 (.CER) с кодировкой DER;
• выбираем хранилище для сертификата и нажимаем «Сохранить».

Переносим файл на компьютер, который будет использоваться для работы:

• запускаемь КриптоПРО CSP и заходим в раздел «Сервис»;
• выбираем действие «Просмотреть сертификат в контейнере»;
• кликаем по клавише «Обзор»;
• в появившемся списке выделяем ранее записанный контейнер;
• нажимаем «Установить» в появившемся окне «Сертификаты в контейнере закрытого ключа»;
• если все выполнено верно, то система уведомит об успешном результате. Подтверждаем – «Ок».

Запись контейнера на рутокен с другого устройства

Для максимального обеспечения безопасности данных криптографию лучше всего хранить в реестре операционной системы или на защищенном токене.

Перед копированием контейнера необходимо убедиться, что рутокен открывается через КриптоПРО. Если носитель недоступен в программе, то нужно выполнить его настройки.

Если все в порядке, то выполняем следующие шаги:

• заходим в раздел «Сервис»;
• выбираем действие «Скопировать»;
• во вкладке «Обзор» выбираем необходимый контейнер и кликаем «Далее»;
• прописываем PIN;
• выбираем название контейнера, который записываем на накопитель;
• указываем пользовательский PIN-код рутокена;
• в разделе «Сервис» выбираем «Просмотреть сертификаты контейнера».

Необходимо перенести сертификат с накопителя в хранилище, чтобы иметь возможность работать в ЭП и подписывать документы. В разных обновлениях КриптоПРО потребуется либо просто нажать кнопку «Установить», либо перейти в «Свойства» и выбрать данное действие. После чего следуем подсказкам установочного мастера.

Примечание: если сертификат уже использовался на ПК с другим накопителем, то его нужно стереть в хранилище.

Как удалить старый сертификат с помощью программы КриптоПРО CSP:

• после запуска ПО открываем раздел «Сервис»;
• нажимаем «Удалить»;
• указываем сертификат для его удаления;
• кликаем по клавише «Готово».

Действия будут аналогичны также для удаления неактуальных сертификатов и подписей, полученных в других УЦ.

Заключение

Мы рассмотрели несколько способов, как сделать копию электронной подписи, полученной в ФНС. Это избавит вас от ненужных встреч с партнерами для физической передачи подписи.

Некоторые компании частично перевели сотрудников на удаленный формат работы. В этом случае также удобно передать копию ЭП уполномоченному доверенностью работнику, а оригинал подписи будет храниться в офисе или непосредственно у ее владельца.

Если остались вопросы, задавайте их в комментариях. Не забудьте оценить статью и поделиться с коллегами. До новых встреч!

Сертификат без ключевой пары рутокен что делать

Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара (Страница 2 из 2)

Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации

На днях случайно нашел, как закрытый ключ извлекается из Rutoken lite на раз-два.
И понял, что читать надо побуквенно, прямо как в договорах, и что неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

Итого имеем, что ключ, выдаваемый налоговой может быть компрометирован как минимум:
Автором программы-генератора ключа на ПК
Системным администратором, администрирующим ПК сотрудника налоговой
Самим сотрудником налоговой
Ну в общем есть у меня теперь флешка на 64 килобайта, но с сертификатом ФСБ за 2000р.
Дорого конечно за флешку на 64 килобайта, ну да ладно.

А теперь вопрос, который возник при побуквенном прочтении топика.
ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).
Правильно я понял ?

Из ЭЦП 2.0 можно экспортировать публичный ключ, что собственно и делает налоговая, выдавая этот ключ.
Правильно я понимаю ?

И главный вопрос.

Если ключи формата PKCS#11 — то ключи не могли быть сгенерированы где-то ещё, кроме самого токена. Копирование уже сформированных ГОСТ-ключей на Рутокен ЭЦП 2.0/3.0 запрещено — это требование ФСБ.

Все же, приватный ключ ФСБ запрещает генерировать вне токена, и записывать на токен,
или этот токен физически не может принять на борт приватный ключ, сгенерированный не им ?
Т.е. не получится ли так же как в Lite версии, что ключ конечно хранится надежно, но ключ мог быть (пусть в нарушении требований ФСБ, но физически мог) сгенерирован вне токена ?
Ибо проверить, каким софтом и как настраивается токен я не могу.
А если токен позволяет залить на борт приватный ключ (т.е. его могли сгенерировать и скомпрометировать) — то как правильно заметил mihmig, получается самый что ни на есть "цирк безопасности".

#17 Ответ от Ксения Шаврова 2022-04-22 12:21:07

• Ксения Шаврова
• Администратор
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).

Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

Из ЭЦП 2.0 можно экспортировать публичный ключ, что собственно и делает налоговая, выдавая этот ключ.

Публичный ключ — открытая информация. Делает ли экспорт ИС ФНС — нужно уточнять у налоговой.

Все же, приватный ключ ФСБ запрещает генерировать вне токена, и записывать на токен, или этот токен физически не может принять на борт приватный ключ, сгенерированный не им ?

Вы можете использовать Рутокен ЭЦП как активный носитель (и работать с неизвлекаемыми ключами), так и как пассивный (аналогично Рутокен Lite). Оба варианта легитимные, если использовать сертифицированный в ФСБ СКЗИ.
Подробнее о разнице между активными и пассивными носителями можно прочитать на https://dev.rutoken.ru/pages/viewpage.a … d=98937400
Формат ключей можно увидеть в "Панели управления Рутокен" — на вкладке "Сертификаты".

#18 Ответ от biohumanoid 2022-04-22 14:57:45

• biohumanoid
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).

Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

PKCS#11 — платформонезависимый программный интерфейс доступа к криптографическим устройствам, в данном случае к Rutoken ЭЦП 2.0.
Также у вас есть библиотека PKCS#11, реализующая этот интерфейс.
Но меня интересует:
1. Действительно ли налоговая генерирует ключ для ЭЦП 2.0 средствами самого ЭЦП 2.0 через интерфейс PKCS#11 ?
2. И как я могу, получив этот токен убедиться, что закрытый ключ был действительно сгенерирован внутри токена, а не залит извне.
Что в панели управления Рутокен будет говорить о том, что ключ был сгенерирован внутри устройства ?

Легитимность = правомерность, т.е. я могу его использовать с ФНС.
Но меня волнует вопрос, действительно ли я единственный обладатель моего ключа.
В Rutoken lite таких гарантий нет, как выяснилось.
Вопрос — есть ли такие гарантии в ЭЦП 2.0 ?

#19 Ответ от Аверченко Кирилл 2022-04-22 16:17:37

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Добрый день.
1. Да, налоговая генерирует ключи в том числе через PKCS#11.
2. В панели управления Рутокен на вкладке Сертификаты необходимо убедиться, что в описании сертификата с ключем написано "Объект PKCS#11".
В статье https://dev.rutoken.ru/pages/viewpage.a … d=20120078 показаны скриншоты, как отображаются неизвлекаемые ключи формата PKCS#11 в Панели Управления Рутокен и Панели КриптоПро.

Импорт закрытых ключей формата ГОСТ PKCS#11 на носители семейства Рутокен ЭЦП физически невозможен.

#20 Ответ от Gleb 2022-10-29 07:27:56

• Gleb
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

1. Опишите плиз процедуру в налоговой, которую я должен соблюдать, когда туда пойду, чтоб точно получить ключевую пару сгенеренную внутри продукта rutoken эцп 3.0 с неизвлекаемым закрытым ключем, как генеральный директор ООО.
2. Возможно ли использовать встроенные алгоритмы шифрования для генерации неизвлекаемых ключей без установки всяких крипто про 5.0? Только с помощью софта от руктокена. Данные ключи не предполагается использовать для общения с государственными органами.

#21 Ответ от Аверченко Кирилл 2022-10-31 08:48:23

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

#22 Ответ от Gleb 2022-11-01 02:11:02

• Gleb
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

Спасибо большое. По пункту 2, какое это ПО, которое работает с вашей библиотекой? Список ПО есть какой-то? Нужен интерфейс который может искользовать Windows 10 — например шифровать данные или подписывать файлы из скриптов powershell. так-же есть задача использовать аппаратные ключи в сессиях ssh. Есть какой-то манул и пример реализации по данному вопросу? Может быть у вас есть какая-то утилита командной строки для windows/linux и ее исходный код?

#23 Ответ от ПользовательRutoken20эцп 2022-11-03 23:35:03

• ПользовательRutoken20эцп
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

У меня RuToken ЭЦП 2.0.

2022-06-08 был в налоговой, получил как ИП цифровую подпись, в свойствах RuToken Control Panel для сертификата указано "Crypto-Pro GOST R 34.10-2012 Cryptographic service provider". То есть, насколько я понимаю эту тему, подпись извлекаемая.

Прочитав эту тему (большое спасибо за толковые разъяснения!), сегодня отправился в налоговую получить новую подпись, так как я по соображениям безопасности хочу неизвлекаемую подпись. Я был в Москве, там единственное место выдает подписи — ИФНС 46.

Так вот, я им сразу сказал, что мне нужна именно аппаратная подпись, она же "как для ЕГАИС". Девушка в окошке возражать не стала. Когда подпись уже была записана на токен, я спросил — вы аппаратную сделали? На что мне ответили, что никакого выбора нет, и программа делает в зависимости от токена. Уже зная, что мне несколько месяцев назад сделали неправильную, я попросил кого-то кто может мне ответить, и подошедшая жещина снова мне сказала, что никакого выбора нет.

Ну ладно, я позвонил в поддержку 8-800-222-22-22, там поговорил с первой линией, меня перевели "на специалиста", где меня опять заверили, что никакого выбора нет, и они делают только неэкспортируемые (то есть, неправильные) подписи в формате CryptoPro, и все, точка, никаких больше вариантов.

И во тя добрался до дома, вставил токен, и тадам, RuToken Control Panel для новой подписи показывает "PKCS#11 Object, available using Crypto-Pro Gost 34.10-2012", то есть, я так понимаю, на этот раз она неизвлекаемая, как я и хотел.

Выводы:
1) Ни специалисты на телефоне, ни работники в окошке в налоговой сами нифига не понимают.
2) То ли они исправили программу за последние 5 месяцев, то ли они пишут подписи какие попало наугад.

#24 Ответ от Аверченко Кирилл 2022-11-07 11:14:30

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Gleb, Можно использовать openssl или примеры из нашего SDK.
Настройка openssl описана по ссылке https://dev.rutoken.ru/pages/viewpage.a … d=89096210
Сценарии использования https://dev.rutoken.ru/pages/viewpage.a … d=43450394
Примеры использования библиотеки rtpkcs11ecp находятся в СДК по пути sdk\pkcs11\samples
СДК можно скачать https://www.rutoken.ru/support/download/get/sdk.html
Так же можно использовать ПО КриптоАрм, Vipnet PKI Client или csptest из состава КриптоПро CSP.

#25 Ответ от Петрович 2023-01-13 13:05:53

• Петрович
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

как можно не штатными средствами?

штатными не дает экспортировать

#26 Ответ от Пользователь_345 2023-01-13 16:02:44

• Пользователь_345
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Здравствуйте.
Прошу проконсультировать.
Наша фирма использует как Рутокен Lite, так и 2.0. ЭП на Рутокене 2.0 работает исправно непосредственно в СБИС при сдаче отчетности и срабатывает при авторизации на Госуслугах, но при попытке подписать документы/заявления вне СБИС, сайты просто не видят носитель 2.0. Сертификат добавлен в хранилище "Личное". В КриптоПро CSP при просмотре сертификатов в контейнере, при нажатии на "обзор" видны только старые сертификаты в Реестре, контейнер Рутокен 2.0 не отображается (в отличие от Lite). При выборе "по сертификату" и нажатии на него, он не появляется в строке. При выборе в Крипто "установить личный сертификат", выбрав сохраненный файл на компьютере, не находится контейнер, ошибка: "не найден контейнер соответствующий открытому ключу сертификата".
Верно ли понимаю, что подписание заявлений с Рутокеном 2.0 не представляется возможным вне сайта СБИС (как у нас)?

#27 Ответ от Николай Киблицкий 2023-01-13 16:35:55

• Николай Киблицкий
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Здравствуйте Пользователь_345, пришлите, пожалуйста, скриншот окна "Панель управления Рутокен" — вкладки "Сертификаты" с подкюченным Рутокен ЭЦП 2.0.
Прислать скриншот можно на почту по адресу hotline@rutoken.ru

#28 Ответ от vukrov 2023-01-26 15:26:15

• vukrov
• Посетитель
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Выше писали, что нашли способ копировать подписи, выданные ФНС на рутокен лайт.
Вопрос.
ФНС делает эти подписи неэкспортируемыми.
Насколько законно это копировать и чем это чревато?
Кроме собственной безопасности

#29 Ответ от Аверченко Кирилл 2023-01-27 10:55:57

• Аверченко Кирилл
• Техническая поддержка
• Неактивен

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

vukrov, добрый день.
Скопировать неэкпортируемый контейнер можно только с применением нештатного ПО. Что в какой-то мере может попадать под ст 273 УК РФ.
Так же повышается риск компрометации ЭП. В случае возникновения инцидента, могут быть проблемы в суде.

Экспортировать неэкспортируемый сертификат с рутокена

Небольшая заметка как экспортировать неэкспортируемый ключ с Rutoken.

Внимательно читайте комменты

Если при создании ЭЦП не был установлен флаг дающий возможность экспортировать ключ, то при попытке скопировать ключ с Rutoken через КриптоПро у вас появится «Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг».

Но скопировать его все равно можно — для этого понадобится специальное ПО:

1. Утилита проверки Рутокенов версии 3.4.2

2. Сертфикс 1.1.27.3154

При помощи утилиты проверки Рутокенов версии 3.4.2 вы сможете экспортировать ключ с Рутокен на флешуку или реестр

После чего при помощи помощи Сертфикс 1.1.27.3154 вы сможете снять блокировку зажав клавишу Shift и кликнув по нужному сертификату правой кнопкой мыши выбрав пункт активации экспорта согласно вашему новому месту хранения выбранного в утилите проверки Рутокенов.

Важным моментом является то, что версия Сертфикс выше 1.1.27.3154 может быть программно ограничена на возможность сделать сертификат некоторых удостоверяющих центров экспортируемым.

Обновление программа проверяет при запуске, поэтому чтобы обновление не загрузилось необходимо заблокировать доступ в интернет для нее через брандмауэр Windows.

Сертификат без ключевой пары рутокен что делать

Иногда во время установки сертификатов электронной цифровой подписи через КриптоПро после выбора ключевого контейнера возникает ошибка: «В контейнере закрытого ключа отсутствует открытый ключ шифрования». Ее устранение в большинстве случаев не требует обращения в службу поддержки пользователей: достаточно лишь следовать пошаговой инструкции установки в контейнер закрытого ключа подписи.

Причины возникновения ошибки

Ошибка «В контейнере закрытого ключа отсутствует сертификат открытого ключа» может возникать во время установки нового личного сертификата, а также при попытке просмотра закрытых ключей через контейнеры или при экспорте данных с компьютера на флешку или с электронного носителя на ПК.

Обычно причина неисправности кроется в отсутствии на носителе открытого ключа. Исправить ситуацию можно простой установкой.

Пошаговая инструкция установки личного сертификата

Чтобы установить личный сертификат, не записанный на ключевой носитель, нужно:

• Запустить программу КриптоПро: «Пуск»/«Настройка»/«Панель управления»/«КриптоПро CSP».
• Перейти через раздел «Сервис» во вкладку «Установить личный сертификат».

• Нажать «Далее».
• Указать путь к закрытому ключу электронной цифровой подписи через кнопку «Обзор». Пользователь в открывшейся папке выбирает файл, заканчивающийся расширением .cer.
• После этого пользователю предстоит нажать «Открыть».

• В поле «Имя файла» должен появиться путь доступа к ключу ЭЦП, после чего для продолжения установки нажимают кнопку «Далее».
• В новом окне появляется сервисное сообщение КриптоПро CSP с данными владельца подписи и нового сертификата. Информацию нужно проверить и нажать «Далее».

Следующий шаг — это выбор ключевого контейнера. Пользователь должен:

• В рабочем окне «Контейнер закрытого ключа» нажать «Обзор» и выбрать контейнер, соответствующий названию ЭЦП.

• Нажать «Далее» после того, как в графе «Имя ключевого контейнера» появится название контейнера.
• При необходимости ввести пин-код ключевого носителя.

Затем нужно выбрать хранилище. Делает это так:

• Пользователь нажимает «Обзор» и выбирает «Личное хранилище».

• После того как название хранилища отразится в соответствующей графе пользователь нажимает «Далее».

• После выбора контейнера для подтверждения установки нужно нажать «Готово».

Если выйдет сообщение о том, что сертификат уже есть в хранилище, нужно нажать «Да».

Остается лишь перезагрузить компьютер и попробовать подписать документ. Если ошибка будет повторяться, то необходимо обратиться в сервисный центр для незапланированной замены носителя электронной подписи и закрытого ключа ЭЦП. Проблема может крыться в неисправности токена.

Установка в КриптоПРО версии 3.62 R2

Установка личного сертификата в КриптоПро версии 3.62 R2 и выше происходит иначе. В окне программы следует выбрать пункт «Установить» и подтвердить замену (если требуется). Если запроса на замену не вышло, нужно открыть вкладку «Сертификат для просмотра» и выбрать «Свойства».

В новом окне выбрать пункт «Установить».

После этого запустится «Мастер установки», в котором нужно нажать кнопку «Далее». После этого следует выбрать пункт «Поместить все сертификаты в хранилище». Для выбора хранилища нужно нажать «Обзор».

Для дальнейшей установки нужно выбрать «Личное хранилище».

В новом окне пользователю предстоит последовательно нажать «Далее» и «Готово». Через несколько секунд появится сообщение об успешной замене (установке) сертификата.

Ошибка отсутствия ключа электронной цифровой подписи в контейнера возникает обычно из-за отсутствия соответствующего сертификата. Решить проблему просто: установить личный сертификат и перезагрузить ПК. Способ установки зависит от версии используемого программного обеспечения КриптоПро и занимает всего несколько минут. Если после замены или установки открытого ключа проблема не исчезла, лучше обратиться в сервисный центр для перевыпуска электронной подписи.

Исправление ошибки отсутствия в контейнере закрытого ключа сертификата ЭП

ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.

Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.

Что может послужить причиной такой ошибки

Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:

• установка сертификата впервые;
• экспортирование данных на внешний носитель;
• попытка просмотра ключей в контейнерах ключей;
• загрузка информации на компьютер извне.

В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.

Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа

Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».

Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt

Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.

Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»

В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:

• «найти контейнер автоматически
• вручную через «обзор»

В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки

Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»

Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»

>

В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»

Затем появится окно с подтверждением данной операции, жмём «ДА»

В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.

Особенности версий КриптоПро

С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

1. ОС MS Windows 7 SP1
2. СКЗИ КриптоПРО CSP 3.9.8423
3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Методика тестирования

1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

Проведение тестирования

Для этого с помощью КриптоАРМ создадим в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN=test)









С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск—>Панель управления—>КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно.
Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны):





Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).
Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.
Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Выбираем токен для налоговой. Какие бывают и чем отличаются? ⁠ ⁠

С начала 2022 года, в соответствии с требованиями регулятора, УЦ ФНС России и его Доверенные лица стали единственным местом, где можно получить квалифицированную электронную подпись (сокращенно КЭП) руководителям юридических лиц, индивидуальным предпринимателям и нотариусам. Сделать это можно бесплатно, предоставив приобретенный ключевой носитель (подробнее о нем мы рассказываем в нашем посте), который соответствует требованиям ФСТЭК и ФСБ, а также, при необходимости, предъявив документы, подтверждающие подлинность носителя.

Какой же токен нужен для налоговой?

Перед получением квалифицированного сертификата в операционном зале УЦ ФНС или в одном из Доверенных лиц УЦ ФНС необходимо выбрать ключевой носитель (он же токен). Соответствовать он должен следующим требованиям:

1. Имеет действительный сертификат ФСТЭК России или ФСБ России (см. тонкости по сертификации ниже).

2. Имеет форм-фактор USB-токен Type-A (для понимания — это формат разъема всем известной флешки). Известны случаи, когда УЦ соглашался выпустить сертификат на ключевой носитель с другим интерфейсом (USB Type-C, смарт-карта) с переходником на USB-A, однако никто не может вам этого гарантировать.

В линейке устройств Рутокен вы можете выбрать одну из двух моделей токенов:

— Рутокен ЭЦП 2.0 2100. Сертифицирован ФСБ России, подходит для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России, в операционных залах налоговых органов, также рекомендован для получения квалифицированных сертификатов у Доверенных лиц УЦ ФНС России и подходит под требования ЕГАИС Росалкогольрегулирования;

— Рутокен Lite 64КБ. Сертифицирован ФСТЭК, подходит для получения квалифицированных сертификатов в операционных залах налоговых органов.

Более подробное сравнение моделей можно найти по ссылке.

Запомните, что ключевой носитель при приобретении защищен PIN-кодом по умолчанию, который затем обязательно нужно будет сменить на уникальный.

Также важно знать, что для решения бизнес-задач в госсистемах, согласно российскому законодательству для компаний и индивидуальных предпринимателей, необходима именно квалифицированная электронная подпись и никакая другая.

Немного о сертификации ключевых носителей

Федеральный закон “Об электронной подписи” 63-ФЗ требует для создания и проверки КЭП применения средств электронной подписи (СКЗИ), сертифицированных ФСБ.

Чтобы проще было запомнить:

— ФСТЭК России сертифицирует средство защиты информации (устройство).

— ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ).

Таким образом, в случае с извлекаемыми ключами на Рутокен Lite, сгенерированными с помощью программного СКЗИ, в ФСБ должен быть сертифицирован именно программный криптопровайдер. А пассивный носитель Рутокен Lite в соответствии с Регламентом УЦ ФНС должен быть сертифицирован во ФСТЭК России.

В случае с неизвлекаемыми ключами на активном носителе Рутокен ЭЦП 2.0 2100, сертифицированным в ФСБ России должен быть сам носитель, так как при генерации ключей используется аппаратная криптография.

Также возможны варианты, когда Рутокен ЭЦП 2.0 2100 используется в качестве пассивного носителя с программным СКЗИ, которое должно быть сертифицировано в ФСБ или в качестве активного носителя совместно с программным СКЗИ (тогда сертификаты ФСБ должны быть и у токена, и у СКЗИ).

Про пассивные и активные ключевые носители мы рассказывали здесь.

Далее давайте рассмотрим токены для КЭП более детально и создадим пошаговую инструкцию по выбору ключевого носителя для налоговой и получения КЭП.

Какой же токен нужен в моей ситуации?

Выбор модели токена в зависимости от следующих факторов:

— Необходимость работы с ЕГАИС;

— Выбранное место получения квалифицированного сертификата (УЦ ФНС или Доверенные лица УЦ ФНС);

— Повышенный уровень безопасности, основанный на использовании неизвлекаемых ключей.

Если деятельность вашей организации связана с производством или реализацией этилового спирта, алкогольной и спиртосодержащей продукции (ЕГАИС Росалкогольрегулирование), то вам нужен Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы планируете получать квалифицированный сертификат в одной из точек выдачи Доверенных лиц УЦ ФНС, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы выбираете высокую степень защиты с помощью неизвлекаемых ключей на активном токене, то вам подойдет Рутокен ЭЦП 2.0 2100, сертифицированный ФСБ.

Если вы хотите получить извлекаемые ключи, созданные программным криптопровайдером, на пассивном токене, то вам подойдет Рутокен Lite, сертифицированный ФСТЭК.

И еще один важный момент! Если вы не профессионал в области информационных технологий, очень важно приобретать токены компаний, обеспечивающих качественную техподдержку в случае внештатной ситуации. Крупные производители ключевых носителей, таких как Рутокен, всегда на связи с клиентами по различным каналам коммуникаций.

Порядок получения квалифицированных сертификатов на USB-токене

После выбора модели токена и его приобретения (кстати, приобрести его можно и у Доверенных лиц ФНС), для получения квалифицированного сертификата вам остается сделать всего пару последовательных шагов. А именно, записаться и прийти на прием в операционный зал ФНС или посетить одну из точек выдачи из списка Доверенных лиц УЦ ФНС вашего региона. Для идентификации заявителя прийти для получения сертификата потребуется лично, захватив с собой при этом пакет документов (перечень есть на сайте ФНС): паспорт, СНИЛС, ИНН (свой и организации), ОГРН и ОГРНИП, а также, разумеется, сам токен и документацию к нему. Хотя некоторые Доверенные лица УЦ ФНС организуют сегодня и дистанционное получение КЭП. После этих незначительных усилий ваша единственная и неповторимая электронная подпись будет у вас в кармане — причем в прямом и переносном смысле!

Как скопировать подпись ФНС: пошаговая инструкция

Не каждый владелец электронной подписи захочет передавать свои данные, записанные на специальный носитель, сотруднику или стороннему специалисту, чтобы тот выполнял действия от его имени. В этом случае поможет копия подписи, полученной в ФНС. Стандартные способы переноса данных здесь не помогут, но варианты решения все-таки есть. Подробности читайте в статье.

Можно ли скопировать неэкспортируемую ЭП от ФНС?

С 1 января 2022 года руководители компаний и предприниматели могут получать электронную подпись в местном отделении налоговой инспекции, в том числе и ЭП для участия в закупках на 8 федеральных электронных торговых площадках.

Работа тендерного специалиста предполагает дистанционный формат взаимодействия с клиентом или работодателем. В связи с этим у коллег возникает вопрос: как скопировать электронную подпись от ФНС?

Не каждый владелец готов передать ЭП специалисту. Налоговая не случайно наложила запрет на копирование подписи, т.к. конфиденциальные данные о владельце могут попасть не в те руки. И хранить сертификат ключа рекомендуется на специальном токене, а не на обычной флешке, т.к. токены оснащены особым уровнем защиты данных.

Можете попробовать скопировать ЭП традиционными способами и увидите системное уведомление об ошибке:

Обновленные средства КриптоПро также не приведут к желаемому результату – на экране появится надпись, что контейнер неэкспортируемый:

Самый простой способ не нарушать предписание ФНС – наделить сотрудника/специалиста полномочиями заниматься деятельностью от лица компании, т.е. выдать ему доверенность.

Но что делать, если скопировать неэкспортируемую подпись от ФНС все же нужно. Давайте разберем, какие есть варианты.

Копирование подписи с рутокена

Рутокен – это особый накопитель, который вмещает в себя почти три десятка сертификатов электронной подписи в зависимости от объема памяти. На практике приходится пользоваться этим способом, когда необходимо перенести зашифрованную информацию о владельце ключа с одного носителя на другой или временно добавить в цифровое сервисное хранилище или на винчестер.

Руководитель может «раздвоить» ЭП для передачи сотруднику, наделенному полномочиями выполнять действия от лица организации.

Стандартные методы переноса фалов с носителя на компьютер здесь не помогут. Копирование получится выполнить только при наличии одного из считывателей из списка:

• рутокен;
• съемный диск любого образца;
• реестр ПК.

Если изначально криптографические средства ключа записаны на USB-носитель, то контейнер с сертификатом должен быть добавлен в корневую папку. Одновременно его можно использовать и для хранения других данных, но сторонняя информация должна «дружить» с контейнером и не препятствовать работе с подписью.

Примечание: обычный USB-носитель следует использовать как временный вариант для хранения данных, т.к. он не обладает необходимой степенью защиты, и доступ к нему легко могут получить мошенники. Но как временный вариант для записи на него дополнительных фалов такой накопитель вполне подходит.

Копирование сертификата с Рутокена через КриптоПРО

Скопировать подпись ФНС с рутокена можно с помощью сервиса КриптоПРО CSP. Выполните следующие действия:

• открываем панель управления ПК, найдите программу КриптоПРО CSP и нажмите «Пуск»;
• переходим в раздел «Сервис»;
• кликаем «Просмотреть сертификаты в контейнере»;
• выбираем интересующий ключевой носитель во вкладке «Обзор»;
• соглашаемся с действием – «Ок»;
• нажимаем кнопку «Далее» (система может запросить PIN-код, по умолчанию пароль на рутокенах — 12345678, а для eтокенов — 1234567890);
• в появившемся окне переходим в «Свойства» и выбираем «Состав»;
• затем кликаем по действию «Копировать в файл…»;
• соглашаемся со всеми действиями установочного мастера и кликаем «Далее»;
• указываем действие «не экспортировать закрытый ключ»;
• выбираем формат DER X.509;
• указываем хранилище для дубликата и нажимаем «Ок» (название папки не меняем);
• система попросит ввести пароль два раза, а затем нажимаем «Ок».

Мы указали путь для копирования фалов, после чего они появятся в заданном месте на жестком диске или USB-накопителе. Теперь папку с ключами можно копировать стандартным путем.

Примечание: если далее в работе вы будете пользоваться дубликатом по прямому назначению, то названная папка должна быть размещена в корневой директории диска.

Копирование ЭП через функционал Windows

Если параметры ключа изначально записаны на USB-носитель, то перенос данных можно выполнить в операционной системе традиционным способом – скопировать фалы на нужный считыватель. В папке находятся 6 фалов формата .key. Вы можете увидеть ключ с расширением keyName.cer, который переносить не обязательно.

Копирование ЭП из реестра

При необходимости скопировать файлы с криптографией из реестра ПК первым делом нужно понять, в какой папке они содержатся. Путь к необходимому контейнеру будет отличаться в зависимости от версии операционной системы:

Далее следуйте инструкции:

• находим необходимую папку и кликаем по ней правой кнопкой мыши;
• в появившемся меню выбираем действие «Экспортировать»;
• даем название файлу и сохраняем его;
• записываем полученный файл на винчестер, который будет служить для вас рабочим местом;
• открываем полученный файл формата .reg (для этого используем «Блокнот» или альтернативную программку);
• изменяем в открытом файле SID* пользователя (чаще всего он находится в 3-й строке сверху);
• если копируем из версии ОС 32 бита в версию 64 бита, то добавляем после папки Software дополнительно Wow6432Node;
• нажимаем «Сохранить»;
• снова выделяем файл в реестре;
• в контекстном меню нажимаем строку «Слияние».

Если все сделано правильно, система уведомит об успешных изменениях в реестре. Если где-то была допущена ошибка, то проверьте корректность указанного пути к файлу.

Если все фалы легли ровно в реестр ПК, остается лишь добавить личный сертификат – это делается вручную с помощью программы КриптоПро CSP.

Инструкция по выгрузке личного сертификата с исходного ПК:

• заходим в настройки браузера и выбираем раздел «Содержание»;
• кликаем «Сертификаты»;
• выбираем искомый сертификат и запускаем экспортирование;
• нажимаем «Далее»;
• указываем действие не экспортировать закрытый ключ» и снова кликаем «Далее»;
• нас интересует формат сертификата в виде файла X.509 (.CER) с кодировкой DER;
• выбираем хранилище для сертификата и нажимаем «Сохранить».

Переносим файл на компьютер, который будет использоваться для работы:

• запускаемь КриптоПРО CSP и заходим в раздел «Сервис»;
• выбираем действие «Просмотреть сертификат в контейнере»;
• кликаем по клавише «Обзор»;
• в появившемся списке выделяем ранее записанный контейнер;
• нажимаем «Установить» в появившемся окне «Сертификаты в контейнере закрытого ключа»;
• если все выполнено верно, то система уведомит об успешном результате. Подтверждаем – «Ок».

Запись контейнера на рутокен с другого устройства

Для максимального обеспечения безопасности данных криптографию лучше всего хранить в реестре операционной системы или на защищенном токене.

Перед копированием контейнера необходимо убедиться, что рутокен открывается через КриптоПРО. Если носитель недоступен в программе, то нужно выполнить его настройки.

Если все в порядке, то выполняем следующие шаги:

• заходим в раздел «Сервис»;
• выбираем действие «Скопировать»;
• во вкладке «Обзор» выбираем необходимый контейнер и кликаем «Далее»;
• прописываем PIN;
• выбираем название контейнера, который записываем на накопитель;
• указываем пользовательский PIN-код рутокена;
• в разделе «Сервис» выбираем «Просмотреть сертификаты контейнера».

Необходимо перенести сертификат с накопителя в хранилище, чтобы иметь возможность работать в ЭП и подписывать документы. В разных обновлениях КриптоПРО потребуется либо просто нажать кнопку «Установить», либо перейти в «Свойства» и выбрать данное действие. После чего следуем подсказкам установочного мастера.

Примечание: если сертификат уже использовался на ПК с другим накопителем, то его нужно стереть в хранилище.

Как удалить старый сертификат с помощью программы КриптоПРО CSP:

• после запуска ПО открываем раздел «Сервис»;
• нажимаем «Удалить»;
• указываем сертификат для его удаления;
• кликаем по клавише «Готово».

Действия будут аналогичны также для удаления неактуальных сертификатов и подписей, полученных в других УЦ.

Заключение

Мы рассмотрели несколько способов, как сделать копию электронной подписи, полученной в ФНС. Это избавит вас от ненужных встреч с партнерами для физической передачи подписи.

Некоторые компании частично перевели сотрудников на удаленный формат работы. В этом случае также удобно передать копию ЭП уполномоченному доверенностью работнику, а оригинал подписи будет храниться в офисе или непосредственно у ее владельца.

Если остались вопросы, задавайте их в комментариях. Не забудьте оценить статью и поделиться с коллегами. До новых встреч!