как узнать имя контейнера закрытого ключа криптопро
Электронная цифровая подпись
Основные понятия (если есть аббревиатуры, понятия и т.д.)
Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.
Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи.
Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:
Flash-накопитель
Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:
1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.
Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:
1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).
3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться к вашему менеджеру
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.
Реестр
Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:
Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:
Если считыватель отсутствует, его необходимо добавить.
В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты
Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.
Чтобы добавить считыватели: 1. Запустите КриптоПро CSP от имени администратора.
2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».
3. В появившемся окне нажмите «Добавить».
4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».
5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».
В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.
Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.
Отдел технической поддержки
Источник
Что такое ключевой контейнер? зачем нужен пароль на контейнер?
Ключевые контейнеры – это способ хранения закрытых ключей, реализованный в нашем продукте. Их физическое представление зависит от типа ключевого носителя (на флешке, дискете, жестком диске это директория в которой хранится набор файлов с ключевой информацией; в случае со смарт-картами – файлы в защищенной памяти смарт-карты, в случае с реестром – раздел реестра, содержащий некоторые параметры). Пароль на контейнер имеет разное значение для смарт-карт и для носителей, не являющихся смарт-картами.
1 группа цифр — серия
Серии будут состоять из четырех цифр, однозначно определяющие модель устройства.
Каждая конкретная модель имеет стандартное количество памяти, которое для удобства будет опущено. Устройства с нестандартным количеством защищенной внутренней памяти будут обозначены специальной цифрой стоящей перед серией.
Например, модель «Рутокен ЭЦП 2.0 64КБ, сертю ФСБ» — обозначено серией «2000».
Рутокен S 64КБ — обозначен серией «1100» без дополнительной цифры указывающей количество памяти, так как 64КБ — стандартное количество памяти для модели Рутокен S.
Рутокен S 128 — будет обозначен цифрами «128 1100», так как 128 Кб — нестандартный объем памяти для моделей Рутокен S.
Смотрите таблицу «Маркировка устройств Рутокен» и приложенные изображения, в них подробности.
2 группа цифр — серийный номер
Остался без изменений — это, как и прежде, серийный номер (ID устройства) в десятичном формате, состоящий из десяти цифр.
3 группа цифр — модификация
Чаще всего, вы встречались с этой частью маркировки на устройства Рутокен ЭЦП 2.0, где «2.0» означало модификацию, теперь станет артикулом «2000», это легко запомнить.
Для устройств Рутокен ЭЦП Flash и ЭЦП 2.0 Flash, как и раньше, эта часть содержит количество гигабайт встроенной флеш-памяти.
Кроме того, третья часть маркировки будет содержать все остальные модификации: специальные исполнения, наличие RFID-метки и «сертифицированность устройства» для моделей S и Lite.
Re: как определить какой у меня токен?
Модель токена можно также определить с помощью «Панели управления Рутокен» 
А вот так отображается информация о Rutoken S:
Вот так отображается информация о Рутокене ЭЦП:
А вот так отображается информация о Рутокене ЭЦП, поддерживающем технологию ФКН (Работает только в составе КриптоПро Рутокен CSP)
Возможные значения имени контейнера:
| Значение | Описание |
|---|---|
| NULL | Контейнер по умолчанию. Если конфигурация «КриптоПро CSP» настроена на хранение ключей на диске, то именем контейнера по умолчанию является имя пользователя ОС, вызвавшего CSP. |
| CONTAINER | Имя контейнера. |
| MEDIAUNIQUE | Контейнер по умолчанию на носителе (MEDIAUNIQUE). |
| MEDIAUNIQUECONTAINER | Контейнер на заданном носителе (MEDIAUNIQUE). Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Если носитель поддерживает длинные имена (например, реестр), то имя контейнера в этом случае совпадает FOLDER. |
| MEDIAUNIQUEFOLDERCRC | Контейнер на заданном носителе (MEDIAUNIQUE) в папке FOLDER с именем CRC16 которого в нижнем регистре в кодировке UTF8 совпадает с CRC. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Данный формат не может использоваться для создания контейнеров. |
| \.READERMEDIAUNIQUE | Контейнер по умолчанию на носителе (MEDIAUNIQUE), с заданным именем считывателя. |
| \.READERMEDIAUNIQUECONTAINER | Контейнер на заданном носителе (MEDIAUNIQUE), с заданным именем считывателя. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. |
| \.READERMEDIAUNIQUEFOLDERCRC | Контейнер на заданном носителе (MEDIAUNIQUE) в папке FOLDER, с заданным именем считывателя и CRC16 имени контейнера в нижнем регистре в кодировке UTF8 совпадает с CRC. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Если носитель поддерживает длинные имена (например, реестр), то имя контейнера в этом случае совпадает с FOLDER. Данный формат не может использоваться для создания контейнеров. |
| \.READERCONTAINER | Имя контейнера на заданном считывателе. |
| \.READER | Контейнер по умолчанию на заданном считывателе. |
Во всех перечисленных выше формах (кроме NULL), оконечный символ не влияет на смысл контейнера.
Полный список поддерживаемых считывателей и типов носителей можно найти в Формуляре к конкретной версии «КриптоПро CSP»
Где в реестре хранится эцп
Иногда реестр используется как ключевой носитель, т.е. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:
Где хранится сертификат эцп в ос windows xp
К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.
Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:
Documents and Settings ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.
Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена.
В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.
Где хранится эцп в системах linux
Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.
Как в linux/unix установить сертификаты?
Основной утилитой для работы с сертификатами является certmgr (лежит в /opt/cprocsp/bin/ ). К ней есть man: man 8 certmgr
Как найти сертификат ключа эцп на компьютере
Если электронную подпись нужно использовать на нескольких компьютерах или скопировать сертификат на запасной носитель, то необходимо знать, где ее искать. Обычно сертификаты хранятся в одном месте, но в зависимости от типа используемой операционной системы путь к хранилищу может быть разным.
Как определить какой у меня токен?
Серийные Rutoken выпускаются в стандартных корпусах красного цвета: 
Новая модель Рутокен ЭЦП отличается маркировкой, имеет более темный оттенок красного, а также надпись РУТОКЕН ЭЦП:
Токены сделанные на заказ для наших партнеров могут иметь другую окраску корпуса и иную маркировку:
С целью упрощения обслуживания и учета на корпус токена наносится специальная маркировка. Благодаря ей можно легко определить модель, объем памяти и серийный номер устройства визуально, не используя программные средства:
Как посмотреть сертификат эцп
Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.
Как посмотреть список закрытых ключей?
Список контейнеров с закрытыми ключами можно посмотреть утилитой csptest. Она находится в директории /opt/cprocsp/bin/
В полученном списке имена контейнеров будут представлены в том виде, в котором их воспринимают все бинарные утилиты, входящие в дистрибутив CSP (\. ).
Как проверить срок действия эцп
Проконтролировать дату истечения цифровой подписи можно несколькими способами:
При использовании браузера Internet Explorer выполните следующие действия:
Теперь достаточно на вкладке «Личные» найти сертификат, где будет указан срок его действия.
При использовании ПО КриптоПро для проверки срока действия ЭЦП придерживайтесь следующего алгоритма:
Затем достаточно нажать сначала «ОК», а потом «Далее». На мониторе откроется информация о конкретном сертификате с указанием срока действия.
При использовании носителя Рутокен ЭЦП 2.0 проверить срок действия сертификата можно следующим образом:
Затем откроется окошко, где в нижней части будет указан срок действия ЭЦП.
Как проверить эцп на рутокен
Традиционно срок действия электронной цифровой подписи (ЭЦП) составляет 12-15 месяцев. Связано это с потенциальным ростом риска ее компроментации и возможности завладения ЭП злоумышленниками или третьими лицами.
После истечения периода действия ею невозможно пользоваться при обмене документами, взаимодействии с государственными органами, поэтому важно своевременно обновлять или перевыпускать ЭЦП.
Определенным неудобством остается невозможность проверки срока действия ЭЦП в автоматическом режиме. Если последний будет упущен, то не выйдет обновить подпись в упрощенном формате, когда можно выполнить генерацию в удаленном формате без обязательного визита в удостоверяющий центр, что приведет к финансовым и временным затратам.
Как проверить, работоспособен ли контейнер с закрытыми ключами?
Открыть(проверить) контейнер можно утилитой csptest. Она находится в директории /opt/cprocsp/bin/ :
где имя считывателя: HDIMAGE, если используете жесткий диск для хранения ключей FLASH, если используете флешку FAT12_0, если используете дискету
Как сделать новые закрытые ключи?
Обычно ключи создаются вместе с запросом на сертификат. Если Вам требуется создать ключи и запрос на сертификат, воспользуйтесь утилитой cryptcp(документация на неё входит в состав документации на CSP, см. раздел «Работа с запросами на сертификат»).
Создание контейнера компьютера:
Как скопировать ключи с дискеты/флешки на hdimage?
Скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты или флешки в директорию /var/opt/cprocsp/keys/имя_пользователя
При этом необходимо проследить чтобы: — владельцем файлов был пользователь, в диретории с именем которого расположен контейнер(от его имени будет осуществляться работа с ключами); — чтобы на директорию с ключами были выставлены права, разрешаюшие владельцу всё, остальным ничего; — чтобы на файлы были выставлены права, разершающие владельцу по крайней мере чтение и запись, остальным ничего.
Как скопировать контейнер/закрытую часть ключа?
Если для работы используется дискета или flash-накопитель, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата — открытый ключ, если он есть) необходимо поместить в корень дискеты (flash-накопителя).
Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением .cer.
Копирование контейнера также можно выполнить с помощью КриптоПро CSP. Для этого необходимо выполнить следующие шаги:Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копирование открытого ключа выполнять не обязательно.
Как узнать номер рутокена
С сентября 2022 года мы поменяли принцип маркировки нашей продукции — токенов и смарт-карт. Сложное для анализа сочетание цифр и букв заменено на более понятное.
Маркировка расположена на боковой стороне каждого стандартного токена и на разъеме токена в micro-исполнении. Ее, как и прежде, можно будет разделить на три группы: серия устройства, серийный номер и модификация.
Компиляция openssl библиотеки
После скачивания и распаковки исходных текстов openssl в целевой директории выполняем команды:
Получаем готовую библиотеку libcrypto.a в текущей директории. Также потребуются заголовочные файлы из директорий engines/ccgost и include.
Копирование с помощью криптопро csp
1. Выбрать Пуск / Панель Управления / КриптоПро CSP.
2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.
3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
4. Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее».
5. Если вы копируете с защищённого ключевого носителя, то появится окно ввода, в котором следует указать pin-код.
6. Если вы не меняли pin-код на носителе, стандартный pin-код необходимо вводить соответственно его типу:
7. В следующем окне необходимо ввести имя Вашей копии. Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
8. В окне «Выбор ключевого носителя» выберите носитель, на который будет помещен новый контейнер.
9. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
В случае утери пароля/pin-кода использование контейнера станет невозможным.
10. Если вы копируете контейнер на смарт-карту ruToken/eToken /JaCarta, окно запроса будет выглядеть так:
11. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код
12. После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено.
13. Для работы с копией ключевого контейнера необходимо установить личный сертификат.
14. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»
15. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»:
16. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится в Реестре):
17. После выбора контейнера нажмите кнопку Ок, затем Далее
18. Если после нажатия на кнопку Далее Вы видите такое сообщение:
19. «В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе «Установка через меню «Установить личный сертификат».
20. В окне Сертификат для просмотра нажмите кнопку Установить:
21. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
22. Дождитесь сообщения об успешной установке:
23. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Модели ключевых идентификаторов рутокен и их маркировка
Определить модель Рутокен можно двумя способами:
Модификация
Артикул, определяющий модификацию устройства, количество гигабайт встроенной флеш-памяти (при ее наличии), а так же все остальные модификации: специальные исполнения, наличие RFID-меток и отметка о сертификации для моделей S и Lite.
При наличии RFID-меток на токене в маркировке указано RF, см. п. Возможность встраивания радиочастотной метки.
| Название | Серия | Серийный номер | Модификация |
|---|---|---|---|
| Рутокен Lite 64КБ | 1000 | 0912345678 | |
| Рутокен Lite 64КБ ндв4, серт. ФСТЭК | 1000 | 0912345678 | СФ |
| Рутокен S 64КБ | 1100 | 0912345678 | |
| Рутокен S 64КБ ндв4, серт. ФСТЭК | 1100 | 0912345678 | СФ |
| Рутокен S 128КБ | 128 1100 | 0912345678 | |
| Рутокен ЭЦП PKI | 1800 | 0912345678 | |
| Смарт-карта Рутокен ЭЦП SC | 1800 | 0912345678 | |
| Рутокен ЭЦП 2.0 | 2000 | 0912345678 | |
| Смарт-карта Рутокен ЭЦП 2.0 | 2100 | 0912345678 | |
| Рутокен ЭЦП 2.0 2100 | 2100 | 0912345678 | |
| Рутокен ЭЦП 2.0 экспортный | 2200 | 0912345678 | |
| Рутокен 2151 | 2151 | 0912345678 | |
| Смарт-карта Рутокен 2151 | 2151 | 0912345678 | |
| Рутокен ЭЦП 2.0 128КБ | 4000 | 0912345678 | |
| Рутокен ЭЦП 2.0 128КБ Touch | 4400 | 0912345678 | |
| Рутокен ЭЦП 2.0 128КБ Flash 4ГБ | 4500 | 0912345678 | 4G |
| Рутокен ЭЦП 2.0 128КБ Flash 8ГБ | 4500 | 0912345678 | 8G |
| Рутокен ЭЦП 2.0 128КБ Flash 16ГБ | 4500 | 0912345678 | 16G |
| Рутокен ЭЦП 2.0 128КБ Flash 32ГБ | 4500 | 0912345678 | 32G |
| Рутокен ЭЦП 2.0 128КБ Flash 64ГБ | 4500 | 0912345678 | 64G |
| Рутокен ЭЦП Bluetooth | 8003 | 0912345678 |
По маркировке на самом носителе
Если Рутокен не определяется или по каким-либо причинам просмотреть информацию в Панели управления Рутокен невозможным, определить модель идентификатора Рутокен можно по маркировке, указанной на корпусе:
4G, 8G, 16G, 32G и 64G
Маркировка разделена на три группы:
Примеры маркировки
Рутокен Lite 64КБ
Рутокен ЭЦП 2.0, серт. ФСБ
Рутокен ЭЦП 2.0 Flash 4ГБ
Рутокен S micro 64КБ
Рутокен ЭЦП 2.0 micro 64КБ
4G, 8G, 16G, 32G и 64G
Источник
Проверяем подпись
Все работает просто замечательно!
Спасибо за внимание. Это была моя первая статья на хабре.
Источник
Проблема может быть в том, что нельзя создавать два контейнера с одинаковым именем.
Попробуйте назвать копию как-нибудь иначе, например:
Сборка утилиты конвертирования ключа
Далее сборка исходников описана для Linux версии.
Серийный номер (id)
Серийный номер устройства в десятичном формате, состоящий из десяти цифр
Серия
Серия состоит из четырех цифр, однозначно определяющих модель устройства.Каждая конкретная модель имеет стандартное количество памяти, которое для удобства опущено. Устройства с нестандартным количеством защищенной внутренней памяти обозначены специальной цифрой стоящей перед серией.
Спасибо!
Наш менеджер уже увидел Ваше обращение и спешит помочь Вам как можно скорее!
В рабочее время (пн – пт с 9:00 до 18:00) наши менеджеры очень активны и общительны и с радостью ответят Вам в течение дня.
В остальное время – дожидайтесь ответа на следующий рабочий день.
А пока предлагаем вам:
Установка через меню «установить личный сертификат».
1. Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer).
2. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»
3. Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:
4. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится в Реестре компьютера) и нажмите Далее:
7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
8. В окне Завершение мастера установки личного сертификата нажмите Готово.
9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:
10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Остались вопросы?
Отдел технической поддержки
Имя контейнера является строкой, заканчивающейся нулем, идентифицирующей носитель ключевой информации.
Может состоять из следующих частей:
Файл masks.key
Содержит 32 байта маски ключа в формате Asn1, зашифрованного на ключе хранения pwd_key. Далее 12 байт «затравочной» информации для генерации ключа хранения pwd_key, если криптоконтейнер защищен паролем, то пароль также участвует в генерации ключа хранения.
Далее контрольная сумма (имитозащита) 4 байта. Контрольной информацией для простоты мы пользоваться не будем, общий контроль будет осуществляться путем генерации открытого ключа и сравнения первых 8 байт полученного ключа с соответствующим полем из файла header.key:
Файл primary.key
Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:
Формирование файла закрытого ключа private.key
Тестовый закрытый ключ в криптоконтейнере lp-9a0fe.000, сертификат открытого ключа signer.cer и другие файлы для тестирования можно взять отсюда
Получаем результат работы:
Cохраняем в private.key
Через certmgr
Найти файл сертификата можно и при помощи встроенного менеджера, который присутствует во всех ОС Windows. Через него можно не только посмотреть все личные сертификаты, но и сертификаты УЦ и партнеров Microsoft.
Метод может использоваться только администратором ПК. Для просмотра нужно:
С шифрованными сертификатами приложение работает ограниченно и не всегда корректно отражает все электронные подписи, установленные пользователем.
Через internet explorer
Интернет-браузер IE входит в комплектацию всех ОС семейства Windows XP и выше и позволяет также найти сертификаты ЭЦП на компьютере. Для просмотра нужно:
Далее откроется окно с перечнем всех сертификатов, установленных пользователем и сторонними поставщиками ПО. В данном меню возможен перенос ключей и сертификатов на внешний носитель, удаление открытых ключей. Удаление корневых сертификатов УЦ через меню IE невозможно.
Через консоль управления
Просмотр сертификатов в ОС Windows через консоль управления запускается в несколько этапов:
Дополнительно можно просмотреть ключи ЭЦП по конкретной учетной записи. Способ также доступен только пользователям с правами администратора ПК. Через консоль можно не только просматривать информация, но и удалять, копировать, добавлять контейнеры с ключами ЭЦП.
Через криптопро
Как найти сертификат ЭЦП на компьютере при помощи КриптоПро:
Этим способом могут воспользоваться пользователи или администраторы ПК (если пользователю будет отказано в доступе, необходимо дополнительно запросить права администратора). В открывшемся окне будет список всех сертификатов, установленных на данном ПК.
Через панель управления рутокен
Определить модель идентификатора Рутокен можно с помощью Панели управления Рутокен, которая устанавливается вместе с драйверами Рутокен:
1) Подключите Рутокен к компьютеру.
В строке Модель отображается название модели Рутокена.
Читаем закрытый ключ и конвертируем
Основную работу выполняют следующие 3 функции:
1. Создаем ключ хранения исходя из 12-ти байтовой «соли» и пароля.
2. Расшифровываем основной ключ на ключе хранения.
3. Делим ключ с маской на маску.
Но так как в библиотеке OpenSLL операция деления по модулю традиционно отсутствует, пользуемся операцией взятия обратного числа и умножением.
Читаем контейнер закрытого ключа криптопро средствами openssl
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован.
Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.
Шаг 1. открытие программы криптопро
Чтобы открыть программу проделайте следующий путь:
Нажмите меню Пуск, затем перейдите в Программы ⇒ КриптоПро ⇒ КриптоПро CSP и включите вкладку Сервис.
В открытом окне Сервис нажмите кнопку Скопироватьконтейнер.
Шаг 2. копирование контейнера закрытого ключа
После нажатия кнопки Скопировать контейнер, система отобразит окно Копирование контейнера закрытого ключа.
В открытом окне необходимо заполнить поле Имя ключевого контейнера.
Шаг 3. ввод ключевого контейнера
Существует 3 способа, как заполнить поле Имя ключевого контейнера:
Выбрать из списка посредством нажатия кнопки Обзор
Поиск по сертификату ЭЦП
Кроме заполнения поля Имя ключевого контейнера, необходимо заполнить оставшиеся опции поиска:
После того, как все поля заполнены, нажмите кнопку Далее.
Если на доступ к закрытому ключу установлен пароль, то система попросит ввести его. Введите пароль и нажмите кнопку ОК.
Шаг 4. ввод нового ключевого контейнера
Система вновь отобразит окно Копирование контейнера закрытого ключа, в котором необходимо ввести имя нового ключевого контейнера и установить переключатель Введенное имя задает ключевой контейнер в положение Пользователь или Компьютер, в зависимости от того, в каком хранилище требуется разместить скопированный контейнер.
После ввода нажмите кнопку Готово.
Шаг 5. выбор носителя для скопированного контейнера
На Вашем экране появится окно, в котором необходимо выбрать носитель для скопированного контейнера.
Вставьте носитель (токен, флешка, дискета) в считыватель и нажмите кнопку ОК.
Шаг 6. установка пароля
Система отобразит окно установки пароля на доступ к закрытому ключу.
Введите пароль, подтвердите его, при необходимости установите флажок Запомнить пароль.
Если данный флажок будет установлен, то пароль сохранится в специальном хранилище на локальном компьютере, и при обращении к закрытому ключу пароль будет автоматически считываться из этого хранилища, а не вводиться пользователем.
После ввода необходимых данных нажмите кнопку ОК. Средство криптозащиты информации «КриптоПро CSP» скопирует контейнер закрытого ключа.
Если у Вас остались вопросы, Вы можете заказать консультацию специалиста.
Как узнать имя контейнера закрытого ключа КриптоПро
КриптоПро – это криптографическая система, которая обеспечивает защиту информации с помощью использования цифровых сертификатов и закрытых ключей. Одним из ключевых элементов этой системы является контейнер закрытого ключа, который содержит секретный ключ пользователя.
Контейнеры закрытых ключей КриптоПро могут использоваться для различных целей, например, для авторизации в электронной подписи или шифрования данных. Однако, иногда может возникнуть необходимость узнать имя контейнера, чтобы настроить определенные параметры или выполнить другие операции с ключом.
В этой статье мы расскажем, как узнать имя контейнера закрытого ключа КриптоПро. Мы предоставим простую и пошаговую инструкцию, которая поможет вам найти нужную информацию и выполнить необходимые действия.
Необходимо отметить, что процесс узнавания имени контейнера может немного отличаться в зависимости от используемой версии КриптоПро и операционной системы. Однако, основные шаги останутся примерно такими же. Поэтому следуйте нашей инструкции и вы сможете легко узнать имя контейнера закрытого ключа КриптоПро.
Узнать имя контейнера закрытого ключа КриптоПро: простое объяснение и инструкция
Когда вы работаете с КриптоПро, вам может потребоваться узнать имя контейнера закрытого ключа. В данной статье будет представлена инструкция, которая поможет вам это сделать.
- Запустите КриптоПро CSP и выберите раздел «Контейнеры закрытых ключей».
- В открывшемся окне вы увидите список контейнеров закрытых ключей на вашем компьютере. Каждый контейнер имеет уникальное имя.
- Прокрутите список контейнеров, чтобы найти нужный вам контейнер.
- Нажмите на контейнер, чтобы выделить его, а затем нажмите кнопку «Свойства» внизу окна.
- В открывшемся окне вы увидите информацию о выбранном контейнере, включая его имя. Имя контейнера будет отображено рядом с надписью «Имя контейнера».
- Запишите имя контейнера или скопируйте его в буфер обмена, чтобы использовать его в дальнейшей работе.
Теперь вы знаете, как узнать имя контейнера закрытого ключа КриптоПро. Эта информация может быть полезна, когда вам необходимо использовать ключ для шифрования или подписи данных.
Как узнать имя контейнера закрытого ключа КриптоПро?
Имя контейнера закрытого ключа КриптоПро может потребоваться в различных ситуациях, например, при подписи или расшифровке данных. В данной инструкции я расскажу вам, как узнать имя контейнера закрытого ключа КриптоПро.
Откройте КриптоПро CSP. Для этого щелкните правой кнопкой мыши на иконке КриптоПро в трее Windows и выберите пункт «Установка и извлечение сертификатов».
Перейдите на вкладку «Контейнеры». Здесь будут перечислены все доступные контейнеры ключей.
Найдите нужный вам контейнер. Обычно имена контейнеров начинаются с символов «CN», за которыми следует серийный номер сертификата.
Запишите имя контейнера. Имя контейнера будет использоваться в вашем коде или программе, чтобы обратиться к нужному закрытому ключу КриптоПро.
Теперь вы знаете, как узнать имя контейнера закрытого ключа КриптоПро. Помните, что правильное указание имени контейнера очень важно для работы с закрытыми ключами. Неправильное указание может привести к ошибкам и непредвиденным проблемам. Будьте внимательны при использовании контейнеров закрытых ключей КриптоПро.
Простая пошаговая инструкция: как узнать имя контейнера закрытого ключа КриптоПро
Контейнер закрытого ключа является важной частью системы шифрования КриптоПро. Он содержит информацию о вашем закрытом ключе и позволяет вам осуществлять шифрование и расшифровку данных. Если вы не знаете имя контейнера закрытого ключа, может потребоваться его определение для выполнения определенных задач. В данной пошаговой инструкции мы расскажем, как узнать имя контейнера закрытого ключа КриптоПро.
- Откройте КриптоПро CSP (КриптоПро CSP — программный продукт, предоставляющий приложениям функции работы с электронно-цифровыми подписями, шифрацией и хешированием данных).
- В главном меню выберите пункт «Инструменты».
- В выпадающем списке выберите «Контейнеры ключей».
- Откроется окно с перечнем доступных контейнеров закрытых ключей.
- Выберите контейнер, имя которого вам необходимо узнать.
- Нажмите кнопку «Свойства» или щелкните правой кнопкой мыши и выберите пункт «Свойства» из контекстного меню.
- В открывшемся окне отобразится информация о выбранном контейнере, включая его имя.
- Скопируйте или запишите имя контейнера для использования в дальнейшем.
Теперь вы знаете, как узнать имя контейнера закрытого ключа КриптоПро. Следуйте данной простой пошаговой инструкции, чтобы быстро и легко получить необходимую информацию о вашем контейнере закрытого ключа.
Как найти закрытый ключ сертификата на компьютере
Сейчас работа любой даже самой маленькой организации практически не возможно без использования ЭЦП (электронной цифровой подписи). Это связанная в первую очередь с цифровизацией экономики. С одной стороны это упрощает ведение бизнеса но с другой прибавляет забот с получение, хранением, настройкой ЭЦП для работы на различных сервисах. ЭЦП можно сделать как на организацию так и на сотрудника. Так же для работы в разных сервисах могут потребоваться ЭЦП от определенных удостоверяющих центров. Поэтому как правило в организации не одна ЭЦП а несколько. В большинстве все они хранятся на одном носители, простой флешке или даже на жестком диске в компьютере. Мало кто покупает Рутокен/eToken, так стоят они не дешево. В общем за несколько лет на подобном носители собирается несколько закрытых контейнеров и при необходимости найти нужны становиться достаточно сложно. Сегодня хочу поделиться одним способ который поможет найти нужный закрытый ключ.
Как найти закрытую часть ключа
И так допустим есть папка в которой хранятся закрытые контейнеры/ключи и сертификаты, и нам потребовалось один из них скопировать. Имена закрытых контейнеров выглядят следующем образом, это набор цифр и букв. Понять где какой закрытый ключ невозможно.
Лично я в таких случаю делаю следующие манипуляции. Открываю КриптоПРО и выбираю пункт «Установить личный сертификат».
Далее выбирает сертификат от которого нужно найти закрытую часть.
Для начала проверяю есть он вообще, ставлю галочку «Найти контейнер автоматически» если ключевой контейнер найден, снимаю галочку и жму «Обзор».
В имени закрытой части ключа может отображать ФИО того кому она выданная, но не всегда.
Поэтому сверху отмечаем пункт «Уникальные имена», после чего отобразится имена контейнеров которые будут совпадать с именем папки с закрытой частью.
Остается только по очереди выбирать контейнеры. Если контейнер не подходить Вы увидите соответствующее сообщение.
Пока не будет найден нужный.
После чего по имени можно будет определить необходимый контейнер с закрытой частью ключа и скопировать его. Вообще лучше ЭЦП каждого пользователя хранить в отдельной папке или флешки.
Как найти закрытый ключ : 2 комментария
А если они не на флешки а в реестре хранятся, оттуда можно как-то досать?
Читаем контейнер закрытого ключа КриптоПро средствами OpenSSL
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.
- Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
- Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
- В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.
Файл primary.key
Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:
Файл masks.key
Содержит 32 байта маски ключа в формате Asn1, зашифрованного на ключе хранения pwd_key. Далее 12 байт «затравочной» информации для генерации ключа хранения pwd_key, если криптоконтейнер защищен паролем, то пароль также участвует в генерации ключа хранения.
Далее контрольная сумма (имитозащита) 4 байта. Контрольной информацией для простоты мы пользоваться не будем, общий контроль будет осуществляться путем генерации открытого ключа и сравнения первых 8 байт полученного ключа с соответствующим полем из файла header.key:
Файл header.key
- GostR3410_2001_CryptoPro_A_ParamSet — 1.2.643.2.2.35.1
- GostR3410_2001_CryptoPro_B_ParamSet — 1.2.643.2.2.35.2
- GostR3410_2001_CryptoPro_C_ParamSet — 1.2.643.2.2.35.3
- GostR3410_2001_CryptoPro_XchA_ParamSet — 1.2.643.2.2.36.0
- GostR3410_2001_CryptoPro_XchB_ParamSet — 1.2.643.2.2.36.1
Читаем закрытый ключ и конвертируем
Основную работу выполняют следующие 3 функции:
1. Создаем ключ хранения исходя из 12-ти байтовой «соли» и пароля.
2. Расшифровываем основной ключ на ключе хранения.
3. Делим ключ с маской на маску.
Но так как в библиотеке OpenSSL операция деления по модулю традиционно отсутствует, пользуемся операцией взятия обратного числа и умножением.
Сборка утилиты конвертирования ключа
Далее сборка исходников описана для Linux версии.
Версию для Windows можно скачать отсюда там же есть сертификаты и закрытый ключ для тестирования, для сборки потребуется бесплатный компилятор Borland C++ 5.5
Компиляция OpenSSL библиотеки
После скачивания и распаковки исходных текстов openssl в целевой директории выполняем команды:
Получаем готовую библиотеку libcrypto.a в текущей директории.
Также потребуются заголовочные файлы из директорий engines/ccgost и include.