ЭКСПОРТИРУЕМЫЙ ЗАКРЫТЫЙ КЛЮЧ ЧТО ЭТО ЗНАЧИТ КАЗНАЧЕЙСТВО

Что такое экспортируемый закрытый ключ?

В отличие от обычного закрытого ключа, который не может быть экспортирован или скопирован с одного устройства на другое, экспортируемый закрытый ключ может быть сохранен и перемещен между различными устройствами. Это удобно в случаях, когда закрытый ключ необходимо использовать на нескольких платформах или приложениях.

Экспортируемый закрытый ключ может быть сохранен в файле или другом удобном формате, который позволяет его импортировать на другое устройство. При экспорте закрытого ключа важно обеспечить его безопасность и конфиденциальность, чтобы предотвратить несанкционированный доступ к ключу и возможное нарушение безопасности данных.

Использование экспортируемого закрытого ключа имеет свои преимущества, так как он облегчает процесс развертывания и использования криптографической системы на различных устройствах. Однако важно помнить, что безопасность ключей является первостепенной задачей, и необходимо соблюдать меры предосторожности при работе с экспортируемыми закрытыми ключами.

Всем добрый день! Ещё в декабре я делал подписи на портале заявителя (УФК). Так вот, в декабре этой «засады» не наблюдалось. Зато уже в феврале я наткнулся на эту страшную засаду. Которая называется не экспортируемый ключ
. Сейчас я вам расскажу в какую задницу можно залезть, если в этом портале заявителя поставить неверную галочку, всего одну!

Какие последствия повлечёт генерация не экспортируемого ключа?

Собственно, если вы не разбираетесь, не обратили внимания на эту сиротливую галочку, и сгенерировали запрос с опцией «НЕТ» в графе экспортируемого ключа, а я напомню, что по умолчанию стоит именно опция «НЕТ», то вас ждёт жестокое наказание!

Мало того! Когда мы по неосторожности сделали неэкспортируемый ключ, поняли роковую ошибку, и решили сделать новый, экспортируемый, то в УФК нам отказали с формулировкой: «сертификат с такими полномочиями уже выпущен!» Пришлось нам отзывать сертификат в связи с утерей!  И делать новый, экспортируемый!

Будьте внимательны и осторожны при генерации запросов на изготовление сертификатов  на ФЗС — портале заявителя! Это страшная засада!  Не забудьте поставить галочку именно там, где я показал на скрине! Зла не хватает на это казначейство.)

В сфере финансов и казначейства существует понятие экспортируемого закрытого ключа, и это важный инструмент для обеспечения безопасности финансовых операций. Однако, не всегда легко понять, что именно означает этот термин и как его использовать.

В общих терминах, закрытый ключ — это информационная строка, которая используется для шифрования данных. Он может быть экспортируемым, что означает возможность перемещения ключа на другие устройства. Это дает гибкость и удобство для управления финансовыми операциями.

Казначейство — это сфера деятельности, связанная с управлением финансовыми ресурсами организации. Здесь экспортируемый закрытый ключ играет важную роль, так как он позволяет обеспечить безопасность всех финансовых транзакций и операций, выполняемых в рамках казначейства.

Использование экспортируемого закрытого ключа в казначействе позволяет защитить финансовые средства и обеспечить их безопасность против несанкционированного доступа и мошенничества. Ключ может быть перемещен в безопасное место, что дает дополнительные гарантии сохранности информации и предотвращает возможность утечки данных.

При использовании экспортируемого закрытого ключа необходимо следить за его безопасностью и правильным использованием. Важно установить защиту от несанкционированного доступа и регулярно менять ключи, чтобы минимизировать возможность атак и мошенничества. Ключ также должен храниться в надежном месте и доступ к нему должны иметь только авторизованные лица.

В итоге, использование экспортируемого закрытого ключа в казначействе играет критическую роль в обеспечении безопасности и защите финансовых операций. Он позволяет гарантировать конфиденциальность, целостность и доступность данных, а также предотвращает возможность мошенничества и утечек информации.

Извините, но у вас недостаточно прав для комментирования

В этой публикации в связи с изменениями в законодательстве в части касающейся порядка использования ЭЦП представляю своё понимание вопросов, связанных с ЭЦП, и рассматриваю несколько популярных вопросов:

▪️ Что такое экспортируемый и неэкспортируемый ключ ЭЦП

▪️Возможно ли технически сделать копию неэкспортируемого ключа ЭП

▪️И можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически.

В конце декабря 2022 года был принят Федеральный закон № 536-ФЗ
. Который в частности продлевает срок использования ЭПЦ, выданных коммерческими удостоверяющими центрами до 31.08.2023г. После этой даты использование таких электронных подписей будет запрещено. А аккредитованные коммерческие УЦ смогут выдавать только подписи для физ. лиц (должностных лиц организации по доверенности).

С 01 сентября 2023г. Такие подписи (на сотрудников) можно будет использовать только с приложением так называемой машиночитаемой доверенности или МЧД
. При этом никто пока не знает кто и каким порядком будет выпускать МЧД. А запреты уже ввели. В общем, всё как всегда.

Что такое экспортируемый ключ ЭЦП

Экспортируемый ключ электронной подписи (или извлекаемый) это такой ключ, контейнер которого можно копировать (переносить) на другие носители без технических ограничений. 

Копирование контейнеров экспортируемых ключей производится с помощью стандартных средств программ криптографической защиты, таких как КРИПТО ПРО.

Итак, экспортируемый или извлекаемый ключ ЭЦП можно легко скопировать стандартными программами для криптографии.

Что такое неэкспортируемый ключ ЭЦП

ФНС (Федеральная налоговая служба), изучив положения новых законодательных актов об электронных подписях, пришла к выводу, что новые требования безопасности ФСБ к электронным ключам ЭП можно соблюсти лишь запретив копирование ключей ЭЦП.

Таким образом, в соответствии с новой нормативной базой, ФНС выпускает ЭЦП на руководителей с 01.01.2022 только в неэкспортируемом варианте. Итак:

Неэкспортируемый ключ ЭЦП — такой ключ, который нельзя скопировать на другой носитель стандартными программами и средствами.

С этим разобрались.

Как проверить экспортируемый ключ или не экспортируемый

Итак, проверить возможность копирования (экспортируемости) ключа электронной подписи можно как минимум двумя простыми способами:

1. С помощью КРИПТО ПРО CSP опцией «протестировать»:

Итак, вставляем ваш рутокен или другой носитель с ЭЦП, запускаем КРИПТОПРО CSP, и выбираем меню «сервис» кнопку протестировать:

После этого откроется окно выбора вашего контейнера на токене:

И затем после нажатия на ОК, в окне мастера проверки нужно будет найти информацию о запрете или разрешении экспорта ключа:

Как видите, экспорт данного ключа запрещён
. Это значит, кто ключ у вас будет физически в единственном экземпляре на этом носителе. И скопировать стандартными средствами
на другой носитель его не получится.

2. При попытке копирования не экспортируемого ключа ЭЦП будет ошибка:

Второй способ проверить вашу ЭЦП на возможность копирования заключается в банальной попытке скопировать с помощью опять же КриптоПро CSP контейнер:

И вот тут после выбора контейнера для копирования, вы увидите вот такое примерно сообщение:

*В разных версиях Крипто Про будут разные по текстовке сообщения, но смысл их всех один и тот же.

Можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически?

Существует разные мнения на этот счёт, но лично я считаю, что нельзя. Приведу скрин с одного трастового портала — удостоверяющего центра, разъясняющего этот момент:

Информация, как я уже говорил, с портала Астрал
. Итак, строго говоря, мы вообще имеем то, что копирование любых ключей как бы юридически незаконно.

Можно ли технически скопировать неэкспортируемый ключ ЭЦП?

Да, разумеется. Техническая возможность сделать неэкспортируемый ключ экспортируемым — есть. Но это можно делать только с помощью специального софта, который в магазине не купишь. Вообще, с копированием неэкспортируемых ключей была целая истерика у людей весь 2022 год.

Если вы дочитаете эту статью до конца, то я назову некоторые объективные причины такой паники. И вы знаете, даже на порталах контур.ру и ФНС были выложены утилиты для копирования неэкспортируемых ключей, контейнеров. 

ЭПИЛОГ

Однако, в погоне за соблюдением норм безопасности, законодатели забывают несколько моментов:

▪️Поскольку директора организаций не имеют представления как настраивать АРМ для работы на электронных площадках, то передавать ЭЦП им всё-равно придётся программистам/админам. Однако, юридически этого делать нельзя. Пат. Тупик. Значит, придётся нарушать законодательство в любом из случаев. Тогда зачем все эти ограничения на экспорт ключа?

▪️Ключ ФНС выдаёт в единственном экземпляре физически. Однако безопасность это помимо всего прочего ещё и надёжность. Любой ИТ — специалист вам скажет, что отсутствие возможности сделать резервную копию неважно чего — это грубейшее нарушение в части касающейся безопасности. Если этот полученный директором единственный рутокен выйдет из строя, то придётся получать новый ключ в ФНС.  Зачем усиливать одну безопасность и тут же резко ослаблять другую? Опять пат. И тупик.

▪️До сих пор существует множество площадок, систем, технических порталов, на которых какое-либо действие можно совершить только с помощью ЭЦП руководителя. А она выдаётся только в 1 экземпляре теперь. Директор не будет же бегать по разнесённым на больших расстояниях порталам, рабочим местам, точкам, объектам, чтобы что-то настроить или заверить, отправить, подписать? Ему итак заняться есть чем? Верно? Да и физически он не успеет этого сделать в ряде случаев. Опять тупик? Пат. Срыв отчётности? Срыв Гос. оборон заказа? Тюрьма? Что ему делать то? ФНС об этом подумала? 

Эти и другие вопросы ставят под сомнения новые законы и инициативы, связанные с использованием электронных подписей в нашей стране.

• 
  Не в сети

22 окт 2018 10:45
#9068

от

shaburoff пишет: Такой вопрос — клиент установил сертификат в контейнер, как удалить сертификат из контейнера?

Экспорт закрытого ключа через хранилище сертификатов не прокатывает, пишет отказано в доступе.

Экспортировать надо
через КриптоПро CSP

.

ПРИМЕЧАНИЕ
: при двойном клике на файле *.pfx
не забудьте поставить галочку, чтобы сделать

контейнер экспортируемым

• 
  Не в сети

22 окт 2018 11:25
#9070

от

Одинаково, что через крипто-про, что через хранилище, похоже контейнер не экспортируемый. Хотя крипто-про пишет, что экспортируемый. На Крипто-Про 3.6 получилось экспортировать, но после импортируется из файла *.pfx только сертификат, а закрытый ключ нет. При экспорте конечно выбирал, чтоб экспортировать закрытый ключ. Похоже только генерация нового ключа.

• 
  Не в сети

22 окт 2018 14:11
#9074

от

shaburoff пишет: Одинаково, что через крипто-про, что через хранилище, похоже контейнер не экспортируемый. Хотя крипто-про пишет, что экспортируемый. На Крипто-Про 3.6 получилось экспортировать, но после импортируется из файла *.pfx только сертификат, а закрытый ключ нет. При экспорте конечно выбирал, чтоб экспортировать закрытый ключ. Похоже только генерация нового ключа.

Признак экспортируемости — это признак ключевого контейнера и от версии КриптоПро не зависит. Вероятно, контейнер все-таки экспортируемый, иначе это не получилось бы и на КриптоПро 3.6.

Увы, не знаю, почему «отказано в доступе» и что с этим делать. А pfx-файл устанавливали тоже на КриптоПро 3.6? Что, если экспортировать на 3.6, а импортировать попробовать на 4.0?

______________________________

лучше уже было

• 
  Не в сети

22 окт 2018 18:14
#9080

от

shaburoff пишет: На Крипто-Про 3.6 получилось экспортировать, но после импортируется из файла *.pfx только сертификат, а закрытый ключ нет. При экспорте конечно выбирал, чтоб экспортировать закрытый ключ.

Если после экспорта в файл pfx этот файл имеет иконку с ключом, то значит этот файл содержит как сертификат, так и ключ. Установка сертификата и закрытого ключа из файла pfx осуществляется двойным щелчком мыши по файлу pfx в проводнике Windows.

Спасибо сказали:

• 
  Не в сети

23 окт 2018 12:20
#9086

от

shaburoff пишет: На Крипто-Про 3.6 получилось экспортировать, но после импортируется из файла *.pfx только сертификат, а закрытый ключ нет. При экспорте конечно выбирал, чтоб экспортировать закрытый ключ.

Если после экспорта в файл pfx этот файл имеет иконку с ключом, то значит этот файл содержит как сертификат, так и ключ. Установка сертификата и закрытого ключа из файла pfx осуществляется двойным щелчком мыши по файлу pfx в проводнике Windows.

Слава богу, нет проблемы, чисто спортивный интерес

вдруг пригодится

. С контейнерами для Континент-АП (запросы делались через меню Континента) такая же ситуация, как у shaburoff: при экспорте закрытого ключа «оказано в доступе». Если загрузиться в безопасном режиме, то в pfx экспортируется, иконка с ключом
, но закрытый ключ из pfx не импортируется. С закрытыми ключами пользователей (которые никакого отношения к Континенту не имеют) все получается.

______________________________

лучше уже было

• 
  Не в сети

14 март 2019 12:31
#11211

от

Здравствуйте , у меня возникла проблема с одной программой Континент АП версии 3.7.7.625 пишет что корневые сертификаты не установлены , хотя я устанавливал сертификаты root и пользователя , все сертификаты на руках ? cthnbabrfn root , установлен в доверенном центре

• 
  Не в сети

25 март 2019 13:33
— 25 март 2019 13:34
#11473

от

Объясните пожалуйста, что не так?

W 10 — 64

КП — 4.0.9944

Код Безопасности CSP 3.7.2.1229

Получили сертификат для континент АП по ГОСТ 2012

устанавливаю через Код Безопасности: импорт пользовательского сертификата успешно завершен.

По умолчанию криптопровайдер: Код Безопасности CSP

При подключении выбираю сертификат, смотрю свойства, а там: При проверке отношений доверия произошла системная ошибка. (в корневом сертификате так же)

И дальше ошибка: указан неправильный алгоритм.

Какие мои действия? в чем проблема?

• 
  Не в сети

25 март 2019 13:48
#11474

от

inka пишет: Получили сертификат для континент АП по ГОСТ 2012

устанавливаю через Код Безопасности: импорт пользовательского сертификата успешно завершен.

По умолчанию криптопровайдер: Код Безопасности CSP

При подключении выбираю сертификат, смотрю свойства, а там: При проверке отношений доверия произошла системная ошибка. (в корневом сертификате так же)

Удалите ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

______________________________

лучше уже было

• 
  Не в сети

26 март 2019 09:37
#11513

от

Удалите ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

• 
  Не в сети

26 март 2019 10:04
#11514

от

Удалите ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

очень на это надеялась. но не помогло. ошибки остались те же

Корневые сертификаты

установлены?

______________________________

лучше уже было

• 
  Не в сети

26 март 2019 10:48
— 26 март 2019 10:49
#11515

от

• 
  Не в сети

26 март 2019 11:32
#11517

от

Удалите ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

очень на это надеялась. но не помогло. ошибки остались те же

Корневые сертификаты

установлены?

Спасибо сказали:

• 
  Не в сети

03 июнь 2019 17:41
#12463

от

Аналогичная проблема, какие ещё мысли на эту тему, чтоб попробовать решить проблему

• 
  Не в сети

03 июнь 2019 18:08
— 03 июнь 2019 18:11
#12465

от

sir61 пишет: Аналогичная проблема, какие ещё мысли на эту тему, чтоб попробовать решить проблему

• 
  Не в сети

03 июнь 2019 20:44
#12466

от

Почему сертификат заблокирован? Что мешает?

Как использовать экспортируемый закрытый ключ в казначействе?

Вот несколько способов использования экспортируемого закрытого ключа в казначействе:

1. Шифрование и дешифрование данных:

С помощью экспортируемого закрытого ключа можно зашифровывать и дешифровывать конфиденциальные данные. Казначейство может использовать эту функцию для безопасной передачи и хранения финансовой информации.

2. Подписание документов и электронный документооборот:

Экспортируемый закрытый ключ может быть использован для подписи электронных документов. Это обеспечит подлинность и целостность документов и позволит казначейству проводить электронный документооборот с другими организациями.

3. Аутентификация и безопасный доступ:

Экспортируемый закрытый ключ может быть использован для аутентификации пользователей и обеспечения безопасного доступа к системе казначейства. Путем проверки подлинности ключа казначей может быть уверен, что только авторизованные лица имеют доступ к системе.

Важно помнить, что экспортируемый закрытый ключ является ценным ресурсом и должен быть храниться в надежном месте. Также рекомендуется регулярно резервировать ключ для предотвращения потери данных.

Использование экспортируемого закрытого ключа в казначействе позволяет обеспечить безопасность, конфиденциальность и целостность финансовых операций и данных. Это помогает защитить казначейство от несанкционированного доступа и мошенничества, увеличивая доверие клиентов и партнеров.

Значение экспортируемого закрытого ключа в казначействе

Он представляет собой уникальный код, который используется для подписи электронных документов и проверки подлинности информации в системе казначейства. Экспортируемый закрытый ключ является частью криптографической системы, которая обеспечивает конфиденциальность и целостность финансовых данных.

Казначейство может использовать экспортируемый закрытый ключ для следующих целей:

Кроме того, экспортируемый закрытый ключ обычно защищен паролем или другим методом аутентификации, чтобы предотвратить несанкционированный доступ к нему. Защита ключа является первоочередной задачей казначейства, чтобы обезопасить финансовые операции и сохранить информацию в тайне.

Таким образом, экспортируемый закрытый ключ играет важную роль в обеспечении безопасности и целостности финансовых данных в казначействе, и его правильное использование является необходимым условием для эффективного функционирования системы казначейства.

Преимущества использования экспортируемого закрытого ключа

Экспортируемый закрытый ключ (Exportable Private Key) представляет собой ключевую компоненту системы шифрования, который может быть передан из одной системы в другую. Использование экспортируемых закрытых ключей обладает рядом преимуществ: