КАК ИЗВЛЕЧЬ ОТКРЫТЫЙ КЛЮЧ ЭЛЕКТРОННОЙ ПОДПИСИ

Токен — общее название носителя ключей для электронной цифровой подписи, которая необходима для подтверждения юридической значимости документа, его неизменности в дальнейшем. На практике его часто называют носителем ЭЦП, аппаратным либо программным ключом.

Что такое ключевой контейнер? Зачем нужен пароль на контейнер?

Публикация: 27 Декабрь 2010 — 17:57, редакция: 30.12.2010 02:35

Ключевые контейнеры – это способ хранения закрытых ключей, реализованный в нашем продукте. Их физическое представление зависит от типа ключевого носителя (на флешке, дискете, жестком диске это директория в которой хранится набор файлов с ключевой информацией; в случае со смарт-картами – файлы в защищенной памяти смарт-карты, в случае с реестром – раздел реестра, содержащий некоторые параметры). Пароль на контейнер имеет разное значение для смарт-карт и для носителей, не являющихся смарт-картами.

Купить

Вход

Услуги УЦ

Услуги СЭП

Подписка

Из нашей статьи вы узнаете:

Квалифицированная электронная подпись (КЭП, ЭЦП) — это аналог рукописной подписи, который подтверждает личность владельца. Позволяет заверять любые электронные документы.

В аккредитованном удостоверяющем центре пользователю выдают сертификат, закрытый и открытый ключ. Сертификат содержит в себе срок действия подписи и информацию о владельце ЭЦП. Открытый и закрытый ключ нужны для создания и расшифровки КЭП. Эти файлы могут записываться на физический носитель — USB-токен, который внешне напоминает флешку. Чтобы поставить подпись, токен вставляют в компьютер. Для подписи документов без подключения носителя к компьютеру нужно скопировать ключи ЭЦП с флешки на ПК.

В статье — подробная инструкция, как это сделать.

ЭЦП — это устаревшее понятие. Расшифровывается как «электронная цифровая подпись». В настоящее время законодательством закреплено название ЭП, которое расшифровывается как «электронная подпись»

Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.

Стоит упомянуть о существовании утилиты P12FromGostCSP
которая позволяет конвертировать ключ в формат P12, доступный для работы с OpenSSL, но утилита имеет следующие существенные недостатки:

• Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
• Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
• В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.

Квалифицированная электронная подпись для ООО

ВТБ — доверенное лицо Удостоверяющего центра ФНС России

При наличии или открытии счета для бизнеса в ВТБ

По 2 документам и номерам ИНН, СНИЛС, ОГРН

За 20 минут в офисе ВТБ, без посещения ФНС

Запись на сертифицированный USB-токен с модулем NFC

Для чего нужна КЭП для ООО

Вести электронный документооборот

Подписывать договоры, счет-фактуры и другие документы в цифровом виде

Пользоваться сервисами госорганов

Работать на Госуслугах и других порталах, которые принимают квалифицированную электронную подпись

Отправлять отчетность в ФНС

Подавать отчетность и декларации в личном кабинете налогоплательщика

Участвовать в электронных торгах

Использовать подпись на любых площадках, в том числе для госзакупок

Оставьте заявку на выдачу КЭП

Нужен только номер телефона

Поможем открыть расчетный счет для бизнеса

При открытии счета для бизнеса в банке ВТБ вы получаете КЭП бесплатно

Бесплатно выдадим КЭП за 20 минут

Будем ждать вас в одном из доступных офисов

Оставьте заявку прямо сейчас

Оставьте номер телефона и мы проконсультируем вас в ближайшее время

Оставьте заявку на получение КЭП

Нужен только номер телефона

Позвоним и проконсультируем

Бесплатно выдадим КЭП за 20 минут

Будем ждать вас в одном из доступных офисов

Оставьте заявку прямо сейчас

Оставьте номер телефона и мы проконсультируем вас в ближайшее время

Документы, которые необходимо предоставить:

• решение о назначении руководителя или другой документ, подтверждающий право действовать от имени юридического лица без доверенности

Номера, которые необходимо сообщить менеджеру:

Документы, которые необходимо предоставить:

• лист записи ЕГРИП или свидетельство ОГРНИП

Номера, которые необходимо сообщить менеджеру:

Брендированный токен банка

Рутокен ЭЦП 3.0 (сертифицированный ФСБ России)

Токен, предоставленный клиентом

JaCarta-2 ГОСТ, Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, Рутокен ЭЦП 3.0 NFC (новый, с заводскими настройками,
сертифицированный ФСТЭК или ФСБ России)

Копируем сертификат ЭЦП через КриптоПро CSP

Этот способ подходит для ОС Windows.

Шаг 1. Вставьте носитель в USB-разъём.

Шаг 2. Откройте приложение КриптоПро CSP и выберите вкладку «Сервис».

Шаг 3. Найдите раздел «Контейнер закрытого ключа» и нажмите на кнопку «Скопировать».

Шаг 4. Откроется окно «Копирование контейнера закрытого ключа». В нём нажмите на кнопку «Обзор».

Шаг 5. Из списка контейнеров выберите тот, что установлен на флешку-токен, и нажмите «ОК».

Шаг 6. Придумайте название для нового контейнера закрытого ключа и нажмите «Готово».

Шаг 7. Откроется окно «Выбор ключевого носителя КриптоПро CSP». Чтобы использовать реестр Windows, выберите опцию «Реестр» и нажмите «Готово».

Шаг 8. Для того чтобы защитить вашу электронную подпись от использования посторонними, придумайте пароль и введите его в поля на экране.

После этого появится сообщение о том, что сертификат успешно скопирован в локальный реестр. Нажмите «ОК».

Шаг 9. Снова откройте КриптоПро CPS, найдите раздел «Сертификаты в контейнере закрытого ключа». Выберите «Просмотреть сертификаты в контейнере».

Шаг 10. В открывшемся окне нажмите на кнопку «Обзор». В списке найдите новый контейнер по считывателю «Реестр» и по заданному вами названию.

Шаг 11. Выделите нужный контейнер и нажмите «ОК».

Шаг 12. Появится окно с информацией о сертификате, где указаны владелец ЭЦП, поставщик и срок действия. Проверьте информацию и нажмите «Установить».

Шаг 13. Если установка прошла успешно, появится уведомление о том, что сертификат установлен в хранилище «Личное». Нажмите «ОК».

Файл header. key

Из этого файла нам потребуется параметры электронной подписи CryptoProParamSet (подчеркнуто красным).

• GostR3410_2001_CryptoPro_A_ParamSet — 1.2.643.2.2.35.1
• GostR3410_2001_CryptoPro_B_ParamSet — 1.2.643.2.2.35.2
• GostR3410_2001_CryptoPro_C_ParamSet — 1.2.643.2.2.35.3
• GostR3410_2001_CryptoPro_XchA_ParamSet — 1.2.643.2.2.36.0
• GostR3410_2001_CryptoPro_XchB_ParamSet — 1.2.643.2.2.36.1

А также первые 8 байт открытого ключа (подчеркнуто) для контроля правильности чтения закрытого.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью
можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах.
Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической
защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком
носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП
подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота.
Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE,
используются только для работы с ЕГАИС.

Файл primary. key

Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:

Читаем закрытый ключ и конвертируем

   #include <stdio.h>
#include <stdlib.h>
#include <string.h>

#include <openssl/pem.h>
#include <openssl/cms.h>
#include <openssl/err.h>
#include "gost_lcl.h"

/* Convert little-endian byte array into bignum */
BIGNUM *reverse32bn(char *b, BN_CTX *ctx)
{
	BIGNUM *res;
	char buf[32];
	BUF_reverse(buf, b, 32);
	res = BN_bin2bn(buf, 32, BN_CTX_get(ctx));
	OPENSSL_cleanse(buf, sizeof(buf));
	return res;
}

void xor_material(char *buf36, char *buf5C, char *src)
{
	int i;
	for(i = 0; i < 32; i++)
	{
		buf36[i] = src[i] ^ 0x36;
		buf5C[i] = src[i] ^ 0x5C;
	}
}

int make_pwd_key(char *result_key, char *start12, int start12_len, char *passw)
{
	int result;
	int i;
	char pincode4[1024];
	int pin_len;
	char current[32];
	char material36[32];
	char material5C[32];
	char hash_result[32];
	gost_hash_ctx ctx;
	init_gost_hash_ctx(&ctx, &GostR3411_94_CryptoProParamSet);
	memset(pincode4, 0, sizeof(pincode4));
	pin_len = strlen(passw);
	if (pin_len*4 > sizeof(pincode4)) {	result = 1;	goto err; }
	for(i = 0; i < pin_len; i++)
		pincode4[i*4] = passw[i];

	start_hash(&ctx);
	hash_block(&ctx, start12, start12_len);
	if (pin_len) 
		hash_block(&ctx, pincode4, pin_len * 4);
	finish_hash(&ctx, hash_result);

	memcpy(current, (char*)"DENEFH028.760246785.IUEFHWUIO.EF", 32);

	for(i = 0; i < (pin_len?2000:2); i++)
	{
		xor_material(material36, material5C, current);
		start_hash(&ctx);
		hash_block(&ctx, material36, 32);
		hash_block(&ctx, hash_result, 32);
		hash_block(&ctx, material5C, 32);
		hash_block(&ctx, hash_result, 32);
		finish_hash(&ctx, current);
	}

	xor_material(material36, material5C, current);

	start_hash(&ctx);
	hash_block(&ctx, material36, 32);
	hash_block(&ctx, start12, start12_len);
	hash_block(&ctx, material5C, 32);
	if (pin_len) 
		hash_block(&ctx, pincode4, pin_len * 4);
	finish_hash(&ctx, current);

	start_hash(&ctx);
	hash_block(&ctx, current, 32);
	finish_hash(&ctx, result_key);

	result = 0; //ok
err:
	return result;
}

BIGNUM *decode_primary_key(char *pwd_key, char *primary_key, BN_CTX *bn_ctx)
{
	BIGNUM *res;
	char buf[32];
	gost_ctx ctx;
	gost_init(&ctx, gost_cipher_list->sblock);
	gost_key(&ctx, pwd_key);
	gost_dec(&ctx, primary_key, buf, 4);
	res = reverse32bn(buf, bn_ctx);
	OPENSSL_cleanse(buf, sizeof(buf));
	return res;
}

BIGNUM *remove_mask_and_check_public(char *oid_param_set8, BIGNUM *key_with_mask, BIGNUM *mask, char *public8, BN_CTX *ctx)
{
	int result;
	EC_KEY *eckey = NULL;
	const EC_POINT *pubkey;
	const EC_GROUP *group;
	BIGNUM *X, *Y, *order, *raw_secret, *mask_inv;
	char outbuf[32], public_X[32];
	ASN1_OBJECT *obj;
	int nid;

	order = BN_CTX_get(ctx);
	mask_inv = BN_CTX_get(ctx);
	raw_secret = BN_CTX_get(ctx);
	X = BN_CTX_get(ctx);
	Y = BN_CTX_get(ctx);
	if (!order || !mask_inv || !raw_secret || !X || !Y) { result = 1; goto err; }

	obj = ASN1_OBJECT_create(0, oid_param_set8+1, *oid_param_set8, NULL, NULL);
	nid = OBJ_obj2nid(obj);
	ASN1_OBJECT_free(obj);

	if (!(eckey = EC_KEY_new())) { result = 1; goto err; }
	if (!fill_GOST2001_params(eckey, nid)) { result = 1; goto err; }
	if (!(group = EC_KEY_get0_group(eckey))) { result = 1; goto err; }
	if (!EC_GROUP_get_order(group, order, ctx)) { result = 1; goto err; }

	if (!BN_mod_inverse(mask_inv, mask, order, ctx)) { result = 1; goto err; }
	if (!BN_mod_mul(raw_secret, key_with_mask, mask_inv, order, ctx)) { result = 1; goto err; }

	if (!EC_KEY_set_private_key(eckey, raw_secret)) { result = 1; goto err; }
	if (!gost2001_compute_public(eckey)) { result = 1; goto err; }
	if (!(pubkey = EC_KEY_get0_public_key(eckey))) { result = 1; goto err; }
	if (!EC_POINT_get_affine_coordinates_GFp(group, pubkey, X, Y, ctx)) { result = 1; goto err; }

	store_bignum(X, outbuf, sizeof(outbuf));
	BUF_reverse(public_X, outbuf, sizeof(outbuf));
	if (memcmp(public_X, public8, 8) != 0) { result = 1; goto err; }

	result = 0; //ok
err:
	if (eckey) EC_KEY_free(eckey);
	if (result == 0) return raw_secret;
	return NULL;
}

int file_length(char *fname)
{
	int len;
	FILE *f = fopen(fname, "rb");
	if (f == NULL) return -1;
	fseek(f, 0, SEEK_END);
	len = ftell(f);
	fclose(f);
	return len;
}

int read_file(char *fname, int start_pos, char *buf, int len)
{
	int read_len;
	FILE *f = fopen(fname, "rb");
	if (f == NULL) return 1;
	if (start_pos) fseek(f, start_pos, SEEK_SET);
	read_len = fread(buf, 1, len, f);
	fclose(f);
	if (read_len != len) return 1;
	return 0; //ok
}

int get_asn1_len(unsigned char *buf, int *size_hdr)
{
	int n, i, res;
	int pos = 0;
	if ((buf[pos]&0x80) == 0) {
		*size_hdr = 1;
		return buf[pos];
	}
	n = buf[pos++]&0x7f;
	res = 0;
	for(i = 0; i < n; i++) {
		res = res*256 + buf[pos++];
	}
	*size_hdr = n+1;
	return res;
}

#define MAX_HEADER 20000
int read_container(char *fpath, int flag2, char *salt12, char *primary_key, char *masks_key, char *public8, char *oid_param_set8)
{
	int result;
	char primary_path[1024+30];
	char masks_path[1024+30];
	char header_path[1024+30];
	char header_buf[MAX_HEADER];
	int header_len;
	int i, len, pos, size_hdr;

	if (strlen(fpath)>1024) { result = 1; goto err; }

	sprintf(header_path, "%s/header.key", fpath);
	if (flag2 == 0)
	{
		sprintf(primary_path, "%s/primary.key", fpath);
		sprintf(masks_path, "%s/masks.key", fpath);
	}
	else
	{
		sprintf(primary_path, "%s/primary2.key", fpath);
		sprintf(masks_path, "%s/masks2.key", fpath);
	}

	if (read_file(primary_path, 4, primary_key, 32)) { result = 1; goto err; }
	if (read_file(masks_path, 4, masks_key, 32)) { result = 1; goto err; }
	if (read_file(masks_path, 0x26, salt12, 12)) { result = 1; goto err; }

	header_len = file_length(header_path);
	if (header_len < 0x42 || header_len > MAX_HEADER) { result = 1; goto err; }
	if (read_file(header_path, 0, header_buf, header_len)) { result = 1; goto err; }

//------------- skip certificate ---------------------------
	pos = 0;
	for(i = 0; i < 2; i++)
	{
		get_asn1_len(header_buf+pos+1, &size_hdr);
		pos += size_hdr+1;
		if (pos > header_len-8) { result = 2; goto err; }
	}

//------------------ get oid_param_set8 -----------------------
#define PARAM_SET_POS 34
	if (memcmp(header_buf+pos+PARAM_SET_POS, "\x6\x7", 2) != 0) { result = 2; goto err; }
	memcpy(oid_param_set8, header_buf+pos+PARAM_SET_POS+1, 8);

//------------------ get public8 -----------------------
	result = 2; //not found
	pos += 52;
	for(i = 0; i < 3; i++)
	{
		len = get_asn1_len(header_buf+pos+1, &size_hdr);
		if (len == 8 && memcmp(header_buf+pos, "\x8a\x8", 2) == 0)
		{
			memcpy(public8,header_buf+pos+2,8);
			result = 0; //ok
			break;
		}
		pos += len+size_hdr+1;
		if (pos > header_len-8) { result = 2; goto err; }
	}
err:
	OPENSSL_cleanse(header_buf, sizeof(header_buf));
	return result;
}

#define START_OID 0x12
#define START_KEY 0x28
unsigned char asn1_private_key[72] = {
	0x30,0x46,2,1,0,0x30,0x1c,6,6,0x2a,0x85,3,2,2,0x13,0x30,0x12,6,7,0x11,
	0x11,0x11,0x11,0x11,0x11,0x11,6,7,0x2a,0x85,3,2,2,0x1e,1,4,0x23,2,0x21,0
};

int main(int argc, char **argv)
{
	int result;
	char *container_path;
	char *passw;
	char salt12[12];
	char primary_key[32];
	char masks_key[32];
	char public8[8];
	char oid_param_set8[8];
	BN_CTX *ctx;
	BIGNUM *key_with_mask;
	BIGNUM *mask;
	BIGNUM *raw_key;
	char pwd_key[32];
	char outbuf[32];

	ctx = BN_CTX_new();

	if (argc == 2)
	{
		container_path = argv[1];
		passw = "";
	}
	else
	if (argc == 3)
	{
		container_path = argv[1];
		passw = argv[2];
	}
	else
	{
		printf("get_private container_path [passw]\n");
		result = 1;
		goto err;
	}

	if (read_container(container_path, 0, salt12, primary_key, masks_key, public8, oid_param_set8) != 0 &&
		read_container(container_path, 1, salt12, primary_key, masks_key, public8, oid_param_set8) != 0)
	{
		printf("can not read container from %s\n", container_path);
		result = 2;
		goto err;
	}

	make_pwd_key(pwd_key, salt12, 12, passw);
	key_with_mask = decode_primary_key(pwd_key, primary_key, ctx);
	OPENSSL_cleanse(pwd_key, sizeof(pwd_key));
	mask = reverse32bn(masks_key, ctx);
	raw_key = remove_mask_and_check_public(oid_param_set8, key_with_mask, mask, public8, ctx);

	if (raw_key)
	{
		BIO *bio;
		store_bignum(raw_key, outbuf, sizeof(outbuf));
		memcpy(asn1_private_key+START_OID, oid_param_set8, 8);
		memcpy(asn1_private_key+START_KEY, outbuf, 32);
		//bio = BIO_new_file("private.key", "w");
		bio = BIO_new_fp(stdout, BIO_NOCLOSE | BIO_FP_TEXT);
		PEM_write_bio(bio, "PRIVATE KEY", "", asn1_private_key, sizeof(asn1_private_key));
		BIO_free(bio);
		OPENSSL_cleanse(outbuf, sizeof(outbuf));
		OPENSSL_cleanse(asn1_private_key, sizeof(asn1_private_key));
		result = 0; //ok
	}
	else
	{
		printf("Error check public key\n");
		result = 3;
	}

err:
	BN_CTX_free(ctx);
	OPENSSL_cleanse(salt12, sizeof(salt12));
	OPENSSL_cleanse(primary_key, sizeof(primary_key));
	OPENSSL_cleanse(masks_key, sizeof(masks_key));
	return result;
}
  
  

Основную работу выполняют следующие 3 функции:

1. Создаем ключ хранения исходя из 12-ти байтовой «соли» и пароля.

   make_pwd_key(pwd_key, salt12, 12, passw);
  
  

2. Расшифровываем основной ключ на ключе хранения.

   key_with_mask = decode_primary_key(pwd_key, primary_key, ctx);
  
  

3. Делим ключ с маской на маску.

   raw_key = remove_mask_and_check_public(oid_param_set8, key_with_mask, mask, public8, ctx);
  
  

Но так как в библиотеке OpenSSL операция деления по модулю традиционно отсутствует, пользуемся операцией взятия обратного числа и умножением.

   if (!BN_mod_inverse(mask_inv, mask, order, ctx)) { result = 1; goto err; }
if (!BN_mod_mul(raw_secret, key_with_mask, mask_inv, order, ctx)) { result = 1; goto err; }
  
  

На какой USB-токен можно записать КЭП для ООО?

Квалифицированный сертификат ключа электронной подписи записывается на носитель, сертифицированный ФСБ или ФСТЭК России. Для записи КЭП подходят следующие USB-токены: JaCarta-2 ГОСТ, Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, Рутокен ЭЦП 3.0 NFC.

Получатель электронной подписи может предоставить свой носитель, соответствующий перечисленным условиям, или воспользоваться USB-токеном банка. В ТБ предоставляет бесплатно Рутокен ЭЦП 3.0 с модулем NFC.

Кто может получить КЭП?

Согласно 63-ФЗ «Об электронной подписи» юридические лица, зарегистрированные в форме общества с ограниченной ответственностью, могут получить квалифицированную электронную подпись. Получить КЭП для ООО по доверенности нельзя, требуется личное присутствие представителя, который имеет право действовать от имени юридического лица.

Файл masks. key

Содержит 32 байта маски ключа в формате Asn1, зашифрованного на ключе хранения pwd_key. Далее 12 байт «затравочной» информации для генерации ключа хранения pwd_key, если криптоконтейнер защищен паролем, то пароль также участвует в генерации ключа хранения.

Далее контрольная сумма (имитозащита) 4 байта. Контрольной информацией для простоты мы пользоваться не будем, общий контроль будет осуществляться путем генерации открытого ключа и сравнения первых 8 байт полученного ключа с соответствующим полем из файла header.key:

Носитель ЭЦП R301 Форос

Ключевой носитель R301 Форос
выпускает компания «СмартПарк». Решение имеет сертификат совместимости с «КриптоПРО», обеспечивает надежную защиту ключей электронной подписи, сертификатов криптографического параметра. Особенность токена — в наличии прочного алюминиевого корпуса, что повышает защиту от механических повреждений. Главные характеристики носителя R301 Форос:

• объем защищенной памяти — 80 килобайт;
• количество контейнеров для хранения ЭЦП — 6 штук;
• число попыток для некорректного ввода пароля пользователя/администратора — 5/15;
• возможность разблокировки/восстановления пароля — есть;
• функция для свободного удаления контейнера с ЭЦП — нет.

Какой носитель ЭЦП выбрать и где приобрести

Конкретный выбор между токенами при покупке и оформлении ЭЦП зависит от следующих факторов:

• количество используемых ЭЦП (желательно брать с запасом из-за необходимости ежегодно обновлять сертификаты);
• специфика применения (необходима ли дополнительная Flash-память, будет ли использоваться токен в системах контроля доступа);
• личные предпочтения в плане внешнего вида и бренда.

Одновременно для обеспечения информационной безопасности, предотвращения потери данных важно учитывать следующие моменты:

• приобретайте токен и ЭЦП в авторизованных удостоверяющих центрах;
• поддерживайте на должном уровне грамотность персонала, который будет работать с токеном;
• соблюдайте перечень простейших правил хранения ключей для предотвращения их хищения, компрометации паролей.

Подобрать подходящий носитель ЭЦП и оформить ЭЦП любого типа
на выгодных условиях можно в удостоверяющем центре АО «Калуга Астрал». Все работы по формированию сертификатов будут выполнены не позднее двух дней с момента подачи заявки (также доступна возможность ускоренного выпуска — в течение 1-2 часов). Специалисты нашего удостоверяющего центра помогут подобрать подходящий сертификат с учетом специфики вашей работы.

Сколько занимает выдача КЭП от УЦ ФНС для ООО?

Около 20 минут займет выдача квалифицированной электронной подписи для ООО. В течение этого времени сотрудник банка оформляет необходимые документы, а также производится проверка данных юрлица на стороне государственных систем, после чего осуществляется запись квалифицированного сертификата ключа электронной подписи на USB-токен.

Как в Linux/Unix установить сертификаты?

Публикация: 14 Январь 2011 — 19:25

Основной утилитой для работы с сертификатами является certmgr (лежит в /opt/cprocsp/bin/<архитектура>). К ней есть man:

man 8 certmgr

Установка корневого сертификата:

certmgr -inst -store root -file <путь к файлу с сертификатом>

Установка личного сертификата:

certmgr -inst -file <путь к файлу с сертификатом> -cont <имя контейнера>

Установка стороннего сертификата:

certmgr -inst -file <путь к файлу с сертификатом>

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой
вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении
к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили
инструкцию по смене для Рутокен
,
eToken
,
JaCarta
.
Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить
защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ
электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке
экспорта файлов система будет выдавать ошибку.

Как сделать новые закрытые ключи?

Публикация: 14 Январь 2011 — 19:38

Обычно ключи создаются вместе с запросом на сертификат. Если Вам требуется создать ключи и запрос на сертификат, воспользуйтесь утилитой cryptcp(документация на неё входит в состав документации на CSP, см. раздел «Работа с запросами на сертификат»).

Если требуется просто сделать новые ключи, можно воспользоваться утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура>.

Создание контейнера пользователя:

csptest -keyset -newkeyset -cont ‘\\.\имя считывателя\имя контейнера’

Создание контейнера компьютера:

Носитель электронной подписи JaCarta

Для повышения безопасности имеются ключи с генераторами одноразовых паролей.

JaCarta-2 SE
было представлено компанией «Алладин» на профильной выставке в 2017 году. Визуально токен имеет, в зависимости от исполнения, вид смарт-карты, USB-накопителя, которые выполнены в классическом для компании черном цвете с оранжевой каймой. Сегодня решение сертифицировано по последним требованиям ФСБ, что подтверждает высокую степень криптографической безопасности и наличие полного набора функций. Среди особенностей и дополнений, внедренных при разработке JaCarta-2 SE, отметим:

• наличие защиты от взлома и клонирования, которое охватывает весь перечень известных типов атак со стороны злоумышленников;
• возможность создания дополнительного PIN-кода, который можно задать отдельно и использовать в качестве еще одной опции для повышения безопасности при вводе обычного пользовательского пароля токена;
• внедрение защиты от атак на PIN-код и полного блокирования устройства за счет введения механизма автоматического восстановления с течением времени;
• отсутствие необходимости установки криптопровайдера для корректной работы (комплект драйверов можно скачать с сайта производителя либо получить в удостоверяющем центре при оформлении ЭЦП).

Сборка утилиты конвертирования ключа

Далее сборка исходников описана для Linux версии.

Компиляция OpenSSL библиотеки

После скачивания
и распаковки исходных текстов openssl в целевой директории выполняем команды:

   ./config
make
  
  

Получаем готовую библиотеку libcrypto.a в текущей директории.

Также потребуются заголовочные файлы из директорий engines/ccgost и include.

Компиляция privkey.c

   gcc -o privkey -Iengines/ccgost -Iinclude privkey.c libcrypto.a -pthread -ldl
  
  

Формирование файла закрытого ключа private.key

   ./privkey /mnt/usbflash/lp-9a0fe.000
  
  

Тестовый закрытый ключ в криптоконтейнере lp-9a0fe.000, сертификат открытого ключа signer.cer и другие файлы для тестирования можно взять отсюда

Получаем результат работы:

   -----BEGIN PRIVATE KEY-----
MEYCAQAwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEEIwIhAKzsrv/l1Uwk
uzph/LQN9mux0Jz0yaW21kOYEFv0Xyut
-----END PRIVATE KEY-----
  
  

Cохраняем в private.key

Пользуемся закрытым ключом private.key для подписывания файла file.txt

   openssl cms -sign -inkey private.key -in file.txt -CAfile CA.cer -signer signer.cer -engine gost -out test.sign -outform DER -noattr -binary
  
  

Проверяем подпись

   openssl cms -verify -content file.txt -in test.sign -CAfile CA.cer -signer signer.cer -engine gost -inform DER -noattr -binary
  
  

Все работает просто замечательно!

Спасибо за внимание. Это была моя первая статья на хабре.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе
никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому
мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит
доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое
рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста.
ЭП можно и вовсе потерять, если с компьютером что-то случится.

Наиболее совершенный вид электронной подписи — усиленная
квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных
криптографических средств, который записывается на USB-носитель.

Ключ электронной подписи указан в сертификате, который выдаёт
удостоверяющий центр, аккредитованный в Минцифры. С 1 сентября 2023 года руководители юрлиц и ИП смогут использовать только сертификаты электронной подписи, выданные удостоверяющим центром ФНС (УЦ ФНС) либо доверенными лицами УЦ ФНС
.

Сертификат электронной подписи «записывается» на токен. Работать с КЭП не получится без лицензированного дистрибутива — установочного пакета специальной программы, который можно использовать в течение ограниченного периода действия ключа. Самый распространённый — КриптоПро CSP.

КЭП способна обеспечить надёжную защиту информации
от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные
будут защищены, даже когда срок действия ключа истечёт.

Для подачи заявления на получение электронной подписи придётся:

1. уставных документов организации и документов, удостоверяющих личность владельца,
2. купить ключевой носитель,
3. на сайте СберБизнеса, если вы клиент банка, или лично явиться в один из офисов банка или отделение ведомства ФНС.

С 1 сентября 2023 года не действуют подписи юрлиц и ИП, выданные в коммерческих УЦ — работать с ними нельзя.

для получения УКЭП:

• паспорт,
• СНИЛС,
• лист записи ЕГРИП/ЕГРЮЛ,
• свидетельство о постановке на учёт в налоговом органе заявителя.

Для работы с квалифицированной подписью потребуются:

• USB-токен,
• компьютер с установленным «КриптоПро CSP» или аналогичной программой,
• установленный личный сертификат,
• установленные библиотеки для электронной подписи.

Перевыпустить сертификат электронной подписи удалённо в 2023 году смогут только те директора или ИП, у которых уже есть действующий сертификат УКЭП ФНС и данные об организации и руководителе не менялись. Для этого на сайте СберБизнеса или напишите заявление в личном кабинете ФНС.

Подпись, полученную в коммерческом УЦ, продлить удалённо через налоговую нельзя — только при личном посещении.

Если документы организации подписывает не только руководитель, но и другие сотрудники, для них придётся оформить новую электронную подпись.

С 1 сентября 2023 года работники юрлиц или ИП должны использовать УКЭП физлица и машиночитаемую доверенность ― это электронный документ в формате XML, подписанный электронной подписью руководителя организации. Получить УКЭП сотрудники могут в коммерческих удостоверяющих центрах, а машиночитаемую доверенность должен оформить руководитель организации.

Порядок получения подписи физлица следующий:

1. Получить в любом коммерческом УЦ сертификат электронной подписи физлица.
2. Оформить у руководителя машиночитаемую доверенность (МЧД).
3. Далее уполномоченный работник подписывает документы электронной подписью физлица и прикладывает машиночитаемую доверенность. Контрагент сверяет данные МЧД, проверяет полномочия и срок действия доверенности.

Если коротко — везде.

• Для (пере)регистрации онлайн-кассы в ФНС.

• Для удалённой подачи документов.

• Для работы с государственными порталами, включая ФНС,
  ПФР и другие.

• Для участия в коммерческих и государственных торгах или
  покупки имущества банкротов на множестве площадок.

У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат
электронной подписи.

Семейства носителей ЭЦП – Рутокен

«Рутокен»
— торговый бренд российского разработчика «Актив», занимающегося разработкой и производством продуктов в области защиты информации. Токены компании имеют, в зависимости от типа, сертификаты ФСТЭК и ФСБ, что подтверждает безопасность и соответствие криптографических алгоритмов требованиям стандартов в сфере безопасности. Сейчас в линейку продуктов «Рутокен» входит большой перечень вариантов для решения задач по идентификации владельцев для использования в системах оборота документации, безопасности, контроля доступа.

К основным моделям «Рутокен» сегодня относятся

• Рутокен ЭЦП 2.0.

Универсальное решение для хранения ключей и сертификатов для ЭЦП без права их последующего экспорта на другие носители в системах клиент-банк. Устройство оказалось первым в России, которое получило сертификат ФСБ на соответствие обновленным стандартам в сфере криптографической безопасности. Особенность продукта — в отсутствии необходимости устанавливать дополнительно криптопровайдер и специальные драйверы при использовании современных операционных систем.

• Рутокен S

Решение рассчитано на использование в корпоративных сетях государственных организаций и учреждений, благодаря наличию криптографических алгоритмов, соответствующих требованиям регулирующих органов.

• Рутокен ЭЦП Bluetooth

Особенность устройства — в возможности заверения ЭЦП документов на девайсах под управлением операционных систем на мобильных устройствах iOS, Android за счет подключения через Bluetooth, HID-устройства или разъем micro-USB.

• Рутокен PINPad

Решение позволяет перед подписанием документа ЭЦП визуализировать его на экране монитора, а также имеет дополнительную защиту от фишинга, атак с подменой страницы непосредственно при подписи.

• Рутокен ЭЦП Flash

Токен позволяет подписывать документы ЭЦП, дополнительной опцией устройства стало наличие Flash-памяти объемом до 64 ГБ, наличие сертификата ФСБ о соответствии всем требованиям класса КС2.

• Рутокен Lite
• Смарт-карты

Могут быть использованы одновременно для хранения ключей ЭЦП и аутентификации владельца устройства в системах удаленного доступа.

Дополнительно компания «Актив» предлагает токены для безопасного доступа и создания VPN-каналов для защищенной от посторонних действий работы с программами 1С, корпоративной почтой, удаленными файлами. Отдельную группу продуктов составляют решения для безопасной двухфакторной аутентификации на различных Web- и Saas-сервисах. Реализовано это на базе как токенов, так и специальных плагинов для совершения электронной подписи.

Все предложения

Для малого и среднего бизнеса

Электронная подпись для ООО бесплатно

Ключевой носитель Esmart USB

• Esmart USB

Сертифицированные носители ЭЦП, которые могут быть использованы для хранения электронной подписи любого типа. Токен можно использовать для сдачи отчетности и отправки документов в государственные органы, участия в торгах, хранения сертификатов для работы в специальных электронных системах, работы в сетях удаленного защищенного доступа VPN, с корпоративной почтой. Решение полностью совместимо с ключевыми партнерскими продуктами: «КриптоПРО», «КриптоАРМ», «Сигнал-КОМ», «ИнфоТеКС», «Ред ОС» и некоторыми иными. Токен полностью совместим со всеми основными операционными системами: Windows (начиная с версии XP), Linux, Mac OS.

Как получить КЭП для ООО бесплатно?

ВТБ предлагает открыть расчетный счет ООО и получить квалифицированную электронную подпись бесплатно. За открытие счета плата не взимается, также можно получить до года бесплатного обслуживания в рамках пакета услуг «На старте».
Расчетный счет в ВТБ дает юридическим лицам доступ к следующим преимуществам:

• Бесплатный выпуск и обслуживание бизнес-карт с кешбэком

• Бесплатные платежи в бюджет и переводы другим клиентам банка

• Бонусы от партнеров и скидки на полезные сервисы для бизнеса.

Оставьте заявку
на сайте, чтобы получить КЭП для ООО.

Как проверить, работоспособен ли контейнер с закрытыми ключами?

Публикация: 14 Январь 2011 — 19:33, редакция: 14.01.2011 19:39

Открыть(проверить) контейнер можно утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура> :

Открыть(проверить) контейнер пользователя:

csptest -keyset -check -cont ‘\\.\имя считывателя\имя контейнера’

Открыть(проверить) контейнер компьютера:

csptest -keyset -check -cont ‘\\.\имя считывателя\имя контейнера’ -machinekeyset

где имя считывателя:

HDIMAGE, если используете жесткий диск для хранения ключей

FLASH, если используете флешку

FAT12_0, если используете дискету

Разновидности носителей электронной подписи

Сегодня в России сертифицировано для использования в качестве носителей ЭЦП несколько наименований токенов (ниже будут рассмотрены все виды отдельно и более подробно):

• Рутокен;
• E-токен;
• JaCarta LT;
• Esmart USB;
• ключевой носитель R301 Форос;
• JaCarta-2 SE.

Как скопировать ключи с дискеты/флешки на HDIMAGE?

Публикация: 14 Январь 2011 — 19:24

Скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты или флешки в директорию /var/opt/cprocsp/keys/имя_пользователя

При этом необходимо проследить чтобы:

— владельцем файлов был пользователь, в диретории с именем которого расположен контейнер(от его имени будет осуществляться работа с ключами);

— чтобы на директорию с ключами были выставлены права, разрешаюшие владельцу всё, остальным ничего;

— чтобы на файлы были выставлены права, разершающие владельцу по крайней мере чтение и запись, остальным ничего.

Что вы узнаете

Полезные статьи

Носитель электронной подписи eToken

«Е-токен»
— мировой бренд, принадлежащий компании Thales/Gemalto, специализирующейся в том числе на разработке и производстве решений для персональных средств аутентификации. Продукты компании сегодня имеют сертификаты ФСТЭК и ФСБ, что позволяет их использовать для хранения ЭЦП любого типа и применять для подписи отчетов, ведения переписки, участия в тендерах и для других целей.

Особенность токенов — в широком выборе форм-факторов, где пользователю предоставлен выбор между классическими вариантами в виде USB-накопителей, а также смарт-картами, ОТР-токенами, виртуальными эмуляторами смарт-карт.

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в
Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения
квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется
в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на
защищенном носителе, сертифицированном ФСБ.

Копируем сертификат ЭЦП через «Инструменты КриптоПро»

Этот способ можно использовать на операционных системах Windows и MacOS.

Шаг 1. Откройте приложение «Инструменты КриптоПро» и выберите вкладку «Контейнеры».

Шаг 2. Выберите носитель, на который записан сертификат ЭЦП — то есть, USB-флешку. Нажмите на кнопку «Скопировать контейнер».

Шаг 3. В открывшемся окне выбора нового носителя для сертификата выберите опцию «Реестр» и нажмите «ОК».

Шаг 4. Вернитесь к списку контейнеров. Выберите тот, что скопировали, по считывателю Registry и нажмите на кнопку «Установить сертификат».

Шаг 5. Когда появится уведомление о том, что сертификат успешно установлен, вытащите флешку из разъёма компьютера и проверьте, как работает ваша ЭЦП без токена

ЭЦП можно установить на рабочий компьютер или ноутбук, и она будет работать без физического носителя. Вы можете сделать это самостоятельно или обратиться за помощью к специалистам.

Настройка электронной подписи на ПК требует определённых знаний и трудозатрат. Для экономии времени рекомендуем услугу «Удалённая настройка рабочего»
. Наши специалисты установят криптопровайдер, плагин и проведут настройки браузера.

Какую ЭЦП можно скопировать

Квалифицированные ЭЦП выпускают нескольких видов: для юридического лица, индивидуального предпринимателя или физического лица. Отличаются они тем, что выдают их в разных удостоверяющих центрах (УЦ). И П и юридические лица могут получить сертификат и ключи КЭП в удостоверяющем центре ФНС или её доверенных лиц. Сотрудники организаций и физические лица — только в коммерческих УЦ. Также сертификат КЭП физлица не содержит в себе данных о принадлежности к какой-либо организации или ИП.

Файлы, которые записывает налоговая, не подлежат экспорту. Это значит, что ключи полученные в ФНС нельзя скопировать с токена в память компьютера. Экспортировать их на другие носители запрещено. Установить на ПК можно только сертификат. Хранение осуществляется только на токенах, сертифицированных ФСТЭК или ФСБ России.

Для ускоренного выпуска рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ.
Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — УЦ «Основание».

Ключи и сертификат, полученные в коммерческих аккредитованных центрах, могут храниться не только на токенах. Закон не запрещает копировать эти файлы на другие физические носители. Поэтому их можно установить на рабочий компьютер.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ — «Астрал Подпись»
и «1С-ЭТП»
. Данные продукты придают цифровым документам юридическую значимость.

Важно! Закон запрещает передавать ключи и КЭП третьим лицам. Злоумышленники могут воспользоваться подписью в своих целях: похитить важные документы, оформить кредит или перевести деньги на свой счёт. Необходимо обеспечить безопасность рабочего места. Следует установить пароль на ПК и контейнер ключей.

О чем нужно помнить при хранении квалифицированной ЭЦП

Один носитель — для одного сотрудника

Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей.
И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку

Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому
человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе

Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который
просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите,
то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП

Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте
с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального
закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены
электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор»
удобным для вас способом.

Вовремя продлевайте ЭП

Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный
документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте
в нашей статье
.

Защитите рабочее место

Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца
подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы,
будет тяжело.

Не храните пароли на бумажках

Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем
другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует
злоумышленника.

Как посмотреть список закрытых ключей?

Публикация: 14 Январь 2011 — 19:30

Список контейнеров с закрытыми ключами можно посмотреть утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура>

Перечисление контейнеров пользователя:

csptest -keyset -enum_cont -verifycontext -fqcn

Перечисление контейнеров компьютера:

csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys

В полученном списке имена контейнеров будут представлены в том виде, в котором их воспринимают все бинарные утилиты, входящие в дистрибутив CSP (\\.\<имя считывателя>\<имя контейнера>).