НЕ ЭКСПОРТИРУЕМЫЙ КЛЮЧ НА ПОРТАЛЕ ЗАЯВИТЕЛЯ

1 2 Далее

RSS: текущая тема

В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).

Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей.

Не каждый владелец электронной подписи захочет передавать свои данные, записанные на специальный носитель, сотруднику или стороннему специалисту, чтобы тот выполнял действия от его имени. В этом случае поможет копия подписи, полученной в ФНС. Стандартные способы переноса данных здесь не помогут, но варианты решения все-таки есть. Подробности читайте в статье.

Всем добрый день! Ещё в декабре я делал подписи на портале заявителя (УФК). Так вот, в декабре этой «засады» не наблюдалось. Зато уже в феврале я наткнулся на эту страшную засаду. Которая называется не экспортируемый ключ. Сейчас я вам расскажу в какую задницу можно залезть, если в этом портале заявителя поставить неверную галочку, всего одну!

Какие последствия повлечёт генерация не экспортируемого ключа?

Проклятая галочка не экспортируемого ключа

Собственно, если вы не разбираетесь, не обратили внимания на эту сиротливую галочку, и сгенерировали запрос с опцией «НЕТ» в графе экспортируемого ключа, а я напомню, что по умолчанию стоит именно опция «НЕТ», то вас ждёт жестокое наказание!

Мало того! Когда мы по неосторожности сделали неэкспортируемый ключ, поняли роковую ошибку, и решили сделать новый, экспортируемый, то в УФК нам отказали с формулировкой: «сертификат с такими полномочиями уже выпущен!» Пришлось нам отзывать сертификат в связи с утерей!  И делать новый, экспортируемый!

Будьте внимательны и осторожны при генерации запросов на изготовление сертификатов  на ФЗС — портале заявителя! Это страшная засада!  Не забудьте поставить галочку именно там, где я показал на скрине! Зла не хватает на это казначейство.)

Поскольку с 1 января 2022 года ФНС для подписи документов ввело специальная ЭЦП (электронно-цифровую подпись), которая находится на специальном носителе – рутокене. Сама по себе идея хороша, но действительность как обычно вносит свои коррективы. Дело в том, что подписывают документы зачастую несколько человек (директор, главный бухгалтер, заместитель директора) и возможности передавать рутокен просто нет. Возможность же копировать ключ ФНС не предусматривает. Как быть в такой ситуации и скопировать ключ с рутокена, расскажем в статье.

Прежде чем приступить к работе по копированию ключа, подготовьте необходимые элементы:

Что такое рутокен

Рутокен – это сертифицированный накопитель, обладающий дополнительной защитой, что позволяет сохранить конфиденциальные данные. На один рутокен можно записать до тридцати подписей, все зависит от объема памяти конкретного устройства.

Обычное съемное USB устройство (флешка) для постоянного хранения не годиться, поскольку не обладает достаточной защитой, в том числе от копирования информации. Поэтому флешку нужно рассматривать только как временное хранилище для переноса подписи на второй рутокен.

Проверяем ключ на не экспортируемость

Прежде чем начать работу, проверьте, может все же ключ можно экспортировать без лишних усилий с вашей стороны.

Копируем рутокен на компьютер или флешку

Итак, вы выяснили, что ключ имеет статус «Не экспортируемый», но скопировать его нужно. Можно действовать следующими методами:

Копируем с помощью утилиты

Этот метод также позволяет перенести не экспортируемый ключ на флэшку или скопировать  на ПК.

Tokens.exe – является утилитой, которая позволяет копировать ключи с рутокена, имеющие статус «не экспортируемый». Для корректного функционирования программы специалисты рекомендуют устанавливать три дополнения, идущие в комплекте с утилитой.

Далее нужно убрать статус «Экспорт запрещен». Для этого понадобится еще одна программа CertFix.000032.exe. Качаем ее и устанавливаем на ПК.

Действуем следующим образом:

Готово! Теперь можно пользоваться  копией ключа, размещенной в реестре.

Используем КриптоПро CSP

Перенести ЭЦП на ПК или флешку поможет сервис КриптоПро CSP.

Приветствую тебя мой друг! Давай знакомиться?! Я администратор и автор данного сайта. Специалист с 10 летним опытом работы в сфере ИТ-технологий. Проконсультирую вас по настройке: компьютеров, ноутбуков, периферийного оборудования. Помогу решить проблемы в работе операционной системы Windows или компонентов компьютера. Подскажу как настроить ваши гаджеты.

( 6 оценок, среднее 4.33 из 5 )

В этой публикации в связи с изменениями в законодательстве в части касающейся порядка использования ЭЦП представляю своё понимание вопросов, связанных с ЭЦП, и рассматриваю несколько популярных вопросов:

▪️Что такое экспортируемый и неэкспортируемый ключ ЭЦП

▪️Возможно ли технически сделать копию неэкспортируемого ключа ЭП

▪️И можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически.

В конце декабря 2022 года был принят Федеральный закон № 536-ФЗ. Который в частности продлевает срок использования ЭПЦ, выданных коммерческими удостоверяющими центрами до 31.08.2023г. После этой даты использование таких электронных подписей будет запрещено. А аккредитованные коммерческие УЦ смогут выдавать только подписи для физ. лиц (должностных лиц организации по доверенности).

С 01 сентября 2023г. Такие подписи (на сотрудников) можно будет использовать только с приложением так называемой машиночитаемой доверенности или МЧД. При этом никто пока не знает кто и каким порядком будет выпускать МЧД. А запреты уже ввели. В общем, всё как всегда.

Что такое экспортируемый ключ ЭЦП

Экспортируемый ключ электронной подписи (или извлекаемый) это такой ключ, контейнер которого можно копировать (переносить) на другие носители без технических ограничений.

Копирование контейнеров экспортируемых ключей производится с помощью стандартных средств программ криптографической защиты, таких как КРИПТО ПРО.

Копирование неэкспортируемого ключа ЭЦП

Итак, экспортируемый или извлекаемый ключ ЭЦП можно легко скопировать стандартными программами для криптографии.

Что такое неэкспортируемый ключ ЭЦП

ФНС (Федеральная налоговая служба), изучив положения новых законодательных актов об электронных подписях, пришла к выводу, что новые требования безопасности ФСБ к электронным ключам ЭП можно соблюсти лишь запретив копирование ключей ЭЦП.

Таким образом, в соответствии с новой нормативной базой, ФНС выпускает ЭЦП на руководителей с 01.01.2022 только в неэкспортируемом варианте. Итак:

Неэкспортируемый ключ ЭЦП — такой ключ, который нельзя скопировать на другой носитель стандартными программами и средствами.

С этим разобрались.

Как проверить экспортируемый ключ или не экспортируемый

Итак, проверить возможность копирования (экспортируемости) ключа электронной подписи можно как минимум двумя простыми способами:

1. С помощью КРИПТО ПРО CSP опцией «протестировать»:

Итак, вставляем ваш рутокен или другой носитель с ЭЦП, запускаем КРИПТОПРО CSP, и выбираем меню «сервис» кнопку протестировать:

Протестировать контейнер ЭП

После этого откроется окно выбора вашего контейнера на токене:

Окно выбора контейнера ЭЦП

И затем после нажатия на ОК, в окне мастера проверки нужно будет найти информацию о запрете или разрешении экспорта ключа:

Экспорт ключа запрещён

Как видите, экспорт данного ключа запрещён. Это значит, кто ключ у вас будет физически в единственном экземпляре на этом носителе. И скопировать стандартными средствами на другой носитель его не получится.

2. При попытке копирования не экспортируемого ключа ЭЦП будет ошибка:

Второй способ проверить вашу ЭЦП на возможность копирования заключается в банальной попытке скопировать с помощью опять же КриптоПро CSP контейнер:

И вот тут после выбора контейнера для копирования, вы увидите вот такое примерно сообщение:

Нет разрешений на экспорт ключа

*В разных версиях Крипто Про будут разные по текстовке сообщения, но смысл их всех один и тот же.

Можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически?

Существует разные мнения на этот счёт, но лично я считаю, что нельзя. Приведу скрин с одного трастового портала — удостоверяющего центра, разъясняющего этот момент:

Юридически копировать не экспортируемые ключи нельзя

Информация, как я уже говорил, с портала Астрал. Итак, строго говоря, мы вообще имеем то, что копирование любых ключей как бы юридически незаконно.

Можно ли технически скопировать неэкспортируемый ключ ЭЦП?

Да, разумеется. Техническая возможность сделать неэкспортируемый ключ экспортируемым — есть. Но это можно делать только с помощью специального софта, который в магазине не купишь. Вообще, с копированием неэкспортируемых ключей была целая истерика у людей весь 2022 год.

Если вы дочитаете эту статью до конца, то я назову некоторые объективные причины такой паники. И вы знаете, даже на порталах контур.ру и ФНС были выложены утилиты для копирования неэкспортируемых ключей, контейнеров.

ЭПИЛОГ

Однако, в погоне за соблюдением норм безопасности, законодатели забывают несколько моментов:

▪️Поскольку директора организаций не имеют представления как настраивать АРМ для работы на электронных площадках, то передавать ЭЦП им всё-равно придётся программистам/админам. Однако, юридически этого делать нельзя. Пат. Тупик. Значит, придётся нарушать законодательство в любом из случаев. Тогда зачем все эти ограничения на экспорт ключа?

▪️Ключ ФНС выдаёт в единственном экземпляре физически. Однако безопасность это помимо всего прочего ещё и надёжность. Любой ИТ — специалист вам скажет, что отсутствие возможности сделать резервную копию неважно чего — это грубейшее нарушение в части касающейся безопасности. Если этот полученный директором единственный рутокен выйдет из строя, то придётся получать новый ключ в ФНС.  Зачем усиливать одну безопасность и тут же резко ослаблять другую? Опять пат. И тупик.

▪️До сих пор существует множество площадок, систем, технических порталов, на которых какое-либо действие можно совершить только с помощью ЭЦП руководителя. А она выдаётся только в 1 экземпляре теперь. Директор не будет же бегать по разнесённым на больших расстояниях порталам, рабочим местам, точкам, объектам, чтобы что-то настроить или заверить, отправить, подписать? Ему итак заняться есть чем? Верно? Да и физически он не успеет этого сделать в ряде случаев. Опять тупик? Пат. Срыв отчётности? Срыв Гос. оборон заказа? Тюрьма? Что ему делать то? ФНС об этом подумала?

Эти и другие вопросы ставят под сомнения новые законы и инициативы, связанные с использованием электронных подписей в нашей стране.

Средства генерации ключевых пар

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен:

Копирование ЭП через функционал Windows

Если параметры ключа изначально записаны на USB-носитель, то перенос данных можно выполнить в операционной системе традиционным способом – скопировать фалы на нужный считыватель. В папке находятся 6 фалов формата .key. Вы можете увидеть ключ с расширением keyName.cer, который переносить не обязательно.

Функциональный ключевой носитель (ФКН)

Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.

Пример такого устройства — Рутокен ЭЦП 3.0 3220, который также поддерживает активный и пассивный режимы.

Извлекаемые ключи

Немного о сертификации ключевых носителей.

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.

Чтобы проще было запомнить:

Таким образом, в случае с , сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.

случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.

Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).

Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.

Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.

Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.

Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.

Таким образом, извлекаемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.

ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.

Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается.  При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметр

ФКН-ключи

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3.0 — именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее

Копирование сертификата с Рутокена через КриптоПРО

Скопировать подпись ФНС с рутокена можно с помощью сервиса КриптоПРО CSP. Выполните следующие действия:

Мы указали путь для копирования фалов, после чего они появятся в заданном месте на жестком диске или USB-накопителе. Теперь папку с ключами можно копировать стандартным путем.

если далее в работе вы будете пользоваться дубликатом по прямому назначению, то названная папка должна быть размещена в корневой директории диска.

Сообщений с 1 по 15 из 30

Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0у которого в спецификациях  (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что он «позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена.»

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю «Леночке между декретами»)?

2. На компьютере с успешно установленными драйверами рутокен-а и утилитой КриптоПро CSP (не ФКН) данный ключ успешно эксплуатируется, из чего я делаю вывод, что криптопреобразования проводятся на ПК а не микропроцессором токена, следовательно ключ покидает токен? . Получается какой-то цирк безопасности?

3. Хотелось бы услышать список причин, по которым признак «неизвлекаемости» ключа стал обязательным.

Ксения Шаврова

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

Есть два термина «неизвлекаемость» и «неэкспортируемость». Эти термины пришли из разных мест, предлагаю разобраться:В нашей терминологии используются:- «Неизвлекаемые» ключи – это аппаратные ключи формата PKCS#11. Для генерации которых использовались аппаратные возможности Рутокена семейств 2.0 и 3.0. Такие ключи успешно используются, например, в ЕГАИС. Все операции с подписью производятся внутри токена и ключи никогда не покидают память токена (не извлекаются во время подписания).- «Неэкспортируемые» ключи – терминология пришла из программного продукта «КриптоПро CSP» — это значит, что во время генерации ключей с помощью «КриптоПро CSP» был установлен флаг «экспорт запрещен», то есть закрытый ключ нельзя скопировать на другой носитель. Но во время работы с таким контейнером, подписание происходит на программном уровне в оперативной памяти компьютера.

Точно сказать какой у вас ключ могу, если вы приложите скриншот «Панель управления Рутокен» — вкладка «Сертификаты» или напишете что указано в поле, обведенном в рамку в этом знании — https://dev.rutoken.ru/display/KB/RU1081

Далее отвечу по пунктам:

Если формат ключей «КриптоПро CSP», 100% гарантии нет. Если ключи формата PKCS#11 — то ключи не могли быть сгенерированы где-то ещё, кроме самого токена. Копирование уже сформированных ГОСТ-ключей на Рутокен ЭЦП 2.0/3.0 запрещено — это требование ФСБ.

А вот тут не всегда. Например, «КриптоПро CSP» версии 5.0 R2 может успешно работать с неизвлекаемыми ключами PKCS, используя библиотеку rtpkcsecp и тогда ключи не извлекаются, а может работать с программными ключами и тогда токен будет в пассивном режиме хранить ключи на смарт-карте под PIN-кодом.

Требования к неизвлекаемости сейчас нет. Согласно требованиям УЦ ФНС есть требования к неэкспортируемости для повышения безопасности. Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации. Неэкспортируемые закрытые ключи являются более надежным вариантом использования, поскольку получение доступа к такому закрытому ключу требует применения специальных средств и техники.

Mihmig

Да, у нас «обычный» Crypto-Pro GOST R 34.10-2012 Cryptographic Service provider

Правильно ли я понимаю, что для выполнения криптографических операций ключ-таки извлекается из токена?

Сомневаюсь, так как теперь для работы удалённого бухгалтера администраторы будут делать удалённый доступ (Teamviewer, VNC и т.п.) или вообще USB-IP.

Рутокен ЭЦП 2. 0 — неизвлекаемая ключевая пара

Это программные, неэкспортируемые ключи, созданные с помощью «КриптоПро CSP». Аппаратная криптография токена не участвовала в генерации ключей и не участвует в работе с ЭП. Токен выступает в роли пассивного хранилища, защищённого PIN-кодом.

Да, при работе с программными ключами (как у вас сейчас) извлекается для осуществления операций с подписью.

Как раз из-за увеличения мошеннических схем с ЭП и вводятся новые правила получения сертификатов. Сертификат для лица, действующего без доверенности — в единственном числе, неэкспортируемый. Остальные сотрудники будут получать сертификаты на ФЛ без указания ИНН и сопровождать отчетность электронной доверенностью, которая станет обязательной с 01.01.2022.

Ксения, спасибо за подробные ответы!

Kiav

Прочел все сообщения темы. Стало ясно, что несмотря на возможности носителя, вам создали извлекаемый (хоть и неэкспортируемый) ключ. Чисто теоретически, при наличии «специальных средств и техники» у ФНС, копии закрытых ключей у них остаться могут. Остается решить для себя насколько каждый доверяет налоговой в этом плане.

У меня остался ряд вопросов по процедуре получения ЭЦП, которую вам (ООО) пришлось пройти.

В коммерческом УЦ (кстати, возможность пользоваться ЭЦП от них после 1 января будет, но нужно подождать, когда они пройдут переаккредитацию). Вот у них ключ я создаю на своем ПК, а визит в УЦ нужен только для того, чтобы подписать документы на бумаге и показать свое мурло с паспортом.

Edinorog

Купил рутокен эцп с целью перенести на него имеющиеся в реестре ЭЦП и сделать неэкспортируемыми/неизвелкаемыми. Я так, понял, это невозможно? Нужно копию ключей иметь и генерировать их на токене нет возможности.

Сделать неизвлекаемые ключи уже не получится. Неизвлекаемые можно сгенерировать только аппаратными средствами непосредственно на токене. А вот сделать неэкспортируемые — можно. Нужно экспортировать ключи из реестра в формате .pfx и при импорте ключей на токен установить запрет экспорта.

Спасибо. Крипто про 5 для этого не потребуется? 4 хватит?

Asoldatov

Edinorog, да, хватит.

Выявлен фатальный недостаток экспорта через .pfx. Задать имя в контейнере нельзя.получается всегда абракадабра. 20 абаракадабр.

Edinorog, при экспорте в pfx сохраняется имя ключевого контейнера, из которого выполняется экспорт. Можете сперва сделать копию контейнера из Реестра в Реестр, задав нужное Вам имя, а затем — переустановить сертификат из нового контейнера и запросить экспорт в pfx.

На крипто про 4 при импорте pfx имя заменяется на абракадабру, а на крипто про 5 все нормально. Также запрет экспорта можно поставить при импорте на флешку или в реестр. Токен дает какую-то дополнительную защиту вообще при программном ограничении экспорта? Альтернативный софт или пропатченный крипто про позволит вытащить ключи все же? У токена не идет свой аппратный счетчик подбора паролей?

Понял. Если в имени контейнера есть кириллица, то имя заменяется на pfx-абракадабра.

Приветствую. Операционная система Рутокена ограничивает попытки ввода PIN-кода. Количество попыток задается при форматировании  устройства, по умолчанию — 10.

По особенностям создания имени контейнера лучше уточнить в компании КриптоПро.

Пассивные ключевые носители

Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя –

Доступ к закрытому ключу

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. P IN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.

Теперь поговорим о том, какие бывают ключевые носители.

Можно ли скопировать неэкспортируемую ЭП от ФНС?

С 1 января 2022 года руководители компаний и предприниматели могут получать электронную подпись в местном отделении налоговой инспекции, в том числе и ЭП для участия в закупках на 8 федеральных электронных торговых площадках.

Работа тендерного специалиста предполагает дистанционный формат взаимодействия с клиентом или работодателем. В связи с этим у коллег возникает вопрос: как скопировать электронную подпись от ФНС?

Не каждый владелец готов передать ЭП специалисту. Налоговая не случайно наложила запрет на копирование подписи, т.к. конфиденциальные данные о владельце могут попасть не в те руки. И хранить сертификат ключа рекомендуется на специальном токене, а не на обычной флешке, т.к. токены оснащены особым уровнем защиты данных.

Можете попробовать скопировать ЭП традиционными способами и увидите системное уведомление об ошибке:

Обновленные средства КриптоПро также не приведут к желаемому результату – на экране появится надпись, что контейнер неэкспортируемый:

Самый простой способ не нарушать предписание ФНС – наделить сотрудника/специалиста полномочиями заниматься деятельностью от лица компании, т.е. выдать ему доверенность.

Но что делать, если скопировать неэкспортируемую подпись от ФНС все же нужно. Давайте разберем, какие есть варианты.

Активные ключевые носители

Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре — неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям

Пример активного носителя —  Рутокен ЭЦП 3.0 3220

Запись контейнера на рутокен с другого устройства

Для максимального обеспечения безопасности данных криптографию лучше всего хранить в реестре операционной системы или на защищенном токене.

Перед копированием контейнера необходимо убедиться, что рутокен открывается через КриптоПРО. Если носитель недоступен в программе, то нужно выполнить его настройки.

Если все в порядке, то выполняем следующие шаги:

Необходимо перенести сертификат с накопителя в хранилище, чтобы иметь возможность работать в ЭП и подписывать документы. В разных обновлениях КриптоПРО потребуется либо просто нажать кнопку «Установить», либо перейти в «Свойства» и выбрать данное действие. После чего следуем подсказкам установочного мастера.

если сертификат уже использовался на ПК с другим накопителем, то его нужно стереть в хранилище.

Как удалить старый сертификат с помощью программы КриптоПРО CSP:

Действия будут аналогичны также для удаления неактуальных сертификатов и подписей, полученных в других УЦ.

Копирование ЭП из реестра

При необходимости скопировать файлы с криптографией из реестра ПК первым делом нужно понять, в какой папке они содержатся. Путь к необходимому контейнеру будет отличаться в зависимости от версии операционной системы:

Далее следуйте инструкции:

Если все сделано правильно, система уведомит об успешных изменениях в реестре. Если где-то была допущена ошибка, то проверьте корректность указанного пути к файлу.

Если все фалы легли ровно в реестр ПК, остается лишь добавить личный сертификат – это делается вручную с помощью программы КриптоПро CSP.

Инструкция по выгрузке личного сертификата с исходного ПК:

Переносим файл на компьютер, который будет использоваться для работы:

Неизвлекаемые ключи

Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.

Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”

Используя стандартизированный программный интерфейс (API) библиотеки приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.

У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера на компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.

Термины

Часть терминов в статье подается в упрощенном виде для простоты понимания.

Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.

Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.

Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.

Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.

Для генерации ключей формата можно использовать инструменты от компании Актив:

Или воспользоваться программными ГОСТ-криптопровайдерами:

Копирование подписи с рутокена

Рутокен – это особый накопитель, который вмещает в себя почти три десятка сертификатов электронной подписи в зависимости от объема памяти. На практике приходится пользоваться этим способом, когда необходимо перенести зашифрованную информацию о владельце ключа с одного носителя на другой или временно добавить в цифровое сервисное хранилище или на винчестер.

Руководитель может «раздвоить» ЭП для передачи сотруднику, наделенному полномочиями выполнять действия от лица организации.

Стандартные методы переноса фалов с носителя на компьютер здесь не помогут. Копирование получится выполнить только при наличии одного из считывателей из списка:

Если изначально криптографические средства ключа записаны на USB-носитель, то контейнер с сертификатом должен быть добавлен в корневую папку. Одновременно его можно использовать и для хранения других данных, но сторонняя информация должна «дружить» с контейнером и не препятствовать работе с подписью.

обычный USB-носитель следует использовать как временный вариант для хранения данных, т.к. он не обладает необходимой степенью защиты, и доступ к нему легко могут получить мошенники. Но как временный вариант для записи на него дополнительных фалов такой накопитель вполне подходит.

Заключение

Мы рассмотрели несколько способов, как сделать копию электронной подписи, полученной в ФНС. Это избавит вас от ненужных встреч с партнерами для физической передачи подписи.

Некоторые компании частично перевели сотрудников на удаленный формат работы. В этом случае также удобно передать копию ЭП уполномоченному доверенностью работнику, а оригинал подписи будет храниться в офисе или непосредственно у ее владельца.

Если остались вопросы, задавайте их в комментариях. Не забудьте оценить статью и поделиться с коллегами. До новых встреч!

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на «борту», такие как Рутокен ЭЦП 3.0 3220. Так ваша электронная подпись будет максимально защищена.