СКОПИРУЙТЕ СЕРТИФИКАТ С ФЛЕШКИ НА РУТОКЕН

Квалифицированная цифровая подпись юридически приравнена к собственноручной. Этот инструмент активно применяется участниками электронного документооборота (ЭДО). Хранение аппаратно-программных средств ЭП Федеральным законом №63-ФЗ не регламентируется — пользователи вправе распоряжаться персональными данными на свое усмотрение.

Тем не менее, упомянутая правовая норма обязывает удостоверяющие центры выдавать заявителям ключи ЦП на защищенных USB-токенах, смарт-картах. Некоторые из них оснащены встроенным средством криптографической защиты информации (СКЗИ). Доступ к сведениям на защищенных ключевых носителях возможен только после ввода PIN-кода.

Хранить программные средства ЭП также можно на обычном flash-накопителе в реестре операционной системы (ОС) Windows — в статье мы рассмотрим работу именно в этой среде. Сегодня поговорим о том, как скопировать ЭЦП с флешки на компьютер, и о возможных способах ее дублирования и хранения.

Подберем электронную подпись под ваши задачи

Оставьте заявку и получите консультацию в течение 5 минут.

Как скопировать ЭЦП с флешки на компьютер или Рутокен

Сразу оговоримся, что флешкой иногда называют не только классический flash-накопитель с USB-разъемом, но и защищенный USB-токен, выданный заявителю уполномоченным сотрудником удостоверяющего центра (УЦ). Чаще всего, это Рутокен — комбинированное решение, состоящее из двух компонентов: USB-ключа и flash-памяти.

Итак, вы получили в УЦ аппаратно-программные средства генерации и верификации цифровой подписи. Как скопировать ЭЦП с флешки или защищенного носителя на компьютер? Сначала следует подготовить рабочее место.

Первое. Вам понадобится загрузить и инсталлировать на ноутбук, ПК или сервер СКЗИ КриптоПро CSP и драйверы для Рутокен.

Второе. Чтобы прописать личный открытый сертификат, понадобится инсталляция корневого сертификата (КС) УЦ в соответствующий раздел ОС. Если этого не сделать, система выдаст сообщение об ошибке.

Примечание 1. Уполномоченный сотрудник УЦ обычно записывает КС на USB-токены или смарт-карты, выдаваемые пользователям, или на USB-flash-накопитель заявителя (по требованию). Электронный формат КС — это файл с расширением .cer. Если вы не обнаружили его на своем ключевом носителе, загрузите с веб-портала УЦ, выдавшего вам средства ЭП. Подавляющее большинство аккредитованных центров сертификации выкладывает свои КС в открытый доступ.

Примечание 2. Все инструкции в ОС Windows следует выполнять из системного профиля с правами администратора.

Прописываем КС в реестр ОС Windows 10:

Обычное запоминающее устройство можно открыть и просмотреть его содержимое в обозревателе ОС — например, Windows Explorer. На нем вы обнаружите файл с расширением .cer и папку закрытого (секретного) ключа. Она содержит 6 файлов. Один из них — header.key — и есть ваш открытый ключ. В окне обозревателя System Explorer для Windows достаточно просто выделить и перетащить мышкой данные с flash-накопителя на ПК в любую выбранную вами папку.

Программные средства ЭП, записанные на USB-токен, можно просмотреть и продублировать на ПК только с помощью СКЗИ КриптоПро CSP (об этом ниже).

Третье. Проверяем, указаны ли токен, смарт-карта или запоминающее устройство в списке установленных считывателей для КриптоПро CSP:

Рабочее место настроено.

Инструкция № 1. Репродуцируем данные с Рутокен в ОС Windows:

По окончании операции криптопровайдер вернется на вкладку «Сервис».

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Инструкция № 2. Просматриваем и дублируем на ПК только публичный ключ:

Многие пользователи хотят узнать, как скопировать электронную подпись с флешки на Рутокен. Этот интерес продиктован желанием максимально обезопасить личную информацию от кражи. Как правило, заявители, получившие программные средства ЭП на обычном USB-носителе, позже принимают решение перенести сведения на токен или смарт-карту.

Несмотря на внешнее сходство (форм-фактор, разъем для подключения к ПК), разница между этими устройствами весьма существенна. Основное назначение USB-flash-накопителя — хранение данных. Электронно-вычислительная машина (ЭВМ) воспринимает его как внешний диск. U SB-flash-накопитель выдерживает до 10 тыс. циклов перезаписи.

Основное назначение Рутокен — хранение конфиденциальной информации, в том числе личных ключевых контейнеров. Любой USB-токен — это микро-ЭВМ, теми или иными (например, криптографическими) методами обеспечивающая выполнение процесса аутентификации. Рутокен выдерживает от 100 000 до 1 млн циклов перезаписи. Доступ к памяти такого устройства, а, следовательно, и к персональным данным, которые оно содержит, осуществляется только при использовании специального ПО.

Как скопировать сертификаты с флешки на Рутокен:

Выполните шаги 13 – 17 инструкции №1 и завершите операцию.

Оформим ЭЦП для вашего бизнеса. Поможем установить и настроить в день подачи заявки!

Оставьте заявку и получите консультацию.

Как скопировать сертификат из хранилища ОС на флешку через КриптоПро

Участнику ЭДО, который часто работает на разных машинах (ПК, ноутбуках, серверах) с многопользовательским доступом, может потребоваться перенос публичного ключа на на flash-накопитель. Это удобно, если получателю (например, сотруднику ФНС РФ) требуется верифицировать цифровую подпись, которой завизированы документы отправителя, а прописывать свои личные ключи в операционную систему на чужой или корпоративной машине он не желает.

Как скопировать сертификат из хранилища ОС на флешку через КриптоПро:

Заканчиваем операцию — см. пп. 14-15.

Как скопировать ЭЦП с компьютера на флешку

Если ваш USB-токен вышел из строя, но вы успели перенести программные средства ЦП на компьютер, имеет смысл продублировать сведения на запоминающее устройство.

Предупреждение! Описываемая операция хороша как временная мера. Flash-накопитель — это незащищенный носитель. Ваши данные могут быть украдены злоумышленниками.

Как скопировать ЭЦП с ПК, ноутбука, сервера на флешку:

Заканчиваем операцию — см. пп. 13-17.

Как скопировать публичный ключ с Рутокена на флешку

Некоторые пользователи из соображений безопасности не желают переносить программные средства ЭП с Рутокен в реестр операционной системы персонального компьютера. Тем не менее им бывает необходимо пользоваться цифровой подписью на своем или чужом рабочем месте при обмене цифровыми документами с другими участниками ЭДО. Для этого достаточно продублировать с USB-токена на flash-накопитель только личный открытый сертификат.

Как скопировать публичный ключ с Рутокен на флешку:

Как скопировать информацию на флешку

Предупреждение! Операция, о которой пойдет речь, потенциально опасна. Последствием ее выполнения может стать кража злоумышленниками ваших персональных данных с незащищенного носителя. Если вы осознаете риски, но обстоятельства требуют, например, передачи копии программных средств ЭП доверенному лицу, вы можете воспользоваться инструкцией ниже.

Как скопировать закрытый ключ с Рутокен на флешку с помощью КриптоПро:

Предупреждение! Эксперты не рекомендуют держать личную информацию в доступных для посторонних лиц местах: на корпоративных рабочих машинах или незащищенных flash-накопителях. Персональные данные могут быть похищены.

За 30 минут настроим ЭЦП Рутокен для работы под ключ.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Из нашей статьи вы узнаете:

Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:

Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.

В общем случае сертификат ЭЦП состоит из трех компонентов:

Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.

Как произвести копирование сертификата с Рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Как выполнить копирование сертификата с Рутокена через КриптоПРО

Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:

В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.

Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.

Проведение копирования контейнера с помощью встроенных средств операционной системы Windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Как выполнить копирование ЭП из реестра

Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

*Примечание

Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу.
После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.

Выгрузка личного сертификата с исходного компьютера:
Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»

Как перенести нужный контейнер на Рутокен из другого источника

В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:

Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.

Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:

Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:

Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.

При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.

USB-flash-накопитель – популярный и довольно надежный носитель информации. К сожалению, его нельзя назвать универсальным – для хранения программных средств электронной подписи (далее – ЭЦП, ЭП, ЦП) он не годится. Похищение информации с этого устройства не представляет никакой сложности. Обычная «флешка» – это незащищенный носитель, годящийся только для хранения простой или неквалифицированной цифровых подписей. Он не может гарантировать конфиденциальность персональных данных. Квалифицированную ЭП записывают на специализированные устройства – USB-токены или смарт-карты.

Что такое безопасная «флешка» для ЭЦП? Это, к примеру, Рутокен или eToken.

Безопасным устройством также считается и JaCarta, но внешне она сильно отличается от упомянутых носителей. Являясь смарт-картой, она больше похожа на Secure Digital Memory Card (SD).

Ниже будем разбираться, как пользоваться ЭЦП с «флешки» и как превратить ее в электронный ключ. Расскажем, что «делает» Рутокен и на что он еще годится, кроме хранения ЭЦП. Объясним, как репродуцировать ключевые контейнеры на «флешку» и подписать документы, не перенося сертификаты в «операционку» (далее – ОС).

Закажите электронную подпись у нас!

Как пользоваться электронной подписью с флешки

Работник удостоверяющего центра (далее – УЦ) по обращению заявителя выдает ему средства ЭП. В их перечень входят:

Возможность приобретения токена/смарт-карты обозначена на сайтах многих УЦ в качестве дополнительной услуги. Почему ее предлагают в качестве выделенной опции, не включая в стандартный пакет, и на какие типы устройств вам могут записать ЦП?

Классический USB-flash-накопитель. В обычный договор о получении ЭП входят только программные средства ее генерации и верификации с последующим их предоставлением заявителю. Аккредитованные УЦ по собственной инициативе не станут переносить персональные данные на носители упомянутого типа – они считаются незащищенными. Сначала заявителя ознакомят с рисками. Только после этого, если клиент будет настаивать, ЦП запишут на его «флешку».

USB-flash-накопитель с безопасным хранилищем. Флешка, «превращенная» в подобие токена. Ее память сегментирована – доступ к участку с личной информацией охраняется  PIN-кодом (или паролем). Вы можете создать такое устройство самостоятельно.

Токен/смарт-карта. На момент написания статьи большинство центров сертификации выдают ЭП именно на них.

Таблица 1 – типы защищенных носителей

Примечание. Сегодня под «флешками» понимают не только обычные USB-flash-накопители, но и токены.

Чтобы начать пользоваться электронной подписью с «флешки», нужно знать, как настроить автоматизированное рабочее место (далее – АРМ). Эксперты рекомендуют владельцам ЦП работать в ОС Windows 7 и выше.

Примечание. Обязательно пропишите корневой сертификат (далее – КС) УЦ в систему. Без проведения этой процедуры пользоваться ЭЦП не получится – ОС будет оповещать об ошибке.

Работник УЦ репродуцирует КС на токен или вашу «флешку». Информация на носителе структурирована следующим образом:

КС аккредитованного УЦ, как правило, публикуется на одной из страниц веб-сайта организации. Вы можете загрузить его через сеть Интернет, воспользовавшись веб-обозревателем Windows Internet Explorer:

Алгоритм добавления КС в реестр ОС Windows 10:

Теперь нужно произвести настройку считывателей. Пошаговая инструкция:

Теперь все готово для того, чтобы начать пользоваться электронной подписью с «флешки». Визировать документ ЭЦП в текстовом процессоре Microsoft (далее – MS) Word можно двумя способами: средствами программного комплекса или с помощью плагина КриптоПро Office Signature. Рассмотрим оба.

Способ №1 – заверение документа средствами MS Word 2010:

Способ №2 – визирование документа в MS Word с помощью КриптоПро Office Signature:

Чтобы завизировать ЦП документ формата PDF, вам потребуется загрузить и инсталлировать лицензионные версии Adobe Acrobat Pro версии 8 и моложе или Adobe Reader 11 и плагин КриптоПро PDF. Пошаговый алгоритм подписания на примере Adobe Acrobat:

Участникам ЭДО важно понимать, как работать с ЦП непосредственно в сети Интернет. Рассмотрим подробнее программные приложения, которые обеспечивают эту возможность.

КриптоПро ЭЦП Browser plug-in (он же CADESCOM или Кадеском). Плагин, позволяющий визировать ЭЦП:

Вы сможете использовать свою ЭЦП на партнерских сайтах, электронных торговых площадках (далее – ЭТП), в интернет-банкинге, интернет-офисах с веб-доступом.

Примечание. Учтите, что настройки плагина могут меняться в зависимости от того, на какой ЭТП вы находитесь. Если у вас возникают затруднения, загрузите инструкцию по применению компонента для совершения операций на конкретной ЭТП.

Программный комплекс КриптоАРМ – модуль, специально предназначенный для кодирования и дешифровки цифровых бумаг и данных, генерации и верификации ЭП. Его разработчиком является ООО «Цифровые технологии». Приложение «заточено» для защиты корпоративных и персональных данных, которыми участники ЭДО обмениваются в сети Интернет или путем передачи друг другу съемных носителей (дисков, «флешек») с ними. Примечание. Поддержка веб-обозревателя КриптоПро Fox, к сожалению, прекращена.

Как записать на флешку ЭЦП

Предупреждение! Держать программные средства ЭЦП на обычной «флешке» опасно. Злоумышленникам не составит труда их похитить. Если доверенное лицо использует вашу ЦП в корыстных целях, возможно, придется обращаться в суд. В процессе разбирательства дела в уполномоченной инстанции убедить суд, что электронной подписью пользовались не вы, будет очень сложно даже хорошему адвокату.

Если вы осознаете риски, но все равно намерены перенести личную информацию на незащищенный носитель, например, для передачи ЦП доверенному лицу, следуйте пошаговому алгоритму, изложенному ниже.

Как перенести электронную подпись из реестра ОС на «флешку»:

Криптопровайдер вернется к основному окну копирования контейнера секретного ключа.

Как записать на флешку ЭЦП – переносим ее с Рутокен / eToken / JaCarta:

Примечание. Держите  PIN-код в недоступном для других пользователей месте. Если его забыть или потерять, восстановить доступ к каталогу с секретным ключом станет невозможно.

Как установить сертификат ЭЦП на флешку

Многие участники ЭДО, руководствуясь соображениями безопасности, опасаются прописывать личные сертификаты и, особенно, переносить секретные ключи в реестр ОС, установленной на рабочей машине с корпоративным пользовательским доступом. Тем не менее, у них возникает необходимость использования программных средств ЭП для обмена данными с другими пользователями. Для этого может понадобиться репродукция открытого ключа на «флешку».

Примечание. Как установить личный открытый сертификат ЭЦП в хранилище ОС, мы рассказали в одной из предыдущих статей – в случае с «флешкой» под «установкой» подразумевается процесс копирования файла.

Как просмотреть и репродуцировать открытый сертификат ЭЦП  на «флешку» с Рутокен, eToken, JaCarta или из реестра ОС:

В окне системного оповещения об окончании операции щелкните «Ok».

Как сделать из флешки электронный ключ аутентификации в Linux

С помощью Pluggable Authentication Modules (далее – PAM-модуль) вы сможете сделать из вашей «флешки» электронный ключ (далее – ЭК).

PAM-модуль представляет собой набор библиотек, которые используются системой Linux для динамического распознавания пользователя в приложениях и/или службах.

Как работает USB-flash-накопитель, «превращенный» посредством PAM-модуля в ЭК:

Рассмотрим подробнее, как сделать из «флешки» электронный ключ и какие действия потребуется совершить, чтобы корректно настроить PAM-модуль.

Во-первых, нужно инсталлировать libpam_usb.so и компоненту координации:

$ sudo apt-get install libpam-usb pamusb-tools

Во-вторых, вставьте накопитель, который вы намерены применять как аутентификационный ключ, в USB-разъем компьютера. Далее требуется выполнить:

$ sudo pamusb-conf —add-device имя

Модуль произведет сбор сведений, дополнит ими базу и сгенерирует 2 Kb рандомных данных. Теперь для обнаружения устройства начнет задействоваться Udisks. Параметр «Имя» – для присвоения устройству произвольного названия. Критически важно, чтобы все прочие периферийные накопители были отключены перед началом процесса настройки.

В-третьих, ассоциируйте «флешку» с конкретной учетной записью (например, Ivan Ivanov):

В-четвертых, запустите проверку достоверности собранных сведений в качестве подстраховки – «флешка» могла некорректно определиться. Например, вы забыли отключить какой-либо внешний накопитель, и система идентифицировала его вместо вашей «флешки»:

$ sudo pamusb-check Ivan Ivanov

В-пятых, добавьте pam_usb в перечень модулей, обязательных для осуществления процедуры распознавания владельца ЭК. В сборках, базирующихся на Debian (например, Ubuntu) следует модифицировать файл /etc/pam.d/common-auth. Нужно обнаружить строку (запись) типа auth required pam_unix.so и под ней дописать еще одну:

auth sufficient pam_usb.so

Таким образом, вы сообщите PAM-модулю, что во время совершения попытки входа любым пользователем управление должно передаваться palm_usb – он и будет проводить ревизию наличия соответствующей «флешки», а в случае провала аутентификации упомянутым способом запрашивать пароль.

Если вы предпочитаете полностью заблокировать пользователю доступ после неудачной аутентификации посредством созданного на основе «флешки» ЭК, подмените «sufficient» значением «required».

В-шестых, расширьте набор функций pam-usb путем использования pamusb-агента. Его задача – автоматизация процессов блокировки/разблокировки «учетки» при извлечении/введении электронного ключа из/в USB-разъема/разъем. Допишите в конфигурирующий файл /etc/pamusb.conf этот скрипт:

Предупреждение! Вышеприведенный код сконструирован и протестирован на Gnome. При использовании pamusb-агента в другой среде, 3 и 4 команды потребуется модифицировать соответствующим образом.

В-седьмых, протестируйте работоспособность pamusb-агента:

Если проверка прошла успешно, пропишите агента в автозапуск:

$ cd ~/.config/autostart $ ln -s /usr/bin/pamusb-agent pamusb-agent

Вам будет интересно: Как установить ЭЦП на компьютер

Можно ли использовать Рутокен как флешку

Да, можно. Правда, получится «флешка» очень маленькой емкости – стандартный объем памяти Рутокен 2.0 составляет всего 4 GB. Другое дело, что под заказ можно приобрести устройство с объемом памяти до 64 GB. По окончании срока действия электронной подписи (как правило, он составляет 1 календарный год), владелец может не захотеть использовать Рутокен 2.0 для повторной записи перевыпущенных сертификатов и ключей ЭЦП.

Токен использует управляемую flash-память – она вполне может быть сегментирована, а доступ к получившимся разделам будет предоставляться только после ввода PIN-кода. На устройстве можно будет хранить не только личные данные, но и дистрибутивы программ и прочие файлы. Но можно ли добраться до защищенных участков flash-памяти и как подготовить устройство, чтобы потом использовать его как безопасную «флешку»?

Программа Рутокен Диск (информацию о цене и возможности сделать заказ уточняйте на веб-портале разработчика) позволит вам управлять защищенным разделом flash-памяти устройства. Есть, как минимум, два отличных руководства по работе с приложением: «Рутокен Диск. Установка программы» и «Начало работы с программой Рутокен Диск в Windows».

Стратегический консультант в области оптимизации бизнес-процессов с 2005 года, специализируется на складской логистике и розничной торговле.

Об электронной цифровой подписи

Электронная цифровая подпись — это специальная информация, которая добавляется к электронному документу и даёт возможность убедиться в том, вносились ли изменения в электронный документ после его подписания, а также гарантированно установить лицо, подписавшее данный документ. Добавить электронную цифровую подпись к электронному документу возможно с помощью личного ключа и специального программного обеспечения.

Что же такое личный ключ? Личный ключ — это набор символов в виде компьютерного файла. При этом личный ключ играет роль шариковой ручки при подписании документа на бумаге.

Для проверки ЭЦП на электронном документе используется другой набор символов — открытый ключ. После формирования сертификата открытый ключ становится его частью и не используется отдельно.

Квалифицированный сертификат (далее — сертификат) — это документ, который удостоверяет подлинность и принадлежность открытого ключа пользователю. Такой документ выдаётся аккредитованным удостоверяющим центром и существует в электронном виде. Для проверки ЭЦП на документе необходимо специальное программное обеспечение.

Сертификат служит для проверки ЭЦП на документе, не является секретным и может свободно распространяться через интернет и другие открытые каналы связи. Добавить на электронный документ ЭЦП с помощью сертификата или получить с него ваш личный ключ невозможно.

В итоге мы получаем следующее. Один субъект подписывает документ с помощью личного ключа и специального программного обеспечения, а другой проверяет подпись на этом документе. При этом лицу, которое проверяет подпись, иметь свой личный ключ и сертификат необязательно.

Инструкция. Настройка Рутокен. Как установить сертификат ЭЦП

Вставляем USB-токен в компьютер

Шаг 2

Открываем панель управления

Шаг 3

Через закладку «Администрирование» находим кнопку «Информация»

Шаг 4

В открывшемся окне можно увидеть статус Microsoft Base Smart Card Crypto Provider

Если напротив стоит «Поддерживается», то просто продолжите действия — «Ок». В случае когда статус — «Активировать», активируйте носитель. « Не поддерживается» означает, что носитель не поддерживает работу с ЕГАИС (Единая государственная автоматизированная информационная система).

Шаг 5

Выбираем «Настройка» во вкладке с аналогичным названием

Шаг 6

Для «Рутокен ЭЦП Смарт-карта», «Рутокен ЭЦП (2.0)» или «Семейство Рутокен ЭЦП» нужно выбрать одинаковое значение — «Microsoft Base Smart Card Crypto Provider».

Настройка Рутокен завершена

Ещё один важный момент, необходимый при настройках, — это ПИН-код Рутокен. Пин-код пользователя, заданный по умолчанию —12345678. Его используют для доступа к электронной подписи и объектам на устройстве: сертификатам и ключевым парам.

Купить подходящую лицензию КриптоПро для ЭЦП ФНС рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

Установка ЭЦП осуществляется двумя способами

Через подраздел «Просмотреть сертификаты в контейнере». Данным способом можно установить сертификат в хранилище, только если он есть в контейнере.

Через подраздел «Установить личный сертификат»

Для начала найдите установленную КриптоПро CSP, откройте её. Перед вами появится окно с разделами: «Алгоритмы», «Безопасность», Winlogon, «Общие», «Оборудование», «Сервис» и другие. Вам нужна вкладка «Сервис».

Находим далее «Установить личный сертификат», и перед вами откроется мастер установки сертификатов. При настройке практически везде нажимаем «Далее». Есть возможность выбрать сертификат через кнопку «Обзор» и проложить путь к нему. Так же выбрать нужный контейнер.

Второй вариант — это последовательные действия через «Просмотреть сертификаты в контейнере». Через «Обзор» выбираем контейнер или сертификат, жмём «Далее», «Свойства», «Установить сертификат», «Далее», «Готово». Установка успешно завершена.

Как скопировать ЭЦП с Рутокена на флешку

Записать ЭЦП на флешку требуется для предотвращения порчи носителя или потери записанных данных. Также копирование необходимо перед обновлением, модернизацией или переустановкой операционной системы. Если сертификат подписи не скопировать, то закодированная информация может удалиться с персонального компьютера.

Важно! Контейнеры закрытых ключей, которые создавались для ЕГАИС или были выданы ФНС, являются неэкспортируемыми.

Для копирования понадобится:

физический носитель ЭЦП — Рутокен

Открываем КриптоПро CSP, при этом в компьютере уже должны быть вставлены заблаговременно и флешка, и Рутокен. На вкладке «Сервис» жмём «Скопировать» и в открывшемся окне через «Обзор» выбираем нужный для копирования контейнер, подтверждая действие кнопкой «Ок». Возможно, понадобится ввести пароль и название копии ключа ЭЦП, нажимая «Далее» до появления кнопки «Готово». Перед вами откроется окно, в котором нужно выбрать флешку. Сгенерируйте новый пароль и наберите его, копирование завершено. Проверьте, чтобы на флешке появилась папка с копией вашего контейнера. Для того чтобы скопировать ЭЦП с Рутокена на Рутокен, проводятся аналогичные действия. Только после кнопки «Готово» выбрать не флешку, а второй носитель Рутокен. В конце также проверьте, появилась ли ключевая пара на вкладке сертификаты в панели управления Рутокен.

Купить носитель для квалифицированной электронной подписи рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Как скопировать закрытые ключи на rutoken

У меня такая проблема. при получении закрытых ключей по ошибке в качетстве места их размещения была указана обычная флэшка вместо rutoken’a. есть ли возможность переместить ключи с флэшки на rutoken?заранее спасибо

Алексей Несененко

Если Вы делали это средствами КриптоПро, то в закладке «сервис» есть кнопка «скоприровать контейнер». Воспользуйтесь ей для переноса контейнера с сертификатом с флэшки на токен.

FrosT

мне нужно перенести не сертификат а именно закрытые ключи. у меня на флэшке сейчас папка с файлами с расширением .keyа при копировании контейнера с сертификатом предлагается выбрать именно файл сертификата с расширением .cer

если вы выбираете «просмотр сертификата в контейнере» и указываете флэшку видно и контейнер и сертификат в нем?

сертификат насколько я понимаю уже на rutokene с ним все хорошо. мне нужно перенести именно ключи с флэшки на rutoken. сертификата на флэшке нет.

У Вас сертификат КриптоПро?

каким образом Вы получали закрытый ключ и каким образом на токене появился сертификат?

видимо я все таки напутал. сертификат также на флэшке наверно. но скопировать его как Вы написали через скопировать контейнер на закладке сервис не получается. Выдает ошибку копирования контейнера «0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии»

Сертификат при выписывании был помечен как неэкспортируемый?

Скорее всего да. Точно не знаю. Можно в такой ситуации что нибудь сделать?

если был экспортируемый, то можно через экпорт из локального хранилища в pfx файл а затем на токен. Если не экспортируемый, то нельзя.

Проще выписать заново прямо на токен.

Inzhener

Здраствуйте, У меня тоже ключ после восстановления не удаётся скопировать, хотя КриптоПРО видит и даже открытый ключ можно выгрузить, ключ точно экспортируемый, сделал всё как советовала техподдержка, создал файл pfx, как мне дальше его экспортировать в реестр или записать на носитель?

В КриптоПро своя процедура копирования контейнеров — https://forum.rutoken.ru/topic/1443/