Сертификат с неэкспортируемой ключевой парой рутокен что это

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

Методика тестирования

Проведение тестирования

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Источник

Сообщений 15

#1 Тема от mihmig 2021-07-19 16:34:12

Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он «позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена.»

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю «Леночке между декретами»)?

3. Хотелось бы услышать список причин, по которым признак «неизвлекаемости» ключа стал обязательным.

#2 Ответ от Ксения Шаврова 2021-07-19 17:33:04

Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он «позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена.»

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

Далее отвечу по пунктам:

1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю «Леночке между декретами»)?

А вот тут не всегда. Например, «КриптоПро CSP» версии 5.0 R2 может успешно работать с неизвлекаемыми ключами PKCS, используя библиотеку rtpkcsecp и тогда ключи не извлекаются, а может работать с программными ключами и тогда токен будет в пассивном режиме хранить ключи на смарт-карте под PIN-кодом.

3. Хотелось бы услышать список причин, по которым признак «неизвлекаемости» ключа стал обязательным.

Требования к неизвлекаемости сейчас нет.
Согласно требованиям УЦ ФНС есть требования к неэкспортируемости для повышения безопасности.
Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации. Неэкспортируемые закрытые ключи являются более надежным вариантом использования, поскольку получение доступа к такому закрытому ключу требует применения специальных средств и техники.

Источник

Сертификат с неэкспортируемой ключевой парой рутокен что это

На устройстве Рутокен могут храниться сертификаты, за которые вы или ваша компания заплатили деньги. Такие сертификаты помогают решать следующие задачи: сдавать электронную отчетность; участвовать в торгах; продавать алкоголь; осуществлять безопасный доступ к компьютеру, банковской системе или имеют другое применение.

Прежде чем удалить сертификат (ключевую пару, личный сертификат) удостоверьтесь в том, что он не понадобится вам позже, так как после удаления восстановить его невозможно.

Для удаления сертификата (ключевой пары, личного сертификата) из памяти устройства Рутокен необходимо:

Определение криптопровайдера или формата сертификата (ключевой пары, личного сертификата)

Перед удалением сертификата (ключевой пары, личного сертификата) необходимо определить его криптопровайдер или формат.

Для определения криптопровайдера или формата:

Рутокен Плагин или PKCS#11

Запись имени контейнера (КриптоПро CSP, ViPNet CSP)

Так как удаление контейнеров КриптоПро CSP и ViPNet CSP реализуется не через Панель управления Рутокен, следует записать имена контейнеров, которые необходимо удалить. Это необходимо сделать, чтобы не ошибиться с выбором.

Для записи имени контейнера:

Удаление сертификата (ключевой пары, личного сертификата) КриптоПро CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

В окне для выбора контейнера щелкните по имени контейнера, который необходимо удалить.

Обязательно сверьте имя контейнера с записанными ранее символами.

Удаление сертификата (ключевой пары, личного сертификата) ViPNet CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет уже невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Щелкните по имени контейнера, который необходимо удалить.

Обязательно сверьте имя контейнера с записанным ранее символами

Удаление сертификата (ключевой пары, личного сертификата) Aktiv ruToken CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Удаление сертификата (ключевой пары, личного сертификата) PKCS#11 или Рутокен Плагина

Для удаления сертификата (ключевой пары, личного сертификата) PKCS#11 или Рутокен Плагина вам необходимо знать PIN-код Администратора устройства Рутокен.

После удаления сертификат (ключевую пару, личный сертификата) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Удаление сертификата (ключевой пары, личного сертификата) ФСРАР

Для удаления сертификата (ключевой пары, личного сертификата):

Источник

Опыт получения сертификата на Рутокен ЭЦП в налоговой

Форум Рутокен → Вопросы связанные с КриптоПро CSP → Опыт получения сертификата на Рутокен ЭЦП в налоговой

Сообщений 7

#1 Тема от kiav 2021-08-09 14:53:45 (2021-08-09 14:56:55 отредактировано kiav)

Опыт получения сертификата на Рутокен ЭЦП в налоговой

Пока видел только одного «пострадавшего».

Прошу делиться опытом. Кому удалось получить сертификат и на каком ключе (ФКН, PKCS11, пассивный).
Что делали для этого организационно (просили определенный тип ключа, например), технически (форматировали предварительно токен? как конкретно ставили PIN, либо сообщали его для генерации ключа сотруднику ФНС?

#2 Ответ от Тепловичков 2021-08-10 10:25:48

Re: Опыт получения сертификата на Рутокен ЭЦП в налоговой

#3 Ответ от Ксения Шаврова 2021-08-10 13:58:20

Re: Опыт получения сертификата на Рутокен ЭЦП в налоговой

Тепловичков, добрый день.

#4 Ответ от Тепловичков 2021-08-10 23:47:58

Re: Опыт получения сертификата на Рутокен ЭЦП в налоговой

Тепловичков, добрый день.

#5 Ответ от Ксения Шаврова 2021-08-11 10:37:30

Re: Опыт получения сертификата на Рутокен ЭЦП в налоговой

Большое спасибо. Да, это обычный пассивный неэкспортируемый контейнер КриптоПро CSP.

#6 Ответ от kiav 2021-08-19 15:01:35

Re: Опыт получения сертификата на Рутокен ЭЦП в налоговой

Сегодня получил сертификат. Контейнер SCARD\rutoken_fkc_

У меня на это все ушло 2 часа. Здесь ожидание из-за двойной записи и простой из-за недоступности УЦ ФНС.

Для того, чтобы получить нечто отличное от флешки с ПИНом (rutoken_ecp_) нужно настаивать. Иначе они будут разводить речи о том, что выдаются неэкспортируемые ключи и это надежно. Мне дали возможность посмотреть как это делается (это отдельное помещение с обычным столом, стулом, клавиатурой и монитором, меня садили за стол, чтобы набивать пароль и PUK ФКН.

Я ничего заранее с токеном не делал. Поэтому контейнер создал в налоговой. Там запросили задать ПИН и PUK.

Проверка дома (у меня Linux) показала, что по сертификату в ЛК ИП на сайте налоговой войти можно. ЭЦП в порядке.

Технически создается КЭП в приблуде к Internet Explorer. Концепция у них уже однажды менялась за это время. Теперь в браузере. И УЦ может отдавать ошибку 502, а может и вовсе не пинговаться. Т.е. можно сходить в налоговую просто так, даже если согласен на все.

Источник

Как установить Рутокен

Из нашей статьи вы узнаете:

Современному человеку, работа которого связана с документами, приходится иметь дело со специальным инструментом — электронной подписью. ЭЦП представляет собой ПО, с помощью которого можно подписывать отчетность и другие бумаги в цифровом формате. Электронная подпись включает саму основу, сертификат, дающий право индивидуального использования, а также два ключа, являющиеся логином и паролем для входа.

Сертификат выдается удостоверяющими центрами. Вместе с паролем эти сведения записывают на Рутокен. Компьютер надлежит сначала подготовить к дальнейшей работе: активировать доступ к интернету, настроить все должным образом согласно инструкции и совершить прочие действия.

Само понятие Рутокена подразумевает физический носитель ключа, сделанный в формате flash-карты с защищенными данными. Эта информация используется для генерации электронной подписи. Чтобы работать с Рутокеном, надлежит сначала установить специальный драйвер. Схема действий изложена в инструкции. Приведенная ниже информация позволит разобраться, как установить Рутокен.

Способы получения электронной цифровой подписи на ПК

Конкретный вариант того, как получить электронную подпись, зависит от ее типа:

С полным перечнем прошедших аккредитацию удостоверяющих центров предлагается ознакомиться на веб-портале Минкомсвязи РФ.

Усиленная подпись позволяет участвовать в торгах, взаимодействовать с налоговой инспекцией, сдавать отчеты в госорганы, проводить коммерческие торги и пр. Ее использование гарантирует самый высокий уровень безопасности. Для подписания первичных бухгалтерских документов в цифровом формате достаточно простой подписи. Однако для ведения полноценной предпринимательской деятельности этого мало.

Как пользователь может получить и установить ЭЦП на компьютере:

Последний вариант менее удобен в том случае, когда сертификат используется сразу несколькими людьми. Следует иметь в виду и необходимость повторного выпуска сертификата в случае выхода из строя винчестера либо переустановки ОС.

Чаще всего используется вариант установки Рутокена через обычный флеш-накопитель. Электронная подпись будет иметь вид папки с файлами.

Регистрация и установка программного решения CryptoPro

Сама программа предназначена для защиты данных путем шифрования и формирования ЭП. Сертификат нужен для подтверждения значимости и статуса цифровой документации во время работы с различными объектами, включая:

Перед тем как приступать непосредственно к инсталляции ПО, надлежит закрыть все приложения. Нужно перейти в учетную запись администратора. Также важный момент — наличие лицензии на программу.

Следуя инструкции, можно установить программу «КриптоПро» без особых проблем. Порядок действий прост: понадобится лишь сохранить и запустить установочный файл. По завершении процедуры требуется произвести перезагрузку компьютера. Получить дистрибутив предлагается на официальном сайте программного продукта.

Интегрированное ПО позволяет выполнять различные операции с ЭЦП. Его преимуществом является бесплатность на протяжении всего пробного периода. Испытать возможности «КриптоПро» предлагается на протяжении 3 месяцев. По истечении 90 дней бесплатного демонстрационного периода надлежит купить лицензионный ключ, чтобы и дальше иметь доступ ко всему функционалу. Возможности программы охватывают идентификацию пользователей, создание реестра ЭЦП и управление им, генерацию ключей и т. п. Периодически выходят новые серии модуля.

Важно учесть, что перед инсталляцией надлежит проверить ПК на соответствие минимальным требованиям. Обычно нужна операционная система Windows 7 и более свежая, браузер IE8, процессор с частотой минимум 1 ГГц и оперативная память не менее 512 Мб. USB-вход стандарта 1.1 — также обязательное требование к компьютеру, где проводится работа с программой.

Как работать с ЭЦП без флешки?

Выдача ЭЦП осуществляется на флеш-накопителе. Но нужно учитывать, что это вещь не вечная: может потеряться или сломаться. Пользоваться электронной подписью получится и без флешки. Достаточно выполнить следующие действия на компьютере:

Перед тем как установить личный сертификат с носителя, где находится Рутокен, следует удостовериться в его наличии в контейнере. Сделать это довольно просто, если следовать инструкции.

Удостовериться в наличии сертификата в контейнере можно путем нажатия соответствующей кнопки во вкладке «Сервис». Тут понадобится выбрать подходящий вариант. Принцип прост: достаточно кликнуть дважды левой кнопкой мыши.

При создании контейнера предлагается создать новый пароль. Его понадобится ввести дважды в соответствующие строки. Однако это не является обязательным действием во время установки Рутокена.

По завершении копирования сертификата в реестр понадобится установить его в раздел, который именуется «Личное». Как это сделать: во вкладке под названием «Сервис» выбирается пункт «Просмотреть сертификаты в контейнере». На дисплей выводится окно, где предлагается нажать кнопку «Обзор». Понадобится обозначить, какой именно сертификат интересует, и подтвердить это путем нажатия кнопки «ОК».

В окне будет обозначена информация в отношении действующего сертификата ЭЦП. Именно тут понадобится нажать на кнопку, которая называется «Установить».

Затем все еще проще: следует нажать кнопку «Да», потом «ОК», чтобы подтвердить совершаемые действия.

На этом завершается процедура установки ЭЦП на компьютер. Теперь можно совершать любые желаемые действия без ограничений: посещать торговые площадки, госпортал либо же работать с подписью без привлечения флеш-накопителя.

Чтобы проверить, удалось ли установить ЭЦП, надлежит совершить попытку зайти в ЛК требуемого интернет-сервиса по ключу. Достаточно совершить любое обращение к электронной подписи без вставленной в ПК флешки. Результатом станет вывод на экран данных о сертификате ЭЦП.

Установка ЭЦП с флеши на ПК

Перед тем как установить и активировать цифровую подпись с flash-накопителя на ПК, потребуется удостовериться в наличии нескольких условий:

Нужно также настроить место работы. Процедура предполагает установку сертификата удостоверяющего сервиса, ключа, а также его дальнейшую загрузку.

Сама инструкция по установке цифровой подписи на компьютер выглядит не слишком сложно. Список действий, как активировать и затем произвести настройку ЭЦП, схож с обычной установкой сертификата. Предварительно следует лишь вставить flash-накопитель в ПК.

Порядок действий таков:

Вероятна ситуация, что окно с выбором считывателей не появится. В таком случае нужно перейти в настройки считывателей, выбрать пункт с названием «Добавить», после чего нажать кнопку «Далее».

В отобразившемся на дисплее окне надлежит выбрать пункт, называющийся «Все производители». Потом жмем «Далее».

Важный нюанс: закрытый ключ выдается в формате файлов *.key. Если они расположены в корневой папке, «КриптоПро CSP» не сможет их увидеть. Поэтому сначала нужно перенести все файлы на флеш-накопитель. Важно, чтобы он находился в папке первого уровня.

Об успешной установке ЭЦП с флешки на компьютер оповестит соответствующее окно. На экране появится надпись о завершении операции.

Иногда может понадобиться вручную установить сертификат в контейнер. Это делается посредством перехода в СКЗИ «КриптоПро», где во вкладке «Сервис» нужно выбрать кнопку «Установить личный сертификат».

Потом предлагается выбрать имя файла, в который помещен сертификат. Обозначить путь к нему нужно через кнопку «Обзор».

После нажатия кнопки «Далее» выдаются основные сведения сертификата для установки. Уточнить данные можно путем перехода во вкладку «Свойства».

Нажимаем кнопку «Далее» и попадаем в окно с названием «Контейнер закрытого ключа». Тут надлежит нажать кнопку «Обзор» в строке «Имя ключевого сертификата». В перечне будут предложены контейнеры, потребуется выбрать интересующий.

Если для получения доступа к закрытому ключу нужен пароль, будет подан запрос на него. Надлежит ввести код и подтвердить его нажатием кнопки «ОК».

Нажатием кнопки «Обзор» можно перейти к выбору места, куда надлежит установить сертификат ЭЦП. Предлагаются следующие варианты: хранилище пользователя либо ПК.

Нужно поставить флажок напротив пункта «Установить сертификат в контейнер».

В завершение предлагается удостовериться в корректности внесенных сведений. Посредством нажатия кнопки «Готово» завершается процедура установки.

Установка сертификата ЭЦП с Рутокен

Когда установка электронной подписи считается завершенной, понадобится скачать драйверы для Rutoken. Только после этого сертификат цифровой подписи станет работать как полагается.

Предварительно следует скачать установочный файл, потом открыть его. Дальнейшие действия совершаются согласно инструкциям.

Когда загрузка драйверов будет завершена, достаточно подсоединить Рутокен ЭЦП к компьютеру. Теперь можно установить сертификат.

Сделать это предлагается любым из двух способов.

Первый вариант — установить сертификат ЭЦП с помощью меню просмотра.

Порядок действий таков:

Система оповестит об успешной установке личного сертификата на компьютер.

Заключение

Основная задача — настроить Рутокен. После установки драйвера и перезагрузки компьютера можно активировать ЭЦП. Данная операция касается электронного ключа. Активировать его можно довольно просто. Нужно найти установленный дистрибутив в панели управления и перейти во вкладку с названием «Свойства». Далее нажатием на кнопку «Сервис» можно посмотреть сертификаты в контейнере. Осуществляется операция импорта.

Именно так можно активировать ЭЦП. Инструкция не предполагает выполнения сложных действий.

Наличие установленной электронной подписи позволит пользоваться ею даже при отсутствии самого флеш-накопителя, прямо с компьютера.

Источник

• ← Что обозначает слово лоботряс
• Сатин набивной что это за ткань →