сертификат без ключевой пары рутокен что это

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

Методика тестирования

Проведение тестирования

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Источник

Особенности использования ЭЦП на «Рутокене»

«Рутокен ЭЦП 2.0» – это серия устройств для хранения ключей и сертификата электронной подписи (ЭП). Носитель обеспечивает надежную защиту конфиденциальной информации. Для получения ЭП нужно обратиться в удостоверяющую компанию.

Что такое «Рутокен»

Термин Rutoken состоит из 2 частей:

Линейка аппаратных средств представлена несколькими разновидностями токенов и смарт-карт. Это устройства для хранения информации – ключей и сертификата электронной подписи, удостоверений, лицензий, паролей и др.

От простых флеш-накопителей и карт памяти они отличаются наличием чипа, выполняющего следующие функции:

Сравнение с «Рутокеном S»

«Рутокен С» – это еще одна серия носителей от компании «Актив». Отличие от рассматриваемой линейки состоит в том, что для работы с устройством нужно устанавливать драйвер. «Рутокен ЭЦП 2.0» в этом не нуждается: носители данного типа используют штатный модуль CCID ОС Windows Vista и более новых версий. На старые операционные системы, например Windows XP, расширение CCID устанавливают отдельно.

«Рутокен С» – самая надежная и дорогая разновидность токенов и смарт-карт. Носители отвечают наиболее строгим критериям безопасности, установленным стандартами РФ, и в основном используются в государственных корпорациях.

Сфера применения «Рутокена ЭЦП 2.0» – цифровые системы оборота документов, удаленный банкинг, ЕГАИС.

Основные моменты работы с «Рутокеном ЭЦП 2.0»

Главные функции устройства – хранение и применение электронной подписи.

Она состоит из таких элементов:

Заверение документа электронной подписью дает такой результат:

ЭЦП выдают удостоверяющие центры.

Чтобы ее применить, нужно установить на компьютер специальную программу. В случае с «Рутокеном» это «КриптоПро CSP».

Где купить «Рутокен» и ЭЦП

Выгоднее всего приобретать носители на официальном сайте – rutoken.ru.

Также здесь можно заказать:

Носители продают партиями от 10 шт. Пользователям, желающим приобрести продукцию поштучно, производитель предлагает обратиться к одному из партнеров. Список для своего города можно увидеть здесь же, на сайте.

Например, в Москве с компанией «Актив» сотрудничают такие фирмы (указаны не все):

Инструкция по настройке «Рутокена»

Установку и настройку носителя производят в таком порядке:

Когда система предложит задать ПИН-код, вводят «12345678». Далее нужно скачать и установить на ПК программу «КриптоПро».

Как установить сертификат ЭЦП

Есть несколько способов установки сертификата.

В первом случае поступают так:

Перед тем как установить сертификат ЭЦП на компьютер этим способом, убедитесь, что он имеется в контейнере на «Рутокене», иначе в «Панели управления» отобразится пустая ключевая пара без удостоверения.

Копирование через «КриптоПро»

Во втором случае используют программу «КриптоПро»:

Как скопировать ЭЦП на флешку

В случае повреждения токена, а также для передачи другому лицу подпись дублируют на флеш-карту.

Если подписывать документы приходится часто, делать это с помощью токена или флеш-карты становится неудобно. ЭП копируют в реестр Windows.

Действуют в той же последовательности, что и в случае с флеш-накопителем. Только в последнем окне пунктом назначения вместо сменного носителя указывают «Реестр».

Этот способ неудобен, если подписью пользуются несколько человек. Кроме того, после поломки жесткого диска или переустановки операционной системы выпуск сертификата придется повторить.

Копирование ЭП из реестра

Если стандартными способами скопировать подпись не удалось, ее извлекают из реестра.

Адрес нужной ветки зависит от разрядности Windows:

В результате данные о контейнере попадают в реестр.

Пользователю остается установить личный сертификат с помощью программы «КриптоПро CSP» вручную.

Установка сертификата ЭЦП с «Рутокеном»

Инсталлировать удостоверение можно и через команду «Посмотреть сертификаты в контейнере» во вкладке «Сервис» программы «КриптоПро».

После ее запуска делают следующее:

Перед тем как скопировать ЭЦП этим способом, убедитесь в наличии контейнера с сертификатом на токене, иначе «КриптоПро CSP» выдаст сообщение об отсутствии открытого ключа в контейнере закрытого кода.

Установка ЭЦП с флешки на компьютер

Инсталляцию подписи с флеш-накопителя производят так:

После этого подпись появляется в компьютере.

Если окно с выбором считывателя не отобразилось, поступают так:

Как перенести контейнер на «Рутокен»

Перенос тоже выполняют с помощью программы «КриптоПро CSP»:

Проверка срока действия «Рутокена ЭЦП 2.0»

Чтобы выяснить конечную дату действия подписи, делают так:

Отображается окно с информацией об ЭП, в т.ч. сроке ее действия.

Другой способ предусматривает использование браузера Internet Explorer:

Рядом отображается срок его действия.

Удаление сертификата с «Рутокена»

Устаревший сертификат деинсталлируют в таком порядке:

Возможные проблемы с ЭЦП на «Рутокене»

Программа «КриптоПро» может не увидеть на «Рутокене» или ином носителе файлы закрытого ключа (он имеет расширение *.key). Это значит, что их записали в корневой каталог или во вложенную папку. Чтобы исправить ошибку, переместите файлы в папку первого уровня.

Если при попытке воспользоваться подписью появляется сообщение «На носителе Рутокен ЭЦП не найдено ни одного сертификата», причиной могут быть:

В первом случае проблему решают переустановкой утилиты, во втором – покупкой нового носителя, в третьем – заменой операционной системы.

Источник

Сообщений 15

#1 Тема от mihmig 2021-07-19 16:34:12

Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он «позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена.»

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю «Леночке между декретами»)?

3. Хотелось бы услышать список причин, по которым признак «неизвлекаемости» ключа стал обязательным.

#2 Ответ от Ксения Шаврова 2021-07-19 17:33:04

Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он «позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена.»

Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.

Далее отвечу по пунктам:

1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю «Леночке между декретами»)?

А вот тут не всегда. Например, «КриптоПро CSP» версии 5.0 R2 может успешно работать с неизвлекаемыми ключами PKCS, используя библиотеку rtpkcsecp и тогда ключи не извлекаются, а может работать с программными ключами и тогда токен будет в пассивном режиме хранить ключи на смарт-карте под PIN-кодом.

3. Хотелось бы услышать список причин, по которым признак «неизвлекаемости» ключа стал обязательным.

Требования к неизвлекаемости сейчас нет.
Согласно требованиям УЦ ФНС есть требования к неэкспортируемости для повышения безопасности.
Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации. Неэкспортируемые закрытые ключи являются более надежным вариантом использования, поскольку получение доступа к такому закрытому ключу требует применения специальных средств и техники.

Источник

Сертификат без ключевой пары рутокен что это

На устройстве Рутокен могут храниться сертификаты, за которые вы или ваша компания заплатили деньги. Такие сертификаты помогают решать следующие задачи: сдавать электронную отчетность; участвовать в торгах; продавать алкоголь; осуществлять безопасный доступ к компьютеру, банковской системе или имеют другое применение.

Прежде чем удалить сертификат (ключевую пару, личный сертификат) удостоверьтесь в том, что он не понадобится вам позже, так как после удаления восстановить его невозможно.

Для удаления сертификата (ключевой пары, личного сертификата) из памяти устройства Рутокен необходимо:

Определение криптопровайдера или формата сертификата (ключевой пары, личного сертификата)

Перед удалением сертификата (ключевой пары, личного сертификата) необходимо определить его криптопровайдер или формат.

Для определения криптопровайдера или формата:

Рутокен Плагин или PKCS#11

Запись имени контейнера (КриптоПро CSP, ViPNet CSP)

Так как удаление контейнеров КриптоПро CSP и ViPNet CSP реализуется не через Панель управления Рутокен, следует записать имена контейнеров, которые необходимо удалить. Это необходимо сделать, чтобы не ошибиться с выбором.

Для записи имени контейнера:

Удаление сертификата (ключевой пары, личного сертификата) КриптоПро CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

В окне для выбора контейнера щелкните по имени контейнера, который необходимо удалить.

Обязательно сверьте имя контейнера с записанными ранее символами.

Удаление сертификата (ключевой пары, личного сертификата) ViPNet CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет уже невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Щелкните по имени контейнера, который необходимо удалить.

Обязательно сверьте имя контейнера с записанным ранее символами

Удаление сертификата (ключевой пары, личного сертификата) Aktiv ruToken CSP

После удаления сертификат (ключевую пару, личный сертификат) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Удаление сертификата (ключевой пары, личного сертификата) PKCS#11 или Рутокен Плагина

Для удаления сертификата (ключевой пары, личного сертификата) PKCS#11 или Рутокен Плагина вам необходимо знать PIN-код Администратора устройства Рутокен.

После удаления сертификат (ключевую пару, личный сертификата) восстановить будет невозможно.

Для удаления сертификата (ключевой пары, личного сертификата):

Удаление сертификата (ключевой пары, личного сертификата) ФСРАР

Для удаления сертификата (ключевой пары, личного сертификата):

Источник

Как установить Рутокен

Из нашей статьи вы узнаете:

Современному человеку, работа которого связана с документами, приходится иметь дело со специальным инструментом — электронной подписью. ЭЦП представляет собой ПО, с помощью которого можно подписывать отчетность и другие бумаги в цифровом формате. Электронная подпись включает саму основу, сертификат, дающий право индивидуального использования, а также два ключа, являющиеся логином и паролем для входа.

Сертификат выдается удостоверяющими центрами. Вместе с паролем эти сведения записывают на Рутокен. Компьютер надлежит сначала подготовить к дальнейшей работе: активировать доступ к интернету, настроить все должным образом согласно инструкции и совершить прочие действия.

Само понятие Рутокена подразумевает физический носитель ключа, сделанный в формате flash-карты с защищенными данными. Эта информация используется для генерации электронной подписи. Чтобы работать с Рутокеном, надлежит сначала установить специальный драйвер. Схема действий изложена в инструкции. Приведенная ниже информация позволит разобраться, как установить Рутокен.

Способы получения электронной цифровой подписи на ПК

Конкретный вариант того, как получить электронную подпись, зависит от ее типа:

С полным перечнем прошедших аккредитацию удостоверяющих центров предлагается ознакомиться на веб-портале Минкомсвязи РФ.

Усиленная подпись позволяет участвовать в торгах, взаимодействовать с налоговой инспекцией, сдавать отчеты в госорганы, проводить коммерческие торги и пр. Ее использование гарантирует самый высокий уровень безопасности. Для подписания первичных бухгалтерских документов в цифровом формате достаточно простой подписи. Однако для ведения полноценной предпринимательской деятельности этого мало.

Как пользователь может получить и установить ЭЦП на компьютере:

Последний вариант менее удобен в том случае, когда сертификат используется сразу несколькими людьми. Следует иметь в виду и необходимость повторного выпуска сертификата в случае выхода из строя винчестера либо переустановки ОС.

Чаще всего используется вариант установки Рутокена через обычный флеш-накопитель. Электронная подпись будет иметь вид папки с файлами.

Регистрация и установка программного решения CryptoPro

Сама программа предназначена для защиты данных путем шифрования и формирования ЭП. Сертификат нужен для подтверждения значимости и статуса цифровой документации во время работы с различными объектами, включая:

Перед тем как приступать непосредственно к инсталляции ПО, надлежит закрыть все приложения. Нужно перейти в учетную запись администратора. Также важный момент — наличие лицензии на программу.

Следуя инструкции, можно установить программу «КриптоПро» без особых проблем. Порядок действий прост: понадобится лишь сохранить и запустить установочный файл. По завершении процедуры требуется произвести перезагрузку компьютера. Получить дистрибутив предлагается на официальном сайте программного продукта.

Интегрированное ПО позволяет выполнять различные операции с ЭЦП. Его преимуществом является бесплатность на протяжении всего пробного периода. Испытать возможности «КриптоПро» предлагается на протяжении 3 месяцев. По истечении 90 дней бесплатного демонстрационного периода надлежит купить лицензионный ключ, чтобы и дальше иметь доступ ко всему функционалу. Возможности программы охватывают идентификацию пользователей, создание реестра ЭЦП и управление им, генерацию ключей и т. п. Периодически выходят новые серии модуля.

Важно учесть, что перед инсталляцией надлежит проверить ПК на соответствие минимальным требованиям. Обычно нужна операционная система Windows 7 и более свежая, браузер IE8, процессор с частотой минимум 1 ГГц и оперативная память не менее 512 Мб. USB-вход стандарта 1.1 — также обязательное требование к компьютеру, где проводится работа с программой.

Как работать с ЭЦП без флешки?

Выдача ЭЦП осуществляется на флеш-накопителе. Но нужно учитывать, что это вещь не вечная: может потеряться или сломаться. Пользоваться электронной подписью получится и без флешки. Достаточно выполнить следующие действия на компьютере:

Перед тем как установить личный сертификат с носителя, где находится Рутокен, следует удостовериться в его наличии в контейнере. Сделать это довольно просто, если следовать инструкции.

Удостовериться в наличии сертификата в контейнере можно путем нажатия соответствующей кнопки во вкладке «Сервис». Тут понадобится выбрать подходящий вариант. Принцип прост: достаточно кликнуть дважды левой кнопкой мыши.

При создании контейнера предлагается создать новый пароль. Его понадобится ввести дважды в соответствующие строки. Однако это не является обязательным действием во время установки Рутокена.

По завершении копирования сертификата в реестр понадобится установить его в раздел, который именуется «Личное». Как это сделать: во вкладке под названием «Сервис» выбирается пункт «Просмотреть сертификаты в контейнере». На дисплей выводится окно, где предлагается нажать кнопку «Обзор». Понадобится обозначить, какой именно сертификат интересует, и подтвердить это путем нажатия кнопки «ОК».

В окне будет обозначена информация в отношении действующего сертификата ЭЦП. Именно тут понадобится нажать на кнопку, которая называется «Установить».

Затем все еще проще: следует нажать кнопку «Да», потом «ОК», чтобы подтвердить совершаемые действия.

На этом завершается процедура установки ЭЦП на компьютер. Теперь можно совершать любые желаемые действия без ограничений: посещать торговые площадки, госпортал либо же работать с подписью без привлечения флеш-накопителя.

Чтобы проверить, удалось ли установить ЭЦП, надлежит совершить попытку зайти в ЛК требуемого интернет-сервиса по ключу. Достаточно совершить любое обращение к электронной подписи без вставленной в ПК флешки. Результатом станет вывод на экран данных о сертификате ЭЦП.

Установка ЭЦП с флеши на ПК

Перед тем как установить и активировать цифровую подпись с flash-накопителя на ПК, потребуется удостовериться в наличии нескольких условий:

Нужно также настроить место работы. Процедура предполагает установку сертификата удостоверяющего сервиса, ключа, а также его дальнейшую загрузку.

Сама инструкция по установке цифровой подписи на компьютер выглядит не слишком сложно. Список действий, как активировать и затем произвести настройку ЭЦП, схож с обычной установкой сертификата. Предварительно следует лишь вставить flash-накопитель в ПК.

Порядок действий таков:

Вероятна ситуация, что окно с выбором считывателей не появится. В таком случае нужно перейти в настройки считывателей, выбрать пункт с названием «Добавить», после чего нажать кнопку «Далее».

В отобразившемся на дисплее окне надлежит выбрать пункт, называющийся «Все производители». Потом жмем «Далее».

Важный нюанс: закрытый ключ выдается в формате файлов *.key. Если они расположены в корневой папке, «КриптоПро CSP» не сможет их увидеть. Поэтому сначала нужно перенести все файлы на флеш-накопитель. Важно, чтобы он находился в папке первого уровня.

Об успешной установке ЭЦП с флешки на компьютер оповестит соответствующее окно. На экране появится надпись о завершении операции.

Иногда может понадобиться вручную установить сертификат в контейнер. Это делается посредством перехода в СКЗИ «КриптоПро», где во вкладке «Сервис» нужно выбрать кнопку «Установить личный сертификат».

Потом предлагается выбрать имя файла, в который помещен сертификат. Обозначить путь к нему нужно через кнопку «Обзор».

После нажатия кнопки «Далее» выдаются основные сведения сертификата для установки. Уточнить данные можно путем перехода во вкладку «Свойства».

Нажимаем кнопку «Далее» и попадаем в окно с названием «Контейнер закрытого ключа». Тут надлежит нажать кнопку «Обзор» в строке «Имя ключевого сертификата». В перечне будут предложены контейнеры, потребуется выбрать интересующий.

Если для получения доступа к закрытому ключу нужен пароль, будет подан запрос на него. Надлежит ввести код и подтвердить его нажатием кнопки «ОК».

Нажатием кнопки «Обзор» можно перейти к выбору места, куда надлежит установить сертификат ЭЦП. Предлагаются следующие варианты: хранилище пользователя либо ПК.

Нужно поставить флажок напротив пункта «Установить сертификат в контейнер».

В завершение предлагается удостовериться в корректности внесенных сведений. Посредством нажатия кнопки «Готово» завершается процедура установки.

Установка сертификата ЭЦП с Рутокен

Когда установка электронной подписи считается завершенной, понадобится скачать драйверы для Rutoken. Только после этого сертификат цифровой подписи станет работать как полагается.

Предварительно следует скачать установочный файл, потом открыть его. Дальнейшие действия совершаются согласно инструкциям.

Когда загрузка драйверов будет завершена, достаточно подсоединить Рутокен ЭЦП к компьютеру. Теперь можно установить сертификат.

Сделать это предлагается любым из двух способов.

Первый вариант — установить сертификат ЭЦП с помощью меню просмотра.

Порядок действий таков:

Система оповестит об успешной установке личного сертификата на компьютер.

Заключение

Основная задача — настроить Рутокен. После установки драйвера и перезагрузки компьютера можно активировать ЭЦП. Данная операция касается электронного ключа. Активировать его можно довольно просто. Нужно найти установленный дистрибутив в панели управления и перейти во вкладку с названием «Свойства». Далее нажатием на кнопку «Сервис» можно посмотреть сертификаты в контейнере. Осуществляется операция импорта.

Именно так можно активировать ЭЦП. Инструкция не предполагает выполнения сложных действий.

Наличие установленной электронной подписи позволит пользоваться ею даже при отсутствии самого флеш-накопителя, прямо с компьютера.

Источник

• ← сертификат без ключевой пары рутокен что делать
• сертификат безопасного туризма в турции что это →