Извлечение ключа из токена с неизвлекаемым ключом / Хабр

Извлечение ключа из токена с неизвлекаемым ключом / Хабр Электронная цифровая подпись
Содержание
  1. Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
  2. Как сделать, чтобы все было хорошо?
  3. Pin-коды и способы их замены
  4. Где приобрести рутокен и эцп
  5. Как выполнить копирование сертификата с рутокена через криптопро
  6. Как выполнить копирование эп из реестра
  7. Как задать безопасный pin-код
  8. Как обновить сертификат rsa в ключе егаис?
  9. Как перенести нужный контейнер на рутокен из другого источника
  10. Как произвести копирование сертификата с рутокен
  11. Контроль правильности подключения рутокен
  12. Конфигурация тестового стенда
  13. Матчасть
  14. Методика тестирования
  15. Настройка рабочего места
  16. Настройка рутокена
  17. Особенности использования токенов
  18. Получение сертификата гост
  19. По-новому взглянем на наш тестовый стенд
  20. Проведение копирования контейнера с помощью встроенных средств операционной системы windows
  21. Проведение тестирования
  22. Сравнение рутокен s и рутокен эцп
  23. Установка необходимых компонентов

Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть

. Он это

. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Как сделать, чтобы все было хорошо?


Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Pin-коды и способы их замены

Если при оформлении ЭЦП вам не выдали пароли для доступа, то они имеют первоначально стандартное значение:

Для обеспечения безопасности при работе и предотвращения компрометации токена необходимо после настройки рабочего места сменить PIN-коды. Сделать это можно следующим образом:

Аналогичным образом меняют пароль администратора. Новое значение желательно держать отдельно от самого токена в недоступном для посторонних месте для предотвращения компрометации данных.

Во время ввода PIN-кода может быть совершена ошибка. По умолчанию, после 10 ошибок ввода PIN-кода устройство блокируется. Разблокировать его поможет ввод пароля администратора. Если и последний заблокирован (для этого также по умолчанию понадобится 10 неудачных попыток), то понадобится форматирование устройства. Во время процедуры полностью удаляются данные на носителе, сбрасываются все пароли и происходит освобождение памяти.

Где приобрести рутокен и эцп

Если для подписи отчетов, ведения электронного документооборота вам необходима цифровая подпись и токены, то обращайтесь в УЦ «Астрал-М». Мы специализируемся на оформлении ЭЦП любых типов, предлагая клиентам:

Получить дополнительную информацию можно с помощью запроса через сайт, по электронной почте или телефону. Мы поможем сформировать полный пакет документов и оперативно окажем необходимые услуги.

Как выполнить копирование сертификата с рутокена через криптопро

Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:

В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.

Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.

Как выполнить копирование эп из реестра

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу.
После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.

Выгрузка личного сертификата с исходного компьютера:
Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

Читайте также:  Переносим неэкспортируемые контейнеры Крипто-ПРО / Хабр

В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»

Как задать безопасный pin-код

Параметры PIN-кода можно задавать во время настройки политик при форматировании Рутокена. В общем случае рекомендуем придерживаться следующих правил:

Как обновить сертификат rsa в ключе егаис?

В связи с обновлением сертификата Росалкогольрегулирования пользователям ЕГАИС необходимо перезаписать сертификат RSA на аппаратных ключах.

RSA-сертификат — это бесплатная часть ключа ЕГАИС, которую вы можете самостоятельно записывать и менять в личном кабинете на сайте egais.ru.

Перед обновлением необходимо остановить универсальный транспортный модуль. Если ключ используется для продажи крепкого алкоголя, обновление нужно делать в нерабочее время.

Первый шаг — удаление устаревшего недействительного сертификата.

Для носителей Jacarta

  1. Откройте программу Единый клиент Jacarta и в левом нижнем углу выберите режим администрирования.
  2. Выберите раздел PKI, пункт «Инициализировать».
  3. Введите пин-код администратора (если не меняли, по умолчанию 0000 0000) и нажмите «Выполнить».
  4. После появления уведомления об очистке раздела нажмите «Продолжить». Старый сертификат будет удален, а раздел очищен.

Для носителей Рутокен

  1. Откройте программу «Панель управления Рутокен», выберите устройство и перейдите во вкладку «Сертификаты».
  2. Найдите строку с именем RSA-ключа, щелкните по ней левой кнопкой мыши и выберите «Удалить».
  3. Программа запросит подтверждение операции, а затем пин-код пользователя (по умолчанию 12345678).
  4. После ввода пин-кода нажмите ОК, и RSA-сертификат будет удален.

1. Авторизуйтесь на сайте egais.ru и выберите пункт «Получить ключ доступа».
2. Выберите торговую точку, для которой необходим сертификат (у ИП она в любом случае будет только одна) и нажмите «Сформировать ключ».
3. Введите пароль по умолчанию или свой.
4. В пункте о достоверности сведений поставьте галочку, затем нажмите «Сформировать ключ».
5. В появившемся окне введите пин-код PKI

Пин-код JaCarta: 11 11 11 11
Пин-код RuToken ЭЦП: 12345678

6. В случае верного ввода пароля появится сообщение, что ключ RSA успешно сформирован.

§

§

Как перенести нужный контейнер на рутокен из другого источника

В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:

Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.

Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:

Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:

Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.

При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности.

Как произвести копирование сертификата с рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

Читайте также:  Национальный удостоверяющий центр Республики Казахстан

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Контроль правильности подключения рутокен

Для проверки корректности работы токена выполните следующие действия:

Если в последнем вы видите ваш токен, то устройство работает корректно. В противном случае повторно подключите его в USB-разъем.

Конфигурация тестового стенда


Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):

  1. ОС MS Windows 7 SP1
  2. СКЗИ КриптоПРО CSP 3.9.8423
  3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2021, WHQL-certified
  4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
  5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:

  1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
  2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

  1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
  2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
  3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
  4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
  5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

исходный ключевой документ

. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

рабочие ключевые документы

. После этого уничтожим

исходный ключевой документ

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Настройка рабочего места

Для корректной работы токена необходимо предварительно настроить ПК или ноутбук, что можно сделать самостоятельно (если необходимо, то дополнительную консультацию предоставят сотрудники удостоверяющего центра «Астрал-М»).

Настройка рутокена

Если напротив стоит «Поддерживается», то просто продолжите действия — «Ок». В случае, когда статус «Активировать», активируйте носитель. «Не поддерживается» означает, что носитель не поддерживает работу с ЕГАИС (Единая государственная автоматизированная информационная система).

Настройка Рутокен завершена

Особенности использования токенов

На все токены производитель предлагает гарантийный срок эксплуатации сроком в 12 месяцев. На практике срок службы устройства кратно больше и зависит в основном о соблюдения правил использования. Последние включают следующие рекомендации:

  • защищайте токен от воздействий любого типа (агрессивные вещества, повышенные и пониженные температуры, удары, вибрации, воздействия твердыми предметами);
  • при подключении устройства не прилагайте больших усилий (особенно направленных перпендикулярно боковой поверхности корпуса);
  • предотвращайте попадание на устройство (особенно касается считывателя) пыли, грязи, влаги, а для очистки используйте обычную чистую сухую ткань;
  • не носите токен вместе с ключами, монетами и иными твердыми предметами;
  • не разбирайте и не сгибайте устройство;
  • подключайте токен только к исправному USB-разъему либо считывателю;
  • не извлекайте устройство во время горящего или мигающего индикатора из-за риска повреждения информации, микроконтроллера;
  • не используйте длинные переходники или большие хабы без дополнительного питания из-за снижения напряжения.
Читайте также:  Восстановили работу ключа ЕГАИС | Алсион

На практике, идеальным местом для хранения Рутокен на рабочем месте будет сейф, ящик стола, который закрывается на ключ и куда нет доступа у третьих лиц.

Получение сертификата гост

Извлеките из компьютера USB-носители и воткните Рутокен ЭЦП 2,0, который был выдан в Сервисном Центре:

Проверьте, чтобы Рутокен не содержал никаких иных сертификатов. Для этого нажмите Пуск — Все программы — Рутокен — Панель управления Рутокена, вкладка «Сертификаты» и убедитесь, что они отсутствуют:

Внимание! В систему ЕГАИС можно будет войти только с тем сертификатом, который записан на Рутокен ЭЦП 2.0 последним! Сертификат не подлежит копированию с одного носителя на другой!

Перейдите к сервису и в окне входа введите номер телефона, который указывали в заявке на КЭП — это необходимо для получения SMS с кодом:Извлечение ключа из токена с неизвлекаемым ключом / Хабр

Полученный код введите в соответствующем окне:

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Проведение копирования контейнера с помощью встроенных средств операционной системы windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Проведение тестирования

1. Создадим

исходный ключевой документ

2.Сформируем

рабочие ключевые документы

3.Уничтожим исходный ключевой документ

4. Скопируем ключевую информацию из

рабочих ключевых документов

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Сравнение рутокен s и рутокен эцп

Сегодня на российском рынке представлено около десятка продуктов для хранения ключей и сертификатов для электронной цифровой подписи, аутентификации и других операций. Среди них наиболее популярными стали продукты компании Актив: Рутокен S и Рутокен ЭЦП.

Рутокен S — базовая модель защищенных носителей информации, которая оптимально подходит для хранения ключей шифрования данных, сертификатов ЭЦП. К преимуществам устройств отнесем:

Установка необходимых компонентов

Установка производится с виртуального диска Контур. Маркет. Для доступа рекомендуется использовать браузер Internet Explorer. Пройдите по указанной ссылке и выберите «Настройки для получения КЭП»:

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector