Как пользоваться ЭЦП с флешки

Иногда для удобства работы возникает необходимость в производстве копий электронной подписи. Рассказываем, как скопировать ЭЦП с флешки на флешку, на компьютер и наоборот.

Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.

В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.

Квалифицированная цифровая подпись юридически приравнена к собственноручной. Этот инструмент активно применяется участниками электронного документооборота (ЭДО). Хранение аппаратно-программных средств ЭП Федеральным законом №63-ФЗ не регламентируется — пользователи вправе распоряжаться персональными данными на свое усмотрение.

Тем не менее, упомянутая правовая норма обязывает удостоверяющие центры выдавать заявителям ключи ЦП на защищенных USB-токенах, смарт-картах. Некоторые из них оснащены встроенным средством криптографической защиты информации (СКЗИ). Доступ к сведениям на защищенных ключевых носителях возможен только после ввода PIN-кода.

Хранить программные средства ЭП также можно на обычном flash-накопителе в реестре операционной системы (ОС) Windows — в статье мы рассмотрим работу именно в этой среде. Сегодня поговорим о том, как скопировать ЭЦП с флешки на компьютер, и о возможных способах ее дублирования и хранения.

Настроим вашу электронную подпись под ключ за 30 минут!

Оставьте заявку и получите консультацию в течение 5 минут.

USB-flash-накопитель – популярный и довольно надежный носитель информации. К сожалению, его нельзя назвать универсальным – для хранения программных средств электронной подписи (далее – ЭЦП, ЭП, ЦП) он не годится. Похищение информации с этого устройства не представляет никакой сложности. Обычная «флешка» – это незащищенный носитель, годящийся только для хранения простой или неквалифицированной цифровых подписей. Он не может гарантировать конфиденциальность персональных данных. Квалифицированную ЭП записывают на специализированные устройства – USB-токены или смарт-карты.

Что такое безопасная «флешка» для ЭЦП? Это, к примеру, Рутокен или eToken.

Безопасным устройством также считается и JaCarta, но внешне она сильно отличается от упомянутых носителей. Являясь смарт-картой, она больше похожа на Secure Digital Memory Card (SD).

Ниже будем разбираться, как пользоваться ЭЦП с «флешки» и как превратить ее в электронный ключ. Расскажем, что «делает» Рутокен и на что он еще годится, кроме хранения ЭЦП. Объясним, как репродуцировать ключевые контейнеры на «флешку» и подписать документы, не перенося сертификаты в «операционку» (далее – ОС).

Можно ли использовать Рутокен как флешку

Да, можно. Правда, получится «флешка» очень маленькой емкости – стандартный объем памяти Рутокен 2.0 составляет всего 4 GB. Другое дело, что под заказ можно приобрести устройство с объемом памяти до 64 GB. По окончании срока действия электронной подписи (как правило, он составляет 1 календарный год), владелец может не захотеть использовать Рутокен 2.0 для повторной записи перевыпущенных сертификатов и ключей ЭЦП.

Токен использует управляемую flash-память – она вполне может быть сегментирована, а доступ к получившимся разделам будет предоставляться только после ввода PIN-кода. На устройстве можно будет хранить не только личные данные, но и дистрибутивы программ и прочие файлы. Но можно ли добраться до защищенных участков flash-памяти и как подготовить устройство, чтобы потом использовать его как безопасную «флешку»?

Программа Рутокен Диск (информацию о цене и возможности сделать заказ уточняйте на веб-портале разработчика) позволит вам управлять защищенным разделом flash-памяти устройства. Есть, как минимум, два отличных руководства по работе с приложением: «Рутокен Диск. Установка программы» и «Начало работы с программой Рутокен Диск в Windows».

Подберем USB-носитель для ЭП. Доставка — в любую точку России!

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Как установить сертификат ЭЦП на флешку

Многие участники ЭДО, руководствуясь соображениями безопасности, опасаются прописывать личные сертификаты и, особенно, переносить секретные ключи в реестр ОС, установленной на рабочей машине с корпоративным пользовательским доступом. Тем не менее, у них возникает необходимость использования программных средств ЭП для обмена данными с другими пользователями. Для этого может понадобиться репродукция открытого ключа на «флешку».

Примечание. Как установить личный открытый сертификат ЭЦП в хранилище ОС, мы рассказали в одной из предыдущих статей – в случае с «флешкой» под «установкой» подразумевается процесс копирования файла.

Как просмотреть и репродуцировать открытый сертификат ЭЦП  на «флешку» с Рутокен, eToken, JaCarta или из реестра ОС:

В окне системного оповещения об окончании операции щелкните «Ok».

Как пользоваться электронной подписью с флешки

Работник удостоверяющего центра (далее – УЦ) по обращению заявителя выдает ему средства ЭП. В их перечень входят:

• открытый (публичный) и закрытый (секретный) ключи пользователя;
• свой корневой сертификат (далее – КС);
• (по запросу) защищенный носитель (токен, смарт-карта), на который записываются упомянутые персональные данные.

Возможность приобретения токена/смарт-карты обозначена на сайтах многих УЦ в качестве дополнительной услуги. Почему ее предлагают в качестве выделенной опции, не включая в стандартный пакет, и на какие типы устройств вам могут записать ЦП?

Классический USB-flash-накопитель. В обычный договор о получении ЭП входят только программные средства ее генерации и верификации с последующим их предоставлением заявителю. Аккредитованные УЦ по собственной инициативе не станут переносить персональные данные на носители упомянутого типа – они считаются незащищенными. Сначала заявителя ознакомят с рисками. Только после этого, если клиент будет настаивать, ЦП запишут на его «флешку».

USB-flash-накопитель с безопасным хранилищем. Флешка, «превращенная» в подобие токена. Ее память сегментирована – доступ к участку с личной информацией охраняется  PIN-кодом (или паролем). Вы можете создать такое устройство самостоятельно.

Токен/смарт-карта. На момент написания статьи большинство центров сертификации выдают ЭП именно на них.

Таблица 1 – типы защищенных носителей

Примечание. Сегодня под «флешками» понимают не только обычные USB-flash-накопители, но и токены.

Чтобы начать пользоваться электронной подписью с «флешки», нужно знать, как настроить автоматизированное рабочее место (далее – АРМ). Эксперты рекомендуют владельцам ЦП работать в ОС Windows 7 и выше.

Примечание. Обязательно пропишите корневой сертификат (далее – КС) УЦ в систему. Без проведения этой процедуры пользоваться ЭЦП не получится – ОС будет оповещать об ошибке.

Работник УЦ репродуцирует КС на токен или вашу «флешку». Информация на носителе структурирована следующим образом:

• Каталог с секретным ключом. В папке находятся 6 файлов. Среди них, как правило, есть и header.key – это личный открытый ключ пользователя.
• Файл с расширением .cer – КС центра сертификации.

КС аккредитованного УЦ, как правило, публикуется на одной из страниц веб-сайта организации. Вы можете загрузить его через сеть Интернет, воспользовавшись веб-обозревателем Windows Internet Explorer:

• Перейдите в меню браузера на вкладку «Сервис».
• Кликните по вкладке «Состав» – из ниспадающего списка выбирайте «Доступ к информации о центрах сертификации».
• В блок «Дополнительное имя» вставьте ссылку на страницу загрузки КС.
• Эту же ссылку скопируйте в адресную строку браузера. Укажите название файла (например, МойУЦ.cer).
• Сохраните КС на рабочий стол вашего пользовательского профиля.

Алгоритм добавления КС в реестр ОС Windows 10:

• Откройте КС и внимательно перепроверьте информацию.
• Щелкните «Установить сертификат».
• Следуйте интерактивным подсказкам утилиты «Мастер импорта сертификатов».
• Не забудьте отметить галкой предложение «Поместить все сертификаты в следующее хранилище».
• Если вы желаете сохранить единоличный доступ к КС и ограничить его всем остальным пользователям вашей рабочей машины, жмите «Обзор». Из открывшегося списка с каталогами выберите «Доверенные корневые центры сертификации» и отметьте галкой пункт «Показать физические хранилища». Затем выделите «Реестр» и нажмите «Ok».
• Чтобы организовать общий доступ к КС, выберите «Локальный компьютер».
• Ознакомьтесь с предупреждением о безопасности и жмите «Да».

Теперь нужно произвести настройку считывателей. Пошаговая инструкция:

• Подключите «флешку», токен или смарт-карту к рабочей машине. Система обнаружит новый накопитель и присвоит ему букву (например, F:).
• Запустите криптопровайдер.
• Откройте «Оборудование», вызовите опцию «Настроить считыватели».
• Появится новое окошко со списком хранилищ. В нем должны быть позиции «Все считыватели смарт-карт» и «Все съемные диски». Жмите «Ok».
• В появившемся окошке из левого списка выбирайте (Все производители), в правом – найдите необходимый считыватель и дополните им перечень.

Теперь все готово для того, чтобы начать пользоваться электронной подписью с «флешки». Визировать документ ЭЦП в текстовом процессоре Microsoft (далее – MS) Word можно двумя способами: средствами программного комплекса или с помощью плагина КриптоПро Office Signature. Рассмотрим оба.

Способ №1 – заверение документа средствами MS Word 2010:

• Откройте опцию главного меню «Файл».
• В ниспадающем списке щелкните «Сведения».
• Справа в области с задачами кликните по иконке «Добавить электронную подпись (КРИПТО-ПРО)».
• Выберите сгенерированную ЭП.
• Нажмите «Подписать».

Выпустим и настроим электронную подпись для сотрудника прямо в день обращения!

Способ №2 – визирование документа в MS Word с помощью КриптоПро Office Signature:

• Выполните пп. 1 – 2 предыдущей инструкции.
• В области с задачами щелкните по иконке «Защитить документ», а из появившегося ниспадающего перечня выберите опцию «Добавить цифровую подпись».
• Следуйте пп. 4 – 7 предыдущей инструкции.

Чтобы завизировать ЦП документ формата PDF, вам потребуется загрузить и инсталлировать лицензионные версии Adobe Acrobat Pro версии 8 и моложе или Adobe Reader 11 и плагин КриптоПро PDF. Пошаговый алгоритм подписания на примере Adobe Acrobat:

• Откройте в программе нужный файл.
• Откроется окошко с перечнем задач. Щелкайте «Подписи».
• В качестве метода подписания по умолчанию укажите КриптоПро PDF.
• Жмите «Ok».
• Вызовите опцию «Инструменты».
• В окошке с задачами щелкните по иконке «Сертификаты».
• Перейдите к опции «Поставить цифровую подпись» и выберите область, в которой будет располагаться ЦП.
• Поставьте галку возле пункта с реквизитом (цифровым удостоверением).
• Жмите «Продолжить».
• Откроется окошко с предпросмотром вашей ЭП.
• Кликните «Подписать» и дождитесь оповещения об успешном завершении операции.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Участникам ЭДО важно понимать, как работать с ЦП непосредственно в сети Интернет. Рассмотрим подробнее программные приложения, которые обеспечивают эту возможность.

КриптоПро ЭЦП Browser plug-in (он же CADESCOM или Кадеском). Плагин, позволяющий визировать ЭЦП:

• электронные бумаги;
• сведения веб-формы;
• файлы, загруженные с рабочей машины владельца ЦП;
• различные текстовые сообщения и многое другое.

Вы сможете использовать свою ЭЦП на партнерских сайтах, электронных торговых площадках (далее – ЭТП), в интернет-банкинге, интернет-офисах с веб-доступом.

Примечание. Учтите, что настройки плагина могут меняться в зависимости от того, на какой ЭТП вы находитесь. Если у вас возникают затруднения, загрузите инструкцию по применению компонента для совершения операций на конкретной ЭТП.

Программный комплекс КриптоАРМ – модуль, специально предназначенный для кодирования и дешифровки цифровых бумаг и данных, генерации и верификации ЭП. Его разработчиком является ООО «Цифровые технологии». Приложение «заточено» для защиты корпоративных и персональных данных, которыми участники ЭДО обмениваются в сети Интернет или путем передачи друг другу съемных носителей (дисков, «флешек») с ними. Примечание. Поддержка веб-обозревателя КриптоПро Fox, к сожалению, прекращена.

Как скопировать средствами Windows

Копирование через Windows – самый простой и быстрый вариант. К копированию доступны ключи, внесенные в реестровую запись Windows. Для операции потребуется «КриптоПро» как минимум 3-й версии. Рекомендуем использовать последнюю версию программы.

Для начала ЭЦП необходимо открыть на компьютере. Открыть ключ допустимо через спецпрограммы: например, «КриптоПро». Вот как установить сертификат ЭЦП на компьютер через «КриптоПро»:

• Откройте «Сервис».
• Кликните «Обзор» и выберите подходящий файл.
• Далее – «ОК», «Далее», «Готово». Во всех окнах соглашайтесь с предложенными системой вариантами.
• Электронная подпись установлена.

При использовании ЭЦП на флэшке или на дискете (не на токене), необходимо скопировать папки с ключами в корневую папку накопителя. Потребуются копии закрытых и открытых ключей. Чтобы проверить корректность копии, откройте папку с закрытым ключом. Она всегда выглядит так:

Если в закрытой папке находятся 6 файлов с расширением .key, то копии открытых папок не понадобятся. Папка всегда выглядит одинаково.

Другой способ создания копии – через экспорт сертификатов. Вот инструкция:

Шаг 1. Выберите файл для создания копии. Файл находится в установленной системе:

• Меню «Пуск».
• Открываем панель управления.
• Заходим в свойства обозревателя (браузера).

Зайдите в свойства и перейдите на вкладку «Сертификаты».

Шаг 2. Перейдите в «Личные». Выберите файл для создания копии. Кликните на «Экспорт». Во вкладке «Дополнительно» ничего не меняйте.

Шаг 3. Система автоматически предложит перенос закрытого ключа с сертификатом. Выберите «Нет». Такое копирование не требуется.

Шаг 4. В окне выберите первую строку — кодировка DER.

Шаг 5. Выберите папку для сохранения файлов. Для этого откройте «Обзор». Укажите имеющуюся папку или создайте новую.

Шаг 6. Нажмите «Далее» и «Готово». Программа создала копии. Ключ доступен к использованию без применения флэшки.

Какие есть способы копирования

Существуют различные способы созданий копий. Вот как скопировать ЭЦП с компьютера на компьютер с использованием цифровых носителей:

• Экспортировать сертификат в системе Windows. Это встроенная в операционную систему функция. Ничего устанавливать на компьютер не требуется.
• С использованием «КриптоПро CSP». Установите программу на ПК. Такой вариант применим для копирования одного или нескольких ключей. Для создания копий производят одну операцию на одну копию. Если необходимо перенести три ключа, то потребуется выполнить три операции.
• Через массовое копирование. При таком способе переносят все файлы и данные реестра. Копирование осуществляют средствами операционной системы или с использованием утилит. Утилиты подходят не ко всем ключам.

Одновременное копирование нескольких ключей (массовое копирование)

Способ массового копирования подойдет, если необходимо перенести на ПК несколько ключей. Для этого необходимо создать на компьютере новую ветку, сделав копию точного пути с основного ПК.

Пошаговая инструкция, как ЭЦП перенести с флешки на компьютер при экспорте двух и более ключей:

Шаг 3. Найдите папку Keys. Кликните на нее правой кнопкой мышки и нажмите «Экспортировать».

Шаг 5. Скопированную ветку перенесите на новый ПК. Необходимо заменить на SID нового ПК. Директорию с сертификатами также необходимо заменить.

Чтобы в процессе экспорта не возникали ошибки, скопируйте первую строку в текстовый редактор, например блокнот, и поменяйте SID. Найдите и откройте файл с расширением .reg, внесите новые сведения в запись реестра. Далее сделайте копию сертификатов на новый ПК. Готово. Ключи с ЭЦП перенесены на другой компьютер.

Об авторе этой статьи

В 2017 году окончила НФИ КемГУ по специальности “юриспруденция”. Начала работу помощником арбитражного управляющего (банкротство). Спустя 1,5 года перешла в администрацию бизнес-центра на должность руководителя юр. отдела. Сопровождаю бизнес.

Другие публикации автора

Предупреждение! Операция, о которой пойдет речь, потенциально опасна. Последствием ее выполнения может стать кража злоумышленниками ваших персональных данных с незащищенного носителя. Если вы осознаете риски, но обстоятельства требуют, например, передачи копии программных средств ЭП доверенному лицу, вы можете воспользоваться инструкцией ниже.

Как скопировать закрытый ключ с Рутокен на флешку с помощью КриптоПро:

• Вставляем в USB-разъемы оба устройства.
• См. инструкцию № 1. Выполняем пп. 2-11.
• В поле «Вставленный носитель» указываем flash-накопитель.
• Заканчиваем операцию — см. пп. 13-17.

Предупреждение! Эксперты не рекомендуют держать личную информацию в доступных для посторонних лиц местах: на корпоративных рабочих машинах или незащищенных flash-накопителях. Персональные данные могут быть похищены.

Как скопировать сертификат из хранилища ОС на флешку через КриптоПро

Участнику ЭДО, который часто работает на разных машинах (ПК, ноутбуках, серверах) с многопользовательским доступом, может потребоваться перенос публичного ключа на на flash-накопитель. Это удобно, если получателю (например, сотруднику ФНС РФ) требуется верифицировать цифровую подпись, которой завизированы документы отправителя, а прописывать свои личные ключи в операционную систему на чужой или корпоративной машине он не желает.

Как скопировать сертификат из хранилища ОС на флешку через КриптоПро:

• Подключаем flash-накопитель через USB-разъем ПК.
• Действуем согласно инструкции № 2, размещенной в предыдущем разделе этой статьи. Следуем пунктам 2-5.
• При выборе контейнера в колонке «Считыватель» выделяем строку «Реестр».
• Указываем имя файла и путь к нему — латинскую букву, обозначающую flash-накопитель в системе и, при необходимости, название папки, в которую репродуцируются сведения.

Заканчиваем операцию — см. пп. 14-15.

Как записать на флешку ЭЦП

Предупреждение! Держать программные средства ЭЦП на обычной «флешке» опасно. Злоумышленникам не составит труда их похитить. Если доверенное лицо использует вашу ЦП в корыстных целях, возможно, придется обращаться в суд. В процессе разбирательства дела в уполномоченной инстанции убедить суд, что электронной подписью пользовались не вы, будет очень сложно даже хорошему адвокату.

Если вы осознаете риски, но все равно намерены перенести личную информацию на незащищенный носитель, например, для передачи ЦП доверенному лицу, следуйте пошаговому алгоритму, изложенному ниже.

Как перенести электронную подпись из реестра ОС на «флешку»:

• Соединяем устройство с рабочим компьютером.
• Запускаем криптопровайдер.
• Выбираем «Сервис».
• Жмем «Скопировать».
• В окне «Копирование контейнера закрытого ключа» кликаем на «Обзор».
• В списке с контейнерами выделяем необходимый – в левой колонке со считывателями должен быть указан «Реестр».
• Откроется форма с электронным полем для ввода PIN-кода. Введите его и нажмите «Ok».
• В адресной строке нового окошка укажите путь и (по желанию) имя нового контейнера – он будет создан на «флешке» (в виде папки).
• Жмите «Готово».
• В окне выбора носителя в левом списке с устройствами выделите латинскую букву, которую ОС присвоила вашей «флешке», в правом – ее имя.
• Щелкните «Ok».
• В окне аутентификации потребуется ввод нового пароля (к каталогу с секретным ключом на «флешке»). Введите его в строку «Новый пароль», а в поле «Повторите ввод» – подтвердите.

Криптопровайдер вернется к основному окну копирования контейнера секретного ключа.

Как записать на флешку ЭЦП – переносим ее с Рутокен / eToken / JaCarta:

• Подключаем устройства к рабочей машине.
• Придерживаемся пп. 2 – 5 – см. инструкцию выше.
• В списке с контейнерами отмечаем необходимый – в левой колонке должен быть указан Рутокен / eToken / JaCarta.
• Следуем пп. 7 – 13.

Примечание. Держите  PIN-код в недоступном для других пользователей месте. Если его забыть или потерять, восстановить доступ к каталогу с секретным ключом станет невозможно.

В чём разница

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Копирование с помощью «КриптоПро CSP»

Утилиты «КриптоПро» осуществляют перенос файлов с одного носителя на другой, с компьютера на компьютер, с компьютера на носитель.

Вот инструкция, как скопировать ЭЦП с компьютера на флешку через «КриптоПро»:

Шаг 1. Через меню «Пуск» открываем «КриптоПро».

Шаг 2. Кликаем на «Скопировать контейнер».

Шаг 3. В списке реестра находим название требуемого для переноса контейнера и в открывшемся окне заполняем его имя. Выбираем криптопровайдер (CSP) для поиска контейнера.

Шаг 4. Введите пароль к электронной подписи. Далее переходим в раздел создания копии контейнера. На этом этапе необходимо задать имя для копии и выбрать папку для ее размещения.

Шаг 5. Выберите носитель, с которого необходимо перенести папку. Задайте пароль (пин-код) для скопированного файла и сохраните его.

Изготовить копию с носителя возможно, если на нем записан экспортируемый файл. Если файл защищен от экспорта, то при операции программа выдаст ошибку. В этом случае необходимо обратиться к оператору, который выдал ЭЦП.

Для удобства работы иногда необходимо добавить сертификат в хранилище «личное». Вот как добавить сертификат ЭЦП в хранилище сертификатов:

• Откройте Пуск/ViPNet/ViPNet CSP.
• Найдите раздел «Контейнеры ключей».
• Выберите контейнер и откройте его свойства.
• Кликните «Открыть» и «Установить сертификат».
• В открывающихся окнах кликайте на «Ок», «Да», «Готово».
• Сертификат установлен.

Как работать с носителями

Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.

Порядок получения электронной подписи на токен выглядит следующим образом:

• Приобретаем сертифицированный носитель.
• Приходим в операционный зал налогового органа региона.
• Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
• Получаем электронную подпись.

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Когда и зачем нужно копировать сертификаты ЭЦП на другой компьютер или флэшку

Работа в госзакупках завязана на использовании электронной цифровой подписи. С ней работает один или несколько специалистов.

Чтобы пользователю применять электронную цифровую подпись, ее устанавливают на съемный носитель – флэшку. Существует техническая возможность записи на ПК.

Вот как пользоваться ЭЦП с флешки, диска и иного носителя:

• Закодированный файл записывают на носитель.
• После записи на накопителе генерируют открытый ключ.
• Устанавливают пароль (пин-код).
• Контейнер ключа устанавливают на ПК, где используют электронную подпись.
• Цифровую подпись открывают на компьютере и подписывают документы. Процесс подписания осуществляют через папку сертификата. Он находится в разделе «Защита документа».

Цифровая подпись располагается на накопителе и на ПК, на который ее установили. Запись производит оператор, который выдает ЭЦП. Налоговая записывает на флэшку. Когда файл установлен и записан на ПК, подписание документов доступно автоматически. Если файл не установить, то для подписи необходимо вставлять накопитель в компьютер. Если с одной ЭЦП работает несколько человек, то это неудобно. В таких случаях файл устанавливают на компьютер или на несколько ПК.

В некоторых случаях требуется перенести файл и сертификат подписи на другой накопитель:

• Для защиты носителя от повреждений, утраты с целью защиты ЭЦП.
• Для работы одновременно на двух и более компьютерах для удобства пользователей.
• Для работы через сервер.

При обновлении или переустановке системы копия ключа необходима, поскольку она удалится с ПК. Сохраните файл с ЭЦП на флэшку, чтобы не потерять его при проблемах с операционной системой ПК.

Какие носители бывают

Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.

Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.

К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:

• JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
• Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен S;
• ESMART Token, ESMART Token ГОСТ.

Вы можете приобрести в нашем магазине: JaCarta LTРутокен LiteРутокен ЭЦП 2.0

Как сделать из флешки электронный ключ аутентификации в Linux

С помощью Pluggable Authentication Modules (далее – PAM-модуль) вы сможете сделать из вашей «флешки» электронный ключ (далее – ЭК).

PAM-модуль представляет собой набор библиотек, которые используются системой Linux для динамического распознавания пользователя в приложениях и/или службах.

Как работает USB-flash-накопитель, «превращенный» посредством PAM-модуля в ЭК:

Рассмотрим подробнее, как сделать из «флешки» электронный ключ и какие действия потребуется совершить, чтобы корректно настроить PAM-модуль.

Во-первых, нужно инсталлировать libpam_usb.so и компоненту координации:

$ sudo apt-get install libpam-usb pamusb-tools

Во-вторых, вставьте накопитель, который вы намерены применять как аутентификационный ключ, в USB-разъем компьютера. Далее требуется выполнить:

$ sudo pamusb-conf –add-device имя

Модуль произведет сбор сведений, дополнит ими базу и сгенерирует 2 Kb рандомных данных. Теперь для обнаружения устройства начнет задействоваться Udisks. Параметр «Имя» – для присвоения устройству произвольного названия. Критически важно, чтобы все прочие периферийные накопители были отключены перед началом процесса настройки.

В-третьих, ассоциируйте «флешку» с конкретной учетной записью (например, Ivan Ivanov):

В-четвертых, запустите проверку достоверности собранных сведений в качестве подстраховки – «флешка» могла некорректно определиться. Например, вы забыли отключить какой-либо внешний накопитель, и система идентифицировала его вместо вашей «флешки»:

$ sudo pamusb-check Ivan Ivanov

В-пятых, добавьте pam_usb в перечень модулей, обязательных для осуществления процедуры распознавания владельца ЭК. В сборках, базирующихся на Debian (например, Ubuntu) следует модифицировать файл /etc/pam.d/common-auth. Нужно обнаружить строку (запись) типа auth required pam_unix.so и под ней дописать еще одну:

auth sufficient pam_usb.so

Таким образом, вы сообщите PAM-модулю, что во время совершения попытки входа любым пользователем управление должно передаваться palm_usb – он и будет проводить ревизию наличия соответствующей «флешки», а в случае провала аутентификации упомянутым способом запрашивать пароль.

Если вы предпочитаете полностью заблокировать пользователю доступ после неудачной аутентификации посредством созданного на основе «флешки» ЭК, подмените «sufficient» значением «required».

В-шестых, расширьте набор функций pam-usb путем использования pamusb-агента. Его задача – автоматизация процессов блокировки/разблокировки «учетки» при извлечении/введении электронного ключа из/в USB-разъема/разъем. Допишите в конфигурирующий файл /etc/pamusb.conf этот скрипт:

Предупреждение! Вышеприведенный код сконструирован и протестирован на Gnome. При использовании pamusb-агента в другой среде, 3 и 4 команды потребуется модифицировать соответствующим образом.

В-седьмых, протестируйте работоспособность pamusb-агента:

Если проверка прошла успешно, пропишите агента в автозапуск:

$ cd ~/.config/autostart $ ln -s /usr/bin/pamusb-agent pamusb-agent

Вам будет интересно: Как установить ЭЦП на компьютер

Как скопировать публичный ключ с Рутокена на флешку

Некоторые пользователи из соображений безопасности не желают переносить программные средства ЭП с Рутокен в реестр операционной системы персонального компьютера. Тем не менее им бывает необходимо пользоваться цифровой подписью на своем или чужом рабочем месте при обмене цифровыми документами с другими участниками ЭДО. Для этого достаточно продублировать с USB-токена на flash-накопитель только личный открытый сертификат.

Как скопировать публичный ключ с Рутокен на флешку:

• Вставляем оба устройства в USB-разъемы.
• См. инструкцию № 2. Выполняем пп. 2-12.
• Указываем имя файла и путь к нему: латинскую букву, обозначающую flash-накопитель в системе, и папку, в которую нужно продублировать данные.

Как скопировать ЭЦП с флешки на компьютер или Рутокен

Сразу оговоримся, что флешкой иногда называют не только классический flash-накопитель с USB-разъемом, но и защищенный USB-токен, выданный заявителю уполномоченным сотрудником удостоверяющего центра (УЦ). Чаще всего, это Рутокен — комбинированное решение, состоящее из двух компонентов: USB-ключа и flash-памяти.

Итак, вы получили в УЦ аппаратно-программные средства генерации и верификации цифровой подписи. Как скопировать ЭЦП с флешки или защищенного носителя на компьютер? Сначала следует подготовить рабочее место.

Первое. Вам понадобится загрузить и инсталлировать на ноутбук, ПК или сервер СКЗИ КриптоПро CSP и драйверы для Рутокен.

Второе. Чтобы прописать личный открытый сертификат, понадобится инсталляция корневого сертификата (КС) УЦ в соответствующий раздел ОС. Если этого не сделать, система выдаст сообщение об ошибке.

Примечание 1. Уполномоченный сотрудник УЦ обычно записывает КС на USB-токены или смарт-карты, выдаваемые пользователям, или на USB-flash-накопитель заявителя (по требованию). Электронный формат КС — это файл с расширением .cer. Если вы не обнаружили его на своем ключевом носителе, загрузите с веб-портала УЦ, выдавшего вам средства ЭП. Подавляющее большинство аккредитованных центров сертификации выкладывает свои КС в открытый доступ.

Примечание 2. Все инструкции в ОС Windows следует выполнять из системного профиля с правами администратора.

Прописываем КС в реестр ОС Windows 10:

• Двойным щелчком левой кнопки мышки открываем файл, содержащий КС УЦ. Внимательно проверяем отображенные сведения.
• Отмечаем птичкой «Поместить все сертификаты в следующее хранилище».
• Жмем «Обзор».
• В перечне с каталогами раскрываем «Доверенные корневые центры сертификации», отмечаем птичкой опцию «Показать физические хранилища»: выделяем «Реестр» для ограничения доступа к КС всем, кроме текущего пользователя, или «Локальный компьютер», если предполагается использование КС всеми пользователями ОС.
• Утилита импорта сообщит о завершении работы. Щелкаем «Готово».

Обычное запоминающее устройство можно открыть и просмотреть его содержимое в обозревателе ОС — например, Windows Explorer. На нем вы обнаружите файл с расширением .cer и папку закрытого (секретного) ключа. Она содержит 6 файлов. Один из них — header.key — и есть ваш открытый ключ. В окне обозревателя System Explorer для Windows достаточно просто выделить и перетащить мышкой данные с flash-накопителя на ПК в любую выбранную вами папку.

Программные средства ЭП, записанные на USB-токен, можно просмотреть и продублировать на ПК только с помощью СКЗИ КриптоПро CSP (об этом ниже).

Третье. Проверяем, указаны ли токен, смарт-карта или запоминающее устройство в списке установленных считывателей для КриптоПро CSP:

• Запускаем криптопровайдер.
• Переходим в «Оборудование».
• Откроется окошко со списком, который должен содержать строку «Все считыватели смарт-карт», если подключен Рутокен. Если ключевым носителем является запоминающее устройство, перечень должен содержать строку «Все съемные диски».

Рабочее место настроено.

Инструкция № 1. Репродуцируем данные с Рутокен в ОС Windows:

По окончании операции криптопровайдер вернется на вкладку «Сервис».

Инструкция № 2. Просматриваем и дублируем на ПК только публичный ключ:

• Подключаем Рутокен.
• Запускаем криптопровайдер.
• Открываем «Сервис».
• Вызываем опцию «Просмотреть сертификаты».
• В новом окошке просматриваем список и выделяем нужный — в перечне «Считыватель» выделяем Рутокен.
• В окне просмотра внимательно верифицируем отображенные сведения.
• Кликаем «Свойства».
• Щелкаем «Обзор» и указываем имя файла, куда выгружаем информацию, и путь к нему.

Многие пользователи хотят узнать, как скопировать электронную подпись с флешки на Рутокен. Этот интерес продиктован желанием максимально обезопасить личную информацию от кражи. Как правило, заявители, получившие программные средства ЭП на обычном USB-носителе, позже принимают решение перенести сведения на токен или смарт-карту.

Несмотря на внешнее сходство (форм-фактор, разъем для подключения к ПК), разница между этими устройствами весьма существенна. Основное назначение USB-flash-накопителя — хранение данных. Электронно-вычислительная машина (ЭВМ) воспринимает его как внешний диск. USB-flash-накопитель выдерживает до 10 тыс. циклов перезаписи.

Основное назначение Рутокен — хранение конфиденциальной информации, в том числе личных ключевых контейнеров. Любой USB-токен — это микро-ЭВМ, теми или иными (например, криптографическими) методами обеспечивающая выполнение процесса аутентификации. Рутокен выдерживает от 100 000 до 1 млн циклов перезаписи. Доступ к памяти такого устройства, а, следовательно, и к персональным данным, которые оно содержит, осуществляется только при использовании специального ПО.

Как скопировать сертификаты с флешки на Рутокен:

• Подключите оба носителя через USB-разъемы к рабочей машине.
• Последовательно выполните шаги 2 – 6 инструкции №1.
• Переходите к пункту 7: в колонке “Считыватель” выделите латинскую букву, которая обозначает usb-флеш-накопитель в системе. После этого выполните пункты 8 – 11.
• Переходите к шагу 12: укажите Рутокен в поле «Вставленный носитель».

Выполните шаги 13 – 17 инструкции №1 и завершите операцию.

Оставьте заявку и получите консультацию.

Как скопировать ЭЦП с компьютера на флешку

Если ваш USB-токен вышел из строя, но вы успели перенести программные средства ЦП на компьютер, имеет смысл продублировать сведения на запоминающее устройство.

Предупреждение! Описываемая операция хороша как временная мера. Flash-накопитель — это незащищенный носитель. Ваши данные могут быть украдены злоумышленниками.

Как скопировать ЭЦП с ПК, ноутбука, сервера на флешку:

• Подключаем flash-накопитель через USB-разъем.
• См. инструкцию № 1. Выполняем пп. 2-6.
• При выборе контейнера в списке «Считыватель» выделяем строку «Реестр».
• Указываем пароль к закрытому контейнеру в хранилище ОС (если он ранее был установлен).
• Указываем букву, обозначающую запоминающее устройство в системе.

Заканчиваем операцию — см. пп. 13-17.

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

• Сертификат ненадёжен / Не удалось проверить статус отзыва. Для решения проблемы достаточно обновить комплект драйверов. Если же это не помогло, то выберите ваш сертификат в панели управления, нажмите кнопку «Свойства» и перейдите на вкладку «Путь сертификации», где вы сможете установить сертификат и сделать его доверенным.
• Rutoken перестаёт определяться. Эта ошибка может быть связана со спецификой работы материнской платы. Если невозможно запустить панель управления, но светодиод на токене горит, достаточно извлечь носитель и заново его вставить. Если же это не помогло, обратитесь в удостоверяющий центр за помощью.
• Панель управления не видит Рутокен ЭЦП 2.0. Чтобы решить эту проблему, нужно пробовать разные варианты:

• воспользуйтесь другим разъёмом USB;
• переустановите комплект драйверов;
• проверьте количество считывателей в настройках панели управления (значение должно быть 1).

Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.

Сервисы «Калуга Астрал» для бизнеса

Экосистема клиентского сервиса под любые потребности: от ЭЦП до проверки контрагентов

Гибкие тарифы и низкие цены

Оставьте заявку и мы свяжемся с вами