- Как сделать, чтобы все было хорошо?
- Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
- Квалифицированная электронная цифровая подпись — что это такое
- Как сгенерировать
- Как скопировать ключ сбис
- Как скопировать сбис на флешку – эцп, сертификат и ключ
- Как скопировать эцп с рутокена на флешку
- Конфигурация тестового стенда
- Копирование сертификата открытого ключа
- Матчасть
- Методика тестирования
- Настройка рутокена
- Об электронной цифровой подписи
- По-новому взглянем на наш тестовый стенд
- Проведение тестирования
- Установка эцп осуществляется двумя способами:
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть
. Он это
. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Квалифицированная электронная цифровая подпись — что это такое
ЭЦП требуется при работе со значимой документацией на электронных носителях. При этом важно, чтобы уровень был не ниже квалифицированного. Такая подпись приравнивается к собственноручной, и заменяет реальную подпись и печать одновременно. Это соответствует требованиям ФЗ № 63 от 2021 года.
- Усиленная КЭП включает в себя информацию о подписанте.
- Является подтверждением неизменности содержимого документа после его подписания.
- Придает юридическую силу документу, не требуя дополнительных договоренностей между участниками ЭДО.
- Формируется при помощи криптографических последовательных операций, имеющих сертификат ФСБ.
Хранение ключей, ЭЦП и сертификатов не регламентировано законодательством. Полученные персональные данные их владельцы могут применять на свое усмотрение.
Ключи ЦП выдаются удостоверяющими центрами на защищенных носителях, некоторые из них оснащаются средствами криптозащиты. Если носители защищены – доступ к ним возможен только при введении PIN-кода.
Как сгенерировать
Запустите генерацию ключа ЭП одним из способов.
Дальнейший порядок действий зависит от того, каким СКЗИ или носителем вы пользуетесь.
Как скопировать ключ сбис
Копии ключей лучше сохранять на защищенные носители, это важно в связи с тем, что накопители без защиты могут быть случайно удалены, или повредиться. Для переноса и копирования ключа на флэш-накопитель следуйте инструкции:
- Откройте карточку «Налогоплательщик», через нее зайдите на вкладку «Ответственные лица»;
- В списке выберите ФИО сотрудника, на которого заведен ключ, двойным щелчком откройте его карту;
- Придумайте имя для резервного ключа, введите его, подтвердите кнопкой «Скопировать»;
- На следующем этапе нужно выбрать носитель, на котором будет храниться ключ, подтвердите паролем для обеспечения защиты и нажмите «Ок»;
- Перезагрузите программу СБИС, копию ключ, по заданному ему имени, найдите на указанном для хранения носителе.
При сохранении некоторых видов ключей, может потребоваться несколько измененная схема копирования. Средства криптографической защиты информации (СКЗИ) и электронной подписи могут быть нескольких видов:
- КриптоПро CSP;
- Signal-COM CSP (Администратор);
- ViPNet CSP.
В зависимости от того, какой из них установлен на вашем компьютере, алгоритм может несколько отличаться. Но в целом схема будет повторяться.
Как скопировать сбис на флешку – эцп, сертификат и ключ
Электронные носители ля доступа к программе СБИС желательно имеет в резервных копиях. В некоторых случаях подобное копирование может потребоваться при переносе программы с одного устройства на другое. Рассмотрим подробно, как копируются данные для доступа в программу на флэш-накопитель.
Как скопировать эцп с рутокена на флешку
Записать ЭЦП на флешку иногда требуется для обеспечения безопасности электронной подписи или для передачи другому лицу. Сделать это можно также с помощью:
Открываем Крипто Про, при этом в компьютере уже должны быть вставлены заблаговременно и флешка, и Рутокен. В закладке «Сервис» жмем «Скопировать» и в открывшемся окне через «Обзор» выбираем нужный для копирования сертификат, подтверждая действие кнопкой «Ок».
Возможно, понадобится ввести пароль и название копии ключа ЭЦП, нажимая «Далее» до появления кнопки «Готово». Перед вами откроется окно, в котором нужно выбрать флешку, генерируйте новый пароль и наберите его, копирование завершено. Проверьте, чтобы на флешке появилась папка с копией вашего сертификата.
Для того чтобы скопировать ЭЦП с рутокена на рутокен, проводятся аналогичные действия.
Конфигурация тестового стенда
Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):
- ОС MS Windows 7 SP1
- СКЗИ КриптоПРО CSP 3.9.8423
- Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2021, WHQL-certified
- Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
- КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.
Для тестирования будут использоваться токены с неизвлекамым ключом:
- Рутокен ЭЦП. Версия 19.02.14.00 (02)
- JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1
Копирование сертификата открытого ключа
Еще одно копирование конфиденциального доступа к СБИС – это перенос на флешку сертификата. Он может потребоваться в таких случаях:
- Во время регистрации на торговой площадке;
- Отправка в техподдержку, когда возникают технические сложности с ЭП или площадкой для торгов.
Данная информация по сертификату электронной подписи, которая зарегистрирована в СБИС, не имеет ограничений на хранение в системе. Данные сведения проще всего сохранить в файл, и затем перенести его на флэшку. В программе СБИС это производится таким образом:
- Запустите программу, кликните на карточку налогоплательщика;
- Перейдите на закладку «Ответственные лица», отметьте владельца действующего сертификата. Чтобы открыть карточку – дважды кликните по владельцу.
- Найдите сведения о сертификате- два раза нажмите на необходимую строчку;
- Для копирования информации кликните «Сохранить в файл», а затем выберите каталог, в который он будет сохранен;
- Перенесите файл из каталога на флэш-накопитель, как при обычном копировании документов.
Важно! Операция по переносу ключей, подписей и сертификатов на незащищенные носители – может быть лишь временной мерой. Конфиденциальные данные могут быть украдены.
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
Методика тестирования
Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:
- генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
- после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
- сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
- с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
- после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет
исходный ключевой документ
. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив
рабочие ключевые документы
. После этого уничтожим
исходный ключевой документ
, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.
Настройка рутокена
Если напротив стоит «Поддерживается», то просто продолжите действия — «Ок». В случае, когда статус «Активировать», активируйте носитель. «Не поддерживается» означает, что носитель не поддерживает работу с ЕГАИС (Единая государственная автоматизированная информационная система).
Настройка Рутокен завершена
Об электронной цифровой подписи
Электронная цифровая подпись — это специальная информация, которая добавляется к электронному документу и дает возможность убедиться в том, вносились ли изменения в электронный документ после его подписания, а также гарантированно установить лицо, подписавшее данный документ.
Что же такое личный ключ? Личный ключ — это набор символов в виде компьютерного файла. При этом личный ключ играет роль шариковой ручки при подписании документа на бумаге.
Для проверки ЭЦП на электронном документе используется другой набор символов — открытый ключ. После формирования сертификата открытый ключ становится его частью и не используется отдельно.
Усиленный сертификат открытого ключа (далее — сертификат) — это документ, который удостоверяет подлинность и принадлежность открытого ключа подписчику. Такой документ выдается аккредитованным центром сертификации ключей и существует в электронном виде. Для проверки ЭЦП на документе необходимо иметь сертификат подписанта и специальное программное обеспечение.
Сертификат служит для проверки ЭЦП на документе, не является секретным и может свободно распространяться через интернет и другие открытые каналы связи. Наложить на электронный документ ЭЦП с помощью сертификата или получить с него ваш личный ключ невозможно.
В итоге мы получаем следующее. Один субъект подписывает документ с помощью личного ключа и специального программного обеспечения, а другой проверяет подпись на этом документе с помощью сертификата подписанта и специального программного обеспечения. При этом лицу, которое проверяет подпись, иметь свой личный ключ и сертификат необязательно.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Проведение тестирования
1. Создадим
исходный ключевой документ
2.Сформируем
рабочие ключевые документы
3.Уничтожим исходный ключевой документ
4. Скопируем ключевую информацию из
рабочих ключевых документов
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Установка эцп осуществляется двумя способами:
Для начала найдите загруженную ранее Крипто Про. Открыв её, перед вами появится окно с разделами: «Алгоритмы», «Безопасность», Winlogon, «Общие», «Оборудование», «Сервис». Вам нужна вкладка «Сервис».
Находим далее «Установить личный сертификат», и перед вами откроется мастер установки сертификатов. При настройке практически везде нажимаем «Далее». Есть возможность выбрать сертификат через кнопку «Обзор» и проложить путь к нему. Также к месту хранилища.
Второй вариант — это последовательные действия через «посмотреть сертификаты в контейнере». Через «Обзор» выбираем сертификат, жмем «Далее», «Свойства», «Установить сертификат», «Далее», «Готово». Установка успешно завершена.