В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).
Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей.
Технически это возможно, если проделать следующие шаги:
1) Экспорт из криптопро программой P12FromGostCSP (правда, она платная). Возможно, есть бесплатные аналоги. Стандартными средствами криптопро экспортировать нельзя, потому что создаваемый при этом pfx файл имеет нестандартную структуру.
2) Полученный pfx файл импортируется в vipnet csp через кнопку Установить сертификат. При это нужно брать версию 4. 4 (на 4. 2 не будет работать, но можете попробовать).
Вернуться к новостям
5 мая 2022
Начиная с версии 4. 0 в сервисе Астрал Отчёт 4. 5 добавлена поддержка работы с сертификатами ViPNet после преобразования контейнеров закрытого ключа на КриптоПро с помощью конвертера.
Конвертер распространяется бесплатно.
- Обратный перевод конвертером с КриптоПро в ViPNet невозможен.
- Лицензия КриптоПро приобретается отдельно.
- Поддерживаемые операционные системы: Windows 7 (SP1) и более новые версии (MacOS не поддерживается).
С подробной инструкцией можно ознакомиться по ссылке.
Как перенести в формате PKCS12 (файлы. pfx) ключевой контейнер из ViPNet в КриптоПРО – известно. В руководстве пользователя ViPNet CSP есть параграф: Перенос сертификатов и закрытых ключей. Однако обратно, из КриптоПРО в ViPNet, попытка импорта. pfx завершается ошибкой “Пароль указан неверно. Пожалуйста повторите ввод”. Выходит, разработчики КриптоПРО о привлечении пользователей конкурента позаботились, а ViPNet – нет?
Поясню ситуацию. С 1 июля ФНС оформляет руководителям юридических лиц и ИП подписи исключительно в контейнерах КриптоПРО, и подписи в контейнерах ViPNet, оформленные, например, при подключении 1С-Отчётности, уже в новом году приниматься не будут. Таким образом, если не придумать способ переноса контейнера КриптоПРО в ViPNet CSP, последний становится бесполезен.
Итак, пожелание разработчикам ViPNet CSP: пожалуйста, спасите продукт. Решите проблему импорта любых. pfx, а не только своих собственных. Разработчики КриптоПРО доказали, что это возможно.
Чем ближе 1 января, тем больше появляется вопросов по получению электронной подписи (ЭП) в УЦ ФНС и ее дальнейшему использованию.
Например: что делать, если подпись Налоговая выдала на криптопровайдере (СКЗИ) КриптоПро, а на компьютере, где эта ЭП будет использоваться, установлен VipNET?
Ведь одновременно обе программы использовать нельзя, они конфликтуют между собой.
Есть решение: с помощью бесплатного конвертера от АО «Калуга Астрал» можно действующий сертификат ЭП на VipNET преобразовать в сертификат на КриптоПро (работает для операционных систем Windows 7 и новее, МасOS не поддерживается).
НО (!) без возможности обратного перевода, изменения будут необратимы. К тому же, лицензию КриптоПро придется приобрести отдельно.
Поэтому перед проведением конвертации настоятельно рекомендуем проконсультироваться со специалистом.
Пока это – единственный вариант.
Появятся другие – расскажем обязательно.
А пока больше про конвертацию и ее нюансы готовы рассказать наши специалисты:
Вообще это специально умышленно сделан ляп со стороны у Крипто-Про. Чтобы не перебегали к конкурентам
В документации на VipNet русским по-белому написано, что VipNet поддерживает:
“файл формата PKCS#12. Этот формат предназначен для передачи зашифрованных на пароле закрытых ключей и сертификатов (файлы с расширениями. pfx,. p12). Файлы формата PKCS#12 формируются в соответствии с рекомендациями Технического комитета по стандартизации (ТК 26) «Криптографическая защита информации».
Примечание. Файлы формата PKCS, соответствующие рекомендациям ТК (например, файлы, созданные в ПО компании «КриптоПро»), поддерживаются. ”
() Обман, сирьожа. никакого обмана.
VipNet CDP – БЕСПЛАТНЫЙ продукт, и, соответственно, ничего тебе лично не должен. В том числе и конвертировать кривые (умышленно сделанные кривыми) pfx.
А вот Крипто-Про – ПЛАТНЫЙ продукт. И для заманивания клиентов они сделали возможность конвертировать из Vipnet. Который (ViNet), кстати, тоже умышленно делает pfx слегка кривыми.
Логично же, что платный продукт должен чем-то заманивать клиентов. В отличие от бесплатного, которому доп. функционал и на. не тарахтел.
вот такое вот. гггг.
Всем привет! Пишу этот пост как инструкцию для себя и других, кто получил ключ “на флешке” в Российской налоговой и хочет скопировать его на компьютер, чтобы пользоваться без флешки.
Также далее пишу, как преобразовать его в openssl-формат, пригодный для Diadoc API и других.
Предполагается, что обычный доступ по токену у вас и так работает, в интернет куча инструкций на эту тему.
Проблема в том, что ФНС ставит на токене флаг “экспорт запрещён”. Большинство стандартных средств экспорта перестают работать.
Предупреждение! Флаг стоит не просто так. Ключ, полученный в ФНС, имеет очень много полномочий. Пока ключ на флешке, он защищён гораздо лучше, чем в вашей файловой системе.
С другой стороны, в некоторых ситуациях копирование ключа уместно. Например, можно сделать зашифрованный архив на случай, если токен сломается.
ФНС использует два типа токенов. Первый, вроде бы, дают, если идет работа с алкоголем (ЕГАИС), и там шифрование аппаратное, ключ не покидает токен, в этом случае, насколько я слышал, чисто программно сделать ничего нельзя.
Если же вы алкоголь не продаете, то можно использовать обычный токен (у меня рутокен). И там все проще, запрет экспорта – чисто программный флажок, который можно снять, детали далее.
Vladimir-konovalov пишет: Как мне кажется, нужно писать письмо в региональный комитет или министерство науки, а они должны этот вопрос задать в Рособрнадзор, как оператора информационной системы – ФИС ФРДО.
Если смотреть топик про УЦ ФНС, как я понял из семинара, они четко дали понять, что никакие особенные сертификаты ЭП они выпускать не собираются, следовательно частные организации которые выдают документы об образовании, а я как понимаю, в ФИС ФРДО должны заноситься все сведения об образовательной деятельности, в том числе и повышение квалификации, не смогут эти сведения в данной системе опубликовать.
Предполагаю, что и УЦ ФК пойдет таким же путем, аутентификация клиента и добрый вечер.
Именно так сейчас все и работает. С 1 января нам заблокировали сертификат, выданный 1одним из ранней сертифицированных центров. После 3 дней танцев с бубнами и выяснения всех обстоятельства дела пришёл к такому результату. Выяснилось, что сертификат выданный, удостоверяющим центрафедерального казначейства уже работает. Для этого в настройках VIPNet можно указать для подписания именно этот сертификат. Далее подписать документ. В личном кабинете на портале фисфрдонужно нажать кнопку “сменить сертификат”и загрузить документ, подписанный с этой подписью. Все. Проверку подходит и сообщений о невалиднсти подписи не появляется.
Не могу победить ситуацию. Пытаюсь перенести закрытый ключ с VIPnet 4. 2/ 4. 4 Windows в PFX на Крипто-про. Уже делал это с прошлыми ключами.
Но сейчас неожиданно получил эффект: Закрытый ключ не экспортируется или экспортируется с каким-то хитрым алгоритмом. Крипто-Про в логах ругается
pfx_AddCertAttributesToContext!() pfx – pkcs12 attribute unsupported
cptools:pfx_AddCertAttributesToContext!() pfx – pkcs12 attribute unsupported
cptools:
Обновился на VipNet 4. 4 (Windows), но не может обратно импортировать только что собой созданный PFX говорит пароль “не подходит” (ага, только что созданный типа 123, 12345678)
openssl pkcs12 -in container. pfx -nodes
тоже не видит закрытого ключа. в раннем PFX видит.
При этом ключ из контейнера работает, VipNet 4. 2 (Linux) подписывает что надо, на Windows тоже работает. Но закрытый ключ не удается достать достать для переноса.
Предыдущие выпускал в Тензор, и ИТК в начале года, новый ключ в августе в Тензор. Ключи выпускались удаленно в VipNet контенер. Проверил типы шифрования одинаковые ГОСТ 34. 10-2012/512
Единственное различие нашел: Новый ключ имеет поле:
Embedded License : CryptoPro CSP
Куда копать? Как еще можно получить закрытый ключ из контейнера?
salikoff
02. 22 23:36
Сейчас в теме
1С должна видеть ваши открытые ключи, которые отображаются в оснастке certmgr. КриптоПро же показывает вам контейнеры закрытого ключа. Это разные вещи. Чтобы понять, где у вас проблема, нужно подробное описание ваших действий по переносу.
AleksandrLeshkov
02. 22 23:54
Сейчас в теме
(2)С переносом разобрался, спасибо, просто не установил галочку Экспортировать дополнительные свойства (непонятно почему КриптоПро в инструкции не указала об этом). Но теперь новая проблема – 1С не видит криптопро
ishelper
03. 22 00:01
Сейчас в теме
А КриптоПро установлена вместе с VipNet на одном компьютере? Помнится мне, что так делать настоятельно не рекомендуется.
AleksandrLeshkov
03. 22 00:03
Сейчас в теме
(4)VipNet уже с компьютера выпилен, вот и не понимаю в чём дело
serg33rus
03. 22 10:23
Сейчас в теме
(5) Переустановить КрптоПро ПОСЛЕ того как выпилили випнет. 1С в какой-то момент времени клинит если два криптопровайдера. И если сначала поставили крипто, а потом снесли вип, то тоже будет клинить.
AleksandrLeshkov
03. 22 11:13
Сейчас в теме
Спасибо! Сейчас попробую
muskul
03. 22 03:00
Сейчас в теме
нахрен весь этот геморой если подпись випнета действительно где то еще пару месяцев. перевыпустите как положено. проверте версию крипто про. 4,5 в подписе поменять тип программы
AleksandrLeshkov
03. 22 07:48
Сейчас в теме
У некоторых клиентов до 2023 года, выпустили в декабре. А вообще да, лучше бы перешли сразу уже
- 5 Работа с электронной подписью в РЕД ОС под Байкал-М
- Установка КриптоПро CSP 4
- Установка КриптоПро CSP 5
- Установка драйверов для токенов Рутокен
- Утилиты token-manager и gostcryptogui
- Вход по сертификату на Госуслуги в РЕД ОС под Байкал-М
- Термины
- Сертификация устройств
- Извлекаемые ключи
- Доступ к закрытому ключу
- Снятие запрета на экспорт
- Пассивные ключевые носители
- Копирование на файловую систему
- Как и зачем VipNet в КриптоПро конвертировать
- Функциональный ключевой носитель (ФКН)
- ФКН-ключи
- Неизвлекаемые ключи
- Конвертация в формат для OpenSSL
- Активные ключевые носители
- Рекомендуемые сообщения
- Заключение
5 Работа с электронной подписью в РЕД ОС под Байкал-М
Установка КриптоПро CSP 4. 0 Установка КриптоПро CSP 5. 0 Установка драйверов для токенов Рутокен Утилиты token-manager и gostcryptogui Вход по сертификату на Госуслуги в РЕД ОС под Байкал-М
Работа с электронной подписью в РЕД ОС под Байкал-М (архитектура aarch64, она же arm64) аналогична работе в РЕД ОС x86_64. Но есть отличия в установке и настройке некоторых утилит.
Установка КриптоПро CSP 4
Установка КриптоПро CSP 4. 0 через стандартный установщик, входящий в дистрибутив КриптоПро CSP 4. 0 архитектуры arm64, невозможна. Установка завершается ошибкой:
Но установку можно выполнить через dnf, непосредственно указав перечень пакетов. Для этого:
Распакуйте архив в папку (в примере /home/test/).
cd /home/test
tar -xvf linux-arm64. tgz
Перейдите в папку с КриптоПро:
Перейдите в сеанс пользователя root:
и выполните установку пакетов КриптоПро CSP 4. 0 вручную:
dnf install. /lsb-cprocsp-base*. /lsb-cprocsp-rdr*. /lsb-cprocsp-kc1*. /lsb-cprocsp-capilite*. /cprocsp-rdr-gui-gtk*. /cprocsp-rdr-pcsc*. /lsb-cprocsp-pkcs11* pcsc-lite
Установка КриптоПро CSP 5
Установка КриптоПро CSP 5. 0 успешно выполняется через стандартный установщик, входящий в дистрибутив КриптоПро CSP 5. 0 архитектуры arm64:
Выполните установку КриптоПро 5. 0 командой:
Установка драйверов для токенов Рутокен
Драйверы Рутокен ЭЦП для архитектуры arm64 (aarch64) доступны по ссылке:
Плагин Rutoken доступен по следующей ссылке:
Установка драйвера и плагина выполняется штатно через dnf.
Утилиты token-manager и gostcryptogui
Утилиты для работы с сертификатами и электронной подписью token-manager и gostcryptogui адаптированы под архитектуру arm64 (aarch64) и успешно работают в РЕД ОС под Байкал-М с КритоПро CSP версий 4. 0 и 5.
Вход по сертификату на Госуслуги в РЕД ОС под Байкал-М
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Термины
Часть терминов в статье подается в упрощенном виде для простоты понимания.
Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.
Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.
Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.
Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).
Сертификация устройств
Немного о сертификации ключевых носителей.
Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.
Чтобы проще было запомнить:
- ФСТЭК России сертифицирует средство защиты информации (устройство).
- ФСБ России сертифицирует средство криптографической защиты информации (СКЗИ).
Таким образом, в случае с извлекаемыми ключами, сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.
В случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.
Извлекаемые ключи
- СКЗИ КриптоПро CSP версии 4.0 и новее. При генерации нужно выбрать “режим CSP”. Ключи будут созданы в защищённой памяти любой из моделей Рутокен.
- СКЗИ VipNet CSP или Signal-COM CSP, режим выбирать не надо: извлекаемые ключи будут созданы на пассивных ключевых носителях.
Доступ к закрытому ключу
Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. PIN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.
Теперь поговорим о том, какие бывают ключевые носители.
Снятие запрета на экспорт
В скопированном с токена контейнере все еще стоит флаг “экспорт запрещён”. Это естественно, ведь по сути директория-контейнер – это копия токена, с соответствующими флагами.
Снять его может другая утилита: CertFix, но не последней версии, а более старая, certfix. 000032. exe, которую с сайта официального убрали, но легко можно найти в интернете (md5 сумма файла: 34e97594896db540911731ce8c9e2bf5, на всякий случай).
Это может быть нужно, чтобы подготовить сертификат для конвертацию в формат openssl (для API). Просто чтобы пользоваться для взаимодействия через браузер с госслужбами – снимать флаг не обязательно.
Для этого копируем директорию с файлами на флешку (важно именно на флешку), в корень, и, выключив интернет (!) запускаем certfix. 000032. exe. Если не выключить, то эта утилита обновится, а в последней версии опция, о которой идет речь ниже, отключена.
В списке находим свой сертификат – справа в колонке экспорта будет стоять DENIED, жмем Shift и правый(!) клик мышкой, появится меню с опцией “сделать экспортируемым (файловая система)”.
Клик на эту опцию и задаём пароль (обязательно).
Готово, файлы на флешке обновлены, внутри FNS. 000 появилась поддиректория с бэкапом и файл. backup – можно их удалить.
Это всё ещё сертификат в формате Крипто Про, только с разрешённым экспортом. Пользоваться так же, как и ранее.
Пассивные ключевые носители
Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя – Рутокен Lite.
Копирование на файловую систему
Вначале создадим копию контейнера с токена на файловую систему.
Для этого понадобится утилита (под Windows).
Качаем, запускаем, она выдает ошибку и просит поставить компоненты дополнительно по ссылкам – ставим их. После этого втыкаем токен и перезапускаем утилиту.
В итоге у вас появляется директория с файлами: header. key и другими. Это сертификат вместе с закрытым ключом в формате Crypto Pro.
Фактически этим уже можно пользоваться. У меня основная система Mac, уже было настроен Crypto Pro, я просто скопировал FNS. 000 в директорию /var/opt/cprocsp/keys/iliakan, далее запустил CryptoPro Tools и там Containers – выбираю нужный контейнер – Install certificate.
Под Windows нужно, видимо, в аналогичную директорию скопировать, кто знает – дополните в комментариях?
Если ваша задача была сделать архив токена или отвязать его от флешки – она выполнена. Дальше можно не читать 😉
Предупреждение! Ещё раз замечу, что такое копирование вы делаете только по необходимости. Если на компьютерный диск – он должен быть как минимум зашифрован, и к нему не должны иметь доступ люди, которые могут запустить что попало из интернет. Более-менее безопасный сценарий – копирование с целью создать архив токена зашифрованный на всякий случай.
Как и зачем VipNet в КриптоПро конвертировать
Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.
Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”.
Используя стандартизированный программный интерфейс (API) библиотеки PKCS#11, приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.
У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми “ФКН-ключами”. Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т. данными, которые подписываются), строят защищенный канал. Для этого используется протокол SESPAKE (протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера наьютере компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.
Функциональный ключевой носитель (ФКН)
Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.
Пример такого устройства — Рутокен ЭЦП 3. 0 3100, который также поддерживает активный и пассивный режимы.
ФКН-ключи
Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3. 0 – именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5. 0 и новее.
Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).
Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.
Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.
Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.
во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.
Таким образом, извлекаемые экпортируемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.
А извлекаемые неэкспортируемые ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.
Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается. При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметры изменить нельзя.
Неизвлекаемые ключи
Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3. 0 содержит в себе возможности аппаратной криптографии.
Для генерации ключей формата PKCS#11 можно использовать инструменты от компании Актив:
- Генератор запроса на сертификатиз комплекта Драйверов Рутокен.
- содержащий примеры использования кроссплатформенной библиотеки rtpkcs11ecp).
Или воспользоваться программными ГОСТ-криптопровайдерами:
- СКЗИ КриптоПро CSP версии 5.0 R2 – при генерации ключей надо выбрать режим “Активный токен”.
- СКЗИ Signal-COM CSP- на активные ключевые носители из линейки Рутокен ЭЦП 3.0 автоматически генерируются неизвлекаемые ключи.
Конвертация в формат для OpenSSL
Для взаимодействия с API обычно используют openssl.
К сожалению, в сертификатах РФ используется свой стандарт шифрования (ГОСТ), поэтому обычный openssl не подходит, нужен патченный.
Если вас занесла нелёгкая в эти дебри, то наверно вы уже это знаете про патч. Его можно собрать самостоятельно, но гораздо проще – поставить docker-контейнер, в котором оно уже готовое.
Вот нужный образ. Если вы не знаете, что такое docker – отличный повод изучить, это очень просто. Во всяком случае, прочитать с нуля про основы и поставить/запустить, расшарить каталог с сертификатом – займёт в пределах 1-3 часов.
Далее, чтобы имеющийся у нас сертификат дружил с этим openssl, его нужно преобразовать из формата Крипто Про в “нормальный” открытый формат, пригодный для openssl. Это делает утилита.
При сборке она меняет системный openssl, так что имеет смысл собирать её в отдельном docker-контейнере под Linux, можно в том же самом что и выше.
Затем запускаем, как там в readme указано:. /get-cpcert FNS. 000 “пароль, выбранный при экспорте” > certificate. pem.
В результате из Crypto Pro формата появляется аккуратный файлик с сертификатом и приватным ключом в формате PEM.
Всё, можно с этим уже делать что угодно, отсылать через openssl запросы к любым API. Из PEM сертификат можно в любой другой популярный формат конвертировать тем же OpenSSL.
После публикации этой статьи с сайта Контура пропали утилиты, которые позволяли это делать.
Прошу прокомментировать, почему их убрали?
Активные ключевые носители
Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре – неизвлекаемые и вся работа с закрытым ключом (в т. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям
Пример активного носителя — Рутокен ЭЦП 3. 0 3100.
Рекомендуемые сообщения
Рассматривается вопрос перехода с КриптоПро CSP на VipNet CSP. В связи с этим возникает вопрос:Можно ли как-нибудь использовать уже существующие сертификаты? Они находятся на rutoken в формате КриптоПро.
Возможно. Для этого Вам потребуется пароль администратора (для VN Client). Получив административные права на абонентском пункте, зайдете в настройки, установите галочку “разрешить использование внешних сертификатов”, установите корневой сертификат, на котором выпущенные Ваши сертификаты криптопро, во вкладке “подпись”, из хранилища личных сертификатов, укажите криптопро-шные и вуаля)
Не совсем. В этом случае будет использован, или требоваться криптопровайдер КриптоПРО, а не ViPNet CSP, так что для решения исходной задачи это не подходит
Спасибо за ответ!Мы планируем использовать VN CSP для программного подписывания файлов (из собственного приложения. NET). Для этого ведь не нужен VN Client, я правильно понимаю?Что я пытался сделать, так это установить контейнер ключей с rutoken. Само устройство VipNet CSP видит, но контейнеры ключей на нём — нет. Это правильный подход или я смотрю не в ту сторону?
сертификаты – по Вашему выбору.
Увидел ваше сообщение уже только после отправки своего. Спасибо за ответ. Попробуем решить вопрос с обновлением сертификатов.
А если контейнер (на РуТокен ЭЦП) был создан на КриптоПро CSP 5. 0 он будет виден на ViPNet CSP?
Сейчас возможности не появилось использовать сертификаты криптопро в vipnet?
14 часов назад, Mikhail321 сказал:
Очень жаль, если нет возможности конвертировать сертификаты КриптоПро в VipNet. Ходила в декабре 2021г в УЦ ФНС в Санкт-Петербурге, особо оговорила, что мне нужна ЭЦП для VipNet. Эти клухи в ФНС помахали пустыми головами и записали на мой “РуТокен S” контейнер, который “панель Рутокен” видит, но говорит, что “требуется настройка ПО” (т. снос VipNet и установка платной, ети ее, КриптоПро), а VipNet и вовсе не видит контейнер на рутокене S. Придется заплатить штрафик за несвоевременную подачу отчетов, пока выпускают правильную ЭЦП. Все – козлы!
Поделиться этим сообщениемСсылка на сообщениеПоделиться на других сайтах
Заключение
Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на “борту”, такие как Рутокен ЭЦП 3. 0 3100. Так ваша электронная подпись будет максимально защищена.
