Переносим неэкспортируемые контейнеры Крипто-ПРО

Проведение тестирования

исходный ключевой документ

рабочие ключевые документы

Уничтожим исходный ключевой документ

Скопируем ключевую информацию из

рабочих ключевых документов

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Как скопировать ЭЦП с флешки

Несмотря на то что флеш-носитель относится к надежным, ЭП с него рекомендуется скопировать в реестр ПК. Нужно это для того, чтобы иметь резервную копию на случай поломки носителя. Также это избавит пользователя от необходимости везде возить с собой флешку, что снизит риск кражи или потери.

Как скопировать ЭЦП:

Установить скопированный сертификат. Для этого:

Установка ЭЦП завершена. Теперь можно пользоваться подписью как с флешки, так и с ПК.

Скопировать ЭЦП на компьютер

Безусловно, постоянно носить с собой флешку не всегда удобно. Она либо может прийти в негодность, либо ее просто-напросто может не оказаться под рукой в нужный момент. В таком случае придет на помощь способ, при котором мы скопируем сертификат ЭЦП на сам компьютер, что впоследствии позволит обойтись без USB-носителя.

Для того, чтобы скопировать ЭЦП на компьютер
, пожалуйста, следуйте дальнейшим инструкциям:

В открывшемся окне выберите ключевой контейнер, для этого нажмите кнопку Обзор.

В открывшемся списке ключевых контейнеров пользователя выберите контейнер и нажмите Ок.

После выбора контейнера, его имя появится в строке Имя ключевого контейнера. В следующем окне просто нажмите Далее.

В следующем шаге необходимо указать информацию о новом контейнере, для чего введите Имя сертификата

(придумайте любое имя сертификата ключа). После этого нажмите кнопку Готово.

Для вновь создаваемого контейнера существует возможность задать новый пароль. Если желаете установить пароль, дважды введите его в соответствующие поля. Если использование пароля не планируется, оставьте поля пустыми и нажмите Ок.

Итак, мы выбрали объект для копирования, указали место хранения сертификата. Теперь необходимо этот сертификат установить.

Нажав на кнопку Обзор
, в открывшемся окне, если вы обратили внимание, появился еще один ключевой контейнер. Выберите вновь созданный контейнер и нажмите Ок.

После выбора нового контейнера нажмите Далее.

В открывшемся окне будет указан сертификат для просмотра. Нажмите Установить.

В итоге, после произведенных вами действий, появится сообщение об успешной установке сертификата. Нажмите Ок.

Готово. ЭЦП установлена на компьютер.

Обновлено: 05. 2021

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

Использование флешки как электронного ключа

Флешку можно использовать как аналог ЭЦП, воспользовавшись РАМ-модулем. В его задачу входит тестирование каждого электронного носителя на соответствие заложенным данным. Блокировка данных или доступ к системе зависит от результатов проверки.

Флешка, используемая как электронный ключ, работает так: каждый удачный вход в систему запускает процесс перезаписи данных, хранящихся в резервной части. Во время следующего входа система сравнивает марку, серийный номер, данные резервного хранилища и изготовителя.

Для настройки РАМ-модуля необходимо:

• установить библиотеку libpam_usb.so и утилиты, нужные для управления модулем;
• вставить в USB-порт флешку, собрать и записать всю информацию о носителе для последующей идентификации пользователя;
• ввести команду, закрепляющую имя флешки к учетной записи пользователя;
• запустить проверку корректности данных;

К плюсам такого использования носителя можно отнести возможность хранения на флешке информации и быстрый вход в систему, автозащиту, отсутствие необходимости запоминать большое количество информации.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

• генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
• после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
• сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
• с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
• после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

https://youtube.com/watch?v=9ugl1Xwh5s4%3Ffeature%3Doembed

После этого уничтожим

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть

При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. ошибка 0x8009000b (-2146893813) ключ не может быть использован

Подробная инструкция о том, как скопировать сертификат на другой носитель: копирование средствами Windows, копирование на профиле диагностики, массовое копирование, копирование с помощью КриптоПро CSP, экспорт PFX-файла и его установка, а также копирование контейнера из реестра другого пользователя.

Зачем копировать сертификаты ЭЦП

Перенос ключей и сертификатов электронной подписи необходим в нескольких случаях. Первый из них — работа с ЭЦП сразу на нескольких ПК. Переставлять флешку с ключом не всегда удобно, поэтому пользователи предпочитают иметь копию на рабочем столе. Вторая причина для создания резервной копии — возможность потери или порчи USB-носителя. Это относится к людям, часто и много путешествующим, и работающим из нескольких точек. Необходимость копирования закрытого ключа есть и в случае создания виртуального сервера, к которому будут иметь доступ сразу несколько организаций.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т. ) и уметь с ним работать.

Способы копирования ЭЦП

Существует несколько способов, как выгрузить сертификаты ЭЦП на рабочий стол. Для этого можно использовать программу КриптоПро, проводник Windows или консоль.

Извлечение сертификата из контейнера

Как извлечь сертификат из контейнера закрытого ключа:

• Запустить КриптоПро CSP.
• Перейти во вкладку «Сервис».
• Нажать «Посмотреть сертификаты в контейнере».

Для завершения процесса нужно нажать на кнопку «Далее», затем «Готово».

Копирование закрытого ключа в реестр

Экспортировать закрытый ключ вместе с сертификатом можно и в реестр, а оттуда — переместить на рабочий стол или в любое удобное место на ПК. Для этого также используется программа КриптоПро.

Для установки скопированного сертификата нужно:

Экспорт сертификата с закрытым ключом прошел успешно, и теперь для работы с ЭЦП не нужно больше подключать носитель.

Копирование при помощи мастера экспорта ключей

Есть еще один способ переноса электронной подписи на компьютер. Для этого необходимо проделать следующие действия:

После копирования закрытого ключа использовать электронную подпись можно также без предварительного подключения USB-носителя.

Массовое копирование

Чтобы перенести сразу несколько ключей ЭЦП на другой компьютер или на любой другой носитель, проще использовать консольный метод.

Затем пользователь выбирает и экспортирует папку Keys.

Остается лишь запустить файл с расширением. reg и загрузить данные в реестр. После этого пользователь копирует папку с сертификатами на другой компьютер.

Как перенести КриптоПро на другой компьютер

Cryptopro CSP — программное средство, предназначенное для защиты информации и создания ЭП. СКЗИ широко используется в электронном документообороте, при работе на клиентских порталах, торговых онлайн-площадках, банковских и государственных сервисах. Разработчик предоставляет программное средство на платной основе. Пользователи приобретают лицензию, которая рассчитана на использование СКЗИ на одном рабочем месте. Но иногда возникает необходимость переноса КриптоПро на другой компьютер. Выполнить процедуру можно несколькими способами, которые рассмотрим ниже. Оформим электронную подпись за один день без вашего участия!Оставьте заявку и получите консультацию в течение 5 минут. Причины переноса КриптоПро на другой компьютерНачнем с рассмотрения причин, по которым возникает необходимость переноса сертификатов КриптоПро на другой компьютер. Наиболее часто процедуру проводят из-за того, что на текущем ПК SSD или HDD начинают работать со сбоями, что требует их замены. В этом случае важно поторопиться и перенести все данные на другой жесткий диск, чтобы не потерять их безвозвратно. Другая распространенная причина — апгрейд устройства. Лучше перестраховаться и выполнить перенос ЭЦП на другой компьютер, чтобы исключить потерю необходимых данных. Еще одна частая причина — создание специального сервера для хранения сертификатов для того, чтобы их могли использовать несколько специалистов компании. Перенос ЭПЦ на другой компьютер при помощи утилитыПерейдем к тому, как перенести КриптоПро на другой компьютер. Если у вас одна или несколько ЭПЦ, процедуру чаще всего выполняют с использованием стандартной утилиты от разработчика, которая устанавливается при интеграции СКЗИ. Рассмотрим пошагово, как перенести лицензию КриптоПро на другой компьютер вместе с ключами:

• Запустите утилиту КриптоПро.
• В окне перейдите во вкладку «Сервис», где кликните по «Скопировать».
• Откроется форма, где щелкните на «Обзор» и из представленного списка выделите «Выбор ключевого контейнера».
• Откроется перечень ключевых контейнеров пользователя. Найдите в списке необходимый сертификат для экспорта и кликните по кнопке «ОК».
• Появится окно, где потребуется задать новое название для контейнера — укажите удобное для себя имя и щелкните по кнопке «Готово».
• Откроется окно с выбором носителя — токена, флешки, внешнего жесткого диска. Выберите необходимый вариант и щелкните по кнопке «ОК». Система предложит задать пароль для файлов — обязательно введите надежный. Щелкните по кнопке «ОК» для подтверждения операции.

На указанном носителе будет автоматически создана папка, где сохранятся все ключи в файлах с расширением key. Переместите скопированные материалы со съемного носителя на другой ПК. Подберем ЭЦП для вашего бизнеса. Доставим в любую точку РФ!Оставьте заявку и получите консультацию в течение 5 минут. Перенос лицензии КриптоПро на другой компьютер из реестраВыполнить перенос лицензии КриптоПро на другой компьютер вместе с ключами и сертификатами можно без использования утилиты. Здесь есть два альтернативных способа: посредством консоли управления Microsoft (MMC) или с применением Internet Explorer. Алгоритм начала работы отличается в зависимости от используемого варианта, но далее сводится к аналогичным действиям в «Мастере работы с сертификатами». Рассмотрим начальный этап посредством MMC:

• Для открытия консоли нажмите комбинацию клавиш WIN+R и задайте в открывшемся окне команду MMC.
• Всплывет диалоговое окно. В меню справа выберите «Личное», в подменю — «Сертификаты». В появившемся окне найдите необходимый и щелкните по нему правой кнопкой мыши.
• Из представленного меню выберите «Все задачи», потом — «Экспорт». Далее следует работа с «Мастером переноса и импорта», что разберем после рассмотрения начального этапа посредством второго способа.

Мы готовы помочь!Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариямПри использовании Internet Explorer алгоритм действий на начальном этапе следующий:

• Запустите интернет-обозреватель и перейдите в «Свойства браузера». Для этого щелкните по значку шестеренки — находится вверху справа. Из представленного списка выберите «Свойства браузера».
• Откроется диалоговое окно, где откройте вкладку «Содержание» и активируйте опцию «Сертификаты».
• Появится список — выберите необходимый и кликните по кнопке «Экспорт».

После того как пользователь запускает экспорт посредством MMC или Internet Explorer, автоматически открывается программа-помощник — «Мастер экспорта и импорта». Алгоритм работы со вспомогательным ПО:

• В приветственном окне щелкните по кнопке «Далее». Теперь поставьте галочку напротив «Да, экспортировать закрытый ключ». После чего укажите формат выгрузки — архив .pfx, задайте пароль и имя, выберите место для хранения переносимого контейнера и нажмите «ОК». Дождитесь завершения выполнения операции и кликните «Готово».
• Убедитесь, что перенос архива .pfx выполнен успешно. Для этого откройте указанное ранее место для выгрузки. Ознакомьтесь с доступными в перечне файлами, среди которых должен находиться архив формата .pfx.
• На следующем этапе выгружают открытый ключ, делают это при помощи аналогичного вспомогательного ПО. Но вместо подтверждения экспорта выберите его отмену. После чего нажмите «ОК» и в появившемся списке укажите формат — X.509 (.cer) в кодировке DEP. Нажмите «ОК», задайте имя и укажите хранилище для выгрузки документов. Программа добавит в указанное место два файла — один в формате .cer (открытый ключ), другой — в формате .pfx (закрытый ключ).
• Теперь переместите выгруженные файлы на другой ПК и выполните запуск двойным кликом. Вновь запустится «Мастер импорта сертификатов». В приветственном окне нажмите «Далее», потом выберите расположение хранилища — «Текущий пользователь» или «Локальный диск», нажмите «Далее».
• Щелкните по кнопке «Обзор» и выберите первый файл для импорта, введите пароль доступа, который указывали ранее. Кликните по кнопке «Далее».
• Поставьте галочку напротив «Автоматически выбрать хранилище на основе типа сертификата» и нажмите «Далее».
• Дождитесь завершения выполнения операции и нажмите «Готово». Аналогичные действия проведите для импорта второго файла.

Когда процедура переноса завершится, сможете приступить к работе с импортированными файлами. Массовый перенос сертификатов Криптопро на другой компьютерОписанные способы актуальны, когда нужен перенос лицензии Криптопро 4. 0 на другой компьютер с одним или несколькими сертификатами. Но некоторые организации работают с большим количеством ЭП. Например, консалтинговые компании оказывают бухгалтерские услуги одновременно нескольким десяткам клиентов. Соответственно, для таких случаев стоит рассмотреть вопрос, как перенести цифровые подписи на другой компьютер массово. Здесь алгоритм действий следующий:

• Запустите командую строку на ПК, задав в меню поиска «Пуск» запрос: cmd.
• В открывшемся окне появится SID учетной записи пользователя подобного формата: S-3-6-53-75461121676464-51946421212-77777777-6464667. Скопируйте его.
• В директории Keys отобразятся все закрытые ключи от электронной подписи. Справа будут доступны файлы в формате .key. Щелкните правой кнопкой мыши по папке Keys и из представленного меню активируйте команду «Экспорт», укажите место для сохранения — съемный носитель, с которого скопируйте содержимое на другой ПК.

Теперь откройте на новом ПК файл key. reg в любом удобном текстовом редакторе. Определите SID путем запроса cmd. Скопируйте его и замените в текстовом файле в первой строке. Сохраните внесенные изменения. Выполните запуск key. reg, чтобы начать процедуру импорта. Дождитесь ее завершения и можете приступать к работе с КриптоПро. За 30 минут настроим ЭЦП для работы под ключ!Оставьте заявку и получите консультацию в течение 5 минут. Оцените, насколько полезна была информация в статье?Наш каталог продукцииУ нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования. Посмотреть весь каталог

Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3. Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением. key. Как правило, в закрытом ключе присутствует открытый ключ (файл header. key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением. cer.

Если у вас MacOS, смотрите инструкцию «Как скопировать контейнер с сертификатом на MacOS».

Зайдите на профиль Диагностики «Копирования» по ссылке.

Вставьте носитель, на который необходимо скопировать сертификат.

На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

Задайте имя новому контейнеру и нажмите на кнопку «Далее».

Должно появиться сообщение об успешном копировании сертификата.

Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

После копирования нажмите внизу слева кнопку «Обновить». Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

При копировании может возникнуть «Ошибка копирования сертификата», если у вас нет лицензии на КриптоПроCSP или контейнер получил признак «неэкспортируемый». Справиться с этим поможет инструкция.

Откройте оснастку работы с сертификатами:

Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».

В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».

На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».

Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».

Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».

Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

Заархивируйте полученные файлы форматов. pfx и. cer.

Установка сертификата с закрытым ключом

Откройте. pfx файл. Сразу запустится «Мастер импорта сертификатов».

Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».

Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».

В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:

После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».

Введите имя файла и нажмите на кнопку «Сохранить».

Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.

Как диагностика закончится, нажмите на ссылку «Показать результаты».

В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.

Откройте экспортированный файл реестра с помощью «Блокнота».

Замените SID пользователя на скопированный ранее.

Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:

Сохраните изменения и закройте файл.

Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».

Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».

Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.

После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Использование флешки в качестве электронного ключа

Ключ – самый доступный метод защиты компьютера от доступа посторонних лиц. USB-устройство является современным аналогом ключа. Как сделать электронный ключ из флешки
?

Один из способов – воспользоваться РАМ-модулем, в задачи которого входит тестирование каждой вставляемой в компьютер флешки
на соответствие заложенной в систему информации и, в зависимости от полученного результата проверки, открывать вход в систему или блокировать его.

Электронный ключ флешка
работает следующим образом: при каждом удачном входе в систему происходит перезапись информации, хранящейся в ее резервной части.

При следующей попытке входа система сравнит учетные данные флешки
– ее серийный номер, марку, предприятие-изготовителя и данные из резервной части USB-устройства.

Настройка модуля производится следующим образом:

• Устанавливается библиотека libpam_usb.so и необходимые для управления модулем утилиты.
• В USB-порт вставляется флешка – будущий ключ. С помощью специальной команды производится сбор модулем всей информации о флешке
  и запись на нее служебной информации для проведения последующей идентификации пользователя.
• Вводится команда, прикрепляющая имя флешки
  к конкретной учетной записи.
• Запускается проверка корректности введенных в систему данных.

Такой ключ помимо удобства хранения
предоставляет пользователю следующие преимущества:

• Отсутствие необходимости запоминания большого объема информации.
• Возможность использования флешки
  в качества средства хранения
  информации.
• Обеспечение быстрого входа в систему.
• Автозащита консоли. При вытащенной из USB-порта флешки
  работа на компьютере автоматически блокируется.

Электронная подпись обычно выдается или на флеш-носителе, или на токене, или на дискете. Работать с реквизитом просто вне зависимости от выбранного типа носителя: интерфейс ПО понятен, а проблемы в использовании возникают редко. Удобство и простота в использовании делают электронную подпись доступной даже для людей, не имеющих технических навыков и опыта работы со сложными программами.

Перед началом использования ЭЦП пользователь должен убедиться, что у него на ПК имеются все необходимые инструменты и средства. К ним относят:

• криптопровайдер;
• закрытый ключ и сертификат ЭЦП;
• настроенное рабочее место.

Криптопровайдером называют специальное программное обеспечение, отвечающее за криптографические алгоритмы. Он необходим для создания, проверки, шифрования и расшифрования ЭЦП. Данные хранятся на зашифрованном флеш-накопителе, к которому и обращается криптопровайдер при выполнении операций.

Настройка рабочего места – один из важнейших процессов в подготовительной работе к использованию ЭЦП. Сюда входит установка сертификата удостоверяющего центра, а также настройка и установка сертификата ключа и кросс-сертификата Минкомсвязи. Также необходимо настроить браузер так, чтобы он позволял осуществить все требуемые операции. Тут подразумевается установка необходимых плагинов и надстроек.

Конфигурация тестового стенда

Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):

• ОС MS Windows 7 SP1
• Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2021, WHQL-certified
• Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
• КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:

• Рутокен ЭЦП. Версия 19.02.14.00 (02)
• JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Как использовать ЭЦП с флешки

Освоить работу с цифровой подписью не сложно: процесс занимает всего несколько минут и заключается в последовательном выполнении простых действий.

Настройка ЭЦП

Пользоваться электронной подписью с флешки не составит труда: для начала, носитель должен быть подключен к компьютеру. Когда флешка отобразилась в системе, нужно выбрать «КриптоПро» – «Оборудование» – «Настроить считыватели»:

В новом окне должны быть такие пункты меню, как «Все считыватели смарт-карт» и «Все съемные диски»:

Если по каким-то причинам они отсутствуют, то необходимо:

Подпись готова к использованию, а процесс подписания зависит от типа документа.

Подписание документов MS Word

В нужном файле пользователь открывает:

Подписание документа через плагин КриптоПро с использованием эцп с флешки похоже на предыдущий способ:

При отсутствии ошибок плагин выдаст сообщение об успешном подписании документа.

Формирование подписи для PDF-документов также проходит в несколько этапов. На первом, пользователь открывает нужный файл, и через панель «Инструменты» переходит в раздел «Сертификаты»:

Затем нажимает на «Поставить подпись», и выбирает область, где она будет располагаться:

После этого в окне с набором цифровых реквизитов пользователь выбирает нужный, и нажимает «Продолжить»:

Откроется новое окно с предварительным изображением электронной подписи:

Если все верно, то пользователь завершает действие через кнопку «Подписать». После подписания документа при отсутствии ошибок выдается сообщение об успешном завершении процесса.

Копирование ключей электронной подписи, как скопировать электронный ключ | такском

• Сертификаты:Выданные УЦ ФНС,ЕГАИС,«Лес-ЕГАИС»
• Выданные УЦ ФНС,
• ЕГАИС,
• «Лес-ЕГАИС»

являются некопируемыми.

Для копирования ключевого контейнера:

Если нужный носитель отсутствует:

Важно! Чтобы использовать созданный ключевой носитель, переустановите сертификат из скопированного контейнера:

• Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере».
• Нажмите «Обзор», отметьте нужный контейнер, нажмите «Ок» и «Далее».
• Нажмите «Установить».
• На вопрос о замене сертификата необходимо ответьте утвердительно.
• Нажмите «Готово» и «Ок».

Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.

Видеоинструкция по созданию копии ключевого контейнера.

Можно ли копировать ЭЦП, полученную в налоговой?

Добрый день! Мы получали ЭЦП в СБИС. Она у нас была скопирована на компьютер и мы подписывали документы без использования флэшки. Сейчас срок действия ЭЦП истекает. Планируем ЭЦП сделать в налоговой. Прочитали информацию, что ее нельзя скопировать. Верно ли это?

nnbuh1,  Квалифицированный сертификат записывается на предоставляемый заявителем носитель ключевой информации, сертифицированный ФСТЭК России или ФСБ России. УЦ ФНС России поддерживает ключевые носители формата USB Тип-А, в частности: Рутокен ЭЦП 2. 0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и другие, соответствующие установленным требованиям. Приобрести такие носители можно у дистрибьюторов производителей и в специализированных интернет-магазинах. Кроме того, можно использовать уже имеющиеся носители при условии их соответствия требованиям. Один ключевой носитель может использоваться для хранения нескольких (до 32 экз. ) КЭП и сертификатов к ним, выданных как коммерческими, так и государственными УЦ. У нас в налоговой на месте можно купить рутокен стоит 1100 руб.

ЭЦП на директора теперь выдают только в налоговой

Получите подпись на бухгалтера в привычном месте и отчитывайтесь по доверенности

Фрокси, Я знаю где приобрести Рутокен. Вопрос в другом- можно ли его скопировать и сохранить на компьютере, без использования Рутокен?

Цитата (nnbuh1):Вопрос в другом- можно ли его скопировать и сохранить на компьютере, без использования Рутокен?

В принципе, всегда считал, что копировать ключ нельзя. Его можно изначально установить не на флэшку, а на жесткий диск компьютера.

Пройти подготовку на соответствие профстандарту «Бухгалтер» (код А, В) при ОСНО

Здравствуйте. Технически функция есть. Крипто про- сервис- скопировать

Цитата (Александр Погребс):В принципе, всегда считал, что копировать ключ нельзя. Его можно изначально установить не на флэшку, а на жесткий диск компьютера.

Здравствуйте, Можно и не на один.

Пользователю, разместившему рекламу без согласования с администрацией портала Бухонлайн, закрыт доступ на форум.

Получить ЭЦП по ускоренной процедуре и с полной техподдержкой

3 059 баллов, г. Солнечный город у моря

Цитата (Александр Погребс):Его можно изначально установить не на флэшку, а на жесткий диск компьютера.

Добрый день!У нас ключи, сделанные Такскомом, сохранены и на компьютере и на съемном носителе (флешке). Представитель Такскома всегда советует это делать при очередном обновлении сертификата. А вот можно ли с этой флешки скопировать на другую, вопрос.

Цитата (Крымуша):У нас ключи, сделанные Такскомом, сохранены и на компьютере и на съемном носителе (флешке). Представитель Такскома всегда советует это делать при очередном обновлении сертификата.

Всё э то так. Но не забывайте, что если Вы будете подписываться ключом клиента в его отчетности, это приведет к компрометации ключа. А налоговики могут признать отчетность с этой подписью недействительной за весь период.

У нас не получается скопировать сертификаты с Rutokena, выданного в налоговой, в реестр на жесткий диск компьютера. При копировании появляется ошибка “У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг”

Потом выяснилось что нельзя. И зачем в реестр, могло быть случайно (место на токене кончилось), но так опасно.

Подать в ИФНС сообщение о лишении обособленного подразделения полномочий по начислению выплат физлицам

Добрый день! Сегодня получили ключ на носитель Rutoken  и задали вопрос в налоговой (УФНС 4400) – копировать нельзя, подписывать документы только с помощью ключа, который в usb порт ПК вставлен. Разъяснили, что это сделано дабы исключить хищения злоумышленниками ЭЦП из реестров систем на ПК и в подтверждение, что ключом пользуется именно его владелец, т. получается сертификат единственный уникальный 1 экземпляр.

Эксперт Бухонлайна согласен

Доброго дня всем коллегам! В связи с последними новостями о невозможности копировать(множить кэп) в реестр, подскажите пожалуйста, как же быть нам-бухгалтерам на удаленке. Может кто-то уже придумал выходы из ситуации? Поделитесь, пожалуйста. Я всегда пользовалась эцп клиентов.

Цитата (Ирин Санна):В связи с последними новостями о невозможности копировать(множить кэп) в реестр, подскажите пожалуйста, как же быть нам-бухгалтерам на удаленке. Может кто-то уже придумал выходы из ситуации

Есть единственный законный выход из ситуации.

То, чем вы занимались раньше (брали себе сертификат клиента) — противоправные действия, квалифицируемые как компрометация ключа подписи. Если факт компрометации будет установлен при проверке, то все документы (отчетность), подписанные скомпрометированным ключом будут признаны недействительными. Думаю, клиентов такой риск с перспективой платить штрафы за несдачу всей как бы сданной отчетности вряд ли обрадует 😀

И раньше, и сейчас вы могли получить сертификат собственной электронной подписи, получить доверенности от клиентов и сдавать отчетность за них, подписывая ее своей подписью на основании соответствующих доверенностей.

О том, как это делается технически, можно прочитать здесь:

Тот же алгоритм можно применять и в 2022 году. Использовать машиночитаемую доверенность доверенность до 2023 года не обязательно:

Все остальные варианты типа копирования сертификата чужой подписи являются незаконными. По сути, копирование сертификата на свой компьютер и подписание им отчетности от лица директора это примерно то же самое, что подделка подписи директора на бумаге.

Вообще очень странно, что эта практика (позволять копировать сертификат своей подписи) получила такое широкое распространение. И еще более странно, что директора не думают, что можно сделать от их имени с их подписью на руках. Задумываются, только когда жареный петух клюнет:

77 589 баллов, г. Новосибирск

Добрый день.

Цитата (Ирин Санна):подскажите пожалуйста, как же быть нам-бухгалтерам на удаленке. Может кто-то уже придумал выходы из ситуации?

Ага,  10 лет назад придумала – подписываю своей подписью по доверенности.

Цитата (Сергей Новиков):Вообще очень странно, что эта практика (позволять копировать сертификат своей подписи) получила такое широкое распространение.

Да вот тоже странно, но сами УЦ такие штуки предлагают и еще и вознаграждение уполномочкам за выпуск ЭЦП клиента предлагают. Здесь наверно и ответ.

Рассчитывайте зарплату с учетом повышения МРОТ с 1 июня

Ирин Санна, Тоже задался вопросом копирования сертификата в реестр. Получилось. Возможно это не верно с точки зрения законодательства.

Надежный друг, Не пробовал. Попробую и отпишусь.

Электронную подпись для работы в системах обязательной маркировки можно получить через час

Цитата (Сергей Новиков):Если факт компрометации будет установлен при проверке

Доброго дня!А каким образом налоговая может узнать, что ключ был скопирован?Как можно установить факт компрометации?Только если увидеть?Или где-то информация о дублировании “светится”?

Неясно, может ли налоговая удалённо отследить, был использован ключ с носителя-токена или для подписи использовалась запись в реестре?

Цитата (СоколовскийИН):А каким образом налоговая может узнать, что ключ был скопирован?Как можно установить факт компрометации?

Вопрос не совсем по адресу. С ним вам лучше обратиться в контрольное управлении ФНС России. Не факт, что вам там ответят 😀 Однако то, что только они знают, какие метки и настройки зашиты в выданный сертификат, и что они позволяют отслеживать — вот это факт.

И что наивных, прекраснодушных дурачков там давно не осталось, тоже факт.

То есть всё-таки можно отследить, с какого носителя сертификат был использован – с рутокена, с реестра или дискеты?Мне кажется, что это можно отследить на уровне криптопровайдера, возможно – плагина. А есть ли какие-то прецеденты?Когда владелец ключа абсолютно не против такого его использования, а ему потом берут за жабры при таком копировании?

Дискетой кто в теме никогда не пользовались так как знают что можно на флешку, хороших марок не портятся по крайней мере до окончания ЭЦП. И вообще у дискет только у кого в программе строго с A:/ зашит путь, но даже совсем глюков не припомним.

Цитата (Сергей Новиков):Однако то, что только они знают, какие метки и настройки зашиты в выданный сертификат

Пример- в Тройке была поддержка копеек, но можно было обнаружить в результате ошибки чтения NFC когда выдавалось случайное значение вместо факта (когда запустили МЦД тоже было, вернее совместно с ошибкой записи). Но похоже аппаратно не хватает места для резервирования на выходе. Цены с копейками в МО, а это дурдом для бухгалтерии, особенно со стационарными терминалами (чек с них по Тройке невозможно распечатать).

Отчет об «удалёнке» подается через mos

Закажите электронную подпись для отправки отчёта через mos

Ефимов Павел, да, Вы правы 😀Вопрос лишь в том, откуда происходило считывание ключа — с родного носителя или с “несертифицированного носителя”. Сертифицированный носитель – тот физический токен, который выдали, несертифицированные – все остальные. Интересна статистика — как многих предпринимателей наказали за использование подписи с НЕ_сертифицированного носителя.

Цитата (СоколовскийИН):Когда владелец ключа абсолютно не против такого его использования, а ему потом берут за жабры при таком копировании?

Во-первых, не используйте жаргонизмы — у нас форум для профессионалов, для нас очень важен уровень дискуссии. А такая лексика снижает профессиональный уровень дискуссии. За эмоциями, которыми окрашены любые жаргонизмы, теряется суть, содержание вопроса.

Во-вторых, воля владельца ключа в данной ситуации никакого значения не имеет. Запрет на подобное копирование установлен на уровне нормативно-правовых актов. Воля сторон отменить такой запрет не может.

>Во-первых, не используйте жаргонизмыПрошу прощения, конечно, не повторится.

Сергей Новиков, здравствуйте! Спасибо за развернутый ответ. Хочу лишь сказать, что в моем мире мои клиенты- директора доверяют мне и свои подписи и свои деньги. Не представляю как по другому можно работать в такой профессии.

Работайте с электронными трудовыми книжками и готовьте всю сопутствующую отчетность

Цитата (Ирин Санна):в моем мире мои клиенты- директора доверяют мне и свои подписи и свои деньги

Верить нельзя никому. Порой даже самому себе. Мне можно (с). И дело здесь не в доверии, хотя и доверие имеет свои границы. Я ни в коем случае не умаляю вашу честность, но свою подпись я не доверю никому. Кроме самой себя. Ибо я понимаю, что может сделать человек, в руки которого попала моя подпись. Да он просто по недосмотру допустит ее попадание в третьи руки. А что мы знаем про эти третьи руки? А ничего. Дело здесь в компрометации подписи. Если вдруг налоговый орган захочет лишить вашего клиента бизнеса, он признает подпись скомпрометированной, аннулирует всю отчетность, заблокирует все счета, навыписывает штрафов. Ну в общем будет весело. Всем. В моем мире я подписи клиентов даже в руки не беру, не потому, что не смогу удержаться и украду у них все деньги,  а потому, что это прямо запрещено законом.

Да нормально работаем. Оформляем доверенности. В чем у всех проблемы с доверенностями?

Цитата (СоколовскийИН):Интересна статистика — как многих предпринимателей наказали за использование подписи с НЕ_сертифицированного носителя.

Электронная подпись не содержит сведений о носителе закрытого ключа, о параметрах контейнера (экспортируемый или нет), о программном обеспечении использованном для подписания.

Цитата из Ссылка удалена модератором. Размещать ссылки и гиперссылки на другие СМИ и коммерческие сайты без согласования с администрацией портала запрещено правилами форума ГОСТ Р 34. 10-2012 п

Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:- осуществление контроля целостности передаваемого подписанного сообщения;- доказательное подтверждение авторства лица, подписавшего сообщение;- защита сообщения от возможной подделки.

Поэтому из электронной подписи невозможно установить ничего кроме авторства и целостности документа!Как в этом случае наказать предпринимателя, если это не доказуемо?Каждый должен сам решать как распоряжаться своим ключом и кому можно доверять.

А технически скопировать ключ, выданный ФНС, не проблема )

Цитата (Catlina):У нас не получается скопировать сертификаты с Rutokena, выданного в налоговой, в реестр на жесткий диск компьютера. При копировании появляется ошибка “У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг”

Скопировать можно, но не просто. Нужно использовать спецпрограммы или воспользоваться услугами специалистов

Заполнить, проверить и сдать 6‑НДФЛ и РСВ через интернет

Причём на новых носителях (рутокен 2. 0) не поможет. На всякий случай – чистить старый носитель можно и на том ПК где не стоит Крипто про (видны даты окончания действия сертификата).

Цитата (Ефимов Павел):Причём на новых носителях (рутокен 2. 0) не поможет. На всякий случай – чистить старый носитель можно и на том ПК где не стоит Крипто про (видны даты окончания действия сертификата).

Если вы имеете в виду копирование ключа с рутокен 2. 0, то тут есть нюансы. Этот носитель имеет встроенное криптографическое ядро, но может быть использован и как обычный носитель для контейнера КриптоПро CSP. Если генерация была осуществлена именно на встроенном ядре (для ЕГАИС, например), то его экспортировать не получится. Если ключ был сгенерирован с помощью КриптоПро, то получится экспортировать. Лично проверял!

Цитата (ecp-shop):Скопировать можно, но не просто. Нужно использовать спецпрограммы или воспользоваться услугами специалистов

Услуги, которые Вы во всю рекламируете – это противоправное занятие.

На нашем форуме запрещено обсуждать противоправные действияВ связи с этим тему блокирую. Пожалуйста, ознакомьтесь с правилами форума, чтобы избежать замечаний модераторов в будущем.

8 ответов

здесь доступны код и двоичные файлы для консольного приложения, которое может экспортировать закрытые ключи, помеченные как не экспортируется, и он.

Код основан на документе NCC Group < / а>. потребуется запустить инструмент с локальной системной учетной записью, поскольку он работает путем записи непосредственно в память, используемую процессом Windows lsass, чтобы временно пометить ключи как экспортируемые. Это можно сделать с помощью PsExec из PsTools SysInternals

PsExec64. exe -s -i cmd

Как привязать сертификат к контейнеру

Для привязки сертификата ключа электронной подписи к контейнеру нужно:

На этом привязка сертификата к контейнеру завершена.

Экспорт закрытого ключа

Для экспорта закрытого ключа выполните следующие действия:

Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис.

В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис.

Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис.

Нажмите «Далее» (Рис.

Далее нажмите кнопку «Свойства» (Рис.

В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис.

Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис.

Далее отметьте «Да, экспортировать закрытый ключ» (1) и нажмите «Далее» (2) (Рис.

Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства» (1), затем нажмите кнопку «Далее» (2) (Рис.

Укажите пароль и подтверждение пароля (1), затем нажмите кнопку «Далее» (2) (Рис. 10).

Далее укажите имя файла, используя «Обзор» (1), затем нажмите кнопку «Далее» (2) (Рис. 11).

Далее нажмите «Готово» (Рис. 12).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).

https://youtube.com/watch?v=Z9n2T07e6Ls%3Ffeature%3Doembed

Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.

Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

Импорт закрытого ключа

Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).

Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).

Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).

Далее введите пароль (1), отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его. » (2), затем нажмите кнопку «Далее» (Рис. 18).

Отметьте пункт «Поместить все сертификаты в следующее хранилище» (1), нажмите кнопку «Обзор» (2), в открывшемся окне отметьте «Личное» (3) и нажмите «Ок» (4). В окне мастера настроек нажмите «Далее» (5) (Рис. 19).

Нажмите «Готово» (Рис. 20).

В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).

Далее укажите новый пароль и его подтверждение (Рис. 22).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).

Далее введите пароль (Рис. 24).

Далее нажмите «Ок» (Рис. 25).

Импорт успешно будет выполнен (Рис. 26).

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

https://youtube.com/watch?v=Bsg92mm-BFQ%3Ffeature%3Doembed

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.