Рецепт: Как сделать зашифрованную USB флешку? / Хабр

Программы для эцп, что такое криптопровайдер (скзи)

Средство криптографической защиты информации, в сокращении СКЗИ — это специализированная программа, отвечающая за то, чтобы цифровая подпись стала функциональной. В перечень ее возможностей также входят:

СКЗИ может как представлять собой отдельный программный продукт, устанавливаемый на персональный компьютер пользователя, так и быть выполненным в форме утилиты, встроенной в носитель ЭП. К последнему варианту относятся JaCarta-2 и «Рутокен ЭЦП 2.0». При использовании не требуется установка дополнительного ПО, все действия выполняются на носителе.

К криптопровайдерам, которые необходимо самостоятельно устанавливать на компьютер, относятся «КриптоАРМ», «КриптоПРО», ViPNet PKI Client и другие. Практически все они совместимы с операционными системами Windows от 7 и выше. Некоторые работают с более ранними версиями, например Windows XP, а часть совместима Linux и UNIX-подобными ОС, Mac OS, Android. Существуют бесплатные (стартовые) версии, а есть платные утилиты с расширенными функциональными возможностями.

Практически всем СКЗИ для генерации, создания и работы с ЭП необходима лицензия на использование. Без нее система проработает от нескольких дней до нескольких месяцев в демонстрационном режиме. После этого создание ЭП станет невозможным. Для дальнейшего использования СКЗИ придется заплатить. Все криптопровайдеры перед выходом в свободное обращение проходят проверку ФСБ России.

Что такое флешка и токен электронной подписи

Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт.

Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.

На флешке тоже можно установить пароль, но уровень ее защиты намного ниже токена. На большинстве токенов стоят средства криптографической защиты информации (СКЗИ), которые проходят проверку в ФСБ. Они есть, например, на Рутокене ЭЦП 2.0 и JaCarta SF.

А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней. 

«крипто про»

Создано несколько версий, для работы с подписью можно выбрать:

Бесплатный тестовый период ― 90 дней.

Разработчик ― компания «КриптоПро».

«криптоарм»

Один из самых популярных криптопровайдеров с широкими функциональными возможностями. С его помощью можно осуществить создание котировочных заявок, сдать алкогольную декларацию, заключить договор. Она добавляет цифровую подпись отправителя не только к привычным форматам PDF, JPEG, PNG, но также к аудио- и видеозаписям.

Разработано несколько версий, которые отличаются функциональностью. Бесплатная «КриптоАРМ» обладает минимумом возможностей для проверки. Платные версии предлагают просмотреть функционал в тестовом режиме. По истечении этого периода необходимо приобрести лицензию. Это ПО «КриптоАРМ Стандарт Плюс», «СКЗИ КриптоАРМ 5».

Программа позволяет создавать и присоединенную подпись, в виде части файла, и отсоединенную. В последнем случае она прикрепляется к основной записи как дополнительный электронный файл с расширением sig. В момент подписания проверяются ЭЦП, сертификат, ключ на срок действия и статус. Формируется запись о времени подписания.

Тестовый период ― 14 дней.

Изготовление ― компания «Цифровые технологии».

Post-scriptum

Спасибо всем участникам обсуждения за интересные вопросы и критику.

В качестве послесловия хочу ответить на два наиболее популярных возражения.

Почитал я про эту Encrypted File System и поэксперементировал на компе. Возможно для некоторых случаев такой метод шифрования и подойдет. Но не для меня.

Самое главное. EFS шифрует только содержимое файлов. Список файлов, структура вложенных папок, их названия, размеры, даты редактирования остаются открытыми. Эта информация может компроментировать вас напрямую, а может являться причиной дальнейшей вашей разработки.

Vipnet pki client

Работает с операционными системами Windows и Linux, с USB-токенами и смарт-картами. Предназначена для генерации и создания ЭП. Шифрует электронный документооборот, поддерживает формирование защищенных TLS-соединений. Позволяет пользователю идентифицироваться на сайтах госучреждений и электронных торговых площадках.

Разработаны бесплатные продукты, есть демоверсии.

Разработчик ― компания «ИнфоТеКС».

Как выполнить копирование сертификата с рутокена через криптопро

Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:

В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.

Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.

Как выполнить копирование эп из реестра

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу.
После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.

Выгрузка личного сертификата с исходного компьютера:
Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»

Как записать сертификат в личном кабинете

Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:

1. Зайдите в личный кабинет на сайте удостоверяющего центра. Сервис попросит пройти аутентификацию: введите номер телефона, который указали в заявлении на получение ЭП. В течение двух минут на этот номер придет одноразовый пароль для входа. Этот пароль будет действовать только 5 минут, если вы не успеете ввести его за это время — запросите пароль еще раз.
2. Затем вставьте в компьютер носитель, на который вы хотите записать сертификат ЭП — флешку или токен.
3. В личном кабинете найдите нужный сертификат и нажмите на кнопку «Перейти к выпуску». Система автоматически проверит ваш компьютер и предупредит, если на него нужно установить дополнительные программы.
4. Следуйте указаниям системы, чтобы выпустить сертификат.
5. Если вы записываете ЭП на флешку, придумайте и установите на нее пароль в открывшемся окне.
   Если вы записываете ЭП на токен со стандартным паролем — пропустите этот пункт. Но если вы меняли стандартный пароль на собственный — введите его в открывшемся окне.
6. После выпуска сертификат можно установить на носитель. Для этого нажмите на кнопку «Установить сертификат».

Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:

1. Зайдите в личный кабинет на сайте удостоверяющего центра.
2. Выберите сертификат электронной подписи, который хотите записать.
3. Вставьте флешку или токен в компьютер. 
4. Нажмите на кнопку «Сделать резервную копию».
5. Выберите носитель, на который сервис запишет сертификат.
6. Если вы копируете ЭП на флешку придумайте пароль и установите его в открывшемся окне. Этот пароль нужно вводить каждый раз, когда вы используете ЭП. Забытый пароль нельзя восстановить, однако мы не рекомендуем пропускать этот шаг — без пароля ваши данные останутся без защиты.
   Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы задавали на токене собственный пароль — введите его в специальном окне.
7. После ввода пароля система запишет сертификат ЭП на носитель.

Как записать электронную подпись на флешку

Записать сертификат ЭП на флешку или токен можно тремя способами:

• в личном кабинете удостоверяющего центра;
• с помощью криптопровайдера КриптоПро CSP;
• с помощью средств Windows;
• в профиле Контур.Диагностики.

Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.

Как записать эп с помощью средств windows

1. Найдите папку с закрытым ключом ЭП на компьютере. В этой папке должно быть шесть файлов с расширением.key. 
2. Скопируйте эту папку на выбранную флешку. Проверьте, чтобы в папке на флешке оказались все шесть файлов.

Как перенести нужный контейнер на рутокен из другого источника

В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:

Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.

Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:

Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:

Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.

При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности.

Как пользоваться электронной подписью с флешки и токена

Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке. 

Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную. 

От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:

Чтобы подписать документ ЭП с флешки или токена:

1. Проверьте, чтобы подписываемый документ был в окончательной редакции: вы не сможете исправить его после подписания.
2. Вставьте флешку или токен с ЭП в компьютер. 
3. Откройте программу, с помощью которой хотите подписать документ. В зависимости от выбранной программы вам нужно будет загрузить документ в сервис или просто открыть его.
4. Выберите формат подписи, если это необходимо.
5. Выберите сертификат, который установлен на флешке или токене.
6. Нажмите на кнопку «Подписать».  
7. Если на контейнере закрытого ключа стоит пароль, введите его, чтобы подписать документ. 

Как произвести копирование сертификата с рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Как скопировать эцп на компьютер с помощью инструментов криптопро

Данный способ является универсальным. Скопировать ЭЦП на компьютер таким образом можно и на Windows и на MacOS (при условии, что используется актуальная версия программы КриптоПро).

1. Запустите приложение Инструменты КриптоПро.
2. Перейдите в раздел “Контейнеры”.
3. Выберите считыватель (флешку, на которую записана ЭЦП) и нажмите кнопку “Скопировать контейнер”.

4. В открывшемся окне выберите “Реестр” и нажмите “ОК”.

5. Выберите только что созданный контейнер закрытого ключа, ориентируясь на считыватель “Registry”, и нажмите “Установить сертификат”.

После этого программа сообщит, что сертификат был успешно установлен.

Теперь можете извлечь носитель с ЭЦП из порта USB и проверить, как работает ЭЦП без флешки.

Удалось ли скопировать ЭЦП с флешки на компьютер?

Расскажите в комментариях 😉

Как скопировать эцп на компьютер с помощью криптопро csp

1. Вставьте носитель с ЭЦП в порт USB. Если подключенное устройство не определяется системой, попробуйте подключить
2. Откройте приложение КриптоПро CSP.

Какой должен быть объем у флешки для электронной подписи

Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.

Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.

В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.

Получить электронную подпись

Можно ли использовать рутокен в качестве флешки?

Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.

Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.

Получить электронную подпись

На какие носители можно записать электронную подпись

Сертификат электронной подписи можно записать:

• в память компьютера: в реестр или на жесткий диск;
• токен;
• флешку;
• съемный жесткий диск.

Последние два носителя практически не отличаются друг от друга по свойствам.  Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.

Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.

Несколько предостережений

Итак мы имеем флешку, которая зашифрованна надежным алгоритмом и готова к работе на любом, даже неподготовленном компьютере. Конечно, идеальной защиты не существует, но теперь потенциальному злоумышленнику потребуется на многие порядки больше времени, средств и опыта, чтобы добраться до ваших данных.

Перед тем как вынуть флешку, не забывайте размонтировать диск через иконку в панели задач.

Имейте в виду, что после редактирования или просмотра ваши секретные данные могут остаться во временных файлах или в файле подкачки операционной системы.

Для сокрытия факта шифрования TrueCrypt предлагает технологии зашифрованного диска с двойным дном и со скрытой операционной системой. Но это уже совсем другая история.

Помогла ли вам эта статья?

ДАНЕТ

Проведение копирования контейнера с помощью встроенных средств операционной системы windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Способ 1: osfmount

Эта небольшая программа очень выручает, когда нет под рукой флешки. Она работает в любой версии Windows.

Официальный сайт OSFmount

После того, как Вы скачали программу, сделайте вот что:

1. Установите OSFmount.
2. В главном окне нажмите на кнопку «Mount new…», для создания носителя.



3. В появившемся окне настройте параметры для монтирования виртуального тома. Для этого выполните несколько простых действий:
   • в разделе «Sourse» выберете «Image file»;
   • в разделе «Image File» укажите путь с определенным форматом;
   • настройки в разделе «Volume Options» пропустите (он используется для создания диска или загрузки образа в память);
   • в разделе «Моunt Options» в окне «Drive Letter» укажите букву для Вашей виртуальной флешки, ниже в поле «Drive Type» укажите «Flash»;
   • ниже выберите параметр «Mount as removable media».

   Нажмите «Ок».



4. Виртуальная флешка создана. Если войти через папку «Компьютер», то она определится системой как съемный диск.

В работе с этой программой могут потребоваться дополнительные функции. Для этого нужно войти в главном окне в пункт «Drive Actions». А дальше возможно будет использовать следующие опции:

• Dismount – размонтировать том;
• Format — форматирование тома;
• Set media read-only – ставит запрет на запись;
• Extendsize – расширяет размер виртуального устройства;
• Savetoimagefile – служит для сохранения в нужном формате.

Способ 2: virtual flash drive

Хорошая альтернатива вышеописанному способу. При создании виртуальной флешки эта программа позволяет защитить информацию на ней с помощью пароля. Преимуществом таковой является ее работоспособность в старых версиях Windows. Поэтому, если у Вас на компьютере стоит версия Windows XP или ниже, эта утилита поможет быстро подготовить виртуальный накопитель информации на компьютере.

Способ 3: imdisk

Это одна из наиболее популярных программ для создания виртуальной дискеты. Используя файл образа или память компьютера, она создает виртуальные диски. При использовании специальных ключей при ее загрузки, в качестве виртуального съемного диска будет фигурировать флеш-носитель.

Официальная страница ImDisk

Способ 4: облачное хранилище

Развитие технологий позволяет создавать виртуальные флешки, и хранить на них информацию в интернете. Данный способ представляет собой папку с файлами, которая доступна определенному пользователю с любого компьютера, подключенного к интернету.

Установка программы для создания электронный подписей

Процедура инсталляции криптопровайдеров разных версий во многом схожа. Состоит из следующих этапов:

После распаковки криптопровайдера его необходимо запустить через меню «Пуск». При первом включении появится окно для ввода номера лицензии. Его необходимо ввести, если она была приобретена, или пропустить, выбрав деморежим.

Существует несколько систем создания криптографической защиты данных от разных производителей. Они, как и подписи, могут быть встроены в носитель, а могут устанавливаться в виде утилиты на рабочий компьютер.

Криптопровайдеры имеют бесплатные версии и платные с демо периодом. Между собой они различаются функциональными возможностями. Среди них:

Все программы имеют стандартный способ инсталляции и интуитивно понятный интерфейс. Однако, если вы испытываете сложности с установкой, специалисты компании ГК «Астрал» помогут решить ваши проблемы. Среди предоставляемых услуг есть удаленная настройка‎ «КриптоАРМ» для пользователей «1С-ЭТП» и «Астрал-ЭТ».

Шаг 1.

Качаем

. Сейчас последняя версия –

. Есть

. TrueCrypt – бесплатная программа с открытым кодом для шифрования данных. Работает под Windows, Mac и Linux.

Устанавливаем TrueCrypt на компьютер. Установка TrueCrypt-a нам нужна только для создания флешки. Потом TrueCrypt можно удалить.

Шаг 2.

Подготовим флешку для работы. Для начала стираем оттуда все данные. Теперь запускаем TrueCrypt и выбираем пункт меню Tools –> Traveler Disk Setup…

В появившимся окне указываем букву диска куда смонтирована сейчас флешка и путь к [несуществующему пока] файлу с зашифрованными данными: e:datafile.tc

Остальные опции рекомендую выставить как на скриншоте.

Нажимаем Create и TrueCrypt запишет на флешку все необходимые служебные файлы.

Шаг 3.

Теперь осталось создать на флешке зашифрованный файл с данными.

В меню TrueCrypt-a выбираем Tools –> Volume Creation Wizard


Указываем путь к тому же файлу, что вводили при создании флешки:

Выбираем алгоритмы шифрования и хэширования по вкусу. Рекомендуется оставить все как есть.

Выбираем размер файла с данными. Поскольку мы хотим чтобы все пространство флешки было зашифрованно, вводим максимально возможное число.

Придумываем и вводим пароль. Будте внимательны! Пароль должен быть длинный и сложный, чтобы его нельзя было сломать брут форсом. Но и запоминающимся. Потому как если забудете – то данные будут утерянны.

Теперь выбираем тип файловой системы и водим мышкой по области окна, чтобы True Crypt смог сгенерировать по настоящему случайное число. Жмем Format.

Через несколько минут на флешке будет создан большой зашифрованный файл.

Если вставить такую флешку в любой компьютер под Windows – появится окошко:

И если пароль введен верно – система смонтирует зашифрованный файл как еще один диск.