Где хранится закрытый ключ в реестре Windows
После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.
Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.
Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”
Выбираете “Обзор” и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
Обязательно задайте новый пароль.
Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.
Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.
ЭЦП можно записать на следующие варианты флешек:
- Обычный USB накопитель. Данный способ использования электронной подписи не рекомендуется, так как украсть сертификат не составит проблем. Сейчас практически ни один удостоверяющий центр не предоставляет услуги выпуска ЭЦП с его записью на обычный USB-накопитель.
- USB-носитель с защищенным хранилищем. По факту, это тот же самый обычный накопитель, но внутренняя память у него разделена на несколько разделов. И доступ к одному из них, где и хранится ЭЦП, защищен паролем. Это достаточно удобный вариант, но защита – умеренная, украсть подпись опытному мошеннику не составит проблем.
- USB-токены с криптопроцессором. Нередко их называют как «Рутокен 1.0». Главный их недостаток – при установке сертификата в систему используется именно закрытый ключ, который впоследствии можно украсть уже с жесткого диска.
- USB-токены с функцией генерации ЭЦП. На текущий момент – самый совершенный вариант хранения электронной подписи. Часто их именуют как «Рутокен 2.0». Имеют все преимущества USB токенов с криптопроцессорами, но при этом умеют «на лету» генерировать открытые ключи, которые впоследствии и устанавливаются на компьютер. Украсть в этом случае сертификат не получится, так как доступ к внутренней памяти ограничен аппаратно (данные с флеш-накопителя доступны только криптопроцессору), защищен также секретным ключом.
Установка КриптоПРО CSP
1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети3. Ситуации, когда КриптоПРО не видит USB токена4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку “Сервис” и нажимаете “скопировать”
У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.
Нажимаем далее.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
Принцип работы USB-токенов
Чтобы понять, каким образом выполняется подпись документов, необходимо разобраться с самой технологией работы ЭЦП.
- Итак, на рутокене записывается закрытый ключ, доступ к которому предоставляется через секретный код – он имеется только у владельца ЭЦП.
- С помощью специализированного ПО (например, КриптоПро CSP) генерируется открытый ключ – его копия хранится также в удостоверяющем центре (на случай возникновения споров касательно подлинности сертификата).
- При простановке подписи на электронном документе в конец файла добавляется небольшая часть информации – данные открытого сертификата (также может добавляться в качестве отдельного файла). А при установке сертификата на компьютер происходит генерация открытого ключа (это выполняется через КриптоПро CSP).
Мнение эксперта
Александра Степанова
Консультант по подбору ЭЦП
Все операции выполняются через криптопровайдера, то есть, специальное ПО, которое через интернет проверяет актуальность используемой электронной подписи. Единственная аккредитованная для этого программа на территории Российской Федерации – это КриптоПро CSP (сейчас допускается использовать версию 3.0 или выше).
Часть операций с электронной подписью выполняется также через КриптоАРМ – это специальный плагин для браузеров. С помощью данной программы, к примеру, предоставляется доступ к системе электронных торгов (где выставляются государственные тендеры, на аккредитованных площадках).
Рекомендуемая операционная система для работы с ЭЦП – Windows, редакции 7 или старше. Для работы с электронными документами следует использовать Microsoft Office версии 2007 или старше (работает и в версии 2003, но с определенными ограничениями по функционалу). Что касательно браузера, то плагин КриптоАРМ работает со всеми актуальными веб-обозревателями, но специалисты рекомендуют пользоваться Google Chrome последней версии или Internet Explorer версии 9.0 или старше.
Установка ключей в «Реестр»
Открытый и закрытый ключи используются для активации неквалифицированной подписи. Ее использование возможно при наличии действующего сертификата. Ключ в открытом и закрытом виде должен находиться в корне накопителя. Помещать ключи в папки нельзя. Настройка должна проводиться непосредственно с флешки.
Потребуется войти в программу «КриптоПРО CSP» и перейти в блок «Сервис». В нем следует кликнуть по клавише «Скопировать».
Для дальнейшей установки, чтобы избежать путаницы с ключами, рекомендуется удалить с ПК лишние флеш-накопители и другие устройства. На экране монитора отобразится окно, в котором потребуется обозначить флешку с ключом закрытого типа. Для этого надо щелкнуть по клавише «Обзор».
После выбора накопителя нужно прописать имя контейнера. Можно ввести любые слова. Чаще всего используется наименование организации. Это поможет избежать путаницы. Далее надо щелкнуть «Готово».
Система запросит обозначить место, куда планируется установка ключа закрытого типа. Если хранение ЭЦП будет осуществляться на ПК, то следует выбрать «Реестр» и щелкнуть «ОК». Установка ключа в реестр удобна тем, что пользователь сможет применить ЭЦП в любое удобное время. Если ключ сохранить на накопителе, то потребуется его постоянное использование для применения электронной подписи.
На следующей ступени вводится пароль. Его потребуется набрать еще 1 раз для подтверждения. Далее следует щелкнуть «ОК». Если защита от других пользователей не требуется, то можно пропустить настройку пароля.
Следующей ступенью является установка открытого ключа в контейнер. Для этого потребуются следующие действия: зайти в блок «Сервис» программного продукта «КриптоПРО CSP» и щелкнуть «Установить личный сертификат…».
Для выбора нужного ключа следует щелкнуть клавишу «Обзор».
В отобразившемся окне надо кликнуть по ключу, затем по клавише «Открыть».
После выбора ключа для продолжения его установки надо щелкнуть «Далее».
На экране отобразятся параметры сертификата. Следует щелкнуть «Далее».
На следующей ступени потребуется соединение 2-х ключей. Если ранее настройки проведены верно, то достаточно поставить галку в окошке «Найти контейнер автоматически». Имя контейнера отобразится в автоматическом режиме, после чего нужен щелчок по кнопке «Далее».
На экране монитора появится окно, в котором потребуется поставить галку на строке «Установить сертификат (цепочку сертификатов) в контейнер». Без этой операции ЭЦП использовать невозможно. Завершается настройка ключа кликами по клавишам «Далее» и «Готово».
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”
Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
Нажимаем далее.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Обновление ЭЦП
Период действия электронной подписи равняется 1-му году. По его истечении сертификат утрачивает работоспособность. Заверить им электронные документы не получится, выдается ошибка. Для восстановления работоспособности пользователю следует направить в удостоверяющий центр запрос на формирование и регистрацию нового сертификата.
Обратите внимание! Для пролонгации подписи не потребуется создание нового рутокена. Пользователь может передать в УЦ используемый раннее, его обновят. Сотрудники центра могут предложить одновременную пролонгацию ЭЦП со значительной скидкой. Рекомендуется заранее узнать цены на услуги, предоставляемые УЦ.
Установка сертификата на компьютер
Рутокен – это физическое устройство, которое механически повредить не составит проблем. Если каждый раз при возникновении необходимости подписать документ использовать флеш-накопитель, то вероятность его выхода из строя увеличивается. Альтернатива этому есть – это установка открытого сертификата в операционную систему. После этого подписать документ можно без рутокена.
Итак, для установки ЭЦП на компьютер необходимо:
- инсталлировать КриптоПро CSP актуальной версии;
- запустить программу, перейти во вкладку «Сервис», кликнуть на «Просмотреть сертификаты в контейнере»;
- в нижней части окна выбрать поставщика сертификата (CryptoPro);
- вставить в USB-порт токен;
- выбрать «Найти сертификат автоматически»;
- следовать инструкциям на экране (необходимо будет ввести секретный ключ).
После установки сертификата в систему настоятельно рекомендуется перезагрузить операционную систему для вступления всех изменений в действие. После – в списке «Просмотреть сертификаты в контейнере» появится новый, только что установленный ключ.
Возможные проблемы при установке
Лица, использующие электронную подпись, часто сталкиваются со следующими проблемами:
- Сбой работы в связи с ошибкой в периоде использования сертификата. Возникает из-за того, что на ПК могут быть установлены неверные дата и время. Также пользователь может пропустить период обновления. Если с момента выдачи сертификата прошел 1 год, то его работа приостанавливается.
- Система отказывает в установке сертификата. Подобная ошибка может возникнуть из-за того, что пользователь не запустил службу поддержки программ для активации ЭЦП. Причиной такой ошибки может быть использование пиратских версий ПО WINDOWS. На них могут отсутствовать некоторые опции.
- Если USB токен повредился либо сломан вход для него, то возникнет ошибка чтения сертификата с носителя.
- Если у пользователя пропал доступ к Всемирной сети, то во время попытки подписания электронного документа система выдаст ошибку проверки сертификата. Рекомендуется подписывать документ через программу «КриптоПРО CSP». Она работает в автономном режиме.
Важно! Пользователи могут получать сервис по информационной поддержке в УЦ за отдельную плату. При возникновении сложностей специалисты помогут их решить.
Следовательно, настройка электронной подписи на ПК может проводиться самостоятельно. Специалистов привлекать не потребуется. Разработчики программного продукта побеспокоились о том, чтобы с операцией справился даже новичок. При возникновении затруднений можно обратиться в УЦ либо к операторам КриптоПРО.
*Цены актуальны на октябрь 2019 года.
Использование ЭЦП для торгов
Как пользоваться электронной подписью с флешки? Если необходимо просто подписать цифровой документ, то выполняется это следующим образом:
- выбрать «Файл», далее – «Защита документа», кликнуть на «Добавить цифровую подпись»;
- затем в диалоговом окне выбрать необходимый сертификат (в нижней части указать в качестве источника Рутокен);
- завершить шифрование и сохранить подписанный документ на жестком диске.
Для работы с ЭЦП в окне браузера необходимо установить плагин КриптоАРМ. Он поставляется как отдельная программа (при её установке плагин интегрируется во все установленные в ОС совместимые веб-обозреватели) и как плагин для конкретного браузера. После установки КриптоАРМ обязательно необходимо перезагружать браузер!
В электронных торгах ЭЦП необходима для подтверждения заявок на участие в аукционах или на подачу запроса на проведения торгов. Здесь все происходит автоматически – сайт самостоятельно обращается к КриптоАРМ, когда ему необходимо заверить с помощью ЭЦП пользовательский запрос. Далее – появляется диалоговое окно КриптоПро (браузер может выдать запрос на запуск стороннего ПО), где и следует выбрать в качестве источника подписи вставленный в USB рутокен. Дальнейшая генерация открытого сертификата и идентификация личности выполняется автоматически.
Аналогичным образом можно работать с ЭЦП на флешке и на других сайтах, где используется идентификация или вход на портал через проверку электронной подписи. К таковым, к примеру, относятся сайты из списка Госуслуг, портал ФНС для подачи финансовой отчетности в электронном виде.
https://www.youtube.com/watch?v=wff0VDWy_Q4
Итого, как пользоваться ЭЦП с флешки? Все, что для этого потребуется – это установленная и активированная версия КриптоПро CSP версии 3 и старше, а также плагины для Microsoft Office или браузеров (в зависимости от того, для какой цели используется рутокен). Однако все равно рекомендуется сертификат устанавливать в ОС, чтобы каждый раз не приходилось использовать USB¬-токен. Но даже если он будет выведен из строя – заменить его можно будет через удостоверяющий центр (при этом выдается новая ЭЦП, старая — аннулируется.