Скопировать на флешку сертификат и закрытый ключ из реестра? Как экспортироваться в файл казначейства

При создании электронной цифровой подписи с помощью криптографических алгоритмов формируется ключевая пара — открытый и закрытый ключи. Расскажем подробно о том, что такое ключевая пара, чем отличаются части ЭЦП, какие функции они выполняют.

Открытый ключ ЭЦП

Эта часть ключевой пары представляет собой уникальный набор символов, который формируется криптопровайдером (средством криптографической защиты информации). Открытый ключ находится в сертификате проверки электронной подписи (в электронной и бумажной версии). Он доступен всем, так как используется для расшифровки ЭЦП. То есть с его помощью получатель подписанного электронного документа может идентифицировать и проверить ЭЦП. Удостоверяющие центры хранят выданные открытые ключи в специальном реестре.

Закрытый ключ ЭЦП

Это секретный уникальный набор символов, который также формируется криптопровайдером. Закрытый ключ необходим для формирования ЭЦП на электронном документе и хранится в зашифрованном виде на носителе (токене). Доступ к закрытому ключу имеет только владелец ЭЦП, он защищен PIN-кодом. Теоретически, скопировать закрытый ключ на другой носитель можно, но делать это не рекомендуется, так как безопасность использования ЭЦП гарантирована только тогда, когда закрытый ключ существует в единственном экземпляре. Если носитель с закрытым ключом утерян, то в целях безопасности необходимо отозвать ЭЦП, чтобы злоумышленники не могли ей воспользоваться.

В ключевой паре открытая и закрытая части привязаны друг к другу.

Как найти и выгрузить ключи на компьютер?

Чаще всего появляется необходимость выгрузить открытый ключ, например, чтобы предоставить его контрагентам для проверки ЭЦП. На токене сертификат проверки ключа скрыт. Как его открыть? Сделать это можно через свойства браузера или программу КриптоПро CSP. Чтобы экспортировать ключ, в первую очередь необходимо подключить токен к компьютеру.

Через свойства браузера:

• В ОС Windows необходимо открыть: «Пуск» — «Панель управления» — «Свойства браузера».
• В появившемся окне выбрать вкладку «Содержание», а далее — «Сертификаты».
• Появится список сертификатов, в котором следует выбрать нужный, а затем нажать кнопку «Экспорт».
• Появится окно «Мастер экспорта сертификатов», где нужно выбрать «Не экспортировать закрытый ключ», если это не требуется.
• Выбрать формат файла «Файлы в DER-кодировке X.509 (.CER)».
• Выбрать место хранения ключа и сохранить.

Через КриптоПро CSP:

• В ОС Windows надо перейти в «Пуск» — «Панель управления» — «КриптоПро CSP».
• В открывшемся окне следует выбрать вкладку «Сервис» и нажать «Просмотреть сертификаты в контейнере».
• Через кнопку «Обзор» нужно выбрать контейнер.
• В окне «Сертификат для просмотра» следует нажать кнопку «Свойства» и на вкладке «Состав» нажать «Копировать в файл».
• Далее порядок действий в окне «Мастер экспорта сертификатов» аналогичный: выбрать, нужно ли сохранять закрытый ключ, установить формат и определить место хранения.

Закрытый ключ на токене тоже скрыт. Он выглядит как папка с несколькими файлами с расширением .key. Обычно закрытый ключ экспортируют, если нужно получить прямой к нему доступ. Однако хранить закрытую часть ЭЦП на компьютере категорически не рекомендуется, так как это небезопасно.

Выгрузка закрытого ключа через свойства браузера выполняется по тому же алгоритму, что и в случае с открытым. Только в окне «Мастер экспорта сертификатов» нужно выбрать «Экспортировать закрытый ключ». А порядок действий при выгрузке из КриптоПро CSP следующий:

• В ОС Windows нажать «Пуск» перейти на «Панель управления» и выбрать «КриптоПро CSP».
• Далее — вкладка «Сервис» и кнопка «Скопировать контейнер».
• Через кнопку «Обзор» нужно выбрать контейнер и подтвердить (потребуется ввести PIN-код).
• Затем нужно ввести название копии закрытого ключа и нажать «Готово».
• Далее нужно выбрать, куда будет записан ключ, установить пароль для обеспечения дополнительной защиты и подтвердить действия.

Ещё раз напомним, что экспортировать закрытый ключ без необходимости, не рекомендуется. Его может использовать любой, кто имеет доступ к компьютеру, на который он скопирован.

Заказав электронную цифровую подпись в СберКорус, вы сможете самостоятельно настроить компьютер для работы с ЭЦП, посмотрев видеоинструкцию. При возникновении сложностей мы поможем настроить компьютер бесплатно. А также в любое время проконсультируем по интересующим вопросам.

Неотъемлемой частью юридически значимого электронного документооборота является электронная подпись1

. Безопасность электронной подписи зависит от:

• свойств закрытого ключа2;
• функциональных возможностей ключевого носителя3;
• ответственного хранения. Рекомендуется использовать защищенные носители ключевой информации (далее — ключевые носители), которые, в свою очередь, делятся на пассивные (с защитой данных только по PIN-коду) и активные (со встроенными на аппаратном уровне функциями средства криптографической защиты информации, далее — СКЗИ4).

Соблюдение настоящих методологических рекомендаций по использованию ключевых носителей поможет защитить участников электронного документооборота от рисков:

• получения несанкционированного доступа третьих лиц к закрытому ключу для
  создания его копии;
• подписания электронных документов третьими лицами от имени владельца
  электронной подписи;

1. Электронная подпись — это аналог собственноручной подписи для подписания электронных документов.2. Закрытый (секретный) ключ электронной подписи — это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете. 3. Ключевой носитель — это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает «флешку» для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство криптографической защиты информации. В этом случае он является программно-аппаратным ключевым носителем и позволяет максимально безопасно формировать электронную подпись на электронном документе. 4. Средство криптографической защиты информации (СКЗИ) — термин используется в соответствии с частью 2 раздела I Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положе ние ПКЗ-2005), утвержденного приказом ФСБ РФ от 09.02.2005 No 66 (Зарегистрировано в Минюсте России 03.03.2005 N 6382).

СВОЙСТВА ЗАКРЫТОГО КЛЮЧА Экспортируемые и неэкспортируемые закрытые ключи

Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.

Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.

Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код). Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя особенно когда нарушитель начнет использовать копию не сразу.

Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.

Извлекаемые и неизвлекаемые закрытые ключи.

Свойство неизвлекаемости закрытого ключа достигается способом его создания5 и хранения6, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.

Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.

К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.

ВИДЫ КЛЮЧЕВЫХ НОСИТЕЛЕЙ.

Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.

Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.

При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов — хэш документа9, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции10 формирования электронной подписи — подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.

На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется.

Несмотря на это, пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников — в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств.

Для исключения такого вида атак существует активный ключевой носитель.

Активный ключевой носитель (криптографический ключевой носитель)

Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате. У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:

• создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
• при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства — подписание электронного документа происходит на самом ключевом носителе;
• закрытый ключ ни в какой момент времени не покидает ключевой носитель. Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе. Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом). 8. Ключевой контейнер — способ хранения закрытого ключа на ключевом носителе. Доступ к ключевому контейнеру защищается установкой пароля. Защита ключевого контейнера индивидуальна для каждого типа ключевого носителя. 9. Хэш документа (хэш значение документа) — уникальный набор символов, полученный в результате вычисления однонаправленной функции, который неразрывно связан с содержанием электронного документа: в случае изменения электронного документа, даже незначительного, например, добавления в текст пробела, хэш значение электронного документа изменится. 10. Криптографические операции формирования электронной подписи — преобразование ранее вычисленного хеш-значения электронного документа таким образом, что его обратное преобразование возможно только с помощью сертификата ключа проверки электронной подписи.

Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша»

11 злоумышленником присутствует, но такие случаи крайне редки.

МЕРЫ ПРЕДОСТОРОЖНОСТИ ПРИ РАБОТЕ С КЛЮЧЕВЫМИ
НОСИТЕЛЯМИ. Технические меры предосторожности.

При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2011 No 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.

Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный — известный только владельцу электронной подписи. Рекомендуемая длина пароля — не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв.

Рекомендуется периодическая смена пароля. Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символах (qwerty, abcde, 12345 и другие), на каком- либо идентификаторе, паспортных данных, кличах питомцев и подобных ассоциацях.

Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.

ОРГАНИЗАЦИОННЫЕ МЕРЫ ПРЕДОСТОРОЖНОСТИ.

Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:

• передавать ключевой носитель третьим лицам;
• записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
• оставлять ключевой носитель без присмотра в доступных или общественных местах;
• оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
• Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
• при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
• хранить ключевой носитель в недоступном для третьих лиц месте;
• при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером считается уже недействительным. 11 Атака «подмена хэша» — тип атаки злоумышленником, когда последний вычисляет хэш-значение поддельного документа и пе рехватив в памяти компьютера хэш-значение подписываемого документа, заменяет его своим .

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Теоретический курс “Сетевые технологии для системных администраторов” позволит системным администраторам упорядочить и восполнить пробелы в знаниях. Цена очень доступная, есть ознакомительные уроки. Все подробности по ссылке. Можно пройти тест на знание сетей, бесплатно и без регистрации.

Заказать настройку ЭЦП от 500 р.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

• Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
• Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

• .pfx
• .cer

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

где S-1-5-21-4126888996-1677807805-1843639151-1000 – SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем – Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.

После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.

Часто задаваемые вопросы по теме статьи (FAQ)

Можно ли перенести сертификат, который находится на токене и защищен от копирования?

Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.

Безопасно ли хранить сертификаты в реестре?

Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.

Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?

Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.

Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.

Если у вас есть желание научиться администрировать системы на базе Linux, но вы с ними никогда не работали и не знакомы, то рекомендую начать с онлайн-курса «Linux для начинающих» в OTUS. Курс для новичков, для тех, кто с Linux не знаком. Цена за курс минимальная (символическая). Информация о курсе и цене.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Рекомендации ФНС по работе с ЭП Docrobot

Федеральная налоговая служба России (ФНС) выпустила рекомендации по использованию носителей, на которых хранятся ключи электронных подписей. В рекомендациях собрана основная методическая информация о видах носителей, правилах работы с ними и мерах предосторожности, которые помогут снизить риски при использовании ЭП.

Закрытые ключи делятся на два вида: пассивные и активные. Пассивные защищаются только PIN-кодом, а активные – встроенными функциями средства криптографической защиты информации (СКЗИ). Безопасность закрытого ключа зависит от ответственности владельца при его использовании, свойств самого ключа и функциональных особенностей ключевого носителя.

Экспортируемый и неэкспортируемый

Экспортируемость и неэкспортируемость – одно из главных свойств закрытого ключа электронной подписи. Это свойство устанавливается на этапе формирования закрытого ключа. Если ключ экспортируемый, его можно скопировать, а это опасно для конфиденциальности данных. Для того, чтобы скопировать закрытый ключ, злоумышленнику потребуется получить доступ к ключевому носителю и узнать PIN-код владельца. Неэкспортируемый ключ невозможно скопировать, так как он защищен стандартными СКЗИ.

Извлекаемый и неизвлекаемый

Неизвлекаемость закрытого ключа электронной подписи означает то, что сам ключ никогда не покидает носитель, в котором он был сгенерирован. Для того, чтобы добиться неизвлекаемости, ключ должен быть записан на активный носитель с функциями СКЗИ. В этом случае извлечь его будет невозможно. Извлекаемые ключи – все остальные, в том числе экспортируемые и неэкспортируемые.

Пассивный ключевой носитель

Чтобы получить доступ к закрытому ключу, записанному на пассивный носитель, необходимо ввести PIN-код. При формировании закрытого ключа PIN-код устанавливается производителем, поэтому при первом использовании его лучше изменить.

При подписании электронных документов с помощью пассивного ключевого носителя происходит следующее: закрытый ключ копируется в память компьютера, далее в системе выполняются криптографические операции по формированию электронной подписи, после чего закрытый ключ удаляется из памяти устройства. Все это происходит в течение нескольких секунд.

Если несколько раз ввести PIN-код неправильно, пассивный ключевой носитель блокируется. Однако это не избавляет от риска утечки данных. Во время подписания документа данные закрытого ключа несколько секунд хранятся в памяти компьютера, откуда потенциальный злоумышленник может их перехватить.

Виды пассивных ключевых носителей: USB-носитель, смарт-карта, носитель с бесконтактным интерфейсом (NFC интерфейс).

Активный ключевой носитель защищается не только PIN-кодом, но и функциями СКЗИ. Закрытый ключ при этом создается прямо на активном носителе с использованием аппаратных криптографических функций. Подписание электронных документов также происходит на носителе, а не в системе компьютера: данные о закрытом ключе не копируются в память устройства. Так, закрытый ключ никогда не покидает носитель.

Безопасность активного ключевого носителя может быть нарушена только в том случае, если злоумышленник похитит его вместе с PIN-кодом.

Виды активных ключевых носителей: USB-носитель, смарт-карта, носитель с бесконтактным интерфейсом (NFC интерфейс).

Рекомендации ФНС

Для того, чтобы максимально обезопасить конфиденциальные данные от злоумышленников, ФНС составила список рекомендаций по работе с ключевыми носителями электронных подписей:

• Использовать ключевые носители с наивысшей степенью защиты закрытого ключа
• Сменить пароль (PIN-код), установленный изготовителем, на собственный
• Пароль должен содержать не менее 6 символов, не должен являться последовательностью символов, расположенных на клавиатуре (qwerty, 123456), не должен быть основан на ассоциации, связанной с владельцем (например, кличка питомца)
• Не активировать функцию «запомнить пароль» в средствах электронной подписи и настройках ПО
• Не хранить данные о закрытом ключе (например, пароль) в открытых местах
• Не передавать ключевой носитель третьим лицам
• Не оставлять ключевой носитель без присмотра
• Если необходимо, выдать сотрудникам компании, которые не имеют права действовать без доверенности, их персональные закрытые ключи и сертификаты ЭП, чтобы они могли по доверенности подписывать документы
• Хранить ключевой носитель в недоступном месте
• В случае утери или кражи ключевого носителя необходимо обратиться в свой удостоверяющий центр и прекратить действие сертификата, а также в срочном порядке сообщить контрагентам, что утраченный сертификат недействителен

С 1 июля 2021 стартует новый порядок получения электронных подписей. В период с 1 июля по 1 января 2022 продолжится переходный период, а с 1 января новые правила оформления и использования ЭП вступят в законную силу и станут обязательными для участников электронного документооборота. Частично начать работать по новым правилам можно уже сейчас. Изменения – часть поправок к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи», принятых в 2019 году.

Docrobot – компания-разработчик SaaS-решений на основе EDI/ЭДО, провайдер электронного документооборота для ритейла с долей трафика более 40% в крупнейших федеральных сетях.

Подробнее на сайте Docrobot

Как скопировать Неэкспортируемый закрытый ключ

Решение Копировать неэкспортируемые ключи запрещено приказом ФНС. Необходим выпуск электронной подписи на сотрудника организации, в этом случае он сможет работать по доверенности от имени организации!

• Неэкспортируемый ключ невозможно скопировать без специального разрешения.
• Для работы с неэкспортируемым ключом необходимо выпустить электронную подпись на сотрудника организации.
• Экспорт закрытого ключа запрещен, но возможен экспорт сертификата с закрытым ключом.
• Для экспорта сертификата с закрытым ключом нужно открыть его, нажать на вкладку «Состав» и выбрать «Копировать в файл».
• Затем нужно запустить «Мастер экспорта сертификатов», выбрать «Да, экспортировать закрытый ключ» и следовать инструкциям.
• Для копирования защищенного ключа нужно запустить КриптоПро CSP, выбрать «Сервис» и нажать на кнопку «Скопировать».
• В окне «Копирование контейнера закрытого ключа» нужно выбрать контейнер и следовать инструкциям.

Можно ли скопировать Неэкспортируемый ключ

Экспорт сертификата с закрытым ключом

Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл». 3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ».

Как скопировать сертификат с закрытым ключом

Для того чтобы выполнить копирование закрытого ключа, необходимо запустить КриптоПро CSP. Переходим в меню Пуск, далее нажимаем «Все программы» и выбираем папку КриптоПро, здесь запускаем КриптоПро CSP. В открывшейся программе выбираем «Сервис» и жмём на кнопку «Скопировать».

Как импортировать закрытый ключ

Импорт сертификата и закрытого ключа:

• Откройте Диспетчер сертификатов.
• Выберите папку, в которую следует импортировать сертификат. В меню Действие выберите пункт Все задачи и выберите команду Импорт.
• Нажмите кнопку Далее и следуйте инструкциям.

Как скопировать Неэкспортируемый ключ ФНС

Закрытый ключ хранится на ключевом носителе (токене) и защищен паролем, который известен только владельцу. Очень важно при получении токена в удостоверяющем центре поменять заводской пароль на собственный и бережно хранить токен — в этом случае никто не сможет подделать подпись.

Как найти контейнер закрытого ключа на компьютере

Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением.Копирование с помощью КриптоПро CSP:

• Выбрать Пуск / Панель Управления / КриптоПро CSP.
• Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.
• В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Как установить сертификат с закрытым ключом

Как установить контейнер закрытого ключа в реестр

Как восстановить удаленный сертификат закрытого ключа

Закрытый и открытый ключи — это набор уникальных цифровых символов, и сгенерировать повторно точно такие же не получится. Поэтому восстановить прежнюю ЭП невозможно — придется выпустить новую. В этой ситуации исключений нет. Восстановить электронную подпись нельзя — нужно оформлять новую электронную подпись.

Как сделать дубликат электронной подписи

Заказать дубликат электронной подписи можно единовременно с оригиналом. В случае, если вам потребовался только дубликат электронных ключей, вам потребуется предоставить сертификат ЭЦП, копию паспорта владельца ЭЦП.

Как клонировать электронный ключ

• откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере»;
• нажмите «Обзор», отметьте нужный контейнер, кликните «Ок» и «Далее»;
• нажмите «Установить»;
• утвердительно ответьте на вопрос о замене сертификата;
• нажмите «Готово» и «Ок».

Как скопировать защищенный рутокен

Копирование ЭЦП с Рутокена на флешку:

• Вставляем в компьютер одновременно носитель с ЭЦП (Рутокен) и флешку.
• Запускаем программу КриптоПРО CSP. (
• Открываем вкладку Сервис
• Нажимаем кнопку Скопировать
• В открывшемся окне нажимаем кнопку Обзор
• В открывшемся окне выбираем нажатием наш сертификат (ключ ЭЦП)
• Нажимаем Ок

Можно ли перезаписать токен

Да, можете. Налоговая не требует документов, подтверждающих что токен принадлежит вашей действующей фирме. На него умещается минимум 5 ЭЦП.

Можно ли скопировать ключ

Для копирования ключевого контейнера: В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите «Скопировать». Нажмите «Обзор» и выберите ключевой контейнер (сертификат) для копирования. Нажмите «Далее» и укажите новое произвольное имя для копии контейнера.

Что значит экспортируемый закрытый ключ

— «Экспортируемый закрытый ключ» — указывается возможность переноса ключа ЭП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать).

Что значит сертификат с Неэкспортируемой ключевой парой

Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара

Это программные, неэкспортируемые ключи, созданные с помощью «КриптоПро CSP». Аппаратная криптография токена не участвовала в генерации ключей и не участвует в работе с ЭП. Токен выступает в роли пассивного хранилища, защищённого PIN-кодом.

Можно ли передавать открытый ключ другому человеку

Открытый ключ можно без опасений передавать, не рискуя при этом сохранностью данных.

Как скопировать Неэкспортируемый контейнер из реестра

Экспорт открытого ключа через свойства обозревателя:

• Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».
• В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».

Как вытащить сертификат из ЭЦП

Как извлечь сертификат из контейнера закрытого ключа?:

• Перейти в Панель управления (ПУСК — Панель управления) найдите и запустить КриптоПро CSP.
• На вкладке сервис выбрать «Просмотреть сертификат в контейнере».
• Выбрать нужный контейнер и нажать «Далее».
• Нажать «Свойства».
• Перейти на вкладку «Состав».

Как сделать Экспорт сертификата

Откройте диспетчер сертификатов — меню «Настройки» — «Свойства браузера»,:

• вкладка «Содержание», кнопка «Сертификаты».
• В окне «Сертификаты» перейдите на вкладку «Личные», выделите мышью сертификат и нажмите кнопку «Экспорт».

Как скопировать цифровую подпись на компьютер

Откройте приложение «Инструменты КриптоПро» и выберите вкладку «Контейнеры». Шаг 2. Выберите носитель, на который записан сертификат ЭЦП — то есть, USB-флешку. Нажмите на кнопку «Скопировать контейнер».

Можно ли скопировать ключ ЭЦП

Как скопировать электронную подпись

В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите на клавишу «Скопировать». Затем нажмите на кнопку «Обзор» и выберите ключевой контейнер, который хотите скопировать. Кликните «Далее» и укажите новое произвольное имя копии контейнера.

Можно ли передавать свой электронный ключ

Запрещено передавать носитель с электронной подписью другим лицам. КЭП — это авторская подпись, а значит за все подписанные им документы ответственность несет его владелец. Не записывать пароли на бумагу. Так, преступникам будет легко получить доступ к КЭП.

Оставить отзыв (1)

Как перенести контейнер закрытого ключа на другой компьютер

• Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления.
• Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится.

Как Экспортировать контейнер закрытого ключа

Восстановить удаленный контейнер нельзя(даже низкоуровневыми средствами восстановления информации). Предусмотрено ли на такой случай у компании КриптоПро какой-либо способ реанимации работоспособности ключа, поскольку основная его функция утеряна. В этом случае можно создать новый сертификат с новым ключ.

Как выгрузить закрытый ключ КриптоПро

В меню Действие выберите Все задачи, а затем выберите Экспорт. В мастере экспорта сертификатов выберите параметр Да, экспортировать закрытый ключ. (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

Где хранится контейнер закрытого ключа в реестре

Как импортировать контейнер:

• Нажмите Администрирование в верхней части экрана.
• В разделе Контейнер нажмите Импортировать контейнер.
• Нажмите кнопку Выбрать файл контейнера и выберите нужный файл.
• Укажите, в какую рабочую область будет добавлен импортируемый файл — в новую или существующую.

Как установить контейнер закрытого ключа

Для установки контейнера закрытого ключа потребуется перейти на вкладку Сервис и выбрать пункт «Скопировать контейнеры». Вставив накопитель с ключевым контейнером, нужно будет его выбрать в окне обзора. Выбрав контейнер и нажав «Ок», нужно будет задать имя контейнера.

Как узнать пароль контейнера закрытого ключа КриптоПро

То необходимо обратиться в организацию, выдавшую Вам облачную электронную подпись, они помогут восстановить данные. Если при подписи Вы успешно прошли авторизацию и видите перед собой окно такого вида: То Вы забыли пароль на закрытый ключ, восстановить его нельзя, только подобрать.

Как перенести КриптоПро с одного компьютера на другой

«Переноса» КриптоПро CSP с одного компьютера на другой как такового нет. При необходимости использовать уже введенную лицензию на другом рабочем месте выполните установку КриптоПро CSP и введите эту же лицензию одним из описанных способов. После этого необходимо удалить КриптоПро CSP с предыдущей рабочей машины.

Можно ли использовать один ключ Windows на двух компьютерах

Все коробочные лицензии Windows дают право на установку только одной копии, и только на одном компьютере.

Как скопировать контейнер сертификата

• В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите «Скопировать».
• Нажмите «Обзор» и выберите ключевой контейнер (сертификат) для копирования.
• Нажмите «Далее» и укажите новое произвольное имя для копии контейнера.

Как скопировать ключевой носитель

Перенос сертификатов с помощью браузера Internet Explorer:

• Запустить Internet Explorer.
• Открыть «Свойства браузера».
• Во вкладке «Содержание» выбрать «Сертификаты».
• В открывшемся списке выбрать необходимый сертификат и нажать «Экспорт».
• Далее запускается «Мастер переноса и импорта».

Как выглядит закрытый ключ Эцп

Он выглядит как папка с несколькими файлами с расширением. key. Обычно закрытый ключ экспортируют, если нужно получить прямой к нему доступ. Однако хранить закрытую часть ЭЦП на компьютере категорически не рекомендуется, так как это небезопасно.

В Windows 10, правой кнопкой мыши на меню Пуск — Панель управления. Также можно открыть Internet Explorer (не Edge в Windows 10) и в меню Сервис выбрать Свойства браузера. Нажимаем на «Сертификаты». Выбираем сертификат с которого необходимо экспортировать открытый ключ, нажимаем на «Экспорт».

Как перенести сертификаты КриптоПро с одного компьютера на другой

Чтобы это сделать:

• Вставьте флеш-накопитель с копией ключа.
• Откройте программу КриптоПро CSP (кнопка «Пуск» — Все программы« — »КРИПТО-ПРО« — »КриптоПро CSP«) (см.
• Перейдите к закладке »Сервис« и нажмите кнопку »Скопировать« (рис.
• В окне копирования контейнера закрытого ключа нажмите кнопку »Обзор”.

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

Импорт закрытого ключа

Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).

Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).

Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).

Далее введите пароль (1), отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его.» (2), затем нажмите кнопку «Далее» (Рис. 18).

Отметьте пункт «Поместить все сертификаты в следующее хранилище» (1), нажмите кнопку «Обзор» (2), в открывшемся окне отметьте «Личное» (3) и нажмите «Ок» (4). В окне мастера настроек нажмите «Далее» (5) (Рис. 19).

Нажмите «Готово» (Рис. 20).

В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).

Далее укажите новый пароль и его подтверждение (Рис. 22).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).

Далее введите пароль (Рис. 24).

Далее нажмите «Ок» (Рис. 25).

Импорт успешно будет выполнен (Рис. 26).