Как сделать дубликат токена
Как скопировать ЭЦП с рутокена
Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:
Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.
В общем случае сертификат ЭЦП состоит из трех компонентов:
Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.
Как произвести копирование сертификата с Рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Как выполнить копирование сертификата с Рутокена через КриптоПРО
Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:
В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.
Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.
Проведение копирования контейнера с помощью встроенных средств операционной системы Windows
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
Как выполнить копирование ЭП из реестра
Внимание!
Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.
Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:
Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:
*Примечание:
SID — Идентификатор безопасности пользователя ОС Windows. У каждого пользователя Windows свой SID. Для того чтобы узнать SID пользователя запустите ОС Windows под его учетной записью, после чего перейдите в командную строку (Пуск → Выполнить → cmd) и введите команду whoami/user. Команда отобразит основные сведения о текущем пользователе, включая его SID.
Пример SID: S-1-5-12-12345678-1234567890-1234567890-1234.
Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу. После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.
Выгрузка личного сертификата с исходного компьютера: Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:
В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»
Как перенести нужный контейнер на Рутокен из другого источника
В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:
Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.
Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:
Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:
Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.
При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.
Как скопировать контейнер?
В случае, если для работы используется flash-накопитель или дискета, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата, если он есть) необходимо поместить в корень flash-накопителя (дискеты). Название папки при копировании рекомендуется не изменять.
Папка с закрытым ключом должна содержать 6 файлов с расширением.key. Ниже приведен пример содержимого такой папки.
Копирование контейнера также может быть выполнено с помощью криптопровайдера КриптоПро CSP. Для этого необходимо выполнить следующие шаги:
1. Выбрать Пуск / Панель Управления / КриптоПро CSP.
2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать. (см. рис. 1).
Рис. 1. Окно «Свойства КриптоПро CSP»
3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).
Рис. 2. Копирование контейнера закрытого ключа
4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее.
5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 3).
Рис. 3. Имя ключевого контейнера
6. В окне «Вставьте и выберите носитель для хранения контейнера закрытого ключа» необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 4).
Рис. 4. Выбор чистого ключевого носителя
7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 5).
Рис. 5. Установка пароля на контейнер
Если копирование выполняется на носитель Rutoken, сообщение будет звучать иначе (см. рис. 6)
Рис. 6. Pin-код для контейнера
Рекомендуется указать стандартный pin-код (12345678)
Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.
8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).
Как пользоваться электронной подписью с флешки?
Флешка — удобный и мобильный хранитель информации. Можно ли записать на нее электронную подпись (ЭП), насколько это безопасно и как именно это сделать расскажем в статье.
Что такое флешка и токен электронной подписи
Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт.
Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.
На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.
А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней.
На какие носители можно записать электронную подпись
Сертификат электронной подписи можно записать:
Последние два носителя практически не отличаются друг от друга по свойствам. Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.
Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.
Какой должен быть объем у флешки для электронной подписи
Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.
Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.
В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.
Как записать электронную подпись на флешку
Записать сертификат ЭП на флешку или токен можно тремя способами:
Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.
Как записать сертификат в личном кабинете
Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:
Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:
Как записать ЭП с помощью КриптоПро CSP
Как записать ЭП с помощью средств Windows
Как записать ЭП в профиле Контур.Диагностики
Как пользоваться электронной подписью с флешки и токена
Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке.
Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную.
От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:
Чтобы подписать документ ЭП с флешки или токена:
Можно ли использовать Рутокен в качестве флешки?
Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.
Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.
Резервное копирование Контейнера с токена
Форум Рутокен → Помощь в выборе продукта → Резервное копирование Контейнера с токена
Сообщений 14
#1 Тема от reaper 2010-09-06 09:00:10
Резервное копирование Контейнера с токена
Подскажите можно ли как то сохранить (скопировать) контейнер с ruToken на жесткий диск? для бекапа так сказать.
вопрос к тому: не однократно сталкивались с поломкой токенов, бывали и физические повреждения и аппаратные поломки, хотя не в этом суть. А в том при этом мы теряем все контейнеры, что были на токене. Защититься от этого конечно можно средствами криптопро, скопировав контейнер на Дискету, но это не логично, копировать на устаревший и не надежный носитель. Копировать на реестр не подходит по соображениям безопасности.
Поэтому хотелось бы иметь возможность скопировать(и при необходимости) восстановить содержимое контейнером на жесткий диск.
#2 Ответ от Николай Фатеев 2010-09-07 12:48:24
Re: Резервное копирование Контейнера с токена
С началом использования электронных носителей, возникла проблема сохранения данных на них. Пока, ничего действенного кроме создания резервных копий, не придумали. Резервные копии значимой информации создаются практически всеми компаниями, в которых используются компьютеры.
Рутокен в отличии от Flash диска (флешки), при его подключении не отображается в системе как новое логическое устройство, работу с ним осуществляет специализированное ПО. В данном случае это КриптоПро CSP. Т.е. контейнеры ключей можно перенести только на те устройства, которые поддерживает КриптоПро CSP. К тому же контейнер КриптоПро CSP имеет дополнительную защиту за счет реализации закрытого стандарта.
Поэтому можно:
1. Скопировать контейнер на дискету и сделать ее образ и хранить не дискету, а именно образ дискеты.
2. Скопировать контейнер на другой Рутокен
Второй вариант нам представляется более простым и надежным. Технология копирования ключевых контейнеров для КриптоПро CSP описано в руководстве пользователя Рутокен для КриптоПро.
#3 Ответ от reaper 2010-09-07 13:31:05
Re: Резервное копирование Контейнера с токена
Поэтому можно:
1. Скопировать контейнер на дискету и сделать ее образ и хранить не дискету, а именно образ дискеты.
2. Скопировать контейнер на другой Рутокен
Второй вариант нам представляется более простым и надежным. Технология копирования ключевых контейнеров для КриптоПро CSP описано в руководстве пользователя Рутокен для КриптоПро.
1. далеко не на всех современных компьютерах есть Floppy дисководы.
2. покупать второй руТокен только ради хранения резевой копий не самое удачное решение.
#4 Ответ от Николай Фатеев 2010-09-07 13:46:20
Re: Резервное копирование Контейнера с токена
#5 Ответ от yva 2010-09-14 16:34:13
Re: Резервное копирование Контейнера с токена
#6 Ответ от Наталия 2011-04-20 12:53:04
Re: Резервное копирование Контейнера с токена
А подскажите пожалуйста как скопировать контейнер на другой рутокен? и можно ли им будет пользоваться как отдельной ЭЦП?
#7 Ответ от Алексей Несененко 2011-04-20 13:03:18
Re: Резервное копирование Контейнера с токена
В КриптоПро процедура копирования с токена на токен не отличается от копирования с дискеты на токен.
В качестве приемника указываете второй Рутокен.
Использовать два токена на одном компьютере не получится. Если использовать каждый Рутокен на отдельном компьютере, то такая схема будет работоспособна.
#8 Ответ от Макс 2011-05-19 09:14:13
Re: Резервное копирование Контейнера с токена
У нас уже есть ЭЦП на ключе рутокен (участие в торгах на эл. площадках). Сейчас продляем договор и ключ на след. год. Организация выдающая ключ рекомендует сделать ЭЦП на обычной флешке, якобы ру-токены часто «горят». Есть ламерские вопросы..
#9 Ответ от Алексей Несененко 2011-05-19 09:35:02
Re: Резервное копирование Контейнера с токена
1. Как и любое электронное устройство, Рутокен для нормальной работы, требует определенных условий эксплуатации и соблюдения некоторых правил:
— Не следует оставлять Рутокен постоянно включенным.
— Не следует оставлять Рутокен подключенным в момент включения/выключения или перезагрузки компьютера.
— Блок питания компьютера должен выдавать нормальное стабилизированное напряжение без проседаний, бросков и пульсаций (особенно по шине 5В)
2. Доступ к ЭЦП на Рутокене возможен только после ввода PIN-кода. Таким образом человек не знающий PIN-кода не сможет ее скопировать. Сама возможность копирования задается при выписывании сертификата. Если его не пометить как экспортируемый при выписывании, то скопировать контейнер будет нельзя, даже при знании PIN-кода.
3. Флэшка (как и дискета) не является защищенным носителем и контейнер с нее можно переносить обычным копированием через операционную систему.
4. Да, можно приобрести ЭЦП на обчычном сменном носителе (флэшка, дискета) и затем скопировать ее на Рутокен через КриптоПро. Но не забываем, что для этого при выписывании надо пометить сертификат как экспортируемый.
#10 Ответ от Макс 2011-05-20 05:42:28
Re: Резервное копирование Контейнера с токена
Алексей, спасибо за развернутые ответы. Решили сделать на рутокене ЭЦП. Правда в нашем филиальном центре от Тензора, нам отказались сделать экпортируемый сертификат, ссылаясь на защитные меры по таким ключам для федеральных площадок. Хотя их мотивации понять не могу, если делают на обычные флешки. Может на самом деле все дело в защите.
#11 Ответ от kocc9k 2012-07-05 13:35:59
Re: Резервное копирование Контейнера с токена
ЭЦП с рутокена можно скопировать на флешку, если не стоит защита от копирования (как правило УЦ не ставят такую защиту).
Но с флешки на флешку простым копированием невозможно перенести ЭЦП. Процесс копирования с флешки на флешку аналогичен копированию с рутокена, т.е. через криптопровайдер.
#12 Ответ от lukas123 2014-04-01 16:26:37
Re: Резервное копирование Контейнера с токена
Действительно, скопировать контейнер закрытого ключа с рутокена на другой носитель или в реестр не получится, бился всеми силами, так как есть признак неэкспортируемого ключа. но выход все же есть, установить специальную прогу и расшарить по сети. все получается, проверено лично.
#13 Ответ от Posrednik 2014-04-02 08:52:55 (2014-04-02 09:51:39 отредактировано Posrednik)
Re: Резервное копирование Контейнера с токена
но выход все же есть, установить специальную прогу и расшарить по сети. все получается, проверено лично.
Очень интересует найденное решение. На правильную мысль не направите? 🙂 Можно в личку.
ps Только сейчас заметил, что личных сообщений тут вроде нет. Вот почта: korvalol@list.ru
#14 Ответ от lukas123 2014-04-02 11:05:21
Re: Резервное копирование Контейнера с токена
но выход все же есть, установить специальную прогу и расшарить по сети. все получается, проверено лично.
Очень интересует найденное решение. На правильную мысль не направите? 🙂 Можно в личку.