Как снять запрет на экспорт ключа ЭЦП: руководство для пользователей
Ключ ЭЦП (Электронной Цифровой Подписи) является важным элементом информационной безопасности и используется для подписания и проверки электронных документов. В некоторых случаях пользователь может столкнуться с проблемой запрета на экспорт ключа ЭЦП, который необходим для его использования на других устройствах или в других программных продуктах. В данной статье мы рассмотрим, как можно снять запрет на экспорт ключа ЭЦП.
Шаг 1: Проверить наличие запрета на экспорт
Перед тем, как приступить к снятию запрета на экспорт ключа ЭЦП, необходимо убедиться, что он действительно существует. Для этого можно проверить настройки безопасности в используемой программе ЭЦП или в ОС.
Шаг 2: Снять запрет на экспорт через менеджер сертификатов
Для снятия запрета на экспорт ключа ЭЦП можно использовать менеджер сертификатов. Ниже приведены инструкции по снятию запрета на экспорт ключа ЭЦП в ОС Windows.
- Откройте менеджер сертификатов через команду certmgr.msc в меню "Пуск".
- Выберите нужный сертификат в разделе "Личные".
- Нажмите правой кнопкой мыши на выбранный сертификат и выберите "Export".
- В появившемся мастере экспорта выберите "Да, экспортировать ключи".
- Выберите формат экспорта (например, PKCS #12) и укажите нужный пароль для защиты ключей.
- В следующем окне выберите место для сохранения экспортированного файла с ключами.
Шаг 3: Установить экспортируемые ключи на другом устройстве
Полученный файл с экспортированными ключами можно установить на другом устройстве, где будет использоваться ЭЦП. Для этого можно воспользоваться функцией импорта ключей в менеджере сертификатов.
Заключение
Снятие запрета на экспорт ключа ЭЦП позволяет использовать его на других устройствах и в других программах, что является удобным и необходимым для многих пользователей. Однако, не стоит забывать о мерах безопасности и защите ключей от несанкционированного доступа.
Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара (Страница 1 из 2)
Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он "позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена."
Действительно, при попытке скопировать ключ с помощью оснастки "Панель управление Рутокен" или "КриптоПро CSP" появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.
1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю "Леночке между декретами")?
2. На компьютере с успешно установленными драйверами рутокен-а и утилитой КриптоПро CSP (не ФКН) данный ключ успешно эксплуатируется, из чего я делаю вывод, что криптопреобразования проводятся на ПК а не микропроцессором токена, следовательно ключ покидает токен? . Получается какой-то цирк безопасности?
3. Хотелось бы услышать список причин, по которым признак "неизвлекаемости" ключа стал обязательным.
#2 Ответ от Ксения Шаврова 2021-07-19 17:33:04
- Ксения Шаврова
- Администратор
- Неактивен
Re: Рутокен ЭЦП 2.0 — неизвлекаемая ключевая пара
Наше ООО получило (безвозмездно) от налоговой ЭП ЮЛ на ключевом носителе Рутокен ЭЦП 2.0
у которого в спецификациях (https://www.rutoken.ru/products/catalogue/id_81.html) сказано, что
он "позволяет выполнять криптографические операции таким образом, что закрытая ключевая информация никогда не покидает пределы токена."Действительно, при попытке скопировать ключ с помощью оснастки «Панель управление Рутокен» или «КриптоПро CSP» появляется сообщение о невозможности экспорта ключа из-за установки соответствующего флага.
Есть два термина «неизвлекаемость» и «неэкспортируемость». Эти термины пришли из разных мест, предлагаю разобраться:
В нашей терминологии используются:
— «Неизвлекаемые» ключи – это аппаратные ключи формата PKCS#11. Для генерации которых использовались аппаратные возможности Рутокена семейств 2.0 и 3.0. Такие ключи успешно используются, например, в ЕГАИС. Все операции с подписью производятся внутри токена и ключи никогда не покидают память токена (не извлекаются во время подписания).
— «Неэкспортируемые» ключи – терминология пришла из программного продукта «КриптоПро CSP» — это значит, что во время генерации ключей с помощью «КриптоПро CSP» был установлен флаг «экспорт запрещен», то есть закрытый ключ нельзя скопировать на другой носитель. Но во время работы с таким контейнером, подписание происходит на программном уровне в оперативной памяти компьютера.
Точно сказать какой у вас ключ могу, если вы приложите скриншот «Панель управления Рутокен» — вкладка «Сертификаты» или напишете что указано в поле, обведенном в рамку в этом знании — https://dev.rutoken.ru/display/KB/RU1081
Далее отвечу по пунктам:
1. Как я могу быть уверен, что ключевая пара сформирована самим устройством токена, а не на компьютере сотрудника налоговой (что сразу же переводит ключ в статус скомпрометирован, так как я по умолчанию не доверяю "Леночке между декретами")?
Если формат ключей «КриптоПро CSP», 100% гарантии нет.
Если ключи формата PKCS#11 — то ключи не могли быть сгенерированы где-то ещё, кроме самого токена. Копирование уже сформированных ГОСТ-ключей на Рутокен ЭЦП 2.0/3.0 запрещено — это требование ФСБ.
2. На компьютере с успешно установленными драйверами рутокен-а и утилитой КриптоПро CSP (не ФКН) данный ключ успешно эксплуатируется, из чего я делаю вывод, что криптопреобразования проводятся на ПК а не микропроцессором токена, следовательно ключ покидает токен? . Получается какой-то цирк безопасности?
А вот тут не всегда. Например, «КриптоПро CSP» версии 5.0 R2 может успешно работать с неизвлекаемыми ключами PKCS, используя библиотеку rtpkcsecp и тогда ключи не извлекаются, а может работать с программными ключами и тогда токен будет в пассивном режиме хранить ключи на смарт-карте под PIN-кодом.
3. Хотелось бы услышать список причин, по которым признак "неизвлекаемости" ключа стал обязательным.
Требования к неизвлекаемости сейчас нет.
Согласно требованиям УЦ ФНС есть требования к неэкспортируемости для повышения безопасности.
Неэкспортируемые закрытые ключи обладают большей защищенностью, т.к. однажды записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи штатных возможностей средства криптографической защиты информации. Неэкспортируемые закрытые ключи являются более надежным вариантом использования, поскольку получение доступа к такому закрытому ключу требует применения специальных средств и техники.
Соответствующий закрытый ключ отмечен как запрещенный для экспорта
Коллеги, всем доброго времени суток.
Пытаюсь экспортировать сертификат с закрытым ключом, но экспорт закрытого ключа недоступен. Сертификат очень нужен с закрытым ключом.
Подскажите, пожалуйста, можно ли как то еще его экспортировать, либо вытащить закрытый ключ?
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
Ответы
Если опция серая, значит изначально был установлен без возможности экспорта. При установке серта надо было галку поставить о возможности экспорта. Ищите pfx
- Помечено в качестве ответа rеstless 6 февраля 2023 г. 12:21
- Помечено в качестве ответа rеstless 6 февраля 2023 г. 12:21
Все ответы
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
Если опция серая, значит изначально был установлен без возможности экспорта. При установке серта надо было галку поставить о возможности экспорта. Ищите pfx
- Помечено в качестве ответа rеstless 6 февраля 2023 г. 12:21
Если опция серая, значит изначально был установлен без возможности экспорта. При установке серта надо было галку поставить о возможности экспорта. Ищите pfx
Да это я понимаю. Ну к сожалению не найти.
Успокаивает только одно- это наш внутренний УЦ и мы можем либо экспортировать открытый ключ и еще раз его подписать, либо сделать новый запрос.
Это сертификат на imaps подключения в эксе для линукс клиентов.
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
- Помечено в качестве ответа rеstless 6 февраля 2023 г. 12:21
Успокаивает только одно- это наш внутренний УЦ и мы можем либо экспортировать открытый ключ и еще раз его подписать
Что это такое странное вы пишите.
Расскажите как)
Успокаивает только одно- это наш внутренний УЦ и мы можем либо экспортировать открытый ключ и еще раз его подписать
Что это такое странное вы пишите.
Расскажите как)
Ну я же могу экспортировать сертификат из хранилища — без закрытого ключа
В любом случае уже сделал новый CSR запрос и подписал.
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
- Изменено rеstless 6 февраля 2023 г. 14:41
Успокаивает только одно- это наш внутренний УЦ и мы можем либо экспортировать открытый ключ и еще раз его подписать
Что это такое странное вы пишите.
Расскажите как)Ну я же могу экспортировать сертификат из хранилища — без закрытого ключа
В любом случае уже сделал новый CSR запрос и подписал.
Экспортировать сертификат без закрытого ключа — можете.
"Экспортировать открытый ключ и еще раз его подписать" — это бессмысленный набор слов.
"В любом случае уже сделал новый CSR запрос и подписал" — кстати, тоже весьма странное выражение. CSR по определению уже подписан закрытым ключом.
Пардон, не подписан, а зашифрован. В любом случае вы же не подписываете CSR, а выпускаете на основе этого запроса сертификат.
Как экспортировать закрытый ключ запрещенный для экспорта
Экспорт сертификата с закрытым ключом Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл». 3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ».
Как снять запрет на Экспорт закрытого ключа?
Запрещаем экспортирование сертификата
- pkcs12 -in newcert.pfx -nocerts -out encrypted.key.
- Проводим те же действия с сертификатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem.
- Конвертируем полученные сертификат и закрытый ключ в формат DER: …
- Записываем сконвертированный закрытый ключ на Рутокен
Как экспортировать закрытый ключ Windows?
В дереве консоли щелкните ComputerName. На средней панели дважды щелкните пункт Сертификаты сервера. В центральной области щелкните правой кнопкой мыши сертификат, который требуется экспортировать, а затем нажмите кнопку Экспорт. В поле Имя файла введите C:Имя_сертификата, а затем нажмите кнопку Открыть.
Cached
Что значит экспортировать закрытый ключ?
Описание содержится в документации КриптоПро CSP. — «Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать).
Как экспортировать сертификат ЭЦП?
В системе Windows перейдите в «Пуск» → «Панель управления» → «Свойства обозревателя (Свойства браузера)». Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты». В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».
Cached
Где хранится закрытый ключ?
Закрытый ключ хранится на ключевом носителе (токене) и защищен паролем, который известен только владельцу. Очень важно при получении токена в удостоверяющем центре поменять заводской пароль на собственный и бережно хранить токен — в этом случае никто не сможет подделать подпись.
Как скопировать подпись из налоговой?
Квалифицированную электронную подпись (КЭП) для организации или ИП уже почти год выдает только Федеральная налоговая служба. Скопировать ключ такой КЭП нельзя — ФНС ставит на него защиту. Но вы можете получить в Удостоверяющем центре Тензора и использовать КЭП сотрудника организации.
Как выгрузить контейнер закрытого ключа?
Откройте приложение КриптоПро CSP и перейдите на вкладку Сервис. На вкладке выберите команду Скопировать контейнер закрытого ключа. Введите пароль для ключевого контейнера и задайте имя ключевого контейнера (например, test). Сохраните контейнер на диск или флешку.
Как импортировать сертификат с закрытым ключом?
Нажмите Импортировать сертификат и секретный ключ на странице Сертификат. Укажите файл, который необходимо импортировать. Введите пароль, если файл зашифрован, и нажмите Отправить. Сертификат и закрытый ключ успешно импортированы в устройство.
Где хранится закрытый ключ ЭЦП?
Закрытый ключ хранится на ключевом носителе (токене) и защищен паролем, который известен только владельцу. Очень важно при получении токена в удостоверяющем центре поменять заводской пароль на собственный и бережно хранить токен — в этом случае никто не сможет подделать подпись.
Как вытащить закрытый ключ из сертификата?
Пуск -> Панель управления -> Свойства обозревателя (или запустите браузер Internet Explorer -> Сервис -> Свойства обозревателя) Page 2 Выберите вкладку Содержание, кнопка "Сертификаты", вкладка "Личные". В списке сертификатов найдите нужный и отметьте его. Нажмите кнопку "Экспорт".
Как экспортировать закрытый ключ сертификата?
Экспорт сертификата с закрытым ключом
Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл». 3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ».
Как передается закрытый ключ?
Закрытый ключ хранится на ключевом носителе (токене) и защищен паролем, который известен только владельцу. Очень важно при получении токена в удостоверяющем центре поменять заводской пароль на собственный и бережно хранить токен — в этом случае никто не сможет подделать подпись.
Как скопировать ЭЦП из налоговой на компьютер?
Если у пользователя на компьютере установлена операционная система Windows, то такой способ идеально подойдет для копирования сертификата ЭЦП.
- Вставим носитель в USB-разъём.
- Перейдем в приложение «КриптоПро CSP».
- Нажмем на вкладку «Сервис».
- Перейдем в «Контейнер закрытого ключа».
- Нажмем «Скопировать».
Как выгрузить контейнер Эцп?
Откройте приложение «Инструменты КриптоПро» и выберите вкладку «Контейнеры». Шаг 2. Выберите носитель, на который записан сертификат ЭЦП — то есть, USB-флешку. Нажмите на кнопку «Скопировать контейнер».
Как скопировать ЭЦП с закрытого ключа?
Откройте приложение «Инструменты КриптоПро» и выберите вкладку «Контейнеры». Шаг 2. Выберите носитель, на который записан сертификат ЭЦП — то есть, USB-флешку. Нажмите на кнопку «Скопировать контейнер».
Как перенести контейнер закрытого ключа?
Для того чтобы скопировать контейнер закрытого ключа, перейдите в Пуск → Программы → КриптоПро → КриптоПро CSP и откройте вкладку Сервис:
- Нажмите кнопку Скопировать:
- Нажав на кнопку Обзор выберите необходимый для копирования ключевой контейнер:
- Нажмите ОК:
- Введите имя для нового ключевого контейнера и нажмите Готово:
Где хранятся закрытые ключи в реестре?
В реестре OS Windows (для версии 32 бита это папка HKEY_LOCАL_MАCHINESOFTWARE CryptoPrоSettingUsers(имя пользователя ПК)Keys, а для версии 64 бита это директория HKEY_LOCAL_MАCHINESOFTWAREWow6432NodeCryptoPrоSettingUsers(имя пользователя ПК)Keys.
Как скопировать закрытый ключ на флешку?
Копирование с помощью КриптоПро CSP
- Выбрать Пуск / Панель Управления / КриптоПро CSP.
- Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.
- В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
Как найти закрытый ключ на компьютере?
Где мне найти мой Private Key? — общий ответ — Приватный ключ находится рядышком с сертификатом в секретной, специальной, защищенной директории вашего сервера (компьютера) которая обычно называется хранилищем сертификатов.
Как скопировать ключ ЭЦП на другой компьютер?
Чтобы перенести сертификат закрытого ключа ЭП с помощью КриптоПро потребуется:
- Подключить к ПК внешний физический носитель, на который будет осуществляться перенос: флешку или жёсткий диск.
- Открыть панель управления и запустить КриптоПро CSP.
- Переключиться на вкладку «Сервис» и нажать «Скопировать».
Как скопировать ЭЦП Фнс на флешку?
На компьютере откройте меню «Пуск», выберите выберите пункт «Панель управления» и нажмите на иконку «КриптоПро CSP». Во вкладке «Сервис» нажмите на кнопку «Скопировать». В открывшемся окне нажмите на кнопку «Обзор» и выберите контейнер закрытого ключа ЭП, который хотите скопировать на флешку.
Как Экспортировать закрытый ключ сертификата?
Экспорт сертификата с закрытым ключом
Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл». 3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ».
Как вытащить ключ ЭЦП?
Запустите браузер и наберите в адресной строке: www.pki.gov.kz. Появится главная страница Национального удостоверяющего центра Республики Казахстан (Рис. 1). Нажмите на меню «Получить ключи ЭЦП».
Как установить ЭЦП с закрытым ключом?
Как установить контейнер закрытого ключа в реестр
Перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP», откройте вкладку «Сервис» и нажмите «Скопировать». Нажмите «Обзор…», выберите контейнер с сертификатом, нажмите «ОК» и «Далее». Введите pin-код, затем нажмите «ОК».
Где скачать контейнер закрытого ключа?
Откройте программу ViPNet CSP. Для этого перейдите в меню Пуск → Все программы → ViPNet → ViPNet CSP. В открывшемся окне перейдите на вкладку Контейнеры, выделите нужный контейнер одним нажатием левой кнопки мыши, и нажмите кнопку Копировать. Выберите путь сохранения копии контейнера ключа.