Часто требуется перенести ключ электронной подписи с защищенного руТокена на обычную флешку или даже в реестр Windows. Это может потребоваться, если ваш носитель потерялся или сломался, но у вас осталась резервная копия, или если вы хотите работать на нескольких компьютерах. Тем не менее, очень важно помнить, что ключи на руТокенах специально делают неэкспортируемыми. Это очень важно для их безопасности.
Предупреждаем сразу, что копирование файла стандартными средствами невозможно из-за защиты, которая гарантирует, что приватный ключ никогда не покидает безопасную среду токена. Однако существуют методы, которые позволяют создать копию ключа, но они требуют технических навыков и осторожности.
В этой статье мы поговорим об использовании специального программного обеспечения, которое может извлечь ключ, а также о том, как его записать на обычный USB-накопитель или импортировать в систему. Помните, что такие действия могут нарушить лицензионное соглашение и уменьшить безопасность вашей подписи, поэтому делайте все на свой страх и риск.
- Зачем переносить с руТокена ключ электронной подписи на обычную флешку или в реестр операционной системы
- Перенос неэкспортируемого ключа электронной подписи на обычную флешку утилитой Tokens.exe
- Перенос неэкспортируемого ключа электронной подписи в реестр Windows утилитой CertFix.000032.exe
- Где в реестре находится электронный ключ ЭП
Зачем переносить с руТокена ключ электронной подписи на обычную флешку или в реестр операционной системы
Вы, вероятно, знаете, что, если вы работали с электронной цифровой подписью (ЭЦП), если вы заполняете заявление на получение сертификата электронной подписи и закрытого ключа на Портале заявителя в Информационной системе «Удостоверяющего центра Федерального казначейства», не поставите галочку на пункте «Да. Экспортируемый закрытый ключ», ваш сертификат электронной подписи и соответствующая ему ключевая пара будет не экспортируемой. Это означает, что вы должны перенести
Это может быть очень неудобно и даже опасно в вашей работе, ведь придётся пускать за свой ПК другого человека, приведу простой пример. Обычно в организации работают несколько бухгалтеров, юристов и один специалист по закупкам, как правило, в течении дня кому-то может понадобится ЭЦП старшего бухгалтера для подписания какого-то электронного документа и если электронная подпись привязана к его компьютеру, то сделать это будет можно только на его ПК, то есть в течении дня ему несколько раз придётся освобождать своё рабочее место другому человеку. Если же его ЭП будет находиться на рутокене, то придётся постоянно передавать этот токен из рук в руки. Или главбуху понадобится подпись директора организации, опять же придётся садиться за его компьютер, тоже неудобно. Как быть? В этом случае можно перенести главбуху на его компьютер все необходимые электронные подписи.
Итак, давайте рассмотрим это на примере из реальной жизни. На наш ноутбук подключен обычный флеш-накопитель и синий рутокен с неэкспортируемой электронной подписью.
Откройте Панель управления Рутокен и выберите «Сертификаты». Выберите нужный сертификат и нажмите «Экспортировать».
Мы получаем сообщение: «Ключевую пару, соответствующую сертификату, невозможно экспортировать через Панель управления Рутокен».
Если вы запустите КриптоПро CSP и выберите вкладку «Сервис», «Скопировать» и «Обзор», наш ключ будет в разделе неэкспортируемых. В результате кнопка «ОК» неактивна.
Многие люди могут привести утилиту CertFix.000032.exe в пример, не разобравшись до конца, но она не поможет вам здесь. Тем не менее, мы будем использовать ее во второй части статьи.
Мы также получили отказ в экспорте.
При нажатии клавиши «Shift» и нажатии правой мыши на «Экспорт» мы можем увидеть, что опции «Сделать экспортируемым» неактивны.
Перенос неэкспортируемого ключа электронной подписи на обычную флешку утилитой Tokens.exe
Утилита Tokens.exe перенесет вашу электронную подпись на обычную флешку, а затем мы внесем вашу электронную подпись в реестр вашей операционной системы. Tokens выдаст ошибку работы с рутокеном при первом запуске, поэтому вам нужно установить дополнительные компоненты в систему, используя ссылки или установив компоненты отдельно с помощью установщика rtcomlite.000185.exe.
В главном окне программы Tokens будут отображаться все токены и электронные ключи, которые были подключены к компьютеру. Выберите нашу ЭЦП и нажмите «Экспорт».
В открывшемся окне проводника выбираем, на какой диск или флешку мы хотим перенести электронный ключ, и жмем «ОК».
В данном окне изменяем имя нашей ЭЦП; например, добавьте слово «копия» в название и жмите OK.
На данный момент копия нашей электронной подписи находится на флешке (буква диска E:) в папке 2560 электронных ключей.
Давайте проверим, видит ли КриптоПро CSP копию нашей ЭЦП на флешке, запустив программу.
Да, КриптоПро CSP может видеть как ЭЦП на токене, так и копию этой информации на нашей флешке.
Друзья, на данный момент мы создали копию нашей электронной подписи на флешке в виде папки 2560 с ключами. Мы можем переносить ее на любую другую флешку, USB-диск или раздел обычного жесткого диска, но теперь у нас есть вопрос. Как внести ключ, который не был экспортирован, в реестр операционной системы? К примеру, вы можете попросить одного сотрудника в вашей компании разрешить другому сотруднику установить ЭЦП на свой компьютер.
Когда мы открываем Криптo-Про и нажимаем кнопку «Скопировать», мы обнаруживаем, что наша скопированная на флешку (диск E:) ЭЦП не может быть экспортирована, как и оригинальная на токене.
Нельзя скопировать неэкспортируемый ключ электронной подписи с руТокена на обычную флешку или в реестр компьютера — это специально предусмотрено для безопасности. Такие ключи защищены на уровне самого устройства и операционной системы, и их нельзя извлечь или перенести. Если вам нужно использовать ЭП на другом компьютере, проще и безопаснее работать с самим руТокеном — просто подключите его к нужному устройству и установите туда необходимые драйверы и программу для работы с электронной подписью.
Перенос неэкспортируемого ключа электронной подписи в реестр Windows утилитой CertFix.000032.exe
В этом месте нам потребуется утилита CertFix.000032.exe.
Я могу поправить, что запускать версию программы 1.1.27 необходимо, даже когда интернет отключен, чтобы утилита не смогла автоматически обновиться до версии 1.1.28. Однако я уже давно использую обновленную версию с включенным интернетом и у меня всегда все работало.
Находим нашу флешку на обычной флешке в главном окне программы и видим, что в экспорте отказано DENIED. Тем не менее, жмем «Shift» на клавиатуре и щёлкаем правой мышью на нашей ЭЦП, чтобы увидеть, что пункт «Сделать экспортируемым» активен, и мы выбираем его.
Теперь наша электронная подпись на флешке может быть экспортирована и перенесена в реестр операционной системы любой операционной системы.
В главном окне КриптоПро выберите «Сервис» и выберите «Скопировать».
Обзоп
Мы выбираем наш ЦП и OK.
Дальше.
Чудесно.
Мы выбрали Реестр и ОК.
Я просто жму OK, потому что не назвал пароль.
Наша электронная подпись была скопирована в реестр.
Мы можем подтвердить, что мы можем открыть КриптоПро.
Где в реестре находится электронный ключ ЭП
Вы можете найти вашу подпись в реестре по следующему адресу:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-554005077-1236604879-1505408231-1001\Keys\Имя вашей ЭЦП
Как видно, копировать неэкспортируемый ключ с Рутокена на обычную флешку или в реестр невозможно. Это важная функция защиты устройства, и если бы это было возможно, концепция защищенного носителя потеряла бы смысл.
Когда вы покупаете токен, эта строгая защита гарантирует, что ваша электронная подпись уникальна и не может быть украдена или скопирована злоумышленником. Кроме того, ваш ключ надежно спрятан внутри и никогда не выходит из него.
Таким образом, для использования электронной подписи вам всегда нужен сам Рутокен. Это как ключ от сейфа: вы не можете сделать рабочую копию на простом куске металла — вам нужен оригинал. Доверяйте этой технологии, потому что она обеспечивает безопасность ваших данных.
