Мне в УЦ выдали рутокен, я клиент, если честно не в курсе. Ранее были ключи под КриптоПро CSP. Просматривались в КриптоПро. Сейчас выдали другой Рутокен, сертификаты на котором я вижу только в панели управления рутокен на вкладке сертификаты
Для скорейшей локализации проблемы вышлите, пожалуйста, скриншот "Панели управления Рутокен" - вкладка "Сертификаты" на почту технической поддержки hotline@rutoken.ru
]]>У меня Rutoken ECP со встроенным СКЗИ https://www.rutoken.ru/products/all/rutoken-ecp/
Уточните какими средствами производилась генерация сертификата ЭП?
Мне в УЦ выдали рутокен, я клиент, если честно не в курсе. Ранее были ключи под КриптоПро CSP. Просматривались в КриптоПро. Сейчас выдали другой Рутокен, сертификаты на котором я вижу только в панели управления рутокен на вкладке сертификаты
]]>У меня Rutoken ECP со встроенным СКЗИ https://www.rutoken.ru/products/all/rutoken-ecp/
Уточните какими средствами производилась генерация сертификата ЭП?
]]>Lisix пишет:Как с РУтокенЭЦП удалить контейнер, если их там несколько? НА вкладке сертификаты кнопка удалить неактивна, даже если я захожу под администратором
Здравствуйте, Lisix
Если речь идет о сертификате, сгенерированном средствами Крипто ПРО CSP, то пошаговая инструкция удаления сертификата описана в данном топике на нашем форуме: https://forum.rutoken.ru/topic/1527/
У меня Rutoken ECP со встроенным СКЗИ https://www.rutoken.ru/products/all/rutoken-ecp/
]]>Как с РУтокенЭЦП удалить контейнер, если их там несколько? НА вкладке сертификаты кнопка удалить неактивна, даже если я захожу под администратором
Здравствуйте, Lisix
Если речь идет о сертификате, сгенерированном средствами Крипто ПРО CSP, то пошаговая инструкция удаления сертификата описана в данном топике на нашем форуме: https://forum.rutoken.ru/topic/1527/
]]>А ведь наверняка уже существуют утилиты под Linux, которые позволяют обходить данное программное ограничение. Нет?
Насколько мне известно, существуют. И не только под Linux.
]]>dmitrmax пишет:P.S.: На данный момент меня всё это интересует только с точки зрения электронного документооборота, то есть по сути только электронная подпись.
Документооборот внутри предприятия? Действительно ли нужна квалифицированная подпись?
Нет, с другими юр.лицами, а так же с государственными органами.
]]>какое дело Удостоверяющему центру до CSP, которое я использую?
Если де-юре, то для того, чтобы сертификат был квалифицированным, СКЗИ должно иметь сертификат ФСБ.
И дело тут не только в УЦ. Дело еще в том, где и как Вы планируете применять сертификат.
Существует множество прикладных решений "залоченных" на использование какого-то конкретного CSP, например.
Остается один вопрос: Разве я не могу с помощью КритоПро Рутокен CSP (я ещё не видел этот продукт) самостоятельно проинициализировать ключевой носитель, заставить его выработать ключевую пару и сгенерировать запрос сертификата, с которым собственно и прийти в УЦ?
Можете, без сомнения. Если УЦ сочтет это соответствующим своему регламенту, то даже выдаст сертификат.
Зачем УЦ для выдачи квалифицированного сертификата вообще нужен ключевой носитель? Вроде бы 63-ФЗ допускает самостоятельную выработку ключей.
Бывают УЦ, регламенты которых позволяют и без токена выдавать сертификаты.
63-ФЗ действительно допускает самостоятельную выработку ключей. И с моей личной точки зрения так бы и должно быть.
Но тот же 63-ФЗ допускает и выработку ключей непосредственно УЦ.
Просто после долгих лет использования мною PGP и OpenSSL, предлагаемые разными УЦ дефолтовые решения в области ЭЦП меня как-то очень сильно напрягают возникающей необходимостью доверять генерацию или запись моего секретного ключа УЦ. Хотя не понятно, почему я должен ему доверять в этом вопросе )
По 63-ФЗ УЦ имеет право генерировать ключи. Не все УЦ делают именно так, можно найти такой, который позволяет клиенту генерировать ключи самостоятельно.
P.S.: На данный момент меня всё это интересует только с точки зрения электронного документооборота, то есть по сути только электронная подпись.
Документооборот внутри предприятия? Действительно ли нужна квалифицированная подпись?
]]>dmitrmax пишет:Ксения, но ведь в случае с Рутокен (S или Lite) это ограничение исключительно программное? Если на них отсутствуют средства криптографии, то закрытый ключ по любому должен быть считан программой, которая вырабатывает ЭЦП.
Совершенно верно. Существует путаница между "неэкспортируемый ключ" и "неизвлекаемый ключ". Это разные понятия. При работе с неэкспортируемым ключом ограничение действительно программное.
А ведь наверняка уже существуют утилиты под Linux, которые позволяют обходить данное программное ограничение. Нет?
]]>Как вариант, можно использовать КриптоПро Рутокен CSP или Signal-COM CSP или ViPNet CSP или иной CSP, который поддерживает криптографию "на борту" Рутокен ЭЦП.
В данном случае нужно уточнять в удостоверяющем центре, выдают ли они сертификаты для ключей, сгенерированных данным CSP и поддерживают ли этот криптопровайдер те приложения, с которыми Вы планируете работать. На самом деле это критичный момент.
Например, можно посмотреть в сторону Комплекта "КриптоТри 2.0" https://www.rutoken.ru/products/all/crypto3/
Владимир, огромное спасибо. Наконец начинает появляться ясность в этом вопросе. Остается один вопрос: какое дело Удостоверяющему центру до CSP, которое я использую? Разве я не могу с помощью КритоПро Рутокен CSP (я ещё не видел этот продукт) самостоятельно проинициализировать ключевой носитель, заставить его выработать ключевую пару и сгенерировать запрос сертификата, с которым собственно и прийти в УЦ? Зачем УЦ для выдачи квалифицированного сертификата вообще нужен ключевой носитель? Вроде бы 63-ФЗ допускает самостоятельную выработку ключей.
Просто после долгих лет использования мною PGP и OpenSSL, предлагаемые разными УЦ дефолтовые решения в области ЭЦП меня как-то очень сильно напрягают возникающей необходимостью доверять генерацию или запись моего секретного ключа УЦ. Хотя не понятно, почему я должен ему доверять в этом вопросе )
P.S.: На данный момент меня всё это интересует только с точки зрения электронного документооборота, то есть по сути только электронная подпись.
]]>Ксения, но ведь в случае с Рутокен (S или Lite) это ограничение исключительно программное? Если на них отсутствуют средства криптографии, то закрытый ключ по любому должен быть считан программой, которая вырабатывает ЭЦП.
Совершенно верно. Существует путаница между "неэкспортируемый ключ" и "неизвлекаемый ключ". Это разные понятия. При работе с неэкспортируемым ключом ограничение действительно программное.
Или я может быть вообще не понимаю концепции? Давайте я задам вопрос так: мне необходима электронная подпись и носитель, который обеспечивает гарантию неизвлекаемости ключа. Как обычному пользователю ЭП. Какой мне для этих целей нужно взять носитель и какой софт подойдет для его использования?
Неизвлекаемость ключа в данном случае обеспечивает применение Рутокен ЭЦП, но не в сочетании с КриптоПро CSP 3.Х по описанным выше причинам.
Как вариант, можно использовать КриптоПро Рутокен CSP или Signal-COM CSP или ViPNet CSP или иной CSP, который поддерживает криптографию "на борту" Рутокен ЭЦП.
В данном случае нужно уточнять в удостоверяющем центре, выдают ли они сертификаты для ключей, сгенерированных данным CSP и поддерживают ли этот криптопровайдер те приложения, с которыми Вы планируете работать. На самом деле это критичный момент.
Например, можно посмотреть в сторону Комплекта "КриптоТри 2.0" https://www.rutoken.ru/products/all/crypto3/
Если данный флаг будет установлен, то, вне зависимости от типа Рутокена (S, Lite или ЭЦП), контейнер невозможно будет извлечь из памяти носителя.
Ксения, но ведь в случае с Рутокен (S или Lite) это ограничение исключительно программное? Если на них отсутствуют средства криптографии, то закрытый ключ по любому должен быть считан программой, которая вырабатывает ЭЦП.
]]>Скажите пожалуйста, есть ли какой-то способ проверить, что там сгенерированно не отходят от кассы? Положим, что у меня с собой есть ноутбук с установленным КриптоПро.
Или я может быть вообще не понимаю концепции? Давайте я задам вопрос так: мне необходима электронная подпись и носитель, который обеспечивает гарантию неизвлекаемости ключа. Как обычному пользователю ЭП. Какой мне для этих целей нужно взять носитель и какой софт подойдет для его использования?
]]>