Форум Рутокен — Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2024-08-19T10:40:29Z

amili-2005,
подскажите, с какой ошибкой вы столкнулись в ЕГАИС?

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2024-08-19T09:02:15Z

Подскажите, что делать?
Была ключевая пара для ЕГАИС. Удалила через Рутокен не действующий сертификат PSA в паре. Через УТМ записался новый, но отдельно. Как мне теперь их связать?

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-09-06T11:34:09Z

Не хочу расстраивать криптографов, но "неэкспортируемые" ключи спокойно экспортируются, без применения особых технических знаний и навыков. Это занимает минут 5 :) И не только экспортируются, а копируются и перемещаются на усмотрение пользователя куда надо. И пароль снимается.
А куда и под что это подпадает - вопрос вообще второй если не третий или десятый :) Или самый последний :)
Отсюда вопрос смысл ограничивать некопируемость, чтобы лишний гемор пользователю создать по его копированию? К примеру, если ЭЦП нужно на двух компьютерах использовать.
Это как сайты заблокировали, а подключаешь VPN и не заблокировали оказывается :) Очередная фикция.
Сами подумайте, как можно запретить копировать то, что можно считывать ?)))

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-01-27T07:55:57Z

vukrov, добрый день.
Скопировать неэкпортируемый контейнер можно только с применением нештатного ПО. Что в какой-то мере может попадать под ст 273 УК РФ.
Так же повышается риск компрометации ЭП. В случае возникновения инцидента, могут быть проблемы в суде.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-01-26T12:26:15Z

Выше писали, что нашли способ копировать подписи, выданные ФНС на рутокен лайт.
Вопрос.
ФНС делает эти подписи неэкспортируемыми.
Насколько законно это копировать и чем это чревато?
Кроме собственной безопасности

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-01-13T13:35:55Z

Здравствуйте Пользователь_345, пришлите, пожалуйста, скриншот окна "Панель управления Рутокен" - вкладки "Сертификаты" с подкюченным Рутокен ЭЦП 2.0.
Прислать скриншот можно на почту по адресу hotline@rutoken.ru

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-01-13T13:02:44Z

Здравствуйте.
Прошу проконсультировать.
Наша фирма использует как Рутокен Lite, так и 2.0. ЭП на Рутокене 2.0 работает исправно непосредственно в СБИС при сдаче отчетности и срабатывает при авторизации на Госуслугах, но при попытке подписать документы/заявления вне СБИС, сайты просто не видят носитель 2.0. Сертификат добавлен в хранилище "Личное". В КриптоПро CSP при просмотре сертификатов в контейнере, при нажатии на "обзор" видны только старые сертификаты в Реестре, контейнер Рутокен 2.0 не отображается (в отличие от Lite). При выборе "по сертификату" и нажатии на него, он не появляется в строке. При выборе в Крипто "установить личный сертификат", выбрав сохраненный файл на компьютере, не находится контейнер, ошибка: "не найден контейнер соответствующий открытому ключу сертификата".
Верно ли понимаю, что подписание заявлений с Рутокеном 2.0 не представляется возможным вне сайта СБИС (как у нас)?

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2023-01-13T10:05:53Z

biohumanoid пишет:

неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

как можно не штатными средствами?

штатными не дает экспортировать

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-11-07T08:14:30Z

Gleb, Можно использовать openssl или примеры из нашего SDK.
Настройка openssl описана по ссылке https://dev.rutoken.ru/pages/viewpage.a … d=89096210
Сценарии использования https://dev.rutoken.ru/pages/viewpage.a … d=43450394
Примеры использования библиотеки rtpkcs11ecp находятся в СДК по пути sdk\pkcs11\samples
СДК можно скачать https://www.rutoken.ru/support/download/get/sdk.html
Так же можно использовать ПО КриптоАрм, Vipnet PKI Client или csptest из состава КриптоПро CSP.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-11-03T20:35:03Z

Аверченко Кирилл пишет:

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

У меня RuToken ЭЦП 2.0.

2022-06-08 был в налоговой, получил как ИП цифровую подпись, в свойствах RuToken Control Panel для сертификата указано "Crypto-Pro GOST R 34.10-2012 Cryptographic service provider". То есть, насколько я понимаю эту тему, подпись извлекаемая.

Прочитав эту тему (большое спасибо за толковые разъяснения!), сегодня отправился в налоговую получить новую подпись, так как я по соображениям безопасности хочу неизвлекаемую подпись. Я был в Москве, там единственное место выдает подписи - ИФНС 46.

Так вот, я им сразу сказал, что мне нужна именно аппаратная подпись, она же "как для ЕГАИС". Девушка в окошке возражать не стала. Когда подпись уже была записана на токен, я спросил - вы аппаратную сделали? На что мне ответили, что никакого выбора нет, и программа делает в зависимости от токена. Уже зная, что мне несколько месяцев назад сделали неправильную, я попросил кого-то кто может мне ответить, и подошедшая жещина снова мне сказала, что никакого выбора нет.

Ну ладно, я позвонил в поддержку 8-800-222-22-22, там поговорил с первой линией, меня перевели "на специалиста", где меня опять заверили, что никакого выбора нет, и они делают только неэкспортируемые (то есть, неправильные) подписи в формате CryptoPro, и все, точка, никаких больше вариантов.

И во тя добрался до дома, вставил токен, и тадам, RuToken Control Panel для новой подписи показывает "PKCS#11 Object, available using Crypto-Pro Gost 34.10-2012", то есть, я так понимаю, на этот раз она неизвлекаемая, как я и хотел.

Выводы:
1) Ни специалисты на телефоне, ни работники в окошке в налоговой сами нифига не понимают.
2) То ли они исправили программу за последние 5 месяцев, то ли они пишут подписи какие попало наугад.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-10-31T23:11:02Z

Аверченко Кирилл пишет:

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

Спасибо большое. По пункту 2, какое это ПО, которое работает с вашей библиотекой? Список ПО есть какой-то? Нужен интерфейс который может искользовать Windows 10 - например шифровать данные или подписывать файлы из скриптов powershell. так-же есть задача использовать аппаратные ключи в сессиях ssh. Есть какой-то манул и пример реализации по данному вопросу? Может быть у вас есть какая-то утилита командной строки для windows/linux и ее исходный код?

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-10-31T05:48:23Z

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-10-29T04:27:56Z

1. Опишите плиз процедуру в налоговой, которую я должен соблюдать, когда туда пойду, чтоб точно получить ключевую пару сгенеренную внутри продукта rutoken эцп 3.0 с неизвлекаемым закрытым ключем, как генеральный директор ООО.
2. Возможно ли использовать встроенные алгоритмы шифрования для генерации неизвлекаемых ключей без установки всяких крипто про 5.0? Только с помощью софта от руктокена. Данные ключи не предполагается использовать для общения с государственными органами.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-04-22T13:17:37Z

Добрый день.
1. Да, налоговая генерирует ключи в том числе через PKCS#11.
2. В панели управления Рутокен на вкладке Сертификаты необходимо убедиться, что в описании сертификата с ключем написано "Объект PKCS#11".
В статье https://dev.rutoken.ru/pages/viewpage.a … d=20120078 показаны скриншоты, как отображаются неизвлекаемые ключи формата PKCS#11 в Панели Управления Рутокен и Панели КриптоПро.

Импорт закрытых ключей формата ГОСТ PKCS#11 на носители семейства Рутокен ЭЦП физически невозможен.

Re: Рутокен ЭЦП 2.0 - неизвлекаемая ключевая пара

2022-04-22T11:57:45Z

Ксения Шаврова пишет:

Приветствую, biohumanoid.
biohumanoid пишет:
ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).
Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

PKCS#11 - платформонезависимый программный интерфейс доступа к криптографическим устройствам, в данном случае к Rutoken ЭЦП 2.0.
Также у вас есть библиотека PKCS#11, реализующая этот интерфейс.
Но меня интересует:
1. Действительно ли налоговая генерирует ключ для ЭЦП 2.0 средствами самого ЭЦП 2.0 через интерфейс PKCS#11 ?
2. И как я могу, получив этот токен убедиться, что закрытый ключ был действительно сгенерирован внутри токена, а не залит извне.
Что в панели управления Рутокен будет говорить о том, что ключ был сгенерирован внутри устройства ?

Легитимность = правомерность, т.е. я могу его использовать с ФНС.
Но меня волнует вопрос, действительно ли я единственный обладатель моего ключа.
В Rutoken lite таких гарантий нет, как выяснилось.
Вопрос - есть ли такие гарантии в ЭЦП 2.0 ?