неэкспортируемые ключи нельзя экспортировать штатными средствами, а не штатными очень даже можно.

как можно не штатными средствами?

штатными не дает экспортировать

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

У меня RuToken ЭЦП 2.0.

2022-06-08 был в налоговой, получил как ИП цифровую подпись, в свойствах RuToken Control Panel для сертификата указано "Crypto-Pro GOST R 34.10-2012 Cryptographic service provider". То есть, насколько я понимаю эту тему, подпись извлекаемая.

Прочитав эту тему (большое спасибо за толковые разъяснения!), сегодня отправился в налоговую получить новую подпись, так как я по соображениям безопасности хочу неизвлекаемую подпись. Я был в Москве, там единственное место выдает подписи - ИФНС 46.

Так вот, я им сразу сказал, что мне нужна именно аппаратная подпись, она же "как для ЕГАИС". Девушка в окошке возражать не стала. Когда подпись уже была записана на токен, я спросил - вы аппаратную сделали? На что мне ответили, что никакого выбора нет, и программа делает в зависимости от токена. Уже зная, что мне несколько месяцев назад сделали неправильную, я попросил кого-то кто может мне ответить, и подошедшая жещина снова мне сказала, что никакого выбора нет.

Ну ладно, я позвонил в поддержку 8-800-222-22-22, там поговорил с первой линией, меня перевели "на специалиста", где меня опять заверили, что никакого выбора нет, и они делают только неэкспортируемые (то есть, неправильные) подписи в формате CryptoPro, и все, точка, никаких больше вариантов.

И во тя добрался до дома, вставил токен, и тадам, RuToken Control Panel для новой подписи показывает "PKCS#11 Object, available using Crypto-Pro Gost 34.10-2012", то есть, я так понимаю, на этот раз она неизвлекаемая, как я и хотел.

Выводы:
1) Ни специалисты на телефоне, ни работники в окошке в налоговой сами нифига не понимают.
2) То ли они исправили программу за последние 5 месяцев, то ли они пишут подписи какие попало наугад.

Gleb, добрый день.
1. В налоговой необходимо уточнить, чтобы записали "аппаратные" ключи или "ключи для ЕГАИС".
2. Да, это возможно с помощью ПО, которое работает напрямую с нашей библиотекой rtpkcs11ecp или с Рутокен Плагин.

Спасибо большое. По пункту 2, какое это ПО, которое работает с вашей библиотекой? Список ПО есть какой-то? Нужен интерфейс который может искользовать Windows 10 - например шифровать данные или подписывать файлы из скриптов powershell. так-же есть задача использовать аппаратные ключи в сессиях ssh. Есть какой-то манул и пример реализации по данному вопросу? Может быть у вас есть какая-то утилита командной строки для windows/linux и ее исходный код?

Импорт закрытых ключей формата ГОСТ PKCS#11 на носители семейства Рутокен ЭЦП физически невозможен.

Приветствую, biohumanoid.

biohumanoid пишет:

ЭЦП 2.0 генерирует ключевую пару внутри, закрытый ключ не покидает ключ (и это прекрасно), и подписывает или дешифрует те данные, что ему засунет софт (в данном случае КриптоПРО).

Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат "как для ЕГАИС"), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
Все варианты как сгенерировать такие ключи описаны в руководстве: https://dev.rutoken.ru/pages/viewpage.a … d=20120078
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.

PKCS#11 - платформонезависимый программный интерфейс доступа к криптографическим устройствам, в данном случае к Rutoken ЭЦП 2.0.
Также у вас есть библиотека PKCS#11, реализующая этот интерфейс.
Но меня интересует:
1. Действительно ли налоговая генерирует ключ для ЭЦП 2.0 средствами самого ЭЦП 2.0 через интерфейс PKCS#11 ?
2. И как я могу, получив этот токен убедиться, что закрытый ключ был действительно сгенерирован внутри токена, а не залит извне.
Что в панели управления Рутокен будет говорить о том, что ключ был сгенерирован внутри устройства ?

Легитимность = правомерность, т.е. я могу его использовать с ФНС.
Но меня волнует вопрос, действительно ли я единственный обладатель моего ключа.
В Rutoken lite таких гарантий нет, как выяснилось.
Вопрос - есть ли такие гарантии в ЭЦП 2.0 ?