Закрытый ключ на Rutoken ECP

День добрый.
Есть токен (Rutoken ECP)
На него ранее был записан закрытый ключ и сертификат.
Команды, которые использовались для генерации и импорта на токен ниже

---Генерация закрытого ключа
openssl genrsa -aes128 -out keys.pem -passout stdin 1024
---Создание самоподписанного сертификата на основе сгенерированного ключа.
openssl req -new -key keys.pem -out cert.csr
openssl x509 -req -days 365 -in cert.csr -signkey keys.pem -out cert.cert
---Импорт ключа на токен
openssl rsa -inform PEM -in keys.pem -out keys.der -outform DER
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --login --pin 123456 --write-object keys.der --type privkey --id 1 --label key1
---Импорта сертификата на токен
openssl x509 -in cert.cert -out cert.der -outform der
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --write-object cert.der --type cert --id 1 --label key1 --pin 123456
Параметры id и label использовались одни и те же при импорте ключа и сертификата.

Теперь, при просмотре информации с токена выводится такая информация
pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O

Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 54.1
  firmware version   : 23.0
............
Using slot 0 with a present token (0x0)
Certificate Object; type = X.509 cert
  label:      key1
  subject:    DN: C=RU, L=Moscow, O=Company, CN=master
  ID:         01

То есть визуально вижу только сертификат (type = X.509 cert)
Хотелось бы понять, можно ли увидеть закрытый ключ (который был записан на токен и по которому не вижу никакой инфы), а главное - можно ли скопировать ключ с токена?
Спасибо.

Re: Закрытый ключ на Rutoken ECP

cTaBp, добрый день.
Для того чтобы увидеть закрытый ключ, необходимо указать пин-код
pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O -l -p пин-код токена.
Для большей безопасности рекомендуем генерировать ключевую пару сразу на токене.
Например, использовав следующую команду:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Re: Закрытый ключ на Rutoken ECP

Аверченко Кирилл пишет:

cTaBp, добрый день.
Для того чтобы увидеть закрытый ключ, необходимо указать пин-код
pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O -l -p пин-код токена.
Для большей безопасности рекомендуем генерировать ключевую пару сразу на токене.
Например, использовав следующую команду:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

День добрый. Да...я так и предполагал. Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.
Я правильно понимаю, что сертификат и закрытый ключ можно выгрузить так
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y cert --id 01 > ./cert.txt
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y privkey --id 01 > ./key.txt
а затем произвести импорт закрытого ключа и сертификата на другой токен, который после импорта можно будет использовать взамен текущего токена?
Спасибо.

(2022-10-17 14:48:51 отредактировано Евгений Мироненко)

Re: Закрытый ключ на Rutoken ECP

cTaBp, добрый день!

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y privkey --id 01 > ./key.txt

Полагаю, вы уже попробовали выполнить эту операцию, и у вас ничего не получилось.
Рутокен ЭЦП -- это не флешка. Приватные криптографические ключи -- как сгенерированные на токене, так и импортированные на токен -- не могут быть с токена извлечены. Это модель безопасности Рутокен.

Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.

Можете попробовать воспользоваться программами восстановления данных с жесткого диска. Успешное обнаружение удаленного приватного ключа может все-таки подтолкнуть вас больше не сохранять ключи на жестком диске.

(2022-10-17 18:07:28 отредактировано cTaBp)

Re: Закрытый ключ на Rutoken ECP

Евгений Мироненко пишет:

cTaBp, добрый день!

Полагаю, вы уже попробовали выполнить эту операцию, и у вас ничего не получилось.
Рутокен ЭЦП -- это не флешка. Приватные криптографические ключи -- как сгенерированные на токене, так и импортированные на токен -- не могут быть с токена извлечены. Это модель безопасности Рутокен.

Просто токен воткнут в промышленный сервер и не хотелось рисковать. А копий закрытого ключа+сертификата не сохранилось.

Можете попробовать воспользоваться программами восстановления данных с жесткого диска. Успешное обнаружение удаленного приватного ключа может все-таки подтолкнуть вас больше не сохранять ключи на жестком диске.

Мне это все досталось в наследство...поэтому имею то что имею...то есть ключи в единственном числе...на токене. Вот и хотел создать копию. Но тем не менее...спасибо за инфу)