(2023-01-20 17:41:28 отредактировано NSGrid)

Как сделать контейнер наоборот - неэкспортируемым

Подскажите пожалуйста, как можно экспортируемый контейнер с ЭЦП скопировать на Рутокен Lite и сделать его неэкспортируемым на этом носителе?
Я не перепутал, то есть не защищенный от копирования контейнер сделать наоборот защищенным.

Как просто скопировать на Рутокен контейнер с помощью Крипто Про 5 я знаю, но он копируется с тем же свойством экспортируемого контейнера, что и оригинал.

Re: Как сделать контейнер наоборот - неэкспортируемым

NSGrid пишет:

Подскажите пожалуйста, как можно экспортируемый контейнер с ЭЦП скопировать на Рутокен Lite и сделать его неэкспортируемым на этом носителе?
Я не перепутал, то есть не защищенный от копирования контейнер сделать наоборот защищенным.

Как просто скопировать на Рутокен контейнер с помощью Крипто Про я знаю, но он копируется с тем же свойством экспортируемого контейнера, что и оригинал.

Добрый день!

Свойство неэкспортируемости ключа задается при создании контейнера. Теоретически, если переносить контейнер не напрямую (а при этом сохраняются свойства контейнера), а через PFX, такой фокус может и получиться. Но это не точно :)
Лучше, конечно, сразу создавать контейнер как положено. А еще лучше - генерировать неизвлекаемые ключи.

Re: Как сделать контейнер наоборот - неэкспортируемым

Через PFX (если говорить про Винду) можно сделать неэкспортируемым, только при импорте стандартными средствами Винды. Так как при экспорте я не нашел никаких настроек, касаемо изменения свойств. А стандартные средства Винды позволяют импортировать PFX только в реестр или в какую-то директорию, но как импортировать на Рутокен Lite я не нашел.

Также в Панели управления Рутокен я вижу функцию импорта, и, там, кстати, при импорте, тоже есть флаг "Разрешить экспорт закрытого ключа", то есть, как я понимаю, если флаг не ставить, значит он скопируется и будет неэкспортируемым. Но у меня не получается экспортировать его этим методом, так как при попытке экспорта из файла PFX появляется сообщение: Импорт невозможен: импортированы могут быть только сертификаты для ключей RSA".
Интересно, что тут может быть за проблема?

Re: Как сделать контейнер наоборот - неэкспортируемым

NSGrid пишет:

Через PFX (если говорить про Винду) можно сделать неэкспортируемым, только при импорте стандартными средствами Винды. Так как при экспорте я не нашел никаких настроек, касаемо изменения свойств. А стандартные средства Винды позволяют импортировать PFX только в реестр или в какую-то директорию, но как импортировать на Рутокен Lite я не нашел.

Надежда была на то, что КриптоПро может экспортировать ключ в PFX, а потом импортировать в свой контейнер в неэкспортируемом режиме. На стандартные средства Windows расчета не было


NSGrid пишет:

Также в Панели управления Рутокен я вижу функцию импорта, и, там, кстати, при импорте, тоже есть флаг "Разрешить экспорт закрытого ключа", то есть, как я понимаю, если флаг не ставить, значит он скопируется и будет неэкспортируемым. Но у меня не получается экспортировать его этим методом, так как при попытке экспорта из файла PFX появляется сообщение: Импорт невозможен: импортированы могут быть только сертификаты для ключей RSA".
Интересно, что тут может быть за проблема?

Ну это-то как раз не проблема, поскольку панель управления Рутокен не обучена работе с проприетарными форматами контейнеров (КриптоПро CSP). Ну то есть ПУР не может создать контейнер КриптоПро. А импортировать ключи подписи в собственные объекты регулятор не велит

Поэтому представляется наименее затратным сгенерировать новые ключи и выпустить новый сертификат. А старый отозвать конечно

Re: Как сделать контейнер наоборот - неэкспортируемым

NSGrid пишет:

А стандартные средства Винды позволяют импортировать PFX только в реестр или в какую-то директорию, но как импортировать на Рутокен Lite я не нашел.

Разобрался, параллельно спросил еще на форуме Крипто-Про и там подсказали. В общем просто экспортируем штатными средствами Винды в PFX. Затем теми же штатными средствами импортируем, при импорте, как уже было выше написано, не ставим флаг "делать экспортируемым", а затем там появится окно для хранения сертификатов, а уже после появится второе окно, где можно выбрать носитель для записи, там я выбрал Рутокен Lite и все записалось.