Возможна ли всё-таки генерация неизвлекаемого ключа не на токене?
Здравствуйте. Прошу проконсультировать, потому что возникла серьезная путаница и даже специалисты УЦ, который выдал ЭЦП, консультируют противоречиво.
Как известно, в прошлом году, когда ФНС ввела требование о неэкспортируемости ключа (в моём случае это ЭЦП для ИП) и стало необходимым выпускать ЭЦП на месте, на оборудовании УЦ.
Соответственно я запросил в заявке, чтобы установили опцию Аппартный СКЗИ, т.е. ключ сделали не только неэкспортируемым, но и неизвлекаемым и приобрёл Рутокен 2.0 под это.
Чтобы быть уверенным, что генерация ключевой пары была на стороне токена, а не ПК УЦ.
Вроде бы сделали. Я удовлетворился тем, что сертификат называется
Объект PKSC#11, доступный через Crypto-Pro...
Спустя год, в одной из консультация с УЦ, мне сообщили, что такого не может быть. Неизвлекаемые ключи они делают только для ЕГАИС. И аргументируют тем, что в поле "Средство электронной подписи владельца" установлено "Средство электронной подписи: СКЗИ "КриптоПро CSP" (версия 4.0)"
Проверяю повторно, согласно https://dev.rutoken.ru/pages/viewpage.a … d=86048874
Действительно, у меня нет
SCARD\rutoken_fkc_...
У меня
SCARD\pkcs11_rutoken_ecp_...
Что вроде бы свидетельствует, что носитель не в формате ФКН, а в формате Активный. То есть ключ тоже неизвлекаемый.
Однако, согласно https://dev.rutoken.ru/pages/viewpage.a … d=86049306
Такая работа возможна не ранее КриптоПро 5 R2.
У меня — именно эта версия, собственно согласно документации её и выбирал.
А вот у УЦ получается, версия была 4-ая, раз именно это значение есть в поле "Средство электронной подписи владельца" сертификата. Или может быть они вписали это вообще просто исходя из того, что такую лицензию на КриптоПро я у них приобрёл бы, если бы у меня не было своей постоянной на 5ую.
Отсюда вопрос: может ли быть так, что создание ЭЦП происходило в формате Пассивный (т.е. генерация ключевой пары в КриптоПро на ПК УЦ), а у меня работа происходит в режиме Активный, из-за того, что есть КриптоПро 5?
Получается это лишь половинчатое решение проблемы возможной компрометации ключа. Да, тот факт что у меня при подписывании не извлекается приватный ключ — это то что я хотел. Но я также хотел чтобы и его первичная генерация была выполнена именно на токене. Получается это было не так?
N.B.
Возможно важно, что в поле "Средство электронной подписи и УЦ издателя" совершенно другое ПО:
Средство электронной подписи: ПАКМ "КриптоПро HSM" версии 2.0
Заключение на...
Средство УЦ: ПАК "КриптоПро УЦ" (версии 2.0)
Заключение на...
Может быть это отдельные ветки ПО для УЦ, которые всё-таки поддерживают Активный режим?