(2023-08-07 12:22:44 отредактировано pavel23)

Возможна ли всё-таки генерация неизвлекаемого ключа не на токене?

Здравствуйте. Прошу проконсультировать, потому что возникла серьезная путаница и даже специалисты УЦ, который выдал ЭЦП, консультируют противоречиво.

Как известно, в прошлом году, когда ФНС ввела требование о неэкспортируемости ключа (в моём случае это ЭЦП для ИП) и стало необходимым выпускать ЭЦП на месте, на оборудовании УЦ.

Соответственно я запросил в заявке, чтобы установили опцию Аппартный СКЗИ, т.е. ключ сделали не только неэкспортируемым, но и неизвлекаемым и приобрёл Рутокен 2.0 под это. 

Чтобы быть уверенным, что генерация ключевой пары была на стороне токена, а не ПК УЦ.

Вроде бы сделали. Я удовлетворился тем, что сертификат называется

Объект PKSC#11, доступный через Crypto-Pro...

Спустя год, в одной из консультация с УЦ, мне сообщили, что такого не может быть. Неизвлекаемые ключи они делают только для ЕГАИС. И аргументируют тем, что в поле "Средство электронной подписи владельца" установлено "Средство электронной подписи: СКЗИ "КриптоПро CSP" (версия 4.0)"

Проверяю повторно, согласно https://dev.rutoken.ru/pages/viewpage.a … d=86048874

Действительно, у меня нет

SCARD\rutoken_fkc_...

У меня

SCARD\pkcs11_rutoken_ecp_...

Что вроде бы свидетельствует, что носитель не в формате ФКН, а в формате Активный. То есть ключ тоже неизвлекаемый.

Однако, согласно https://dev.rutoken.ru/pages/viewpage.a … d=86049306
Такая работа возможна не ранее КриптоПро 5 R2.
У меня — именно эта версия, собственно согласно документации её и выбирал.

А вот у УЦ получается, версия была 4-ая, раз именно это значение есть в поле "Средство электронной подписи владельца" сертификата. Или может быть они вписали это вообще просто исходя из того, что такую лицензию на КриптоПро я у них приобрёл бы, если бы у меня не было своей постоянной на 5ую.

Отсюда вопрос: может ли быть так, что создание ЭЦП происходило в формате Пассивный (т.е. генерация ключевой пары в КриптоПро на ПК УЦ), а у меня работа происходит в режиме Активный, из-за того, что есть КриптоПро 5?

Получается это лишь половинчатое решение проблемы возможной компрометации ключа. Да, тот факт что у меня при подписывании не извлекается приватный ключ — это то что я хотел. Но я также хотел чтобы и его первичная генерация была выполнена именно на токене. Получается это было не так?

N.B.

Возможно важно, что в поле "Средство электронной подписи и УЦ издателя" совершенно другое ПО:

Средство электронной подписи: ПАКМ "КриптоПро HSM" версии 2.0
Заключение на...
Средство УЦ: ПАК "КриптоПро УЦ" (версии 2.0)
Заключение на...

Может быть это отдельные ветки ПО для УЦ, которые всё-таки поддерживают Активный режим?

Re: Возможна ли всё-таки генерация неизвлекаемого ключа не на токене?

Здравствуйте.

pavel23 пишет:

Отсюда вопрос: может ли быть так, что создание ЭЦП происходило в формате Пассивный (т.е. генерация ключевой пары в КриптоПро на ПК УЦ), а у меня работа происходит в режиме Активный, из-за того, что есть КриптоПро 5?

Нет, такое невозможно. Если ключ создается неизвлекаемым, то и генерация и все дальнейшие процедуры происходят в памяти токена без выгрузки какой-либо информации в оперативную память ПК.

Re: Возможна ли всё-таки генерация неизвлекаемого ключа не на токене?

Благодарю за ответ.