Что такое экспортируемый закрытый ключ?
В отличие от обычного закрытого ключа, который не может быть экспортирован или скопирован с одного устройства на другое, экспортируемый закрытый ключ может быть сохранен и перемещен между различными устройствами. Это удобно в случаях, когда закрытый ключ необходимо использовать на нескольких платформах или приложениях.
Экспортируемый закрытый ключ может быть сохранен в файле или другом удобном формате, который позволяет его импортировать на другое устройство. При экспорте закрытого ключа важно обеспечить его безопасность и конфиденциальность, чтобы предотвратить несанкционированный доступ к ключу и возможное нарушение безопасности данных.
Использование экспортируемого закрытого ключа имеет свои преимущества, так как он облегчает процесс развертывания и использования криптографической системы на различных устройствах. Однако важно помнить, что безопасность ключей является первостепенной задачей, и необходимо соблюдать меры предосторожности при работе с экспортируемыми закрытыми ключами.
Всем добрый день! Ещё в декабре я делал подписи на портале заявителя (УФК). Так вот, в декабре этой «засады» не наблюдалось. Зато уже в феврале я наткнулся на эту страшную засаду. Которая называется не экспортируемый ключ. Сейчас я вам расскажу в какую задницу можно залезть, если в этом портале заявителя поставить неверную галочку, всего одну!
Какие последствия повлечёт генерация не экспортируемого ключа?
Проклятая галочка не экспортируемого ключа
Собственно, если вы не разбираетесь, не обратили внимания на эту сиротливую галочку, и сгенерировали запрос с опцией «НЕТ» в графе экспортируемого ключа, а я напомню, что по умолчанию стоит именно опция «НЕТ», то вас ждёт жестокое наказание!
Мало того! Когда мы по неосторожности сделали неэкспортируемый ключ, поняли роковую ошибку, и решили сделать новый, экспортируемый, то в УФК нам отказали с формулировкой: «сертификат с такими полномочиями уже выпущен!» Пришлось нам отзывать сертификат в связи с утерей! И делать новый, экспортируемый!
Будьте внимательны и осторожны при генерации запросов на изготовление сертификатов на ФЗС — портале заявителя! Это страшная засада! Не забудьте поставить галочку именно там, где я показал на скрине! Зла не хватает на это казначейство.)
В сфере финансов и казначейства существует понятие экспортируемого закрытого ключа, и это важный инструмент для обеспечения безопасности финансовых операций. Однако, не всегда легко понять, что именно означает этот термин и как его использовать.
В общих терминах, закрытый ключ — это информационная строка, которая используется для шифрования данных. Он может быть экспортируемым, что означает возможность перемещения ключа на другие устройства. Это дает гибкость и удобство для управления финансовыми операциями.
Казначейство — это сфера деятельности, связанная с управлением финансовыми ресурсами организации. Здесь экспортируемый закрытый ключ играет важную роль, так как он позволяет обеспечить безопасность всех финансовых транзакций и операций, выполняемых в рамках казначейства.
Использование экспортируемого закрытого ключа в казначействе позволяет защитить финансовые средства и обеспечить их безопасность против несанкционированного доступа и мошенничества. Ключ может быть перемещен в безопасное место, что дает дополнительные гарантии сохранности информации и предотвращает возможность утечки данных.
При использовании экспортируемого закрытого ключа необходимо следить за его безопасностью и правильным использованием. Важно установить защиту от несанкционированного доступа и регулярно менять ключи, чтобы минимизировать возможность атак и мошенничества. Ключ также должен храниться в надежном месте и доступ к нему должны иметь только авторизованные лица.
В итоге, использование экспортируемого закрытого ключа в казначействе играет критическую роль в обеспечении безопасности и защите финансовых операций. Он позволяет гарантировать конфиденциальность, целостность и доступность данных, а также предотвращает возможность мошенничества и утечек информации.
О формировании заявлений и запросов на сертификат через портал ФЗС
С августа 2018 года казначейство просит вас формировать заявления и запросы на сертификат с помощью портала ФЗС (https://fzs.roskazna.ru)
Инструкции по формированию запроса и заявления:
Портал заявителя с функционалом формирования запросов на квалифицированные сертификаты ключей проверки электронных подписей (ФЗС), позволяет получателю сертификата (уполномоченному лицу) формировать комплект документов и сведений для создания/смены сертификата и направлять его в электронном виде в территориальный орган Федерального казначейства (ТОФК). В некоторых случаях без посещения ТОФК.
Требования к автоматизированному рабочему месту, порядок получения доступа к функционалу ФЗС и его описание представлено в документе «Информационная система «Удостоверяющий центр Федерального казначейства». Руководство пользователя».
Извините, но у вас недостаточно прав для комментирования
Конвертер ЭП ГОСТ-2012
Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).
Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.
Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:
1. Скопировать в локальную директорию.
2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.
3. Для запуска приложения: – открыть файл Converter.exe
1. В компьютер установить съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».
7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
Информация от пользователей
1. Пользователь делится опытом:
2. Пользователь делится опытом:
Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.
3. Пользователь объясняет:
Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,Для подписания документов в ЭБ используется
КриптоПРО ЭЦП Browser Plug-in
, а не
для подписания, тоНужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав – Субъект – O=Название организации)при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012(Если количество символов меньше или равно 127, то конвертер не нужен.)
Можно при использовании конвертера, указать куда создать новый контейнер – на тот же рутокен (а не на флешку), в таком случае:После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке, только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для удаления формат рутокена)
Ещё при использовании рутокена в Jinn-Client, желательно удалить все старые закрытые ключи с рутокена ииспользовать eXtended Container 1.0.1.1(меньше подвисаний в JinnClient при чтения с рутокена чем с eXtended Container 1.0.2.2)
———————–У кого Jinn-Client
не видит контейнера закрытых ключей
, хотя в названии организации
количество символов меньше или равно 1274.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012
В этой публикации в связи с изменениями в законодательстве в части касающейся порядка использования ЭЦП представляю своё понимание вопросов, связанных с ЭЦП, и рассматриваю несколько популярных вопросов:
▪️Что такое экспортируемый и неэкспортируемый ключ ЭЦП
▪️Возможно ли технически сделать копию неэкспортируемого ключа ЭП
▪️И можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически.
В конце декабря 2022 года был принят Федеральный закон № 536-ФЗ. Который в частности продлевает срок использования ЭПЦ, выданных коммерческими удостоверяющими центрами до 31.08.2023г. После этой даты использование таких электронных подписей будет запрещено. А аккредитованные коммерческие УЦ смогут выдавать только подписи для физ. лиц (должностных лиц организации по доверенности).
С 01 сентября 2023г. Такие подписи (на сотрудников) можно будет использовать только с приложением так называемой машиночитаемой доверенности или МЧД. При этом никто пока не знает кто и каким порядком будет выпускать МЧД. А запреты уже ввели. В общем, всё как всегда.
Что такое экспортируемый ключ ЭЦП
Экспортируемый ключ электронной подписи (или извлекаемый) это такой ключ, контейнер которого можно копировать (переносить) на другие носители без технических ограничений.
Копирование контейнеров экспортируемых ключей производится с помощью стандартных средств программ криптографической защиты, таких как КРИПТО ПРО.
Копирование неэкспортируемого ключа ЭЦП
Итак, экспортируемый или извлекаемый ключ ЭЦП можно легко скопировать стандартными программами для криптографии.
Что такое неэкспортируемый ключ ЭЦП
ФНС (Федеральная налоговая служба), изучив положения новых законодательных актов об электронных подписях, пришла к выводу, что новые требования безопасности ФСБ к электронным ключам ЭП можно соблюсти лишь запретив копирование ключей ЭЦП.
Таким образом, в соответствии с новой нормативной базой, ФНС выпускает ЭЦП на руководителей с 01.01.2022 только в неэкспортируемом варианте. Итак:
Неэкспортируемый ключ ЭЦП — такой ключ, который нельзя скопировать на другой носитель стандартными программами и средствами.
С этим разобрались.
Как проверить экспортируемый ключ или не экспортируемый
Итак, проверить возможность копирования (экспортируемости) ключа электронной подписи можно как минимум двумя простыми способами:
1. С помощью КРИПТО ПРО CSP опцией «протестировать»:
Итак, вставляем ваш рутокен или другой носитель с ЭЦП, запускаем КРИПТОПРО CSP, и выбираем меню «сервис» кнопку протестировать:
Протестировать контейнер ЭП
После этого откроется окно выбора вашего контейнера на токене:
Окно выбора контейнера ЭЦП
И затем после нажатия на ОК, в окне мастера проверки нужно будет найти информацию о запрете или разрешении экспорта ключа:
Экспорт ключа запрещён
Как видите, экспорт данного ключа запрещён. Это значит, кто ключ у вас будет физически в единственном экземпляре на этом носителе. И скопировать стандартными средствами на другой носитель его не получится.
2. При попытке копирования не экспортируемого ключа ЭЦП будет ошибка:
Второй способ проверить вашу ЭЦП на возможность копирования заключается в банальной попытке скопировать с помощью опять же КриптоПро CSP контейнер:
И вот тут после выбора контейнера для копирования, вы увидите вот такое примерно сообщение:
Нет разрешений на экспорт ключа
*В разных версиях Крипто Про будут разные по текстовке сообщения, но смысл их всех один и тот же.
Можно ли делать копии неэкспортируемых (и других) ключей ЭЦП юридически?
Существует разные мнения на этот счёт, но лично я считаю, что нельзя. Приведу скрин с одного трастового портала — удостоверяющего центра, разъясняющего этот момент:
Юридически копировать не экспортируемые ключи нельзя
Информация, как я уже говорил, с портала Астрал. Итак, строго говоря, мы вообще имеем то, что копирование любых ключей как бы юридически незаконно.
Можно ли технически скопировать неэкспортируемый ключ ЭЦП?
Да, разумеется. Техническая возможность сделать неэкспортируемый ключ экспортируемым — есть. Но это можно делать только с помощью специального софта, который в магазине не купишь. Вообще, с копированием неэкспортируемых ключей была целая истерика у людей весь 2022 год.
Если вы дочитаете эту статью до конца, то я назову некоторые объективные причины такой паники. И вы знаете, даже на порталах контур.ру и ФНС были выложены утилиты для копирования неэкспортируемых ключей, контейнеров.
ЭПИЛОГ
Однако, в погоне за соблюдением норм безопасности, законодатели забывают несколько моментов:
▪️Поскольку директора организаций не имеют представления как настраивать АРМ для работы на электронных площадках, то передавать ЭЦП им всё-равно придётся программистам/админам. Однако, юридически этого делать нельзя. Пат. Тупик. Значит, придётся нарушать законодательство в любом из случаев. Тогда зачем все эти ограничения на экспорт ключа?
▪️Ключ ФНС выдаёт в единственном экземпляре физически. Однако безопасность это помимо всего прочего ещё и надёжность. Любой ИТ — специалист вам скажет, что отсутствие возможности сделать резервную копию неважно чего — это грубейшее нарушение в части касающейся безопасности. Если этот полученный директором единственный рутокен выйдет из строя, то придётся получать новый ключ в ФНС. Зачем усиливать одну безопасность и тут же резко ослаблять другую? Опять пат. И тупик.
▪️До сих пор существует множество площадок, систем, технических порталов, на которых какое-либо действие можно совершить только с помощью ЭЦП руководителя. А она выдаётся только в 1 экземпляре теперь. Директор не будет же бегать по разнесённым на больших расстояниях порталам, рабочим местам, точкам, объектам, чтобы что-то настроить или заверить, отправить, подписать? Ему итак заняться есть чем? Верно? Да и физически он не успеет этого сделать в ряде случаев. Опять тупик? Пат. Срыв отчётности? Срыв Гос. оборон заказа? Тюрьма? Что ему делать то? ФНС об этом подумала?
Эти и другие вопросы ставят под сомнения новые законы и инициативы, связанные с использованием электронных подписей в нашей стране.
Преимущества использования экспортируемого закрытого ключа
Экспортируемый закрытый ключ (Exportable Private Key) представляет собой ключевую компоненту системы шифрования, который может быть передан из одной системы в другую. Использование экспортируемых закрытых ключей обладает рядом преимуществ:
Как использовать экспортируемый закрытый ключ в казначействе?
Вот несколько способов использования экспортируемого закрытого ключа в казначействе:
1. Шифрование и дешифрование данных:
С помощью экспортируемого закрытого ключа можно зашифровывать и дешифровывать конфиденциальные данные. Казначейство может использовать эту функцию для безопасной передачи и хранения финансовой информации.
2. Подписание документов и электронный документооборот:
Экспортируемый закрытый ключ может быть использован для подписи электронных документов. Это обеспечит подлинность и целостность документов и позволит казначейству проводить электронный документооборот с другими организациями.
3. Аутентификация и безопасный доступ:
Экспортируемый закрытый ключ может быть использован для аутентификации пользователей и обеспечения безопасного доступа к системе казначейства. Путем проверки подлинности ключа казначей может быть уверен, что только авторизованные лица имеют доступ к системе.
Важно помнить, что экспортируемый закрытый ключ является ценным ресурсом и должен быть храниться в надежном месте. Также рекомендуется регулярно резервировать ключ для предотвращения потери данных.
Использование экспортируемого закрытого ключа в казначействе позволяет обеспечить безопасность, конфиденциальность и целостность финансовых операций и данных. Это помогает защитить казначейство от несанкционированного доступа и мошенничества, увеличивая доверие клиентов и партнеров.
Значение экспортируемого закрытого ключа в казначействе
Он представляет собой уникальный код, который используется для подписи электронных документов и проверки подлинности информации в системе казначейства. Экспортируемый закрытый ключ является частью криптографической системы, которая обеспечивает конфиденциальность и целостность финансовых данных.
Казначейство может использовать экспортируемый закрытый ключ для следующих целей:
Кроме того, экспортируемый закрытый ключ обычно защищен паролем или другим методом аутентификации, чтобы предотвратить несанкционированный доступ к нему. Защита ключа является первоочередной задачей казначейства, чтобы обезопасить финансовые операции и сохранить информацию в тайне.
Таким образом, экспортируемый закрытый ключ играет важную роль в обеспечении безопасности и целостности финансовых данных в казначействе, и его правильное использование является необходимым условием для эффективного функционирования системы казначейства.