Скопировать саму квалифицированную ЭЦП с устройства Рутокен невозможно, так как она формируется в момент заверения документа. На носителе же хранятся сертификат и ключи проверки электронной подписи, которые можно экспортировать на носитель или компьютер.
В статье расскажем, как скопировать сертификат ЭЦП или ключевую пару с Рутокена в реестр компьютера или на флешку.
Можно ли скопировать любую ЭЦП с рутокена
Сертификат устанавливается на компьютер, а закрытый ключ хранится на токене в контейнере. Чтобы поставить подпись, носитель подключают к ПК. Случаются ситуации, когда ключевой контейнер нужно перенести на другой носитель.
Существует несколько видов квалифицированной электронной подписи: для юридических лиц, индивидуальных предпринимателей и физических лиц. Главное различие между ними — место выдачи. Юрлица и ИП получают КЭП в УЦ ФНС или её доверенных лиц, а физические лица — в коммерческих УЦ.
Ключи КЭП, выпущенные УЦ ФНС России, являются неэкспортируемыми по требованию ФСБ. Это означает, что их нельзя извлечь или скопировать с токена на другие носители. Вы можете только установить сертификат подписи ИП или юрлица, а скопировать закрытый ключ с Рутокена на флешку или ПК не получится.
Представленный ниже материал относится к сертификатам физического лица, полученным в аккредитованных удостоверяющих центрах.
Зачем переносить ключ электронной подписи с Рутокена
Необходимость копирования ключевого контейнера ЭЦП с Рутокена на компьютер может возникнуть по нескольким причинам. Например, вы используете КЭП только дома. Для того чтобы не подключать постоянно носитель семейства rutoken к компьютеру, вы можете скопировать контейнер закрытого ключа в реестр. Ещё перенос может понадобиться, если вы хотите открыть ИП и освобождаете токен для записи сертификата и ключей КЭП индивидуального предпринимателя.
Также скопировать контейнер закрытого ключа подписи с Рутокена на компьютер целесообразно в качестве запасного варианта, так как устройство может сломаться. В таком случае вы сможете применить КЭП без задержек в работе и использовать компьютер или флешку в качестве временного хранилища.
А вот если токен украли или он был утерян, то лучше подписью не пользоваться. Обратитесь в УЦ и отзовите ваш сертификат, чтобы злоумышленники не смогли его применить в своих целях.
Проверяем ключ на неэкспортируемость
Запрет на экспорт закрытого ключа устанавливается в момент его создания и записи на токен. Проверить неэкспортруемость можно через КриптоПро CSP. Для этого сделайте следующее:
- Вставьте Рутокен в компьютер.
Запустите КриптоПро CSP. Во вкладке «Сервис» нажмите «Протестировать».
В открывшемся окне выберите нужный сертификат и нажмите «ОК».
По окончании тестирования напротив строки «Экспорт ключа» будет указана необходимая информация.
Если попробуете скопировать такой ключ, то система выдаст ошибку.
Как скопировать контейнер закрытого ключа подписи в реестр компьютера и установить сертификат
Рассмотрим, как сделать копию ЭЦП с Рутокена при помощи КриптоПро CSP на Windows:
Откройте КриптоПро CSP. На вкладке «Сервис» нажмите «Скопировать».
В разделе «Имя ключевого контейнера:» нажмите «Обзор».
Выберите нужный контейнер закрытого ключа и нажмите «ОК».
- Нажмите «Далее» и введите пин-код. Стандартный пин-код на Рутокен — 12345678.
Напишите название нового контейнера и нажмите «Готово».
Выберите для хранения «Реестр» и нажмите «ОК».
Придумайте пароль для нового контейнера.
- Вы получите уведомление о том, что контейнер успешно перенесён в реестр вашего компьютера. Чтобы продолжить, нажмите «ОК».
Далее установите сертификат подписи. Для этого откройте КриптоПро CSP и на вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере».
Нажмите «Обзор».
Найдите новый контейнер в реестре и нажмите «ОК».
Проверьте указанную информацию, нажмите «Установить».
После успешной установки появится соответствующее уведомление.
Как перенести сертификат и закрытый ключ ЭЦП с Рутокена на Рутокен или на флешку
Выгрузить сертификат ЭЦП и контейнер ключа КриптоПро можно на токен или флешку по той же схеме, как если бы мы копировали их реестр компьютера. Сделайте следующее:
- Вставьте USB-токен или флешку в компьютер.
- Повторите шаги от 1 до 5 из предыдущей инструкции.
Выберите для хранения нужный носитель и нажмите «ОК»:
если копируете на флешку, установите пароль для нового контейнера;
если копируете на Рутокен, то введите пин-код от этого носителя.
- Далее установите сертификат подписи, используя шаги от 11 до 13. Только при выборе контейнера вместо реестра выберите необходимый носитель.
Как скопировать контейнер закрытого ключа на ПК с помощью встроенных средств Windows
Этим способом можно воспользоваться в том случае, если вы используете флешку или дискету для хранения контейнера закрытого ключа. Примените для копирования стандартные средства Windows, например:
- Подключите носитель к ПК и откройте окно с хранящимися на нём файлами.
- Выберите необходимый ключевой контейнер и нажмите на него правой кнопкой мыши.
- Нажмите «Скопировать».
- Выберите место для хранения на ПК, нажмите правую кнопку мыши и нажмите «Вставить».
Внутри скопированной папки будет находиться 6 файлов с одинаковым расширением .key:
- header;
- masks;
- masks2;
- name;
- primary;
- primary2.
Также в этом списке может находиться ключ в виде файла типа keyName.cer. Его копировать необязательно.
Как скопировать контейнер закрытого ключа ЭЦП из реестра
Если вы хотите скопировать криптографический контейнер непосредственно из реестра компьютера, то сначала нужно найти папку, где он располагается. В зависимости от версии Windows перейдите по следующему адресу в ветке реестра:
- для 32-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера с ЭЦП*; (HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\{SID}\Keys\)
- для 64-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера ЭЦП*. (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\{SID}\Keys\)
Далее для копирования выполните следующие действия:
- Выделите интересующую папку и правой кнопкой мыши вызовите контекстное меню.
- Нажмите «Экспортировать».
- Введите название файла и сохраните его.
- Скопируйте полученный файл на жёсткий диск компьютера, где планируете организовать рабочее место обычным способом.
- Откройте скопированный файл реестра формата .reg через «Блокнот» или иное аналогичное приложение.
- Измените в открытом файле SID* пользователя. Он имеет аналогичный формат и обычно расположен в третьей строке сверху.
- Добавьте после папки Software дополнительно Wow6432Node в случае, если копирование идёт из Windows 32-бита в версию с 64-бита.
- Сохраните изменения.
- Выберите опять файл реестра.
- Произведите «Слияние», выбрав этот пункт в контекстном меню.
SID — Идентификатор безопасности пользователя ОС Windows. У каждого пользователя Windows свой SID. Для того чтобы узнать SID пользователя, запустите ОС Windows под его учётной записью, после чего перейдите в командную строку (Пуск → Выполнить → cmd) и введите команду whoami/user. Команда отобразит основные сведения о текущем пользователе, включая его SID.
Пример SID: S-1-5-12-12345678-1234567890-1234567890-1234.
Если все действия были выполнены верно, то на экране появится сообщение об успешных изменениях в реестре. Если есть ошибки, то вам нужно проконтролировать корректность указанного пути к файлу. После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится только установить личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP, описанных выше.
Как перенести нужный контейнер на Рутокен из другого источника
Чтобы перенести контейнер закрытого ключа на Рутокен, сделайте следующее:
- Подключите Рутокен к ПК.
- Запустите КриптоПро CSP.
Откройте вкладку «Сервис» и нажмите на кнопку «Скопировать».
Нажмите «Обзор» и выберите нужный контейнер.
- Нажмите «Далее».
- Введите пин-код.
- Укажите наименование контейнера, который будет находиться на токене, и выберите носитель.
- Введите пин-код Рутокена.
- Для контроля нажмите кнопку «Просмотреть сертификаты контейнера» во вкладке «Сервис».
- Установите сертификат КЭП на ПК.
Рассмотрим, как быстро удалить сертификат с компьютера с помощью программы КриптоПро CSP.
- Запустите программу.
- Перейдите на вкладку «Сервис».
- Выберите раздел «Удалить» или «Удалить контейнер». Название зависит от конкретной версии программного обеспечения.
- Выберите в окне сертификат, от которого вы хотите избавиться.
- Подтвердите действие, нажав кнопку «Готово».
Подобным образом рекомендовано удалять ненужные сертификаты КЭП, которые уже недействительны, или если планируете обращаться в другой УЦ.
Почему рекомендуется хранить контейнер закрытого ключа на токене
Хранение контейнера закрытого ключа КЭП на обычной флешке или любом другом незащищённом носителе связано с высокими рисками компрометации. В отличие от аппаратных токенов другие носители не имеют встроенных механизмов защиты от несанкционированного доступа. Это делает ключ уязвимым для кражи, копирования и неправомерного использования. Кроме того, такие устройства могут быть подвержены заражению вирусами и вредоносным ПО. Злоумышленник, получивший доступ к такому носителю, сможет совершать действия от вашего имени, что приведёт к серьёзным финансовым и юридическим последствиям.
Виталий Михейкин
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Астрал Отчет 5.0
Астрал Отчет 4.5
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Астрал.Маркировка
Продукты 1С
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
1С-ЭТП
Корпоративный УЦ
КриптоПро
КриптоАРМ
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 2.0.2100
Рутокен ЭЦП 3.0
Доки
1С-ЭПД
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
Роуминг
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы
Астрал.Безопасность
152DOC