Как сделать рутокен из флешки

Носители ЭЦП

Из нашей статьи вы узнаете:

Квалифицированная электронная подпись должна храниться на специальном защищённом носителе — токене или смарт-карте. Обычная флешка для этой задачи не подойдёт ввиду того, что она не защищена криптографическими алгоритмами.

Как выглядит ЭЦП на флешке и где купить специальный носитель, мы расскажем в этой статье.

Что такое флешка и токен электронной подписи

Как выглядит электронная подпись на флешке? Обычная флешка и токен — это не одно и то же, главное отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.

Как пользоваться электронной подписью с токена

Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).

С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.

На какие носители можно записать электронную подпись

Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.

Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.

Какой должен быть объём у флешки для электронной подписи

Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.

Какие носители бывают

Носители электронной подписи бывают двух видов:

Как работает USB-токен

Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.

Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.

Можно ли использовать Рутокен как флешку

Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.

Получаем подпись в ФНС: как выбрать носитель

Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.

В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.

Какие носители бывают

Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.

Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.

К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:

В чём разница

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Как работать с носителями

Порядок получения электронной подписи на токен выглядит следующим образом:

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.

Как пользоваться электронной подписью с флешки?

Флешка — удобный и мобильный хранитель информации. Можно ли записать на нее электронную подпись (ЭП), насколько это безопасно и как именно это сделать расскажем в статье.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Что такое флешка и токен электронной подписи

Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт.

Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.

А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней.

На какие носители можно записать электронную подпись

Сертификат электронной подписи можно записать:

Последние два носителя практически не отличаются друг от друга по свойствам. Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.

Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.

Какой должен быть объем у флешки для электронной подписи

Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.

Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.

В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Как записать электронную подпись на флешку

Записать сертификат ЭП на флешку или токен можно тремя способами:

Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.

Как записать сертификат в личном кабинете

Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:

Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:

Как записать ЭП с помощью КриптоПро CSP

Как записать ЭП с помощью средств Windows

Как записать ЭП в профиле Контур.Диагностики

Как пользоваться электронной подписью с флешки и токена

Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке.

Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную.

От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:

Чтобы подписать документ ЭП с флешки или токена:

Можно ли использовать Рутокен в качестве флешки?

Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.

Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Электронный токен своими руками

Интернет за последние пару десятилетий из дружелюбного пространства превратился во враждебную среду. Злобные хакеры пытаются нас взломать, зашифровать, украсть, скачать интимные фотки… Традиционных логина и пароля уже явно недостаточно, чтобы надёжно защитить личный аккаунт. Для повышения безопасности всё чаще предлагается многофакторная аутентификация.

Двухфакторная аутентификация использует информацию двух типов: «знаю» — логин+пароль и «владею» — телефон (через SMS, пуш-сообщение, голосовое подтверждение), электронная почта (переход по ссылке для подтверждения), OTP, либо электронный токен.

Использовать телефон как второй фактор — отличная была идея… Но что-то пошло не так. Перехват СМС, скринлоггеры, переадресация вызова, угон симки — всё это вполне реально, и нередко используется против нас.

В качестве альтернативы предлагаю занедорого попробовать электронный токен. Гораздо более надёжен, его сложно перехватить, нельзя клонировать и взломать без ведома владельца.

Наиболее известные и популярные протоколы безопасной аутентификации разработаны альянсом FIDO.

В 2013 году в Кремниевой Долине был организован FIDO (Fast IDentity Online) альянс. На данный момент FIDO имеет более трёхсот ассоциативных членов и тридцать членов правления. В список членов правления входят такие компании как Google, Yubico, Microsoft, Visa, Mastercard, American Express, Paypal и другие.

Первый стандарт, представленный альянсом, это U2F (Universal Second Factor). Стандарт открыт, подробно документирован, и штатно поддерживается современными браузерами. На известном сайте есть пара статей, подробно объясняющих, как это работает. Пересказывать здесь смысла нет. Читайте.

Если коротко — для аутентификации (проверки подлинности пользователя) предлагается использовать аппаратное USB-устройство (также можно NFC, BLE, SIM-карту), хранящее приватный цифровой ключ, и умеющее делать асимметричную криптографию. Выполнение ряда криптографических процедур позволяет удалённому серверу убедиться, что это именно тот токен, который пользователь ранее зарегистрировал в своём аккаунте.

Посмотрим, что же предлагает мир для u2f-аутентификации.

Традиционный обзор литературы

Yubico

Один из самых известных производителей электронных ключей безопасности. Разрабатывает не только аппаратные ключи, но и кучу open-source ПО. Естественно, входит в состав альянса FIDO. Ознакомиться с ассортиментом и приобрести ключ можно у официального представителя.

Исходники прошивок по понятным причинам закрыты, поэтому читаем описание, добавляем в закладки, радуемся цене (доставка+растаможка+маржа; вот здесь описан опыт приобретения), и идём дальше.

Рутокен

Торговая марка ключей, выпускаемая компанией «Актив». Неплохой ассортимент. И следует отметить, что простой u2f-токен можно купить существенно дешевле, чем Yubikey. Естественно, проприетарные устройства. Хотя в открытом доступе кое-что есть.

JaCarta

Семейство ключей от компании «Аладдин Р.Д.». Есть в том числе и u2f-ключ (хотя здесь утверждают, что продукт снят с производства). Прошивка естественно закрыта.

Для самостоятельного изготовления ключа, однако, нужен открытый проект. И они есть:

Solokey

Полностью открытый проект. Есть и исходники, и описание железа. Умеет не только U2F, но и FIDO2, через USB и NFC.
Реализация FIDO2 требовательна к железу, поэтому в токене трудится микроконтроллер STM32L432. Не самый популярный чип, но если вдруг под рукой есть борда NUCLEO-L432KC — то на неё вполне можно натянуть solokey-прошивку.

У меня такой демоплаты нет, поэтому запомним ссылку (мы ещё сюда вернёмся), и ищем дальше.

Nitrokey

Парни крепко стоят на ногах, поддерживают неплохой ассортимент электронных ключей, а также продают свой NitroPC, готовят к выпуску NextBox и предлагают услугу надёжного уничтожения носителей информации. Проекты ключей в открытом доступе. Часть проектов собственной разработки, а другая часть — форки. Например, Nitrokey-FIDO2 сделан из Солокея (на том же железе), а Nitrokey FIDO U2F — на основе U2F Zero.

U2F Zero

Это прародитель ключа Solokey. Он вполне работоспособен и функционален, исходники открыты, есть инструкция для сборки. Однако автор сорцов рекомендует не заниматься ерундой и использовать свежий и более функциональный (+FIDO2) Solokey.

Я не использовал контроллер EFM8UB11F16G, поэтому проект вызывает только академический интерес. А попробуем-ка загуглить «STM32 U2F». И в первой строке получим:

stm32-u2f

Проект поддерживает только протокол U2F. Собирается под плату STM32F4DISCOVERY. Довольно популярная плата. В качестве ежедневного использования неудобна, но попробовать можно.

u2f-token

А этот проект гораздо интереснее! Потому что сделан под микроконтроллер STM32F103, который мы часто видим в ST-Link и на плате Blue/Black Pill.
Отлично. У всякого уважающего себя эмбеддера найдётся лишняя голубая таблетка и usb-st-link-свисток. Включайте паяльники, сдувайте пыль с микроскопа, поехали.

Подготовка железа

В проекте u2f-token есть готовые конфигурации, в том числе для запуска его на голубой таблетке и на ST-Link-свистке. Но без кнопки. Аутентификация разрешается после сброса микроконтроллера однократно в течение 10 сек. Имхо свисток перевтыкивать в USB — неудобно. С голубой таблеткой чуть проще — есть кнопка сброса.

Blue Pill

Доработка таблетки проста — просто добавь button. В собранной (мной) прошивке ожидается замыкание порта PB8 на землю. Подтяжка порта к лог. 1 внутренняя, внешней не требуется. Используется штатный светодиод на PC13.

Black Pill

Если цвет таблетки чёрный, то кнопку (мне) удобнее подключить к PC13. И светодиод висит уже на другом пине (PB12). Поэтому прошивку придётся пересобрать.

Mini ST-Link v2

Токен на таблетке — это пробник. Если пробы прошли успешно, то можно собрать нормальное устройство для повседневного пользования. Продвинутый эмбеддер нарисует схему и плату, изготовит её в JLCPCB, и получит массу удовольствия в виде кучки плат.

Если же нужно собрать пару ключей, то дешевле использовать ST-Link-свисток от наших друзей. На плате есть (почти) всё что нужно. Подойдёт любой контроллер, 103-й оригинал или один из его клонов.

Вот срисовал схему, может кому пригодится:

Вспомнил. В одном проекте на основе STM32F407 (да, тот самый, который видеосигнал делать умеет) висящий BOOT0 отобрал у меня кучу нервов и времени, пока искал причину непонятных спорадических глюков.

Наш донор со снятыми штанами:

План работ:

Инструменты и оборудование

Без микроскопа и паяльника с тонким жалом здесь делать нечего. Чтобы не ловить бегающую по столу плату, нужен держатель плат. Фен тоже лишним не будет.

Шаг первый

Отпаять разъём IDC. Брутальные электронщики выкусывают пластмассу и поочерёдно отпаивают контакты. Но мы используем недеструктивный метод. Зазор между платой и выводами позволяет поочерёдно освободить все контакты разъёма при помощи обычного паяльника и стального лезвия от бритвы. Разъём сохраняется для будущих поделок:

Шаг второй

Зачистить маску в указанных местах и перерезать две дорожки. Дорожка, которая идёт к выводу 15 (цепь SWCLK), будет использована для подключения емкостного контакта. К контакту 5V будет припаян светодиод.

Шаг третий

С обратной стороны снять R11 и R12 (фото ниже). На позицию R12 становить конденсатор 100-1000 пФ. Если чувствительность емкостного датчика окажется слишком высокой, установить на место R11 конденсатор 0-50 пФ (см. даташит TTP223).

Шаг четвёртый

Устанавливаем TTP223, разъём программирования (если нужен), светодиод, паяем провода. Светодиод 0805 или 1206, цвет по своему вкусу. Мне нравится зелёный. Все выводы TTP223 кроме 2 и 5 чуть приподнять. Вывод 4 соединить с 5-м (чтобы задать низкий активный уровень при обнаружении пальца). Вывод 1 подключить к 12 выводу микроконтроллера, 3-й соединить с зачищенной дорожкой возле резонатора. Разъём программирования приклеить каплей эпоксидки и подключить к портам SWD микроконтроллера.

Кстати, есть простой способ, как зажать короткий отрезок провода МГТФ. Думаю, о нём все знают. Но на всякий случай оставлю это здесь (чёрная штука — обычный китайский пинцет):

Нужно сделать примерно так:

Разъём программирования опциональный. Если дальнейших экспериментов не планируется, для программирования можно временно подпаяться с обратной стороны.

Шаг пятый

Перевернуть плату, припаять перемычку для светодиода и полоску из медной фольги. Площадку 3V3 отрезать от питания. Лепесток загнуть на обратную сторону платы. Это будет емкостной сенсор. Также рекомендуется подрезать выводы кварцевого резонатора, чтобы их не коротнуло на корпус.

В итоге получаем вот такую фитоняшку:

С торца имеем SWD-разъём, сенсор и светодиод. После успешного проведения испытаний свисток можно аккуратно замотать каптоновым скотчем. Для защиты от грази, статики, и чтобы плата не выпадала из корпуса. Или напечатать на 3D-принтере крышку-затычку. Или корпус целиком. Если нужен токен-брелок, сверлим дырочку в корпусе возле светодиода (или возле разъёма программирования, если не установлен), вставляем мелкое колечко…

Обзор исходного кода и подготовка прошивки

Chopstx is an RT thread library for STM32F103 and GD32F103 (ARM Cortex-M3), STM32F030 (ARM Cortex-M0), MKL27Z (ARM Cortex-M0plus), STM32L432 (ARM Cortex-M4), GD32VF103 (RISC-V Bumblebee) and emulation on GNU/Linux.

Пожалуй, острой необходимости использовать хитрую библиотеку не было, достаточно обычного HAL от ST. С другой стороны, chopstx нативно поддерживает микроконтроллер EFM32, который установлен на платах Tomu, и кучу мелких плат на основе STM32F103. В библиотеке нет ничего лишнего, только низкоуровневая инициализация и поддержка интерфейса USB. И простое RT-ядро. Прошивка u2f-token довольно компактна, её размер менее 32кб, в том числе благодаря использованию chopst.

В контроллере STM32F103 нет аппаратного RNG, поэтому использован хитрый алгоритм NeuG. Рецепт приготовления случайного числа довольно прост: оцифровать при помощи АЦП шум от Vref, термодатчика и Vcc; пропустить через CRC-32; захешировать алгоритмом SHA-256; на выходе получить 32 байта с равномерным случайным распределением. Кстати, этот же алгоритм используется в проекте gnuk.

Настройка конфигурации железа

Библиотеке chopstx нужно сказать, какой используется контроллер, как настроить тактирование, к каким портам подключены светодиод и кнопка. Штатно файлы конфигурации хранятся в файлах chopstx\board\board-*.h. Для сборки проекта расположение нужного файла указывается в makefile.

Сборка

Сборка прошивки — пожалуй самая трудоёмкая задача для неопытного юзера. В гитохранилище есть подробная инструкция по сборке на Linux. Как обычно принято в opensourse, только хардкор, через make-файл, с привлечением скриптов на баше и пайтоне. Несколько готовых прошивок предлагается в разделе releases.

Чтобы компилятор не нагружать поиском подходящего файла конфигурации (из списка chopstx\board\*.h), перед сборкой проекта создаётся ссылка src\board.h на нужный файл конфигурации утилитой ln (из комплекта busybox). И компилятор использует именно этот файл-ссылку. После смены цели (target) ссылку board.h нужно обязательно удалить командой make distclean, чтобы создать новую на актуальный файл конфигурации. В Виндовз ссылку можно создать в файловой системе NTFS. А в FAT32 — нет, проект не соберётся. В последнем случае нужно руками скопировать нужный chopstx\board\board-*.h в src и переименовать его в board.h. И чуть поправить makefile.

Вполне реально собрать проект и в любимой IDE Eclipse + GCC-ARM. Дополнительно потребуются утилиты cp/ln/mkdir из комплекта busybox. А также руки из правильного места, и традиционные танцы с бубном.

После сборки доработать напильником

Кроме собственно программы, в память микроконтроллера нужно залить сертификат и его приватный ключ. Это всё хранится в памяти Flash начиная с адреса 0x0800F400.

Поскольку сертификат напрямую не привязан к аппаратному железу, то его можно интегрировать в прошивку. Что я и сделал. Пользуйтесь на здоровье. В прошивки (что в приложении к статье) вставлен сертификат, прилагаемый к оригинальному проекту. Действителен до 2029-03-07, срока годности вполне достаточно.

Приватный ключ. Это секрет (32 байта), который отвечает за «уникальность» ключа и используется в криптографических алгоритмах. Ключ защищается его sha256-отпечатком. Отпечаток проверяется во время инициализации устройства (при подаче питания). Если ошибка — ключ будет создан заново. Заодно обнулится счётчик аутентификаций.

Приватный ключ можно также подготовить вручную и внедрить его в прошивку. Это можно сделать при помощи питонячьего скрипта inject_key.py (достаёт бинарник из u2f.elf) или inject_key_bin.py (работает с бинарником u2f.bin). Однако надо внимательно проверить результат. В процессе моих экспериментов ключ и счётчик записывались по неправильному адресу. Или я чего делал неправильно, или в скрипте ошибка.

Счётчик хранится в верхней странице памяти Flash. Для увеличения ресурса в памяти реализован кольцевой буфер, страница памяти будет очищена после достижения его границы. Теоретический ресурс составит 1024/4*10k = 2560 килоциклов. На наш век хватит.

Кстати, ходят слухи о массовом море ключей JaCarta. Причиной вполне может быть ограниченный ресурс Flash-памяти.

Счётчик обнуляется при создании нового приватного ключа. Если для записи приватного ключа использован скрипт inject_key*.py, то начальное значение счётчика также может быть записано этим скриптом. Если прошивка собрана без опции ENFORCE_DEBUG_LOCK=1, то счётчик можно поправиль вручную при помощи программатора: очистить страницу памяти FC00-FFFF (записать FF), а в начало (по адресу FC00) поместить 4-байтное начальное значение (младший байт первый).

В прошивку уже встроен сертификат. Приватный ключ отсутствует, он будет создан автоматически при первом включении.

Почти готово

Итак, подключаем программатор, полностью очищаем память микроконтроллера, записываем нашу прошивку. Отключаем программатор. Перезапускаем токен по питанию. При первом включении будет создан секретный ключ и обнулён счётчик. После чего токен готов к работе.

Проверить работоспособность ключа можно на демо-сайте Юбикея. Там же можно посмотреть протокол обмена между ключом и сервером.

Во время регистрации ключа Виндовз предложит свои услуги (Windows Hello). Отказаться, два раз нажать ОК, и когда замигает светодиод, нажать юзер-кнопку на ключе.

Подтвердить физическое присутствие можно и заранее. Сначала нажать на юзер-кнопку, а потом в течение 10 сек. успеть выполнить процедуру регистрации/аутентификации.

Резервный ключ

Для чего нужен резервный ключ, сказано в этой замечательной статье.

В двух словах: уникальность ключа определяется его device_secret`ом — 32-байтной случайной последовательностью. Для защиты от клонирования дополнительно используется счётчик. Счётчик инкрементируется при каждой аутентификации. Значение счётчика передаётся на сервер. Сервер хранит значение счётчика с предыдущей аутентификации (в привязке к конкретному ключу). Если вдруг у ключа счётчик будет меньше, чем значение на сервере, то такой ключ будет отвергнут. Такое может произойти, если ключ клонировали, а родным ключом успели воспользоваться один или много-много раз.

Однако если на каком-либо другом сайте вас ни разу не было с момента клонирования, то такая защита не поможет, поскольку каждый сервер хранит свой счётчик. И если на Гитлабе после клонирования ключа была тысяча аутентификаций, а на Дропбоксе ни разу, то на последний можно легко зайти ключом-клоном. Поэтому защита так себе.

Идея дубликата, а точнее, бекап-ключа — создать второй ключ с таким же секретом, но со счётчиком гораздо большим, чем ожидаемое количество аутентификаций за время жизни основного ключа (или его хозяина). Тогда при утере рабочего ключа можно достать бекап-ключ, аутентифицироваться на сотне-другой сайтов, где прописан этот ключ, счётчики на серверах обновятся новым значением, и утерянный ключ там работать уже не будет.

Для проверки работоспособности идеи можно аутентифицироваться на конкретном сервере первым ключом, потом вторым, после чего первый ключ сервером не должен приниматься. Для восстановления его работоспособности достаточно удалить и заново зарегистрировать рабочий ключ. Актуальное значение счётчика запоминается сервером во время регистрации ключа.

Ещё пару слов про безопасность

Ключ защищает от несанкционированного входа в аккаунт без ведома его владельца. При физическом наличии ключа у владельца. Если же ключ украли/отобрали, то это совсем другая история. Причём сильно разная, если ключ просто утерян, или была целенаправленная атака.

— Найденный на улице ключ можно использовать, т.к. защиты в виде пин-кода нет; однако нужно точно знать, от какой он двери. И ещё нужно знать первый фактор.

— Ключ на STM32F103 вполне реально клонировать, если нужно воспользоваться ресурсами хозяина, не привлекая его внимание. Для этого требуется токен незаметно изъять, разобрать, отпаять лишние элементы (или снять микроконтроллер), подключить Чип Шепчущий, и только тогда уже получить доступ к приватному ключу (если же чип не залочен — извиняйте, сами виноваты). Затем ключ-оригинал собрать «как было» и незаметно вернуть хозяину. Сценарий довольно специфичен и маловероятен. А параноикам могу предложить залить ключ эпоксидкой. Просто, надёжно, дополнительная механическая прочность, защита от влаги.

В любом случае, токен нужно беречь и не терять. Так же, как не нужно терять ключи от квартиры, машины или от сейфа, особенно если там деньги лежат…

Как использовать

Список сайтов, поддерживающих FIDO-авторизацию, приведен здесь: www.dongleauth.info.

Для использования ключа входим в личный кабинет (лк), переходим в настройки безопасности, включаем двухфакторную/двухэтапную аутентификацию, ищем в меню пункт, где можно зарегистрировать электронный токен, пробуем зарегистрировать. Если ок — ключом можно пользоваться. Если не ок — сорри.

Наш самопальный ключ вполне переваривают Mail.ru, Google, DropBox, GitLab. А лк Майкрософта ключ не принимает. Либо не нравится неизвестный сертификат, либо хочет FIDO2.

В ключе есть сертификат. А удалённый сервер сам решает, можно ли ему доверять. В особо ответственных случаях (например, лк в банке), сервер вполне может разрешить только доверенные-проверенные-брендовые ключи.

Протокол FIDO работает только через защищённое соединение https. И это логично, с небезопасным соединением использовать надёжную аутентификацию смысла нет.

p.s. Hемного о грустном…

Мировой кризис полупроводников докатился и до нашей барахолки. Голубые/чёрные таблетки, так же, как и ST-Link-донглы, за последние пару месяцев подорожали в разы. Особенно на оригинальном чипе от STM. Впрочем, в донгле ориинальные STM-чипы уже не найдёшь. И таблетки на клонах тоже пошли в массовую продажу. Как показывает практика, «экономика адаптируется», и даже если кризис закончится, цены уже не будут прежними.

Как альтернативу на ближайшее время предлагаю рассмотреть отладочные платы на основе STM32F401/411. Они ещё попадаются по вменяемой цене, иногда даже дешевле, чем F103-й. Вероятно старые запасы.

Отличие rutoken от простой флешки

Сообщений 7

#1 Тема от Gelik 2008-03-09 02:45:48

Отличие rutoken от простой флешки

Изучив описание устройства я выяснил, что rutoken аппаратно поддерживает только симметричный ГОСТ.

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПО, которое предоставляет собственный провайдер и специфичные утилиты.

Правильно ли я все понял?

#2 Ответ от Алексей Несененко 2008-03-11 12:25:08

Re: Отличие rutoken от простой флешки

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПО
Правильно ли я все понял?

Это два совершенно разных устройства похожие только своим формфактором и разъемом.

Основной задачей флешки является хранение больших объемов информации. На сегодняшний день это гигабайты.
Фактически для компьютера это диск.
Количество циклов перезаписи 10 тысяч.

Дополнительно есть ключи со встроенной радиочастотной меткой. Благодаря этой метке токены могут использоваться вместо смарт-карты для доступа в помещение.

#3 Ответ от Gelik 2008-03-11 14:34:24

Re: Отличие rutoken от простой флешки

Алексей, спасибо Вам за развернутый ответ.

Однако, еще раз поясню мои сомнения. В наше время бурно развиваются веб-сервисы, для доступа к которым используется протокол https ( SSL/TLS), т.е. основанные на шифровании с открытым ключем, поэтому особый интерес представляет сохранение в целости и сохранности приватных ключей. В моем понимании, ключ находится в «целости и сохранности», если он не покидает места своего хранения, т.е. токена.
Однако, если ваш токен аппаратно реализует только ГОСТ, то и безопасно хранить он может только ГОСТ. Остальные данные (RSA-ключи и т.п.), свободно путешествуют от токена к компьютеру и обратно и могут быть перехвачены, например, трояном.

Поэтому, с точки зрения хранения RSA-ключей, аналогом rutoken может являться флешка с установленной программой Truecrypt, например.

Изучая другие продукты, наткнулся на e-token r2 и думаю, что это является аналогом rutoken (или наоборот):
Линейка продуктов eToken R2, основанных на микроконтроллерной архитектуре.
. eToken R2 является защищённым носителем информации.
Причем, R2 снята с производства, как устаревшая.

Поправьте, если я не прав.

Планируется ли выпуск токена с аппаратной поддержкой RSA?

#4 Ответ от Николай Фатеев 2008-03-12 14:59:13

Re: Отличие rutoken от простой флешки

Очень хочется заметить следующее:
— даже в случае непокидания закрытым ключом (ЗК) места своего хранения остается возможность/вероятность «подсовывания» тем же трояном постороннего сообщения на подпись. Т.е. подобные устройства (токены) рассчитаны на то, что своему компьютеру Вы можете доверять.
— перехватить ЗК в процессе подписывания очень-очень сложно, нужна реально высокая квалификация ломщика
— в отличии от флэшки, память токена не может быть скопирована никоим образом без знания pin-кода. Сделать образ флэшки, насколько мне известно, можно.
— R2 действительно был ближе к Rutoken-у по архитектуре, чем Pro. Касательно его «устаревания» могу лишь заметить, что многие пользователи R2, после исчезновения его с рынка перешли именно на Rutoken, а не на «современный» eToken Pro.

Как скопировать ЭЦП с флешки или с компьютера: пошаговая инструкция

Как скопировать ЭПЦ с флешки на флешку:

Зачем копируют сертификаты ЭЦП на другой компьютер или флешку

Для удобства пользователей электронную цифровую подпись записывают на съемные носители (диск, флешка и т. п.) или компьютер. Вот как пользоваться ЭПЦ с флешки, токена или другого носителя:

Электронная подпись одновременно находится и на флеш-накопителе, на котором ее записали, и на компьютере — в той директории, куда ее установил пользователь. После установки и записи ЭП пользователь автоматически подписывает необходимые документы цифровым шифром. Но иногда требуется перенос ключей и сертификатов электронной подписи. Пользователи производят копирование ЭПЦ с флешки на флешку в следующих случаях:

Перенос потребуется и в том случае, если вы хотите обновить, модернизировать или переустановить операционную систему. Если не скопировать сертификат ЭЦП заранее, закодированная информация просто исчезнет с ПК.

Какие есть способы копирования

Существует несколько способов переноса. Предлагаем варианты, как скопировать ЭПЦ с компьютера на компьютер при помощи различных носителей:

Как скопировать средствами Windows

Это самый простой и быстрый вариант переноса информации. Но скопировать получится только те ключи, которые внесены в реестровую запись Windows. И еще одно условие — версия «КриптоПро» от 3.0 и выше.

Если вы пользуйтесь ЭЦП на дискете или обычной флешке (не токене), то скопируйте папки с закрытым и открытым (если он есть) ключами в корень накопителя. Наименование папок не меняйте. Для проверки откройте папку с закрытым ключом. Ее содержимое всегда выглядит так:

Другой вариант — копирование с помощью мастера экспорта сертификатов. Следуйте инструкции:

Шаг 1. Выберите ЭЦП для переноса. Как и где найти сертификат ЭПЦ на компьютере в операционной системе Windows:

В свойствах находите вкладку содержание и раздел «Сертификаты».

Шаг 2. Переходите в нужный раздел — во вкладку «Личные». Выбираете искомый контейнер. Необходимое действие — «Экспорт».

Шаг 3. Мастер экспорта сертификатов предложит экспортировать закрытый ключ вместе с сертификатом. Нажмите «Нет» и переходите дальше.

Шаг 4. В открывшейся форме выберите такой вариант.

Шаг 5. Выберите директорию, куда сохраните ключ (используйте «Обзор»).

Нажмите «Далее» и «Готово». Копирование завершено.

Используйте скопированную ЭЦП без подключения цифрового носителя.

Копирование с помощью «КриптоПро CSP»

Утилиты «КриптоПро» позволяют извлечь закрытый контейнер и перенести его и с флешки на флешку, и с компьютера на другой компьютер при помощи съемного носителя.

Пошаговая инструкция, как скопировать ЭПЦ с компьютера на флешку при помощи программы криптографической защиты.

Шаг 1. Заходим в «Пуск», затем в панель управления и переходим в «КриптоПро». Нам понадобится раздел «Сервис».

Шаг 2. Выбираем действие «Скопировать контейнер».

Шаг 3. В открывшемся окне заполняем имя ключевого контейнера (находим в списке реестра) и криптопровайдер (CSP) для поиска контейнера.

Шаг 4. Система потребует ввести пароль к закрытому ключу — вводим. Переходим в блок копирования контейнера.

Вводим имя нового ключевого контейнера. Определяем положение хранилища — «Пользователь» или «Компьютер».

Шаг 5. Выбираем носитель.

Вводим новый пароль (или ПИН-код для токена), подтверждаем и запоминаем его. Готово!

Одновременное копирование нескольких ключей

Если вам необходимо перенести на другой компьютер не одну ЭЦП, а несколько, то используйте способ массового копирования. Создайте на ПК новую ветку, скопировав точный путь с основного рабочего компьютера.

Пошаговый алгоритм, как ЭПЦ перенести с флешки на компьютер (для нескольких ключей).

Шаг 1. Определите Security Identifier или SID (идентификатор безопасности) вашего рабочего ПК. Введите такую команду: wmic useraccount where name=’(имя пользователя)’ get sid. Запомните код.

Шаг 2. Скопируйте контейнеры в файл. Зайдите в реестр и скопируйте действующую ветку: \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1… (подставьте SID)\Keys

Шаг 3. Найдите и экспортируйте ключевую папку — Keys.

Шаг 4. Вы скопировали ключевой контейнер, теперь переносим сертификаты ЭЦП. На диске C есть такая директория: C:\Users\ polzovatel\AppData\Roaming\Microsoft\SystemCertificates\My. Скопируйте ее.

В 2009 году закончила бакалавриат экономического факультета ЮФУ по специальности экономическая теория. В 2011 — магистратуру по направлению «Экономическая теория», защитила магистерскую диссертацию.

Инструкция по копированию ЭЦП с дискеты или флэшки на Рутокен

ИНСТРУКЦИЯ по копированию ЭЦП

с дискеты или флэшки на Рутокен

В соответствии с законом «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» владелец закрытого ключа ЭЦП несет персональную ответственность за его хранение!

Почему ключи раздают на дискетах

Дискета была и пока остается самым доступным и самым дешевым носителем, на который можно записать достаточно длинную ключевую комбинацию символов. Именно в силу своей дешевизны и простоты использования многие компании продолжают раздавать ключевую информацию, в т. ч. ключи ЭЦП, именно на дискетах, не смотря на то, что надежность дискет по современным меркам ниже удовлетворительной, а дисководы уже почти не встречаются.

Зачем нужен токен, зачем копировать ключи на токен

USB-токены гораздо надежнее, чем дискеты, защищены от воздействия физических факторов. Помимо этого, токены обеспечивают криптографическую защиту хранимой информации. В отличие от дискет для доступа к информации в памяти токена необходимо знать специальный pin-код. Еще одним существенным отличием USB-токенов от дискет является установка в системе специального драйвера.

Так зачем же копировать ключ ЭЦП с привычной дискеты на непривычный токен?

Причин несколько. Во-первых, это отсутствие дисковода на том компьютере, на котором будет работать обладатель ключа ЭЦП. Если еще можно найти оставшийся от давних времен компьютер, оснащенный дисководом, то ожидать, что на таком допотопном оборудовании осуществляются серьезные работы, уже будет чересчур смелым предположением.

Во-вторых, любой, кто сталкивался в своей жизни с дискетами, знает, что информацию на дискете лучше сразу же продублировать, ввиду крайней ненадежности этих самых дискет!

Ну и, в-третьих, украсть ключ ЭЦП с дискеты у неосторожного пользователя сможет даже школьник, в то время как считать информацию из памяти токена, не зная секретного pin-кода, практически невозможно.

Что нам для этого потребуется

Для копирования ключа ЭЦП с дискеты на токен необходимо, чтобы на компьютере присутствовали дисковод и usb-порт. Была установлена операционная система Windows XP, Vista, 7. Так же необходимо, чтобы был установлен КриптоПро CSP.

Как узнать версию КриптоПро CSP

Для начала необходимо определить версию установленного КриптоПро CSP. Для этого необходимо зайти в Панель управления и запустить плагин КриптоПро CSP. На закладке Общие будет указана версия продукта.

В зависимости от того, какая версия КриптоПро CSP (КриптоПро 3.6 или КриптоПро 3.0) установлена, дальнейшие действия по настройке КриптоПро CSP для копирования контейнера на токен будут несколько отличаться.

1. Очень важно правильно определить версию КриптоПро CSP!

В зависимости от того, какая версия КриптоПро CSP (3.0 или 3.6) установлена у пользователя, дальней-шие действия по настройке системы будут существенно отличаться!

2. При работе с контейнерами КриптоПро CSP на любых видах носителей во время операций с содержи-мым контейнеров ЗАПРЕЩАЕТСЯ отключать носитель от компьютера до завершения операции! В против-ном случае возможны необратимые повреждения содержимого контейнера!

Первый шаг зависит от версии КриптоПро CSP

a) Для КриптоПро 3.6 необходимо установить драйверы Рутокен: (http://**/hotline/instruction/drivers/).

b) Для КриптоПро 3.0 необходимо установить решение Рутокен для КриптоПро CSP:

(http://**/download/software/rtSup_CryptoPro. exe. zip).

Дальнейшие шаги инструкции не зависят от версии КриптоПро CSP

Скопировать контейнер с дискеты на Рутокен средствами КриптоПро CSP:

· В Панели управления компьютером запустите плагин КриптоПро CSP

· На закладке Сервис нажмите на кнопку Скопировать контейнер:

· В появившемся окне выбора контейнера нажмите на кнопку Обзор:

· В списке контейнеров укажите тот, который находится на дискете или флешке. Нажмите на кнопку ОК:

· В появившемся окне запроса введите пароль для выбранного контейнера, если он был назначен. Нажмите на кнопку ОК:

· Введите имя контейнера, который будет создан при копировании ваших данных на Рутокен. Нажмите на кнопку ОК:

· Подключите Рутокен к компьютеру.

· В появившемся окне выбора считывателей необходимо указать тот, к которому подключен Рутокен и нажать на кнопку ОК:

· В появившемся окне запроса введите Pin-код подключенного устройства Рутокен (по умолчанию: ). Нажмите на кнопку ОК:

· Дождитесь, пока произойдет копирование контейнера на токен (во время копирования индикатор на токене будет мерцать).

Зарегистрировать сертификат в локальном хранилище сертификатов

· Чтобы убедиться в том, что контейнер с сертификатом скопирован на Рутокен, в плагине управления КриптоПро CSP на закладке Сервис нажмите Просмотреть сертификаты в контейнере:

· В появившейся форме нажмите на кнопку Обзор и выберите контейнер на Рутокен, скопированный туда ранее, как описано в предыдущем разделе, нажмите на кнопку ОК:

· Нажмите на кнопку Далее:

· В открывшемся окне сертификата убедитесь, что данные верны и нажмите на кнопку Свойства:

· В открывшемся окне сертификата нажмите на кнопку Установить сертификат:

· Откроется мастер установки сертификата, в котором необходимо указать хранилище, в которое будет помещен ваш сертификат. Как правило, это Личное хранилище. Выберите нужные параметры и нажмите на кнопку Готово:

· Должно появиться сообщение об успешной установке сертификата.

· Закройте окно свойств сертификата:

Теперь вы можете пользоваться ключевой информацией, хранящейся на Рутокен, указывая соответствующий сертификат в хранилище.

Не устанавливается драйвер или решение Рутокен для КриптоПро CSP

Как пользоваться электронной подписью с флешки

Наиболее востребованным форматом носителя электронной подписи является рутокен — это специально разработанный флеш-накопитель, на котором записан закрытый ключ ЭЦП. Принципиальное отличие рутокена от обычной флеш-карты памяти заключается в том, что рутокен оснащен криптопроцессором, генерирующим открытую часть ключа, которая и применяется для подписи электронных документов.

Какие флешки подходят для хранения ЭЦП

Электронную цифровую подпись можно записать на несколько типов флешек, однако не все они отвечают требованиям безопасности.

Упоминая флешку для электронной подписи, сегодня подразумевается именно «Рутокен 2.0» — USB-носитель с возможностью генерации открытого ключа подписи. Аккредитованные удостоверяющие центры выдают сертификаты усиленной электронной подписи именно на носителях такого типа.

Как работает USB-токен

Принцип работы USB-токенов строится на взаимосвязи открытой и закрытой частей ключа электронной подписи, первая из которых доступна только владельцу сертификата. На самом токене записывается закрытая часть ключа. Доступ к нему возможен только при наличии секретного кода, известного владельцу подписи. При необходимости завизировать электронный документ в действие вступает специализированное программное обеспечение, предустановленное на персональный компьютер владельца подписи. С помощью данной программы генерируется открытая часть ключа, которая интегрируется в подписываемый документ или прикрепляется к нему в виде отдельного файла.

Копия открытого ключа хранится в удостоверяющем центре, выдавшем сертификат ЭЦП. Это сделано для того, чтобы была возможность разрешить споры, касающиеся подлинности сертификата.

Использование USB-токена

Для того чтобы применять ЭЦП с USB-токена, необходим криптопровайдер — специальное программное обеспечение, с помощью которого можно проверить актуальность используемой электронной подписи. При необходимости применения ЭЦП на электронных площадках в интернете используется специальный плагин для браузеров, позволяющий получить доступ к системам электронных торгов и государственных тендеров на аккредитованных виртуальных площадках.

Для работы с электронной подписью необходимо также выполнить некоторые требования, касающиеся версии ПО на стационарном ПК, с которого будет производиться работа. Так, операционная система Windows должна быть как минимум седьмой редакции (Windows 7) или более поздних версий, а документы для подписания должны редактироваться в Microsoft Office версии 2007 или старше. Допускается использование Microsoft Office версии 2003 года, но в данном случае функционал будет ограничен. В отношении браузеров ограничений практически нет, однако специалисты рекомендуют использовать Google Chrome последней версии или Internet Explorer версии 9.0 или более поздние.

Как установить сертификат на ПК

USB-носитель ЭЦП (флешка или рутокен) — физическое устройство, которое имеет определенный ресурс использования и может быть механически повреждено, как и любая другая техника. Если для подписи документа постоянно использовать флеш-накопитель, то срок его использования значительно уменьшается, а риск выхода из строя возрастает. Во избежание ненужных рисков была создана альтернатива постоянному применению носителя ЭЦП — интеграция открытой части ключа в операционную систему ПК. Если ключ установлен, то подписать документ можно и без использования физического носителя электронной подписи.

Алгоритм установки ЭЦП на ПК:

Далее для вступления внесенных в систему изменений в силу необходимо перезагрузить ОС, после чего в списке сертификатов в контейнере можно будет увидеть установленный ключ ЭЦП.

Как использовать ЭЦП для подписания документа с флешки

Если подписание документов производится нечасто, то можно использовать электронную подпись и без установки сертификата на ПК, но наличие актуальной версии криптопровайдера на компьютере при этом все равно обязательно.

Алгоритм действий для подписания документа с рутокена:

Для подписания документа в одном из форматов Microsoft Office в ОС должен быть инсталлирован плагин, который можно скачать на официальном сайте криптопровайдера. Для визирования документа в формате PDF требуется предустановленный Adobe Reader версии 8 и старше. В данных случаях установка открытого ключа в ОС не требуется — открытая часть ключа будет сгенерирована программой-криптопровайдером, а после использования удалена с жесткого диска автоматически.

Применение ЭЦП для электронных торгов

Для работы с электронными торговыми площадками в веб-браузерах необходим специальный плагин. Как правило, при установке плагин интегрируется во все установленные в системе обозреватели, совместимые с ним, но при необходимости устанавливается только для определенного конкретного браузера. После установки плагина браузер должен быть перезагружен, чтобы внесенные изменения вступили в силу.

При работе на электронных площадках ЭЦП нужна для подтверждения заявок на участие в аукционах, оформлении заявок на проведение торгов и заключения сделок. Предустановленный плагин позволяет автоматически заверять электронные пользовательские запросы — сайт, на котором проводится работа, сам обращается к инсталлированному плагину. В диалоговом окне криптопровайдера необходимо указать источник подписи — вставленный в USB-порт рутокен. Дальнейшие процедуры по генерации открытой части ключа и идентификации личности пользователя ЭЦП выполняются автоматически.

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

Методика тестирования

Проведение тестирования

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Как скопировать ЭЦП на компьютер

Из нашей статьи вы узнаете:

Электронная подпись — это средство шифрования электронных документов. С помощью ЭЦП можно узнать, кто подписал документ, а также защитить его от нежелательных изменений. Электронную подпись можно приобрести в Удостоверяющем центре. УЦ выдаёт покупателю сертификат, который состоит из закрытого и открытого ключей, а также содержит информацию о владельце ЭЦП.

Сертификат электронной подписи хранится на физическом носителе — USB-токене, который внешне напоминает флешку. Но подписывать документы можно и без подключения носителя к компьютеру. Для этого нужно скопировать сертификат ЭЦП с флешки на компьютер. В статье — подробная инструкция, как это сделать.

Копируем сертификат ЭЦП через КриптоПро CSP

Этот способ подходит для ОС Windows.

Шаг 2. Откройте приложение КриптоПро CSP и выберите вкладку «Сервис».

Шаг 3. Найдите раздел «Контейнер закрытого ключа» и нажмите на кнопку «Скопировать».

Шаг 4. Откроется окно «Копирование контейнера закрытого ключа». В нём нажмите на кнопку «Обзор».

Шаг 5. Из списка контейнеров выберите тот, что установлен на флешку-токен и нажмите «ОК».

Шаг 6. Придумайте название для нового контейнера закрытого ключа и нажмите «Готово».

Шаг 7. Откроется окно «Выбор ключевого носителя КриптоПро CSP». Чтобы использовать реестр Windows, выберите опцию «Реестр» и нажмите «Готово».

Шаг 8. Для того чтобы защитить вашу электронную подпись от использования посторонними, придумайте пароль и введите его в поля на экране.

После этого появится сообщение о том, что сертификат успешно скопирован в локальный реестр. Нажмите «ОК».

Шаг 9. Снова откройте КриптоПро CPS, найдите раздел «Сертификаты в контейнере закрытого ключа». Выберите «Просмотреть сертификаты в контейнере».

Шаг 10. В открывшемся окне нажмите на кнопку «Обзор». В списке найдите новый контейнер по считывателю «Реестр» и по заданному вами названию.

Шаг 11. Выделите нужный контейнер и нажмите «ОК».

Шаг 12. Появится окно с информацией о сертификате, где указаны владелец ЭЦП, поставщик и срок действия. Проверьте информацию и нажмите «Установить».

Шаг 13. Если установка прошла успешно, появится уведомление о том, что сертификат установлен в хранилище «Личное». Нажмите «ОК».

Копируем сертификат ЭЦП через «Инструменты КриптоПро»

Этот способ можно использовать на операционных системах Windows и MacOS.

Шаг 1. Откройте приложение «Инструменты КриптоПро» и выберите вкладку «Контейнеры».

Шаг 2. Выберите носитель, на который записан сертификат ЭЦП — то есть, USB-флешку. Нажмите на кнопку «Скопировать контейнер».

Шаг 3. В открывшемся окне выбора нового носителя для сертификата выберите опцию «Реестр» и нажмите «ОК».

Шаг 4. Вернитесь к списку контейнеров. Выберите тот, что скопировали, по считывателю Registry и нажмите на кнопку «Установить сертификат».

Шаг 5. Когда появится уведомление о том, что сертификат успешно установлен, вытащите флешку из разъёма компьютера и проверьте, как работает ваша ЭЦП без токена.

ЭЦП можно установить на рабочий компьютер или ноутбук, и она будет работать без физического носителя. Вы можете сделать это самостоятельно или обратиться за помощью к нашим специалистам.

«Астрал-М» выпускает электронные подписи для физических лиц, индивидуальных предпринимателей и организаций. С нашей подписью можно вести электронный документооборот, участвовать в электронных торгах, сдавать отчётность и работать на государственных порталах. Чтобы приобрести подпись, заполните форму обратной связи, и наш специалист свяжется с вами.