Как сохранить файл ключей

Обновлено: 07.07.2024

Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:

  • наименование средства ЭЦП;
  • наименование УЦ, которое выпустило сертификат;
  • данные о датах начала и завершения действия ЭЦП;
  • ключ для выполнения проверки ЭЦП;
  • сведения об актуальной точке списка отозванных сертификатов (СОС).

Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.

В общем случае сертификат ЭЦП состоит из трех компонентов:

  • закрытый ключ (служит для формирования уникальной ЭЦП при подписи каждого документа);
  • открытый ключ (служит для контроля подлинности подписи автором);
  • внесенные в систему данные о владельце.

Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.

Как произвести копирование сертификата с Рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

  • Рутокен;
  • съемный диск любого типа;
  • реестр компьютера.

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Как выполнить копирование сертификата с Рутокена через КриптоПРО

Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:

  • запускаем КриптоПРО CSP через панель управления вашего ПК;
  • переходим на вкладку «Сервис»;
  • нажимаем кнопку «Просмотреть сертификаты в контейнере»;
  • находим через кнопку «Обзор» и в списке ключевых носителей выбираем необходимый;
  • подтверждаем выбор клавишей ОК;
  • нажимаем кнопку «Далее» (на этом этапе может понадобиться ввод PIN-кода, который в статусе «по умолчанию» для ruToken составляет 12345678, а для eToken 1234567890);
  • в открывшемся новом окне выбираем «Свойства» и переходим во вкладку «Состав»;
  • нажимаем «Копировать в файл…» и в мастере сертификатов нажимаем «Далее»;
  • помечаем, что нам не нужно экспортировать закрытый ключ, выбрав соответствующую опцию;
  • выбираем необходимую кодировку (DER X.509);
  • определяем место хранения копии и дополнительно подтверждаем его кнопкой ОК (менять название папки не следует);
  • вводим дважды пароль для копии и подтверждаем его кнопкой ОК.

В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.

Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.

Проведение копирования контейнера с помощью встроенных средств операционной системы Windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

  • header:
  • masks;
  • masks2;
  • name;
  • primary;
  • primary2.

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Как выполнить копирование ЭП из реестра

Внимание!

Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

  • для 32-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера с ЭЦП*; (HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\\Keys\)
  • для 64-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера ЭЦП*. (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\\Keys\)

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

  • выделите интересующую папку и правой кнопкой мыши вызовите контекстное меню;
  • выполните команду «Экспортировать»;
  • введите название файла и сохраните его;
  • скопируйте полученный файл на жесткий диск компьютера, где планируете организовать рабочее место обычным способом;
  • откройте скопированный файл реестра (формат .reg,), через «Блокнот» или иное аналогичное приложение;
  • измените в открытом файле SID* пользователя (он имеет аналогичный формат и обычно расположен в третьей строке сверху);
  • добавьте после папки Software дополнительно Wow6432Node в случае, если копирование идет из Windows 32-бита в версию с 64-бита;
  • сохраните все изменения;
  • выберите опять файл реестра;
  • произведите «Слияние», выбрав этот пункт в контекстном меню.
*Примечание:

Выгрузка личного сертификата с исходного компьютера: Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

Как перенести нужный контейнер на Рутокен из другого источника

В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:

  • переходим на вкладку «Сервис»;
  • нажимаем на кнопку «Скопировать»;
  • выбираем нужный нам контейнер с помощью кнопки «Обзор»;
  • нажимаем кнопку «Далее»;
  • вводим PIN-код;
  • указываем наименование контейнера, который будет находиться на токене;
  • выбираем актуальный носитель;
  • вводим пользовательский PIN-код Рутокена;
  • нажимаем для контроля копирования кнопку «Просмотреть сертификаты контейнера» во вкладке Сервис.

Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.

Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:

  • запустите браузер Internet Explorer (версия, как минимум 8.0);
  • перейдите в настройках во вкладку «Свойства браузера» (раздел «Сервис»);
  • перейдите теперь на вкладку «Содержание»;
  • кликните по пункту «Сертификаты»;
  • выберите лишний сертификат и после этого нажмите на кнопку «Удалить»;
  • подтвердите действие.

Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:

  • запустите программное обеспечение;
  • перейдите теперь на вкладку «Сервис»;
  • выберите раздел «Удалить» или «Удалить контейнер» (название зависит от конкретной версии программного обеспечения);
  • выберите в окне сертификат, от которого вы хотите избавиться;
  • подтвердите действие, нажав кнопку «Готово».

Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.

При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.

Электронную цифровую подпись традиционно записывают на токен в виде USB-карты, что позволяет использовать ее на разных компьютерах и не зависеть от одного рабочего места. Однако необходимость скопировать ключи и сертификаты может появиться в следующих случаях:

  • желание скопировать информацию для защиты данных и предотвращения потери сведений по причине выхода из строя токена;
  • необходимость работы одновременно на нескольких компьютерах;
  • использование облачного сервера, где доступ к ЭЦП получит несколько пользователей;
  • необходимость переустановки операционной системы, где на жестком диске есть цифровая подпись.

Способы копирования ЭЦП

Сегодня доступно копирование цифровой электронной подписи следующими способами:

  1. с помощью стандартных инструментов OS Windows (здесь экспорт идет из реестра операционной системы);
  2. с использованием возможностей КриптоПро CSP;
  3. с помощью массового копирования.

Как выполнить копирование ЭЦП средствами Windows

Это самый оперативный и простой вариант переноса данных, который сработает только в отношении ключей, находящихся в реестре операционной системы. Также понадобится установленная программа КриптоПро в версии не ниже 3.0. Для выполнения операции выполните следующие действия:

    Перейдите в раздел «Сертификаты» вашего браузера, находящийся в его свойствах

Раздел «Сертификаты»

Выберите копируемый сертификат

Нажмите «Нет»

Выберите нужный формат файла сертификата

Директория для сохранения ключей

Копирование ключа

Теперь можно использовать электронную подпись без носителя ключа.

Как экспортировать ЭЦП с помощью КриптоПро CSP

Утилита позволяет записать контейнер на другой ПК или флешку. Сделать это можно следующим образом:

    Откройте раздел «Сервис» в программе и выберите пункт «Скопировать контейнер».

Пункт «Скопировать контейнер»

Указываем имя контенйнера

Выбор ключевого контейнера

Ввод пароля

Указываем имя обновленно контейнера

Указываем новый PIN

Возможность копирования контейнера доступна только при наличии активного параметра «Экспортируемый», который должен быть выбран ещё на стадии генерации ЭЦП. В противном случае система выдаст только ошибку.

Массовое копирование ключей

Способ позволяет за один раз перенести на другой компьютер несколько цифровых подписей одновременно. Для этого на компьютере создайте новую ветку и скопируйте путь с основного рабочего ПК. Сам процесс копирования идёт следующим образом:

  1. Определите SID-идентификатор ПК с помощью команды wmic useraccount where name=’name user; get sid (полученный код надо запомнить).
  2. Копируйте ветку из реестра, которая расположена по адресу \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1…ХХХ\Keys, где ХХХ — полученный выше код.
  3. Экспортируйте папку Keys, где находятся ключи.

Экспортируем папку Keys

Если не получилось скопировать

Процесс переноса электронной подписи с компьютера на флешку любым из предложенных способов обычно проходит без ошибок. Однако в некоторых случаях сохранить ЭЦП не удаётся — возникает «Ошибка копирования контейнера».

Если появилась ошибка, то владельцу подписи нужно обратиться в удостоверяющий центр, который выдал данную электронную подпись. Невозможность копирования контейнера свидетельствует о том, что ключ защищён и нужно получить его копию.

Где оформить ЭЦП и получить помощь

Если для работы вам необходима цифровая электронная подпись, то обращайтесь в УЦ «Астрал-М». Мы специализируемся на оформлении ЭЦП любого типа, предлагая следующие преимущества:

  • оперативное выполнение заказа;
  • широкий выбор тарифных планов с возможностью подключения дополнительных опций;
  • помощь в подборе оптимального плана с учетом специфики работы заказчика;
  • консультации по вопросам подготовки документов.

Для оформления ЭЦП оставьте заявку на сайте, заполнив форму обратной связи, или свяжитесь с нами по телефону. При необходимости возможно открытие подписи в офисе клиента и в ускоренном формате.

Квалифицированная электронная подпись состоит из открытого и закрытого ключа. Обе составляющие создаются с помощью криптографических алгоритмов. Для работы с КЭП нужно использовать оба ключа — каждый из них выполняет свою функцию.

Что такое открытый ключ ЭЦП

Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:

срок действия сертификата;

реквизиты удостоверяющего центра;

ФИО владельца сертификата;

название криптографического алгоритма;

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.

Инструкция как экспортировать открытый ключ

Экспортировать открытый ключ электронной подписи можно через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.

Экспорт открытого ключа через свойства обозревателя

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «Свойства обозревателя (Свойства браузера)».

2. Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».

3. В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».


Экспорт

4.В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

5. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

6. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».

Экспорт открытого ключа из КриптоПро CSP

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

2. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере».

4. В окне «Сертификат для просмотра» нажмите кнопку «Свойства».


Свойства

5. Перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».

6. В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

7. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

8. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».

Что такое закрытый ключ ЭЦП

Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания защищённой части электронной подписи.

Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.

Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.

Как и в случае с сертификатом, закрытый ключ может быть как скрыт так и виден, в зависимости от носителя. Он представлен в виде папки, которая содержит несколько файлов с расширением .key, поэтому закрытый ключ также называют контейнером. Скрытый контейнер с закрытым ключом нужно экспортировать, чтобы получить к нему прямой доступ.

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».

Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.

Введите название копии закрытого ключа и нажмите «Готово».

В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.

Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.

Открытый и закрытый ключи квалифицированной электронной подписи выполняют разные функции, но для работы нужны обе части. В некоторых случаях владельцу ЭЦП нужно сделать экспорт на другой носитель, воспользоваться он может как средствами Windows, так и криптопровайдером КриптоПро CSP.

Файл ключей для WebMoney Keeper Classic

Файл ключей является специальным файлом, предназначенным для программы WebMoney Keeper Classic. Он содержит секретные данные и предназначается для осуществления доступа к WMID, используя один из вариантов входа в Кипер – способ Этот компьютер. Он имеет расширение kwm (символы после вида файла, а также точки). Его размер всегда составляет 164 байта. Для обеспечения дополнительных мер безопасности файл ключей пользователь закрывает собственным паролем, который он устанавливает лично.

Существуют также более ранние версии программы WebMoney Keeper Classic, где файл ключей был обязательным и служил для входа в Кипер. В данный момент основным способом входа в кошельки считается E-num Storage, а файл ключей – всего лишь один из вариантов.

Когда WebMoney Keeper Classic работает в обычном режиме, он не запрашивает файл ключей. Вводится WMID, пароль и начинается работа. Однако, в случаях, когда Вы:

  • производите переустановку Windows, или меняете учетную запись при входе;
  • производите изменение технических параметров компьютера;
  • меняете при входе компьютер;
  • и так далее,

то программа, за исключением WMID-а, а также пароля для входа, будет запрашивать у Вас файл ключей и пароль к нему.

Файл ключей и пароль к нему можно сравнить с общегражданским паспортом, который имеет каждый человек. Его не нужно постоянно показывать, носить с собой, но бывают случаи, когда он необходим.

Очень важно, чтобы вашим файлом ключей и паролем к нему не смог завладеть никто их посторонних. Советуем для хранения информации использовать такие надежные сменные носители как CD, или же Flash-карта. Скопируйте данные сразу на несколько носителей.

Не менее бережно следует хранить и пароль к данному файлу, ведь без него файл ключей утрачивает смысл. Поскольку пароль можно задать только локальным способом, система WebMoney Transfer его не отображает. Следовательно, восстановить его Вам уже никто не поможет.

Что нужно для создания/получения файла ключей?

Читайте также: