Токены для ФНС: какие бывают и как выбрать

Записки IT специалиста

• Автор: Уваров А.С.
• 21.09.2020

КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Если вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.

В повседневной деятельности широко распространено понятие «сертификат», им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: «нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты». Но если подходить с точки зрения криптографии, то слово «сертификат» в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.

Закрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.

Открытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.

Поэтому, когда мы говорим о переносе «сертификатов», то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.

Выяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.

Требования к USB-токенам

Удостоверяющий центр ФНС России может записать сертификат электронной подписи только на носитель, соответствующий требованиям:

1. Токен сертифицирован Федеральной службой по техническому и экспортному контролю России или Федеральной службой безопасности России. Покупая токен, вы можете запросить сертификат подлинности. Он подтверждает, что модель устройства сертифицирована.
2. Носитель имеет формат USB тип-A. Это, например, Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), JaCarta LT, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PKI, ESMART Token, ESMART Token ГОСТ.

Некоторые удостоверяющие центры продают смарт-карты. Я могу записать электронную подпись на нее?

Если вы выпускаете подпись в удостоверяющем центре ФНС России или у ее доверенного лица — нет. Требования к токенам четко прописаны ФНС России.

То же самое касается использования облачной подписи.

Смарт-карта выглядит как банковская карта. Чтобы ей пользоваться, нужно покупать считыватель. Сейчас выпускают смарт-карты с NFC модулем — ими можно пользоваться, приложив к компьютеру или телефону.

Оформить подключение

Заполните приведенную ниже форму и наши специалисты свяжутся с вами в ближайшее время для подключения к системе «Контур Экстерн»

105005, г. Москва,
наб. Академика Туполева, дом 15, строение 2
(Бизнес-центр «Tupolev Plaza»),
2 этаж, офис 38.

Первый способ очистки Рутокена от старых сертификатов

Все сертификаты можно очистить при помощи форматирования устройства. После данной процедуры кроме сертификатов удаляются также все объекты, внесенные на устройство с момента выпуска. После форматирования требуется повторная инициализация Рутокена.

Порядок действий при очистке Рутокена:

• На вкладке «Администрирование» открыть панель управления Рутокен;
• Выбрать пункт «Ввести PIN-код» — откроется диалоговое окно предоставления доступа к системе;
• Выбрать режим администратора и ввести HIN администратора (по умолчанию это 87654321);

После успешной авторизации появится доступ к кнопке «Форматировать», с помощью которой вызывается диалоговое окно параметров форматирования — в нём нужно указать корректные параметры, запустить процесс при помощи кнопки «Начать». Подтверждается запуск нажатием «ОК» в дополнительном модальном окне.

Внимание! Нельзя форматировать Рутокен полученный из Удостоверяющего центра совместно с электронной подписью — если это сделать электронная подпись навсегда уничтожится.

Процесс очистка рутокена в иллюстрациях можно посмотреть погуглив фразу Выполнить форматирование Рутокен | СБИС Помощь.

Как экспортировать открытый ключ

128 128

Согласно википедии сертификат открытого ключа он же файл открытого ключа, электронная цифровая подпись, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации.

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

Для того чтобы обмениваться зашифрованными сообщениями, сначала нужно обменяться сертификатами открытого ключа. Сообщение шифруется с помощью открытого ключа получателя и расшифровывается его закрытым ключом.

Экспорт файла открытого ключа можно осуществить следующими способами:

1. Экспорт из хранилища Личные:

• Для этого выбрать в настройках браузера (например Internet Explorer) Настройки / Свойства обозревателя/ Содержание и нажать на кнопку Сертификаты.

• Найти нужный сертификат и нажать Экспорт.

Если в списке отсутствует нужный сертификат, необходимо перейти к пункту 2.

• В окне Мастер экспорта сертификатов нажать на кнопку Далее. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее.

• В окне Формат экспортируемого файла выбрать Файлы X.509 (.CER) в кодировке DER и нажать на кнопку Далее.

• В следующем окне необходимо кликнуть Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить.

• В следующем окне нажать на кнопку Далее, затем Готово.Дождаться сообщения об успешном экспорте.

2. Экспорт файла открытого ключа с помощью КриптоПро CSP:

• Выбрать меню Пуск / Панель управления / КриптоПро CSP. Перейти на вкладку Сервис и нажать на кнопку Просмотреть сертификаты в контейнере.

• В открывшемся окне нажать на кнопку Обзор, чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку ОK.

• В следующем окне кликнуть по кнопке Далее.

Если после нажатия на кнопку Далее появляется сообщение В контейнере закрытого ключа отсутствует открытый ключ шифрования, необходимо перейти к пункту 3.

• В окне Сертификат для просмотра необходимо нажать кнопку Свойства в открывшемся файле сертификата следует перейти на вкладку Состав и нажать кнопку Копировать в файл.

• Далее следуем инструкции Мастера экспорта сертификатов нажимая Далее — Нет, не экспортировать закрытый ключ — Далее выбираем Файлы X.509 (.CER) в кодировке DER и снова Далее.
• В следующем окне необходимо кликнуть по кнопке Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить.

• В следующем окне нажать на кнопку Далее, затем Готово.

• Дождаться сообщения об успешном экспорте. Закрыть все окна программы Крипто Про.

3. Если экспортировать сертификат не удалось ни первым, ни вторым способом, то для получения файла открытого ключа следует обратиться в службу технической поддержки удостоверяющего центра, где был получен ваш сертификат. Информацию об удостоверяющем центре можно посмотреть в самом сертификате.

После экспорта файла открытого ключа мы можем переслать его тому человеку, с которым планируем обмениваться зашифрованными сообщениями.

Для того чтобы зашифровать документ вам потребуется КриптоПРО CSP и КриптоAPM . Дополнительных настроек, кроме размещения файла сертификата открытого ключа в хранилище Сертификаты других пользователей, как правило не требуется.

Если инструкция показалась вам полезной -делитесь ей, кнопки для этого вы найдете прямо под статьей.

Выполнение записи с флеш-накопителя напрямую, если нет открытого ключа

Ряду пользователей помогло копирование информации с флеш-накопителя, на который первоначально записывался контейнер, на другой флеш-накопитель. Если вы копируете данные с базовой флешки на ПК, а потом на флеш-накопитель, то вы можете столкнуться с приведённой нами ошибкой. Попробуйте выполнить копирование данных напрямую с одного накопителя на другой.