Comments 78
Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат «как для ЕГАИС»), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
…
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.
Совсем забыл, если пользуетесь МоёДело, то перед подписанием документов в этом сервисе нужно запустить их plugin (он устанавливается в Docker контейнер выше)
# запускаем моё дело plugin в контейнере (фоновой задачей)
/usr/share/moedelo.plugin/StekTrustPlugin &
# запускаем firefox как обычно
firefox
Сарказм: Да тут все элементарно для среднестатистического ипшника! Всего-то пару комманд и все работает.
Запилили бы лучше готовую флешку с которой грузишься и все работает, а не вот это все
Спасибо большое, годная и актуальная статья! Ведь со следующего года будет ЕНС и многим прибавится суеты с подачей уведомлений об авансовых платежах и т.д. В налоговую не набегаешься.
Настроить КриптоПро на своём рабочем месте
Ага, еще нужно купить лицензию :D
Но на самом деле статья очень даже актуальная!
лицензия на крипто сейчас в большинстве случаев уже вшита в серт, это можно проверить если открыть серт через крипто, там будет поле что используется неисключительная лицензия на криптопро
Пруф, пожалуйста, в студию.
PS: Сертификат не привязывается к конкретному криптопровайдеру, как бы. Тут не только криптопро.
у меня нет сертов, вы же специалист, можете открыть любой серт и посмотреть данные, если есть поле про лицензию, значит отдельно лицензия на крипто не нужна, ключ будет работать до окончания срока действия
Под Linux это выглядит так:
# certmgr -export -dest mine.crt -container '\\.\Aktiv Rutoken ECP 00 00\0c686f35c-328c-0cf8-e404-900dcf68a53'
...
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 07/11/2022 07:51:47 UTC
Not valid after : 07/02/2024 08:01:47 UTC
Embedded License : CryptoPro CSP
PrivateKey Link : Yes
Container : \\.\Aktiv Rutoken ECP 00 00\0c686f35c-328c-0cf8-e404-900dcf68a53
...Спасибо, почитаю
Посмотрел все ЭЦП в нашей организации и ни в одной нет лицензии КриптоПро, сдаётся это только отдельные конторы так делают
не в курсе кто как делает, по отчетности практически все операторы основные, тензор и контур делают уже давно, лицензию на крипто встраивают, ключи неэкспортируемые на токенах, подпись используется одна практически на всех ресурсах кроме ЕГАИС, на ИГАИС если пивом торгуют нужно рутокен от ФСБ беленький или красненький, он дороже стоит.
надо читать закон "Об электронной подписи", там много интересного, но я знаю случаи когда его не очень то соблюдают, пока санкций нет, у бюджетников я видел новые ключи от казначейства экспортируемые на флэшках, какие для бюджетников требования я не знаю, может им можно что-то, что другим запрещено.
Вот специально открыл сертификат, который выпустило казначейство, нету там встроенной лицензии, и?
а вот и АО "ПФ "СКБ Контур" нашел, тоже нету встроенной лицензии
свежий серт?
Если криптопро уже есть, можно попросить и выставить счет на серт без крипты. По умолчанию добавляют, но если ЭЦПшек несколько - дешевле криптопро купить отдельно и экономить.
откуда у вас такая информация? емнип по закону ЭЦП бесплатны, клиент оплачивает стоимость носителя и услуги по сопровождению, о чем прямо написано в счете на оплату, но формулировки могут быть разные https://i.imgur.com/INEcgKK.jpg
Что мы там должны увидеть? Открыл, почитал, купите лицензию на криптопро... странные у вас доводы.
эм... у вас какой-то особенный сертификат? нету такого
А под Windows это выглядит так:
Вот открыл сертификат выпущенный "Казнчеством России" и нету там ограниченной лицензии Криптопро
смотрите ключи от ФНС
Все сейчас в Казначействе получают ЭЦП, а в их сертификатах не вижу ограниченной лицензии.
еще раз повторяю, смотрите серты от частных уц или фнс, у бюджетников свой путь, им выдавали серийники с дистрами крипто и обновы для них на дисках, по одной копии минимум у них есть, хотя многие об этом просто не знают, пока точно не скажешь что искать, у них и квесты постоянные с отчетностью что они все поставили и настроили и все нормально функционирует
Разговор был про
лицензия на крипто сейчас в большинстве случаев уже вшита в серт
и лишь о том, что не в большинстве случаев. У нас лицензия есть, на 5ку, поэтому у меня лично необходимости нет. Однако, через нас проходит множество сертификатов частных компаний и пока что большая часть выпущена Казначейством, по крайней мере у нас в городе.
я за последний год работы ни разу не видел ЭЦП без лицензии крипто про, у нас уц другие подписи давно не генерирует, "в большинстве случаев" я написал только потому что есть исключения в виде бюджетников, у них свои заморочки, так что да, я написал все верно, по поводу того что казначейство выдает ключи н=частникам я не в курсе, всегда думал что они работают только с бюджетниками, но вам как специалисту виднее, я с ними не контактирую
PS: Сертификат не привязывается к конкретному криптопровайдеру, как бы. Тут не только криптопро.
Увы, но криптоконтейнер на токене используется собственного формата у КриптоПро т.е. решение привязано к единственному криптопровайдеру - КриптоПро. Выбора нет т.к. ФНС создаёт криптоконтейнер на токене.
Сейчас уже сертификаты выдает налоговая, там тоже есть лицензия Криптопро?
Спасибо большое за статью!
боюсь словить минуса, но нафига контейнер? Неужели так трудно поставить криптопро парой команд и сертификаты тоже парой?
Ставим на астру, пробовали ещё на убунте.
Нюанс - для установки любого(!) количества ЭП парой команд нужно предварительно положить сертификат в свой контейнер.
А под windows написали небольшую программку, которая получает GUID текущего пользователя, а дальше аналогично просто.
Всё это полностью не автоматизирует установку и обновление криптопро-плагинов-ЭП, но заметно ускоряет.
ну например для дистров, которые не deb rpm based, таких много, у меня например arch, сборки готовой нет, можно попробовать сконвертировать через debtap, но не ясно что получится на выходе и будет ли оно работать, может быть все таки создатели разных дистров придут когда нибудь к общему формату пакетов, но пока до этого далеко
Почти год пользуюсь под Arch-ем:
Arch Linux. КриптоПро 5.0 + Рутокен ЭЦП 2.0 + IFCPlugin ГосУслуги + КЭП ФНС
Что мешает доустановить КриптоПро 5.0 в "docker pull archlinux/archlinux:latest", создать самому rootfs и гонять через systemd-nspawn?
нет необходимости, я настраиваю ЭЦП на удаленке, но сам не пользуюсь
по крипто в ауре: "ОШИБКА: Исходные файлы не прошли проверку целостности!
-> ошибка сборки: cryptopro-csp-k1"
но это не особо проблема, для себя я бы все настроил, арч просто как пример, пакетников у разных дистров много, как я выше написал крипто не выпускают в виде универсального пакета для всех дистров
К слову о новых "не экспортируемых" сертификатах
Терминальный сервер Windows. Текущий сертификат на сервере в реестре.
Делается запрос в ФНС для генерации ключа на основе имеющегося. .... Процесс запроса, валидации, выдачи. Сохраняем в реестр. Ключ не экспортируемый. Но мы то знаем, как это решается:) В итоге имеем .reg файл с нужным сертификатом, который ставим куда хотим и сколько хотим раз. Все how to были найдены в интернете.
да и с рутокенов эти неэкспортируемые сертифкаты вытаскиваются в пару кликов.
Опишите как это сделать?
тоже интересно
Можно найти описание процедуры под Windows
При помощи официальной Утилиты проверки Рутокенов версии 3.4.2 экспортируют содержимое токена на флешку или в реестр (включая закрытую часть ключа)
При помощи CertFix.001121.exe от Контура снимают блокировку экспорта с сертификатов.
Копируют куда угодно.
Если есть нечто подобное под Linux, опишите пожалуйста.
p.s. спрашивать где взять вышеупомянутые утилиты смысла нет т.к. похоже их активно прячут, по понятным причинам.
утилита от контура копирует на съемный носитель, в реестр нет, копируются только серты на синих токенах, те которые подороже от ФСБ вроде бы не копируются
Да, для максимальной безопасности ваших закрытых ключей нужно генерировать ключи на Рутокен ЭЦП 2.0 2100, серт. ФСБ, используя библиотеку PKCS#11 (формат «как для ЕГАИС»), тогда они будут неизвлекаемыми и, действительно не покинут память токена. Их нельзя будет ни перехватить, ни скопировать.
…
Если на Рутокен из семейства ЭЦП будет сгенерированы пассивные ключи формата КриптоПро CSP, как на Рутокен Lite, они так же будут извлекаемыми. В ФНС проставляют запрет экспорта, который будет запрещать копирование штатными средствами.
Насколько я помню, до сентября продлен срок использования сертификатов не от ФНС.
И ИМХО как раз смысл подписи установленной локально, так больше вероятность что ее не стырят
так суть же не в стырят, а в том, что это аналог рукописной подписи руководителя, а если ЭЦП можно установить локально куда-то в реестр, то ее и размножить можно всем кому не лень, а отвечать за ее использование где не надо потом придется владельцу (руководителю), думаю неэкспортируемость подписей начали добавлять примерно с таким мотивом.
Насколько я помню, до сентября продлен срок использования сертификатов не от ФНС.
Насколько я понял из общение с сапортом Контура, это касается только ЭЦП сотрудников — на руководителя организации с 01.01.2022 выпускают только ФНС-ную подпись.
Вот тут можно почитать подробнее на сайте Контура: ca.kontur.ru/articles/25216-mashinochitaemaya_doverennost (тут про 01.09.2023 упоминается как «возможно») + ca.kontur.ru/about/news/22503-fizlitso_kep
Ну и ссылка на правительство: Правительство в интересах бизнеса увеличило период перехода к машиночитаемым доверенностям
Для этого формата ключа КрипоПро формально не нужен — по крайней мере, в личном кабинете ИП всё работает без установленного КриптоПро, нужно только рутокеновское ПО.
Но, например, Эльба пока не может работать без КриптоПро. Декларацию, созданную в утилите от ФНС, тоже без КриптоПро подписать не получится.
Эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России
программного обеспечения для работы с электронной подписью вроде как закончился 28.10.2022, но я получал подпись в конце ноября и вшитая ограниченная лицензия на КрипоПро всё еще присутствует.
Можете поделиться ссылкой на рутокеновское ПО, которым можно заменить КриптоПро?
Там есть ссылки — одна на Рутокен Плагин, вторая на браузерное расширение Адаптер Рутокен Плагин (в зависимости от браузера)
Для Linux еще наверно нужны шаги отсюда, точно сейчас не помню: Рутокен ЭЦП в операционных системах GNU/Linux
Проверил у меня уже установлены эти плагины от рутокена (но и КриптоПро тоже установлено с истекшей триальной лицензией).
Подписать в личном кабинете ИП не получается по причине того, что просрочена лицензия КриптоПро.
Возможно надо удалить КриптоПро?
Видимо у меня КриптоПро
В свойствах ключа (от ФНС) вижу такое:
"Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP".
Не знаете, ФНС выдает ключи PKCS#11 ?
Не хочется покупать КриптоПро.
Спасибо!
"Рутокен ЭЦП 2.0 2100 Type-C" же подойдет?
КЭП записывается на предоставляемый заявителем носитель ключевой информации (токен), сертифицированный ФСТЭК России или ФСБ России. УЦ ФНС России поддерживает ключевые носители формата USB Тип-А
С Type-C могут отказать.
Мне в прошлом году на него записали, правда КриптоПро, а не PKCS#11. Я в тот момент еще не знал о подставе с лицензией КриптоПро.
Естественно вместе с токеном принес свой переходник на USB Тип-А:)
Выбор модели Рутокен для получения ЭП в УЦ ФНС России и Доверенных лицах УЦ ФНС России
Вобщем сходил в налоговую, записали мне PKCS#11.
Итого сейчас я вижу такое на токене:
2 контейнера:
один старый, видимо в формате Crypto-Pro
второй новый, видимо в PKCS#11 (как минимум теперь я могу заходить в ЛК через опцию Рутокен ЭЦП 2.0 / 3.0)
Когда перехожу в раздел с сертификатами, то вижу только один, судя по Expiration date - он старый (от Crypto-Pro)
Получается с PKCS#11 можно заходить в ЛК и заполнять все декларации прямо там, а вот заполнить декларацию с помощью какой-нибудь десктопной программы подписать файл локально уже не получится с PKCS#11 и нужно использовать сертификат от Crypto-Pro (соответсвенно и нужна лицензия Crypto-Pro)?
Дополню, может кому-то пригодится.
На форуме рутокена (https://forum.rutoken.ru/topic/3665/) нашел ссылку на программу, которая позволяет подписывать документы локально используя PKCS#11 (https://github.com/a513/CryptoArmPKCS).
Завелась она с небольшими танцами с бубном, но подписывает корректно. Правда в налоговую пока ничего не сдавал еще с этой подписью.
Пока выглядит так, что это рабочий вариант без покупки лицензии Crypto-Pro.
2. Да, как я писал выше, не все умеют работать без КриптоПро.
3. Ограниченная лицензия на КриптоПро должна быть вшита в новый сертификат — по идее ничего покупать не надо.
4. Я всё делаю в виндовой виртуалке — основная ОС у меня Kubuntu. Это позволяет не захламлять основную операционку, использовать все утилиты/тулзы (некоторые работают только в Windows), а также при необходимости начать с чистого листа (сохраненного снапшота со свежеустановленной операционкой).
Спасибо!
Проверил рутокеновской утилитой https://aktivco.github.io/rutoken-plugin-demo/ - действительно есть новый сертификат, который не видит Крипто-Про.
недавно пробовал бесплатную альтернативу крипто про , vipnet вроде бы. после установки explorer ушел в бесконечную перезагрузку. помогло только откатывание винды, win 10. пришлось покупать крипто про.
Рекомендую почитать:
Работа с КриптоПро CSP в linux
Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
Пользоваться форумом Linux, Solaris etc. - Продукты для nix платформ
Форум под все платформы
Совсем забыл, если пользуетесь МоёДело, то перед подписанием документов в этом сервисе нужно запустить их plugin (он устанавливается в Docker контейнер выше)
# запускаем моё дело plugin в контейнере (фоновой задачей)
/usr/share/moedelo.plugin/StekTrustPlugin &
# запускаем firefox как обычно
firefox
КриптоПро в Linux контейнере для использования КЭП от ФНС