Можно ли записать эцп на старый токен
Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:
- наименование средства ЭЦП;
- наименование УЦ, которое выпустило сертификат;
- данные о датах начала и завершения действия ЭЦП;
- ключ для выполнения проверки ЭЦП;
- сведения об актуальной точке списка отозванных сертификатов (СОС).
Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.
В общем случае сертификат ЭЦП состоит из трех компонентов:
- закрытый ключ (служит для формирования уникальной ЭЦП при подписи каждого документа);
- открытый ключ (служит для контроля подлинности подписи автором);
- внесенные в систему данные о владельце.
Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.
Как произвести копирование сертификата с Рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
- Рутокен;
- съемный диск любого типа;
- реестр компьютера.
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Как выполнить копирование сертификата с Рутокена через КриптоПРО
Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:
- запускаем КриптоПРО CSP через панель управления вашего ПК;
- переходим на вкладку «Сервис»;
- нажимаем кнопку «Просмотреть сертификаты в контейнере»;
- находим через кнопку «Обзор» и в списке ключевых носителей выбираем необходимый;
- подтверждаем выбор клавишей ОК;
- нажимаем кнопку «Далее» (на этом этапе может понадобиться ввод PIN-кода, который в статусе «по умолчанию» для ruToken составляет 12345678, а для eToken 1234567890);
- в открывшемся новом окне выбираем «Свойства» и переходим во вкладку «Состав»;
- нажимаем «Копировать в файл…» и в мастере сертификатов нажимаем «Далее»;
- помечаем, что нам не нужно экспортировать закрытый ключ, выбрав соответствующую опцию;
- выбираем необходимую кодировку (DER X.509);
- определяем место хранения копии и дополнительно подтверждаем его кнопкой ОК (менять название папки не следует);
- вводим дважды пароль для копии и подтверждаем его кнопкой ОК.
В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.
Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.
Проведение копирования контейнера с помощью встроенных средств операционной системы Windows
При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.
Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):
- header:
- masks;
- masks2;
- name;
- primary;
- primary2.
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
Как выполнить копирование ЭП из реестра
Внимание!
Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.
Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:
- для 32-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера с ЭЦП*; (HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\\Keys\)
- для 64-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера ЭЦП*. (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\\Keys\)
Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:
- выделите интересующую папку и правой кнопкой мыши вызовите контекстное меню;
- выполните команду «Экспортировать»;
- введите название файла и сохраните его;
- скопируйте полученный файл на жесткий диск компьютера, где планируете организовать рабочее место обычным способом;
- откройте скопированный файл реестра (формат .reg,), через «Блокнот» или иное аналогичное приложение;
- измените в открытом файле SID* пользователя (он имеет аналогичный формат и обычно расположен в третьей строке сверху);
- добавьте после папки Software дополнительно Wow6432Node в случае, если копирование идет из Windows 32-бита в версию с 64-бита;
- сохраните все изменения;
- выберите опять файл реестра;
- произведите «Слияние», выбрав этот пункт в контекстном меню.
*Примечание:
Выгрузка личного сертификата с исходного компьютера: Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:
Как перенести нужный контейнер на Рутокен из другого источника
В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:
- переходим на вкладку «Сервис»;
- нажимаем на кнопку «Скопировать»;
- выбираем нужный нам контейнер с помощью кнопки «Обзор»;
- нажимаем кнопку «Далее»;
- вводим PIN-код;
- указываем наименование контейнера, который будет находиться на токене;
- выбираем актуальный носитель;
- вводим пользовательский PIN-код Рутокена;
- нажимаем для контроля копирования кнопку «Просмотреть сертификаты контейнера» во вкладке Сервис.
Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.
Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:
- запустите браузер Internet Explorer (версия, как минимум 8.0);
- перейдите в настройках во вкладку «Свойства браузера» (раздел «Сервис»);
- перейдите теперь на вкладку «Содержание»;
- кликните по пункту «Сертификаты»;
- выберите лишний сертификат и после этого нажмите на кнопку «Удалить»;
- подтвердите действие.
Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:
- запустите программное обеспечение;
- перейдите теперь на вкладку «Сервис»;
- выберите раздел «Удалить» или «Удалить контейнер» (название зависит от конкретной версии программного обеспечения);
- выберите в окне сертификат, от которого вы хотите избавиться;
- подтвердите действие, нажав кнопку «Готово».
Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.
При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.
Бренд Рутокен объединяет линейку программно-аппаратных продуктов компании «Актив» полностью соответствующих требованиям российского законодательства и сертифицированных в ФСК и ФСТЭК. До 2016 года круг применения данных продуктов был относительно узок, а вторичный рынок отсутствовал вовсе.
После вступлением в силу закона об обязательном внедрении ЕГАИС-алкоголь потребность рынка в продуктах Рутокен значительно возросла, кроме этого сформировался вторичный рынок токенов — в результате закрытия предприятий, торгующих алкоголем
Сегодня перед новыми собственниками предприятий часто стоит вопрос очистки токена от старых сертификатов. Очистка токена также актуальна в связи с высокой текучкой кадров — процедура очистки выполняется когда необходимо удалить из системы сертификаты недавно уволенных работников.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Сотруднику компании
Для получения новой подписи сотруднику организации по-прежнему можно обратиться в аккредитованный удостоверяющий центр — эти правила не изменились.
Главное — удостоверяющим центром должна быть пройдена переаккредитация.
Требования для прохождения переаккредитации установлены законом 63-ФЗ об электронной подписи. Ознакомиться с новыми требованиями и найти ближайший АУЦ можно здесь .
Чем будут отличаться новые и старые подписи для сотрудников?
Ранее в файлах ЭП для сотрудников указывались ФИО работника и наименование компании, от лица которой он действует. Такую подпись можно еще получить до конца 2022 года.
Новый образец электронной подписи сотрудника будет содержать только ФИО . Значит принять такую ЭП можно будет в разных организациях.
В ГК «Калуга Астрал» вы можете получить электронную подпись в день обращения! Выбирайте выгодное и удобное решение — Астрал-ЭТ (комплексные решения, включающие лицензию Крипто ПРО, рутокен и интеграцию с сервисами) или 1С — ЭТП (электронная подпись от 900 рублей).
Срок действия подписи сотрудника старого образца с указанием ФИО и наименованием организации — до 31 декабря 2022 года . Даже если ЭП будет получена в декабре 2022 года срок не изменится, так что лучше подумать о переходе на новые правила заранее.
Переход на электронные подписи нового типа будет проводиться постепенно — с 1 марта 2022 года до 1 января 2023 года. Во время переходного этапа получение ЭП нового типа происходит по желанию сотрудника, предложению портала или системы, с которой работает компания. С 1 января 2023 года применения такой подписи станет обязательным.
Чтобы получить подпись, сотруднику нужно предоставить паспорт и СНИЛС. Необходим будет личный визит в удостоверяющий центр для подтверждения личности. Подпись для сотрудника не будет иметь защиты от копирования, будет отсутствовать запрет на включение расширений.
Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Электронная подпись для предоставления сведений в систему ЕГАИС
Компании, деятельность которых связана с реализацией алкогольной продукции, используют электронные подписи для системы ЕГАИС . В данной системе учитывается весь алкоголь, который производится и реализуется в РФ. Порядок предоставления сведений указан в законе 182-ФЗ о внесении изменений в федеральный закон о госрегулировании производства и продажи алкогольной продукции. Для работы в системе необходима квалифицированная электронная подпись.
Как делалось раньше: использовали несколько ЭП на руководителя, по факту подписями пользовались разные сотрудники. Сейчас это невозможно, т. к. в ФНС выдают на руководителя подпись в единственном экземпляре.
Что же делать? В письме от 19.08.2021 № ЕА-3-26/5773@ ФНС назвала, какие ЭП для ЕГАИС можно использовать в 2022 году:
- КЭП руководителя предприятия или индивидуального предпринимателя;
- КЭП физического лица, которое имеет полномочия действовать от лица компании на основании обычной и машиночитаемой доверенности. Что касается выпуска КЭП на представителя ИП, то, несмотря на то, что закон 63-ФЗ позволяет получение такого сертификата, в Приказе ФСБ № 795 от 27.12.2011 форма такого сертификата отсутствует, поэтому пока представитель ИП получить такую КЭП не может.
Электронная подпись в 2022 году: нововведения
Для начала нужно определиться, кому и где необходимо получить подпись.
Нужно ли перевыпускать ЭП, если срок ее действия еще не закончен?
Условия использования ранее полученной подписи зависит от того, кем и когда она была выдана:
Конфигурация тестового стенда
- ОС MS Windows 7 SP1
- СКЗИ КриптоПРО CSP 3.9.8423
- Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
- Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
- КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.
- Рутокен ЭЦП. Версия 19.02.14.00 (02)
- JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1
Второй способ очистки Рутокена от старых сертификатов — выборочный
Данный способ необходимо задействовать если требуется удалить сертификат уволенного работника.
Алгоритм действий следующий:
- Открыть панель управления Рутокен на вкладке «Сертификаты» (путь см. выше);
- Выбрать сертификат, подлежащий удалению;
- При необходимости ввести пароль пользователя (ссылка вверху справа, по умолчанию 12345678);
- В появившейся таблице повторно выбрать нужный сертификат.
- В правой колонке появится ссылка на удаление — на неё необходимо кликнуть в последствии.
Процесс удаление рутокена вторым способом в иллюстрациях можно посмотреть здесь.
Таким образом, удаление сертификатов Рутокен не должно вызвать затруднение даже у начинающего пользователя. Если пользователь будет действовать по инструкции выше работа по удалению сертификата из Рутокен пройдет без сбоев.
Удаление контейнеров систем шифровния CSP осуществляется несколько иначе — если данная тема вызовет интерес у наших читателей мы расскажем об этом в отдельном материале…
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Руководителю юрлица
Новые правила уже действуют: с 1 января 2022 года электронные подписи для руководителей выпускаются в удостоверяющем центре ФНС и у доверенных лиц УЦ ФНС.
Доверенное лицо (ДЛ УЦ) — удостоверяющий центр, прошедший переаккредитацию и соответствующий дополнительным требованиям контролирующих органов.
На настоящее время таких доверенных лиц УЦ ФНС всего три:
- ПАО «Сбербанк России»;
- АО «Аналитический центр»;
- Банк ВТБ (ПАО).
Такому удостоверяющему центру разрешается выдавать ЭП юридическим лицам и индивидуальным предпринимателям.
Порядок действий при получении ЭП в налоговой:
1. Подача заявления на получение. Это можно сделать двумя способами:
- лично в отделении ФНС заполнить заявление в бумажном виде;
- на официальном сайте налоговой службы в Личном кабинете налогоплательщика (физического лица) в разделе «Жизненные ситуации» или через онлайн-запись в налоговую.
2. Выбор и приобретение носителя, на который будет записан сертификат.
Сертификат электронной подписи должен быть записан на токен, сертифицированный ФСБ или ФСТЭК России. Если токен уже есть — можно использовать его. В налоговой могут запросить сертификат соответствия на токен, поэтому рекомендуем сразу при покупке запросить его в УЦ или скачать на сайте производителя.
По закону для идентификации можно обратиться в любую ближайшую налоговую, даже если организация поставлена на учет в другом месте. Но зачастую в налоговой все же требую посетить «свою» инспекцию, поэтому надежнее будет пойти сразу в ФНС по месту регистрации. Перечень отделений ФНС, в которых можно получить ЭП, опубликован на официальном сайте налоговой . Узнайте, есть ли в нем ваше отделение!
- паспорт руководителя;
- СНИЛС;
- токен и сертификат на него.
4. Приобретение КриптоПро CSP или иного криптопровайдера и установка на компьютер. Без средства криптозащиты на компьютере работа с электронной подписью невозможна.
Как легко подключить КриптоПро ? Специалисты Калуга Астрал подберут подходящую лицензию и помогут установить программу и настроить работу с электронной подписью.
Оставить заявку или заказать обратный звонок
Если у вас ранее была куплена бессрочная лицензия КриптоПро, то программа продолжит работать — криптопровайдеров изменения не коснулись.
Выдача подписи в ИФНС бесплатная, т. е. вы покупаете только токен и лицензию на криптопровайдер.
В АО «Калуга Астрал» токены от 1450 руб. — покупайте выгодно!
- ЭП ФНС для руководителя выдается в единственном экземпляре.
- У подписи есть защита от копирования.
- ФНС подтверждает, что криптопровайдер для работы с подписью может быть любой, главное — действующая сертификация. Но на практике пользователи сталкиваются с разными мнениями региональных ФНС и даже с техническими проблемами при подключении, поэтому безопаснее будет использовать КриптоПРО для работы с КЭП.
Каждому сотруднику, которому разрешено подписывать электронные документы компании, необходимо получить отдельный сертификат ЭП. О порядке получения подписей для сотрудников расскажем ниже в статье.
Порядок действий при получении подписи у доверенных лиц:
При выборе этого варианта необходимо обратиться в один из ДУЦ ФНС — вас проконсультируют о порядке действий. Документы, которые требуются для получения подписи, аналогичны — это паспорт и СНИЛС. Однако, токен и КриптоПро CSP можно сразу приобрести в ДУЦ, т. е. все необходимые действия делаются в одном месте.
Способы получения подписи, которые мы описали выше, подходят для руководителей коммерческих организаций, ИП и нотариусов.
Отдельные категории должностных лиц должны получать подпись в других местах:
- должностные лица бюджетных организаций — Федеральное Казначейство;
- управляющие банковского сектора и других финансовых организаций — Центробанк.
Сроки введения изменений те же — с 1 января 2022 года, т. е. новые правила уже действуют.
Как можно использовать электронную подпись руководителя?
Традиционно ЭП используют для отправки электронной отчетности, но есть еще ряд случаев, когда вам пригодится ЭП:
Электронная подпись ФНС пока не подходит для многих торговых площадок, которые требуют специальные расширения (OIDы) для работы с госзакупками. Площадки уже отходят от этих требований согласно законодательству, но на некоторых они все же сохраняются. Для работы на ЭТП, где OIDы еще требуются, придется использовать подпись, полученную в АУЦ ранее. По этой теме ожидаются объяснения от ФНС и самих торговых площадок.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
- JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
- Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен S;
- ESMART Token, ESMART Token ГОСТ.
Первый способ очистки Рутокена от старых сертификатов
Все сертификаты можно очистить при помощи форматирования устройства. После данной процедуры кроме сертификатов удаляются также все объекты, внесенные на устройство с момента выпуска. После форматирования требуется повторная инициализация Рутокена.
Порядок действий при очистке Рутокена:
- На вкладке «Администрирование» открыть панель управления Рутокен;
- Выбрать пункт «Ввести PIN-код» — откроется диалоговое окно предоставления доступа к системе;
- Выбрать режим администратора и ввести HIN администратора (по умолчанию это 87654321);
После успешной авторизации появится доступ к кнопке «Форматировать», с помощью которой вызывается диалоговое окно параметров форматирования — в нём нужно указать корректные параметры, запустить процесс при помощи кнопки «Начать». Подтверждается запуск нажатием «ОК» в дополнительном модальном окне.
Внимание! Нельзя форматировать Рутокен полученный из Удостоверяющего центра совместно с электронной подписью — если это сделать электронная подпись навсегда уничтожится.
Процесс очистка рутокена в иллюстрациях можно посмотреть погуглив фразу Выполнить форматирование Рутокен | СБИС Помощь.
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Проведение тестирования
Для этого с помощью КриптоАРМ создадим в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN=test)
С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск-->Панель управления-->КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно.
Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны):
Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).
Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.
Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Какие могут возникнуть ошибки
- Сертификат ненадёжен / Не удалось проверить статус отзыва . Для решения проблемы достаточно обновить комплект драйверов. Если же это не помогло, то выберите ваш сертификат в панели управления, нажмите кнопку «Свойства» и перейдите на вкладку «Путь сертификации», где вы сможете установить сертификат и сделать его доверенным.
- Rutoken перестаёт определяться . Эта ошибка может быть связана со спецификой работы материнской платы. Если невозможно запустить панель управления, но светодиод на токене горит, достаточно извлечь носитель и заново его вставить. Если же это не помогло, обратитесь в удостоверяющий центр за помощью.
- Панель управления не видит Рутокен ЭЦП 2.0 . Чтобы решить эту проблему, нужно пробовать разные варианты:
- воспользуйтесь другим разъёмом USB;
- переустановите комплект драйверов;
- проверьте количество считывателей в настройках панели управления (значение должно быть 1).
Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.
В статье вы узнаете, где в 2022 году можно получить электронную подпись, что изменилось в порядке ее получения и можно ли продолжать использовать ЭП, полученную ранее.
Первый способ очистки Рутокена от старых сертификатов
Все сертификаты можно очистить при помощи форматирования устройства. После данной процедуры кроме сертификатов удаляются также все объекты, внесенные на устройство с момента выпуска. После форматирования требуется повторная инициализация Рутокена.
Порядок действий при очистке Рутокена:
- На вкладке «Администрирование» открыть панель управления Рутокен;
- Выбрать пункт «Ввести PIN-код» — откроется диалоговое окно предоставления доступа к системе;
- Выбрать режим администратора и ввести HIN администратора (по умолчанию это 87654321);
После успешной авторизации появится доступ к кнопке «Форматировать», с помощью которой вызывается диалоговое окно параметров форматирования — в нём нужно указать корректные параметры, запустить процесс при помощи кнопки «Начать». Подтверждается запуск нажатием «ОК» в дополнительном модальном окне.
Внимание! Нельзя форматировать Рутокен полученный из Удостоверяющего центра совместно с электронной подписью — если это сделать электронная подпись навсегда уничтожится.
Процесс очистка рутокена в иллюстрациях можно посмотреть погуглив фразу Выполнить форматирование Рутокен | СБИС Помощь.
Физическому лицу
Для физических лиц правила получения электронной подписи не поменялись — ЭП необходимо получить в аккредитованном удостоверяющем центре.
Если есть действующая электронная подпись, то получение новой можно провести дистанционно (при условии, что данные у физлица не менялись).
Требуемые документы: паспорт.
Для чего физическому лицу нужна электронная подпись?
Получите электронную подпись для физического лица в за один день. Нужен только паспорт!
Заказать подпись
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
Индивидуальному предпринимателю
По новым правилам с 1 января 2022 года индивидуальный предприниматель, как и руководитель, может обратиться за ЭП в удостоверяющий центр ФНС или к доверенному лицу УЦ ФНС.
Для получения подписи потребуются те же документы, что и руководителю:
- паспорт;
- СНИЛС;
- токен (USB-носитель, сертифицированный ФСБ или ФСТЭК РФ) и сертификат соответствия на него.
Доверенности
Для доказательства наличия прав на подпись документов от имени компании и совершение иных действий от лица организации вводится новый документ — машиночитаемая доверенность (МЧД).
Машиночитаемая доверенность — это доверенность в электронном виде, дающая право сотруднику выполнять действия от лица организации и подписанная электронной подписью руководителя компании.
Для того, чтобы ЭП сотрудника на документе была действительна, необходимо прилагать к нему МЧД. Предполагается создание общего реестра таких доверенностей в ФНС, из которого можно будет получать информацию об актуальности и сроке действия МЧД.
Калуга Астрал разрабатывает специальный сервис для работы с доверенностями «Астрал.Доверенность». Пока пользователи Астрал.ЭДО проводят тестирование новой функции. По мере появления новых НПА и разъяснений от ФНС сервис будет совершенствоваться и дополняться. Подпишитесь на наш блог , мы сообщим, когда сервис будет готов к работе.
Использовать МЧД законом разрешено уже с августа 2021 года , но на практике их еще не применяют (нет пока налаженного взаимодействия и электронные сервисы не готовы к работе с МЧД). Пока в законе установлен переходный период — до 31 декабря 2022 года, чтобы все смогли разобраться с правилами и освоиться с новым форматом доверенности.
Отдельный вид электронной доверенности существует для передачи прав на сдачу налоговой отчетности сторонней организацией или уполномоченным лицом. В этом случае можно сформировать электронную доверенность на предоставление отчетности в ФНС в формате XML, утвержденном приказом ФНС № ЕД-7-26/445@ от 30 апреля 2021. Такая доверенность равнозначна бумажной и не требует нотариального заверения. Дубликат подписывается КЭП руководителя компании или ИП, за которых будет сдаваться отчетность, и отправляется в ФНС до сдачи первой отчетности.
Как работать с носителями
Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.
Порядок получения электронной подписи на токен выглядит следующим образом:
- Приобретаем сертифицированный носитель.
- Приходим в операционный зал налогового органа региона.
- Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
- Получаем электронную подпись.
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Методика тестирования
- генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
- после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
- сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
- с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
- после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
Читайте также: