ksushkiss Sep 6 2023 at 13:14

Верните мне мой 2007: как поменялись ключевые носители для электронной подписи за последние годы

Easy

13 min

5.7K

«Актив» corporate blogInformation Security*Cryptography*History of IT

Retrospective

+12

Comments 13

ritorichesky_echpochmak Sep 6 2023 at 13:42

Рутокен, ИМХО, тот приятный редкий случай, когда компания думает о людях, а не ненавидит их и не устраивает буквально диверсии.

К 2007-ому году пропиленные дискеты с криптографией настолько замучили, что всё копировалось куда-то на локальный диск и подкидывалось через subst a: c:\floppy , потому что и дисководы тоже умирали от активного использования. Но это было не с бухгалтерией и не рутокен, а платежи (коммуналки, товары), количество транзакций которые нужно подписать было сотнями в день. На флешки руководство жлобилось, а потом "случился кризис" и цены улетели.

Сегодня в РБ жертвы локального распила от Авеста (налоговая, ФСЗН, ряд банков, страховые) до сих пор не могут использовать нормально токены под Linux, Mac, да и в большинстве случаев даже под Windows всё ещё требуется Internet Explorer (который сами майки принудительно пристрелили полгода как) и ActiveX (привет решето!), кое-кто из этих шараг до сих пор требует SSL3 и TLS1.0 (и не дай бог будет включено что-то новее!), в то время как другая шарага требует TLS1.0 (и отключенного SSL3 и всего что новее). Каждый отчётный период вызывает лучи поноса в сторону авторов этих "технологичных решений" даже у людей хорошо знакомых с вайтишечкой ещё со времён "9600 бод и все-все-все". Когда майки выкосят окончательно TLS 1.0 и 1.1 станет ещё веселее, но наш говёнмент (я же правильно прочитал government?) это никак не тревожит

aamonster Sep 6 2023 at 13:51

Интересно, а у вас в компании как относятся к КриптоПро? Для меня, как пользователя, это такой зловред, внедряющийся в систему и лазающий в ней грязными лапами, и ставить его стрёмно. Плюс "поддержка" от государства, вынуждающая людей его покупать. Жуть.
Очень надеялся, что с переходом на RuToken ECP КриптоПро станет необязательным и сдохнет, но, к сожалению, полноценная поддержка активных ключей без КриптоПро доступна не везде.

topich Sep 6 2023 at 14:07

Vipnet csp изначально работал и продолжает работать только через Pkcs#11 и поддерживает неизвлекаемые ключи на носителях

aamonster Sep 6 2023 at 20:59

Насколько я помню, при работе с налоговой был какой-то серьёзный геморрой с CSP, отличными от КриптоПро. Во всяком случае, инструкций по настройке VipNet (для работы с тем же Pkcs#11 ключом) я не находил, сайт при попытке подписать документ емнип проверяет наличие extension, работающего именно с КриптоПро.
Госуслуги, если я правильно помню, могут работать с pkcs#11 без КриптоПро (через относительно простой browser extension).

Сейчас уже проверить не могу, ИП закрыто, срок действия сертификата истёк)

ksushkiss Sep 7 2023 at 13:01

Настройка для входа в ЛК nalog.ru с использованием ViPNet CSP не так широко используется и не так хорошо задокументирована. При использовании ключей ViPNet CSP все равно используется КриптоПро Browser Plug-In. Пожалуй, сделаем мануал по этой теме.

Да, всё верно. Поддержка работы аппаратной криптографии на устройствах Рутокен поддерживается в Госуслугах, ЛК ЮЛ/ЛК ИП nalog.ru, ЕГАИС Росалкогольтабакрегулирование, системе Честный знак, OFD, Диадок и других системах документооборота.

aamonster Sep 7 2023 at 13:20

Прекрасно! Думаю, многим эта инструкция пригодится, интересно, сколько плюсов в карму за неё соберёте :-)

Полагаю, можно вводные данные для неё взять более-менее типовые: носитель RuToken ECP, сертификат pkcs#11, полученный в налоговой (уже полученный, а не идти заново получать). Вариант с ключом в формате КриптоПро (RuToken Lite или RuToken ECP, если в налоговой явно не сказали, что нужен ключ pkcs#11) можно не рассматривать – он явно делается только с помощью хака (извлечь "неизвлекаемый" ключ и передать его в другой криптопровайдер – инструкцию для этого, кстати, видел).

Да, напомню на всякий случай: там на сайте вход по ключу и подписание документов сделаны по-разному, войти можно и без КриптоПро, а подписание они не осилили.

saipr Sep 6 2023 at 20:18

А как вам такой вариант:

Работает и с pkcs11 и с pkcs12.

aamonster Sep 6 2023 at 21:03

Проблема не в использовании pkcs#11, а в интеграции с nalog.ru.

ksushkiss Sep 7 2023 at 13:01

Могу ответить только за себя - возможно, в самых первых версиях КриптоПро CSP и могло сложиться такое впечатление, но давно уже нет. Да и возможности конфигурирования при установке сильно расширены.

aamonster Sep 7 2023 at 13:25

Интересно. Мучился год назад (на Маке, КриптоПро 5.0), впечатление осталось именно такое. Хотите сказать, что в предыдущих версиях было ещё хуже?

mahakala Sep 6 2023 at 21:25

Давайте понастальгируем :). Помню времена, когда в обслуживающей бухгалтерии обучал использовать бухгалтеров связки из рутокенов, так как на один рутокен не входило больше 4-х, кажется контейнеров. На выставке информационных технологий на стенде производителя на вопрос "А можно ли увеличить емкость рутокена с нескольких килобайт до хотя бы мегабайта?" — сотрудник только плечами пожал, — а, мол, зачем? Периодически пути на контейнеры крипто-про терял и приходилось переустанавливать сертификаты. О "злоумышленниках, отправляющих заведомо неверную отчетность в контролирующие органы", — почему-то бОльшая часть из них проявлялась с ip адресами бандитского города петербурга и принадлежащих гос. органам. Догатайтесь каким именно гос. органам. Из тех более 500 удостоверяющих центров ни одному не дали право работать по регламенту гост-2012 в 2021 году. В том числе и спецоператорам связи, — Контуру, СБИСу, Такскому. Такое право было дано: налоговой службе, сбербанку для своих клиентов, втб для своих клиентов и помойке под название УЦ Основание. Последняя контора принадлежит АО "Аналитический Центр" с уставным капиталом в 13300 рублей, штатом из 2-х человек на 2020 год, отсутствием тех. поддержки и статусом малого предприятия, присвоенного в 2017 году. Контур, например, партнерился с этим основанием, чтобы выдавать серты своим клиентам. Не следил за судьбой остальных 500+ удостоверяющих центров. Носители рутокен лайт подорожали после введения гост-2012. Возможно из-за того, что все контейнеры стали делать неизвлекаемыми :). В целом, считаю, что бизнес у вас прекрасный. По динамике напоминает 1с. Каждую неделю гос. органы выдумывают новые обязательные для налогоплательщиков регламенты. Контора выпускает новый продукт. Китайцы только успевают новые флэшки печатать. Ну а нужные гос. органам подрядчики обновляют их (гос. органов) инфосистемы.

ksushkiss Sep 7 2023 at 13:02

По поводу ограничения в 4 контейнера вы, вероятно, говорите о самом первом устройстве Рутокен. В нем, действительно, защищенная память была 16 Кб. В следующих версиях количество памяти было увеличено до 32 Кб и так по нарастающей - сейчас все современные устройства Рутокен ЭЦП 3.0 производятся исключительно с памятью 128 Кб, что позволяет хранить десятки контейнеров. Кстати, большое количество контейнеров замедляет работу с ЭП, так как программный криптопровайдер перебирает все контейнеры при каждой операции с подписью.

Разработка новых моделей Рутокен происходит в соответствии с запросами пользователей и выходом новых требований регуляторов рынка, но не каждую неделю :) А различные наименования и номера моделей для однозначного определения поколения устройств и функциональных возможностей.

itshnick88 Sep 7 2023 at 12:58

Как бывший работник аккредитованного УЦ - прочёл статью на одном дыхании и остался доволен грамотностью изложения и правильными употреблениями терминов)