xHellKern 4 дек 2012 в 18:25

Переносим неэкспортируемые контейнеры Крипто-ПРО

2 мин

245K

Комментарии 16

FilimoniC 5 дек 2012 в 05:26

Мне кажется, Крипто-Про в бухгалтерии ну никак не должен хранить ключи в реестре… Ну никак совсем. Суть брелока в том, что он доступен только в моменты необходимости. А тут он открыт всегда.

xHellKern 5 дек 2012 в 07:45

Так то оно конечно правильно, но когда ты берешь на аутсорсинговое обслуживание дремучих теток, которые вообще непробиваемые и «нам так удобней, не хотим никаких флешек вставлять» приходится для галочки объяснять что это не безопасно и продолжать хранить ключи в реестре.

DanXai 11 ноя 2014 в 13:35

Если с компьютером, на котором хранится ключ, накроется винт или Винда без возможности реанимации — то пропали эти ключики навсегда.

sirota 8 фев 2022 в 09:42

Если только винт и то с вероятностью в 99% инфа будет восстанвлена. реестр - это всего лишь файлик структурированный. Даже с накрытой виндой я без проблем подключусь к реестру как внешнему из родного regedit и экспортирую нужный ключик.

sirota 8 фев 2022 в 09:49

Сталкиваюсь с этим постоянно. При чем вот только один из ООО обслуживаемых мою лишился ляма рублей (токен был всегда вставлен и бух оставляла на ночь комп для удаленки, видимо кто-то знал пароль и прочее и получил доступ и через ее комп удаленно перевел на физлица все что было на счету). И вот только был дан жизненный урок, тут же именно для банк-клиента был куплен отдельно комп, свой инет, вход по паролю, токены и... смотрю у одной бухгалтерши на компе бк открыт, через сколько у второй... "ой, да срочно надо было, а на компе с банками юля сидела". Опять компы на ночь не выключаются... опять вход только по паролю (без подтверждения на самом ПК) разрешен...

salikoff 11 окт 2014 в 22:19

В бухгалтериях ключи используются, как правило, для работы с сервисами сдачи бухгалтерской отчетности в контролирующие органы (Такском, СБИС++, Контур и т. д.)
Никакой ценности данные, защищённые токенами, не представляют для злоумышленника. Ну, или практически никакой.
Что вы можете узнать, похитив ключ? Сколько начислено взносов в ФСС? Или, может быть, вы, вооружившись украденным ключом, сдадите отчетность с фальсифицированными данными? Это НИКОМУ НЕ НУЖНО.
Вот у меня, например, на обслуживании находится так называемая уполномоченная бухгалтерия. Это такая организация, которая ведёт учёт для многих сторонних фирм. У них десятки токенов. Каждый раз искать нужный (внешне они ничем не отличаются) и втыкать — это очень неудобно. Поэтому возможность хранить ключ в реестре очень полезна.
Конечно, если речь идет о защите доступа к клиент-банку, то лучше всё-таки использовать брелок. Но в большинстве случаев, как я уже сказал, токен использутеся или для сдачи отчётности, или участия в электронных торгах.

Vilgelm 11 ноя 2014 в 13:15

Ключи, кстати, используются еще и для доступа к СУФД, а это все таки деньги, которые можно похитить. И, как правило, деньги не малые.

sirota 8 фев 2022 в 09:43

В бухгалтерии как правило используются ЭП квалифицированные на юрлицо. Заполучи такой и можешь продать с молотка все имущество этого юрлица и сделка будет считаться юридическиверной.

Damaskus 5 дек 2012 в 08:26

Что вы имеете ввиду под фразой «скопировать ключ»?
Переместить с одного считывателя в другой?
Или выгрузить закрытый ключ в файл, если второе, то вроде как крипто про не позволяет это делать в принципе.
Эта виндовая галка «Пометить ключ как экспортируемый» насколько я помню вообще для этого криптопровайдера ничего не значит.

xHellKern 5 дек 2012 в 12:07

Функция «скопировать ключ» в КриптоПРО копирует закрытый и открытый ключи с одного носителя на другой. Носителями могут быть ФС обычной флешки, различные токены или же реестр Windows.
Описанный мною метод переноса ключей из реестра без участия КриптоПРО позволяет осуществить именно выгрузку ключей в файл.
По поводу галки «Пометить ключ как экспортируемый» — сталкивался уже с этой проблемой в КБ нескольких банков и в одной из систем подачи отчетности — КриптоПРО не копировал ключи мотивируя это тем, что они не помечены как экспортируемые. Версии КриптоПРО 3.0 и 3.6.

sirota 8 фев 2022 в 09:50

Если экспортировать ветку ключа реестра с закрытой частью ЭП и потом импортировать его же на другой комп, то контейнер отлично функционирует. Из проблем - для коммерсов ЭП делают в налоговой и только на токен.

Ghool 14 окт 2014 в 09:34

Спасибо за инструкцию.
Небольшое дополнение к этому мануалу:
В крипто-про на контейнеры можно ставить пин-код.
А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).

При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.

Что можно сделать в таком случае?

Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать
Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль. Или не устанавливаем.

И вот после этого уже копируем ветку реестра на новый комп.

Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:

Win32
HKLM\SOFTWARE\CryptoPro\Settings\Keys\

Win64
HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Keys\

xHellKern 12 ноя 2014 в 11:28

Спасибо, добавил в статью

sirota 8 фев 2022 в 09:52

Дельная информация, но не весь софт умеет работать с контейнерами ПК. И не надо путать сертификат и контейнер.

Ghool 8 фев 2022 в 14:57

Всё верно, спасибо!

MiXaiL27 24 ноя 2014 в 13:57

Ох, как же помогла сегодня эта статья (и как подставил УЦ) словами не передать!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий