Сколько эцп можно записать на rutoken
Перейти к содержимому

Сколько эцп можно записать на rutoken

  • автор:

Несколько сертификатов на одном носителе

Добрый день!
Возможно ли и допускается ли запись более одного сертификата на один носитель:
Рутокен ЭЦП 2.0 (ЕГАИС и ФНС, ФНС и ФНС), Рутокен Lite (ФНС и ФНС)?
Заранее спасибо за ответ.

#2 Ответ от Ксения Шаврова 2022-01-31 10:22:42

  • Ксения Шаврова
  • Администратор
  • Неактивен
Re: Несколько сертификатов на одном носителе

egais51, приветствую.

По нашему опыту, при работе с УТМ ЕГАИС допускается только один действующий сертификат формата PKCS#11 (как для ЕГАИС), иначе УТМ перестает запускаться. В большинстве ИФНС по умолчанию на устройство Рутокен ЭЦП 2.0 2100 генерируются как раз ключи такого формата, вне зависимости от области применения. При этом, одновременное нахождение на этом же ключе контейнера и сертификата формата «КриптоПро CSP» работе УТМ не мешает.
В остальных случаях технически можно хранить по несколько ключей на одном Рутокене.

Только, на всякий случай, предупрежу, что сотрудника УЦ нужно предупредить, если на устройстве уже записан ключ ЭП, во многих УЦ по регламенту производится форматирование перед записью нового ключа.

#3 Ответ от egais51 2022-01-31 10:46:34

Re: Несколько сертификатов на одном носителе

Сообщений 3

Страницы 1

Форум Рутокен → Вопросы по ЕГАИС → Несколько сертификатов на одном носителе

  • Телефон +7 (495) 925-77-90
  • 1994- © Компания «Актив»
  • Москва , улица Шарикоподшипниковская, дом 1
  • График работы: понедельник-пятница с 10:00 до 18:00

Рутокен: что это и как использовать

Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.

Что вы узнаете

  • Популярные варианты
  • Как настроить
  • Где купить

Популярные варианты

Рутокен Lite

Это базовый и самый бюджетный вариант.

В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.

Если владелец 10 раз неправильно введет ПИН, устройство заблокируется. Чтобы его разблокировать, нужно скачать драйверы Рутокена и ввести ПИН под учетной записью «Администратор» (стандартно — 87654321). Либо обратиться в удостоверяющий центр.

Рутокен не подходит для работы с алкоголем в ЕГАИС.

Рутокен ЭЦП 2.0

Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП.

Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.

Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.

Единственная модель Рутокена, которая подходит для работы с ЕГАИС.

Рутокен ЭЦП 2.0 Type-c

Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).

Подходит для работы с алкоголем в ЕГАИС.

Сравнение моделей

Для наглядности мы подготовили таблицу.

Как настроить

Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.

Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.

  1. Запустите мастер настройки ПК.
  2. Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.
  3. Выберите вашу электронную подпись.
  4. Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.

Ваш компьютер будет готов к работе с ЭП.

В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:

  • Посмотреть информацию о носителе (имя, свободная память, информация о том, кто может менять ПИН-код);
  • Сменить ПИН-код, установить права на него;
  • Разблокировать Рутокен;
  • Отформатировать устройство.

Срок действия электронной подписи — 12 месяцев.

Где купить

  • В удостоверяющих центрах, которые аккредитованы по новым правилам, например в УЦ «Тензор».
  • На сайте производителя.

Примерный расчёт количество контейнеров на электронных носителях

Примерный расчёт количество контейнеров, которые можно записать на электронные носители.
Т.к. контейнеры могут быть разного объёма, то будем рассчитывать исходя из размера 2-4 Кбайт (КБ)
(4 кило байта возьмём за образец – это примерный объём контейнера КриптоПро). Далее следует обратить
внимание на объём защищённого носителя, для электронных ключей этот объём обычно 32КБ, 64КБ, 128КБ.
При уточнении Важно обращать внимание объём свободного места, т.к. некоторые носители могут обозначать
таким образом размер общей памяти и при расчёте может получиться, что в действительности потребуется
больше носителей. Также со временем объём может уменьшаться из за частичного выходи из строя некоторых
ячеек памяти и они исключаются (такое бывает, подозрительные ячейки отмечаются как «BB» и эти блоки
не используются для записи, пусть кто то посмеётся на такое заявление, но я объясняю не для них).

Например, носители JaCarta LT, ранее в технических характеристиках указывали общий объём памяти«64КБ»,
но при этом частично её использовали для внутренней операционной системы и в итоге для сохранения
контейнеров оставался объём около 24 КБ. На текущий момент, на сайте производителя информацию
поправили и указали «Объём EEPROM-памяти на чипе 36 Кбайт».

После выяснения всех данных, можем рассчитать:
(1) Количество = [Объём свободного места] / [Объём контейнера]

Формула не хитрая и с виду простая, но не забывайте, что это всего лишь теория, а на практике
можно поплатиться не только своим счётом, но и репутацией, именно это и могло произойти,
когда для вышеупомянутых ключей коллеги составляли договор и вписывали теоретические
значения. Потом они попросили уточнить, а верно ли они делают, великого, могучего,
самого умного и гениального Винтика
— ну т.е. меня, хотя конечно я скромно пошутил,
но на счёт уточнения — это правда и вы уже догадываетесь многие, что в итоге вышло.

Далее рассмотрю, как это выглядит на практике (будем учитывать, что у нас контейнер КриптоПро,
примерно 4 КБ (у меня на ФЛ такой сделан, его в полне хватит для этих тестов).
Рассмотрю и покажу это на 4-х носителях, которые сейчас у нас в ходу, но если у кого то
будут ещё другие, то не кто не запрещает добавить и ваши результаты.

#2 Ответ от Vintik 2018-02-12 21:56:33

Re: Примерный расчёт количество контейнеров на электронных носителях

https://img-fotki.yandex.ru/get/1017530/17100819.10/0_b9dc0_bcaa081c_M.png

1) JaCarta LT https://www.aladdin-rd.ru/catalog/jacarta-lt

Теория:
Производителем заявлено: «Объём EEPROM-памяти на чипе 36 Кбайт».
Версия LT теоретически может работать с криптопровайдерами без дополнительного ПО «Единый клиент». Пароли по умолчанию на Пользователя «1234567890» на Администратора «не задан» (В нашем случае производится инициализация (форматирование) и пароль назначается «1234567890» т.к. на новых носителях отображается, что пароль Администратора есть, но действительно на заводе он не назначается. Ключ можно использовать без пароля Администратора, но если будет заблокирован пароль пользователя, то его уже не восстановить.) При смене пароля не забывайте их.

Расчёт по данным производителя (КБ): 36/4 = 9 контейнеров.

Практика:
Подключаем носитель и смотрим общую информацию в ЕК.
https://img-fotki.yandex.ru/get/769553/17100819.10/0_b9dbe_38e6bdaf_XL.png
На практике мы видим в текущей версии свободно 23 КБ и пароли установлены (при заводских настройках отображение по паролям аналогичное, потому если ключ чистый и вы не уверены был ли назначен пароль, лучше инициализировать ключ).
Расчёт по текущим данным (КБ): 23/4 = 5 контейнеров.
Пробуем записать КЭП физическое лицо (делаем одни и те же копии до предела).
https://img-fotki.yandex.ru/get/770612/17100819.10/0_b9dbf_11d9e78c_XL.png
ИТОГ: На JaCarta LT было размещено 4 контейнера.
\ И если бы в договоре оставили теорию, то понятно на какую практическую сумму бы в итоге вышли и понятно не в «+» \

#3 Ответ от Vintik 2018-02-12 22:04:04 (2018-02-12 22:09:18 отредактировано Vintik)

Re: Примерный расчёт количество контейнеров на электронных носителях

Теория:
Производителем заявлено: «Память для хранения ключевой информации – 64 КБ».
Пароли по умолчанию на Пользователя «12345678» на Администратора «87654321».
Версия Lite теоретически может работать с без дополнительного ПО (драйверов).

Расчёт по данным производителя (КБ): 64/4 = 16 контейнеров.

https://img-fotki.yandex.ru/get/6721/17100819.10/0_b9dc9_bfeb8d0e_XL.png

ИТОГ: На Рутокен Lite, с объёмом 64КБ, было размещено 15 контейнеров*. *не забывайте,
что по умолчанию ПО КриптоПро может ограничивать кол-во контейнеров на ключе (в версии КроптоПро 4 значение до 31).

#4 Ответ от Vintik 2018-02-12 22:08:36

Re: Примерный расчёт количество контейнеров на электронных носителях

Теория:
Производителем заявлено: «EEPROM память 32, 64 и 128 КБ». (в примере будет 64 КБ).
Пароли по умолчанию на Пользователя «12345678» на Администратора «87654321»

Расчёт по данным производителя (КБ): 64/4 = 16 контейнеров.

ИТОГ: На Рутокен S 64КБ было размещено 15 контейнеров. (Кол-во может быть ограничено ПО криптопровайдера).

#5 Ответ от Vintik 2018-02-12 22:13:13

Re: Примерный расчёт количество контейнеров на электронных носителях

Теория:
Производителем заявлено: «EEPROM память 64 КБ».
Пароли по умолчанию на Пользователя «12345678» на Администратора «87654321»

Расчёт по данным производителя (КБ): 64/4 = 16 контейнеров.

Расчёт по текущим данным (КБ): 58/4 = 14 контейнеров.

ИТОГ: На Рутокен ЭЦП 2.0 64КБ было размещено 14 контейнеров. (Кол-во может быть ограничено ПО криптопровайдера).

#6 Ответ от Vintik 2018-02-12 22:17:19

Re: Примерный расчёт количество контейнеров на электронных носителях

Из приведённых примеров видно, что не всегда общий объём памяти может быть учтён при расчёте для хранения и так же само программное обеспечение криптопровайдера может ограничивать количество (по разным причинам).

#7 Ответ от Ксения Шаврова 2018-02-13 11:04:34

  • Ксения Шаврова
  • Администратор
  • Неактивен
Re: Примерный расчёт количество контейнеров на электронных носителях

Если речь идет о сертификатах «КриптоПро CSP», то вместительность идентификаторов Рутокен следующая:

32 Кб — 7 контейнеров «КриптоПро CSP»
64 Кб — 15 контейнеров «КриптоПро CSP»
128 Кб — 31 контейнер «КриптоПро CSP»

Один контейнер «КриптоПро CSP» занимает около 4 Кб. При этом, около 2 Кб памяти расходуется на ПО самого токена.

Если не удается произвести копирование, а место на Рутокен еще должно позволять записать контейнер, проверьте максимальное количество контейнеров, установленное в «КриптоПро CSP»

Сообщений 7

Страницы 1

Форум Рутокен → Техническая поддержка пользователей → Примерный расчёт количество контейнеров на электронных носителях

  • Телефон +7 (495) 925-77-90
  • 1994- © Компания «Актив»
  • Москва , улица Шарикоподшипниковская, дом 1
  • График работы: понедельник-пятница с 10:00 до 18:00

Вопросы по сертификатам и носителям JaCarta SE

Индивидуальным предпринимателям необходимо приобрести только один аппаратный криптоключ JaCarta SE PKI/ГОСТ с сертификатом КЭП независимо от количества торговых точек. Об этом говорит информационное сообщение от ФСРАР. В соответствии с требованиями ФСРАР для фиксации документов в ЕГАИС в каждой торговой точке с отдельным КПП должен быть собственный аппаратный криптоключ JaCarta SE PKI/ГОСТ с записанным на него сертификатом КЭП. Подробнее в инструкции Шаг 1 «Приобрести криптоключ и КЭП».

В соответствии с требованиями ФСРАР для юридических лиц сертификат нужно выпускать на каждое подразделение со своим адресом и КПП. Сертификаты на подразделения могут быть выпущены на руководителя организации или на ответственное лицо. Также они могут быть выпущены на разных ответственных лиц от каждого подразделения.

Сертификат для ЕГАИС выпускается на специальном аппаратном ключе JaCarta SE или Рутокен ЭЦП 2.0, имеет свойство неэкспортированности, поэтому и скопировать его на другой носитель нельзя. Возможность работы с другими системами мы гарантировать не можем, даже при условии наличия в системе программного обеспечения для работы с JaCarta SE/Рутокен ЭЦП 2.0.

    Переключитесь в режим администрирования.

После инициализации ГОСТ-части можно запросить сертификат ЕГАИС по инструкции.

После инициализации PKI-части — RSA ключ по инструкции.

На носителе JaCarta SE есть 5 доступных контейнеров для записи сертификатов. На носителе Рутокен ЭЦП 2.0 записывать можно до 15 сертификатов.

При записи сертификата предыдущими воспользоваться будет нельзя, активен только последний записанный сертификат.

Для работы с носителем JaCarta SE PKI/ГОСТ не требуется установка драйверов, поскольку данный носитель использует стандартный USBCCID-драйвер, встроенный в операционную систему. Но для просмотра информации о данном носителе и записанных на него сертификатов на компьютере должен быть установлен «Единый клиент JaCarta». Установить данный компонент можно на первом этапе настройки рабочего места с веб-диска, с профиля диагностики Контур.Маркет или с сайта разработчика данного устройства.

Для работы с носителем Рутокен ЭЦП 2.0 PKI/ГОСТ не нужно устанавливать КриптоПро CSP или другой СКЗИ, так как СКЗИ встроено в сам носитель и работает внутри него, а не в операционную систему (как, например, КриптоПро CSP). Поэтому конфликт Рутокен ЭЦП 2.0 и других СКЗИ исключён. Для просмотра информации о данном носителе и записанных на него сертификатов нужно установить «Панель Управления Рутокен». Установить данный компонент можно на первом этапе настройки рабочего места с веб-диска, с любого профиля диагностики или с сайта разработчика данного устройства. В отличие от Jacarta SE у данного носителя нет разделения на части PKI и ГОСТ.

20.11.15 информационная система ЕГАИС ФСРАР начала работать с сертификатами КЭП любых аккредитованных по 63-ФЗ Удостоверяющих Центров, в т. ч. Удостоверяющих центров АО «ПФ «СКБ Контур» и ООО «Сертум-Про».

Если вы получаете или уже получили сертификат КЭП на JaCarta SE/Рутокен ЭЦП 2.0 в УЦ СКБ Контур, у вас нет необходимости в дополнительном получении тестовых сертификатов на портале ЕГАИС. По окончании тестового периода с 01.01.2016 данные сертификаты КЭП продолжат свою работу в системе ЕГАИС.

  1. Зайдите в «Панель управления Рутокен» с помощью ярлыка и перейдите на вкладку «Сертификаты».
  2. Нажмите «Ввести PIN-код. ».
  3. Выберите «Администратор» и введите текущий PIN-код администратора.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *