Переносим неэкспортируемые контейнеры Крипто-ПРО

    Иногда случается так что необходимо перенести клиент-банк или другое разнообразное бухгалтерское и не очень ПО с одного компьютера на другой. В том случае когда в качестве криптопровайдера выступает СКЗИ Крипто-ПРО обычно проблем не возникает — СКЗИ имеет штатные средства копирования ключей. Но не всегда все гладко — в том случае, когда ключевой контейнер находится в реестре Windows, и при генерации ключа не была выставлена галочка «Пометить ключ как экспортируемый» то при попытке скопировать куда-либо этот ключ Крипто-ПРО будет ругаться и не скопирует ключ.
    Из этой ситуации есть очень простой выход — выгружаем ветку реестра HKLM\SOFTWARE\CryptoPro\Settings\Users\{SID}\Keys\(в x64 операционках контейнеры лежат в HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\{SID}\Keys\), а на том ПК куда необходимо импортировать смотрим разрядность ОС\SID пользователя, блокнотом правим .reg файл(меняем SID и, если необходимо, путь к конечной ветке), и импортируем его в реестр.
    Также этим методом очень удобно бекапить и клонировать ключи тогда, когда их много(например в аутсорс-бухгалтериях).
    P.S. Не забывайте после переноса установить сертификаты из криптоконтейнеров в «Личные».

    Добавление от Ghool

    В крипто-про на контейнеры можно ставить пин-код.
    А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
    Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).

    При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.

    Что можно сделать в таком случае?

    Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать
    Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль. Или не устанавливаем.

    И вот после этого уже копируем ветку реестра на новый комп.

    Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:

    Win32
    HKLM\SOFTWARE\CryptoPro\Settings\Keys\

    Win64
    HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Keys\
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 10
    • 0
      Мне кажется, Крипто-Про в бухгалтерии ну никак не должен хранить ключи в реестре… Ну никак совсем. Суть брелока в том, что он доступен только в моменты необходимости. А тут он открыт всегда.
      • 0
        Так то оно конечно правильно, но когда ты берешь на аутсорсинговое обслуживание дремучих теток, которые вообще непробиваемые и «нам так удобней, не хотим никаких флешек вставлять» приходится для галочки объяснять что это не безопасно и продолжать хранить ключи в реестре.
        • 0
          Если с компьютером, на котором хранится ключ, накроется винт или Винда без возможности реанимации — то пропали эти ключики навсегда.
        • 0
          В бухгалтериях ключи используются, как правило, для работы с сервисами сдачи бухгалтерской отчетности в контролирующие органы (Такском, СБИС++, Контур и т. д.)
          Никакой ценности данные, защищённые токенами, не представляют для злоумышленника. Ну, или практически никакой.
          Что вы можете узнать, похитив ключ? Сколько начислено взносов в ФСС? Или, может быть, вы, вооружившись украденным ключом, сдадите отчетность с фальсифицированными данными? Это НИКОМУ НЕ НУЖНО.
          Вот у меня, например, на обслуживании находится так называемая уполномоченная бухгалтерия. Это такая организация, которая ведёт учёт для многих сторонних фирм. У них десятки токенов. Каждый раз искать нужный (внешне они ничем не отличаются) и втыкать — это очень неудобно. Поэтому возможность хранить ключ в реестре очень полезна.
          Конечно, если речь идет о защите доступа к клиент-банку, то лучше всё-таки использовать брелок. Но в большинстве случаев, как я уже сказал, токен использутеся или для сдачи отчётности, или участия в электронных торгах.
          • 0
            Ключи, кстати, используются еще и для доступа к СУФД, а это все таки деньги, которые можно похитить. И, как правило, деньги не малые.
        • 0
          Что вы имеете ввиду под фразой «скопировать ключ»?
          Переместить с одного считывателя в другой?
          Или выгрузить закрытый ключ в файл, если второе, то вроде как крипто про не позволяет это делать в принципе.
          Эта виндовая галка «Пометить ключ как экспортируемый» насколько я помню вообще для этого криптопровайдера ничего не значит.
          • 0
            Функция «скопировать ключ» в КриптоПРО копирует закрытый и открытый ключи с одного носителя на другой. Носителями могут быть ФС обычной флешки, различные токены или же реестр Windows.
            Описанный мною метод переноса ключей из реестра без участия КриптоПРО позволяет осуществить именно выгрузку ключей в файл.
            По поводу галки «Пометить ключ как экспортируемый» — сталкивался уже с этой проблемой в КБ нескольких банков и в одной из систем подачи отчетности — КриптоПРО не копировал ключи мотивируя это тем, что они не помечены как экспортируемые. Версии КриптоПРО 3.0 и 3.6.
          • 0
            Спасибо за инструкцию.
            Небольшое дополнение к этому мануалу:
            В крипто-про на контейнеры можно ставить пин-код.
            А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
            Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).

            При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.

            Что можно сделать в таком случае?

            Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать
            Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль. Или не устанавливаем.

            И вот после этого уже копируем ветку реестра на новый комп.

            Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:

            Win32
            HKLM\SOFTWARE\CryptoPro\Settings\Keys\

            Win64
            HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Keys\
            • 0
              Спасибо, добавил в статью
            • +1
              Ох, как же помогла сегодня эта статья (и как подставил УЦ) словами не передать!

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.