Comments 16
Сталкиваюсь с этим постоянно. При чем вот только один из ООО обслуживаемых мою лишился ляма рублей (токен был всегда вставлен и бух оставляла на ночь комп для удаленки, видимо кто-то знал пароль и прочее и получил доступ и через ее комп удаленно перевел на физлица все что было на счету). И вот только был дан жизненный урок, тут же именно для банк-клиента был куплен отдельно комп, свой инет, вход по паролю, токены и... смотрю у одной бухгалтерши на компе бк открыт, через сколько у второй... "ой, да срочно надо было, а на компе с банками юля сидела". Опять компы на ночь не выключаются... опять вход только по паролю (без подтверждения на самом ПК) разрешен...
Никакой ценности данные, защищённые токенами, не представляют для злоумышленника. Ну, или практически никакой.
Что вы можете узнать, похитив ключ? Сколько начислено взносов в ФСС? Или, может быть, вы, вооружившись украденным ключом, сдадите отчетность с фальсифицированными данными? Это НИКОМУ НЕ НУЖНО.
Вот у меня, например, на обслуживании находится так называемая уполномоченная бухгалтерия. Это такая организация, которая ведёт учёт для многих сторонних фирм. У них десятки токенов. Каждый раз искать нужный (внешне они ничем не отличаются) и втыкать — это очень неудобно. Поэтому возможность хранить ключ в реестре очень полезна.
Конечно, если речь идет о защите доступа к клиент-банку, то лучше всё-таки использовать брелок. Но в большинстве случаев, как я уже сказал, токен использутеся или для сдачи отчётности, или участия в электронных торгах.
В бухгалтерии как правило используются ЭП квалифицированные на юрлицо. Заполучи такой и можешь продать с молотка все имущество этого юрлица и сделка будет считаться юридическиверной.
Переместить с одного считывателя в другой?
Или выгрузить закрытый ключ в файл, если второе, то вроде как крипто про не позволяет это делать в принципе.
Эта виндовая галка «Пометить ключ как экспортируемый» насколько я помню вообще для этого криптопровайдера ничего не значит.
Описанный мною метод переноса ключей из реестра без участия КриптоПРО позволяет осуществить именно выгрузку ключей в файл.
По поводу галки «Пометить ключ как экспортируемый» — сталкивался уже с этой проблемой в КБ нескольких банков и в одной из систем подачи отчетности — КриптоПРО не копировал ключи мотивируя это тем, что они не помечены как экспортируемые. Версии КриптоПРО 3.0 и 3.6.
Если экспортировать ветку ключа реестра с закрытой частью ЭП и потом импортировать его же на другой комп, то контейнер отлично функционирует. Из проблем - для коммерсов ЭП делают в налоговой и только на токен.
Небольшое дополнение к этому мануалу:
В крипто-про на контейнеры можно ставить пин-код.
А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).
При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.
Что можно сделать в таком случае?
Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать
Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль. Или не устанавливаем.
И вот после этого уже копируем ветку реестра на новый комп.
Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:
Win32
HKLM\SOFTWARE\CryptoPro\Settings\Keys\
Win64
HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Keys\
Переносим неэкспортируемые контейнеры Крипто-ПРО