Запретить использование старых методов шифрования

До 2018 года бюджетные организации работали с электронными цифровыми подписями выпущенных в соответствии с ГОСТ Р 34.10−2001. Начиная с 1 января 2019 года запланирован переход на ГОСТ Р 34.10−2012 — и КриптоПро CSP стал отображать соответствующее уведомление, которое иногда совершенно невозможно отключить обычными методами.

Отключаем уведомление о переходе на ГОСТ Р 34.10−2012

С недавних пор, криптопровайдер КриптоПро CSP стал заботливо выдавать следующее предупреждение:

С 1 января 2019 года запрещено формирование электронной подписи с помощью ключей ЭП ГОСТ Р 34.10−2001. Вам необходимо перейти на использование ключей ЭП ГОСТ Р 34.10−2012. Продолжить использование ключа ЭП ГОСТ Р 34.10−2001?

Там же, внизу можно поставить галочку, чтобы данное напоминание не отображалось в течении месяца. Впрочем, бывает и такое, что данную галочку КриптоПро игнорирует и радует подобным окошком при каждом использовании.

Для того, чтобы отключить НАВСЕГДА данные уведомления, необходимо проделать следующее:

Windows Vista, Windows Server 2008 и новее:

Создаем два параметра типа QWORD, и задаем им значение 1d4a164f03e4000 (в шестнадцатеричной системе). Параметры должны находиться по следующему адресу (в конце — название параметра):

Для 64-битных систем:

Для 32-битных систем:

Windows XP или Windows Server 2003:

Создаем два параметра типа DWORD, и задаем им значение ffffffffff (в шестнадцатеричной системе). Параметры должны находиться по следующему адресу (в конце — название параметра):

Для 64-битных систем:

Для 32-битных систем:

В операционных системах семейства Linux, необходимо добавить два ключа в файл конфигурации, который расположен по следующему адресу:

Для 64-битных систем:

Для 32-битных систем:

Ключи должны располагаться в уже существующей секции Parameters, и должны иметь следующее содержание:

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.

Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Читайте также:  Вставьте диск с игрой

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.

Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

В данном случай zerox — имя учетной записи, для которой узнаем SID.

Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:

где S-1−5−21−4126079715—2548991747—1835893097—1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.

Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Сохраняйте эту директорию.

Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

Читайте также:  Где находится кнопка novo на ноутбуке lenovo

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.

Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

Криптография как искусство шифрования текста, сохранения конфиденциальности и целостности сообщений имеет примерно четырехтысячелетнюю историю развития. Большая ее часть рассказывает об ожесточенном поединке между шифровальщиками, изобретавшими все новые способы сокрытия смысла сообщений, и криптоаналитиками, раскрывавшими их истинное содержание, — борьбе драматичной и имевшей серьезные исторические последствия. Прежде разворачивающаяся в секретных лабораториях и институтах, сегодня борьба за криптографию приобрела еще больший масштаб и новый характер.

Военные секреты

Важность развития технологий шифрования для военных хорошо иллюстрирует взлом специалистами Блетчли-парка кодов немецкого командования во время Второй мировой войны. Сюжет, известный по фильму «Игра в имитацию» и «Книге шифров» Саймона Сингха.

Кадр из фильма «Игра в имитацию». Бенедикт Камбербэтч в роли Алана Тьюринга, британского криптографа, взломавшего код немецкой шифровальной машины «Энигма» во время Второй мировой войны

Иронично то, что вычислительные машины, изначально предназначенные для расшифровки, со временем развились в компьютеры, составившие основы информационной экономики современности, и нанесли сокрушительный удар по своим создателям.

Шифровальщики, получив в свое распоряжение колоссальные вычислительные мощности, избавились от необходимости конструировать сложнейшие механические шифраторы по типу машины «Энигма» и реализовали недоступные прежде для использования из-за сложности стойкие к взлому алгоритмы.

Современные шифры настолько совершенны, что на их дешифровку требуется неоправданно большое время, от десятка лет и до тысячелетий в зависимости от сложности алгоритма и длины ключа. Это свойство современного шифрования делает его надежной защитой для любой информации и чрезвычайно усложняет работу криптоаналитиков.

Новое противостояние

Прежде стойкие алгоритмы шифрования использовались исключительно для защиты государственных секретов, но в последнее десятилетие ХХ века подобные алгоритмы получили повсеместное распространение благодаря единственному человеку — Филиппу Циммерману.

В 1991 году этот американский программист опубликовал программу для шифрования электронной почты собственной разработки, названную Pretty Good Privacy (PGP), настолько совершенную, что ее шифрование не взломано до сих пор.

Филипп Циммерман, американский программист, создатель пакета программного обеспечения для шифрования электронной почты PGP

На протяжении трех лет программист подвергался судебному преследованию со стороны властей США, однако был оправдан. Пока шли судебные тяжбы, стало ясно, что джинн выпущен из бутылки.

Все заинтересованные пользователи компьютеров получили в распоряжение инструмент, способный защитить их сообщения от перехвата. Началось активное развитие общедоступной компьютерной криптографии, а с ним возникло новое противостояние.

Шифровальщики и криптоаналитики не прекратили свою работу, однако вокруг шифрования развернулась борьба гражданского общества и государства.

Убежденность в необходимости шифрования нашла прочную основу в виде статьи 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию».

В то же время активному внедрению шифрования способствовали чисто коммерческие интересы. Компании давно испытывали потребность в надежных каналах связи. Шифрование повысило безопасность общения в Мировой сети и выступило катализатором ее развития.

Шифрование сделалось заметным конкурентным преимуществом для интернет-компаний, ведь оно обеспечивало безопасные денежные переводы, удаленный доступ к файловым хранилищам и продажу товаров онлайн.

Однако, помимо положительной, у прогресса есть и обратная сторона, напоминают противники распространения шифрования, число которых в государственных органах со временем лишь возросло.

Когда говорят об ограничении использования или запрете стойкого шифрования, как правило, речь заходит о всевозможных преступниках, от хакеров-одиночек до террористических групп. По словам обеспокоенных правоохранителей, чтобы защитить от них общество, спецслужбы должны иметь доступ к переписке граждан.

Читайте также:  Запуск postgresql из командной строки linux

Хорошей иллюстрацией того, к чему приводит эта позиция, служит комплекс антитеррористических поправок в российское законодательство, известный как «пакет Яровой». Несмотря на широчайший резонанс и стотысячную петицию на сайте Российской общественной инициативы, он был принят и частично уже вступил в силу.

Государственные запреты — новая тенденция

С 1 июля 2018 года закон требует от «организаторов распространения информации», к которым относятся практически все интернет-ресурсы и сервисы, от Яндекса до Telegram, хранить в течение года информацию о фактах приема, передачи, доставки, обработки сообщений, а также о данных пользователях, участвующих в переписке на территории России, и по требованию передавать ее правоохранительным органам.

Подобные законы действуют и в других странах. Всем известен пример Китая, за общением жителей которого в Интернете установлен жесткий контроль, но эта страна — не исключение. Китай представляется скорее наиболее яркой иллюстрацией общемировых тенденций.

Ведь, например, и английские власти с начала века требуют от граждан выдавать ключи шифрования под угрозой уголовной ответственности. Даже в США, на родине крупнейших интернет-корпораций, вокруг права на шифрование ведутся горячие споры.

Общество — за шифрование

На международном уровне этот вопрос изучает Организация Объединенных Наций. На одном из докладов в мае 2015 года Специальный докладчик по вопросу о поощрении и защите права на свободу мнений и выражений Дэвид Кей дал однозначную оценку праву человека на шифрование переписки, охарактеризовав его как важнейший инструмент сохранения частной жизни и свободы самовыражения.

ООН однозначно высказалась за шифрование и отдельно подчеркнула, что право на шифрование может ограничиваться лишь в исключительных случаях, которые должны быть отражены в законах в четкой и однозначной форме.

Такой подход представляется наиболее здравым и взвешенным, ведь вопрос об использовании шифрования в конечном счете сводится к оценке соотношения рисков. Что будет разумнее: разрешить повсеместное шифрование и лишиться возможности вычислять террористов, просматривая переписку, или пожертвовать приватностью граждан?

Предпочтительным представляется первое, и на то существует целый ряд причин, организационных и технологических:

  • чрезвычайно сложно контролировать законность и обоснованность вмешательства в частную жизнь граждан. Хорошим подтверждением этого тезиса служит то, что британские спецслужбы на протяжении 17 лет бесконтрольно собирали конфиденциальные данные о гражданах своей страны;
  • невозможно отделить шифрование переписки от других видов защищенной связи. Схожие подходы используются для передачи файлов, удаленного подключения к компьютерам, защиты программ от копирования и совершения денежных переводов. Ограничения, накладываемые на шифрование, в конечном счете сказываются на безопасности всего перечисленного. Любые уязвимости, оставленные в алгоритмах шифрования с целью предоставить спецслужбам доступ к передаваемым сообщениям, рано или поздно будут обнаружены и использованы иными лицами;
  • средства шифрования общеизвестны и широко доступны. Запрет на использование шифрования переписки в мессенджерах и других общедоступных сервисах никак не отменяет этого факта. С введением запретов законопослушные граждане и их данные становятся уязвимее, в то время как злоумышленникам нет дела до законов, они продолжат использовать шифрование, как и прежде;
  • мессенджеры, электронная почта, голосовые, текстовые, видеочаты на различных платформах, онлайн-игры, комментарии к миллионам статей на миллионах ресурсов — чрезвычайно сложно взять под контроль все разнородные виды связи, действующие на основе инфраструктуры сети Интернет, не нарушая ее нормальной работы. Кроме того, современные технологии позволяют скрывать не только содержимое сообщения, но и сам факт его передачи, например, пряча зашифрованное послание в файле с фотографией или аудиозаписью.

Подытожить вышесказанное стоит известной цитатой разработчика алгоритма шифрования RSA, Рона Ривестона: «Плохо без разбора запрещать технологию только потому, что некоторые преступники могут использовать ее в своих целях. Криптография — это средство для защиты данных, точно так же, как перчатки — средство для защиты рук. Криптография защищает данные от хакеров, корпоративных шпионов и мошенников, в то время как перчатки предохраняют руки от порезов, царапин, жары, холода, инфекции. Первая может воспрепятствовать ФБР прослушивать телефонные разговоры, а вторые — помешают ФБР найти отпечатки пальцев. И криптография, и перчатки — они дешевле пареной репы и есть везде».

Оцените статью
Adblock detector