Создаем резервную копию ключа шифрования EFS (сертификата) для предотвращения потери данных

Создаем резервную копию ключа шифрования EFS (сертификата) для предотвращения потери данных Сертификаты

Импорт ключей и сертификатов

Прежде всего установим на новый узел КриптоПро, обратите внимание, что переносить ключи и сертификаты следует между одинаковыми версиями. В противном случае либо обновите версию КриптоПро на старой системе, либо установите старую версию на новой и обновите ее уже после переноса ключевых пар.

Затем снова узнаем SID пользователя, который будет работать с ЭЦП, если это текущий пользователь, то снова выполните:

Как быть если доступ к старой системе невозможен?

Теория – это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?

Все что нам нужно в таком случае – это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.

С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:WindowsSystem32config

Transfer-keys-certificates-CryptoPro-004.pngЗатем на целевой системе откройте редактор реестра, перейдите в раздел HKEY_LOCAL_MACHINE и через Файл – Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE.Transfer-keys-certificates-CryptoPro-005.pngПосле чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys.Transfer-keys-certificates-CryptoPro-006.pngДальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.

Как выполнить копирование сертификата с рутокена через криптопро

Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:

В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.

Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.

Как выполнить копирование эп из реестра

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу.
После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.

Про сертификаты:  Мастика герметизирующая МГКП для кабельных проходок купить в Перми | ТОП-Трейд

Выгрузка личного сертификата с исходного компьютера:
Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»

Как перенести нужный контейнер на рутокен из другого источника

В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:

Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.

Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:

Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:

Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.

При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности.

Как произвести копирование сертификата с рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Ключ шифрования efs (сертификата) windows

Начиная с XP, в Windows была встроена функциональность шифрования данных. При этом она невероятно проста в использовании. Все что вам нужно – это щелкнуть правой кнопкой мыши на папке, выбрать пункт “Свойства”, нажать кнопку “Другие…” и установить флажок “Шифровать содержимое”. И все, теперь ваши данные шифруются.

Шифрование файловой системы или EFS используют достаточно много людей, которые хотят себя обезопасить, но при этом не хотят вникать в тонкости самих инструментов. И их можно понять. Ведь кроме того, что любой продукт шифрования данных нужно уметь использовать, существует еще много жизненных моментов, которые необходимо учитывать (например, социальная инженерия). Более подробно вы можете узнать в статье Шифрования не достаточно.

Про сертификаты:  Cisco Catalyst 9300L-24P-4X-A Switch - Cisco

Несмотря на всю прелесть EFS, все же есть один момент, на который Microsoft не дает однозначного ответа. При шифровании EFS связывает защищенные данные с вашим компьютером. Поэтому, если вы копируете свои данные на сторонний носитель, например, в целях создания резервной копии, то вы должны понимать, что эти данные вы сможете прочитать только на вашем компьютере. Т.е. перенести их куда-то в другую систему будет уже невозможно.

На самом деле, это ограничение еще жестче, чем кажется. Если вы создали резервную копию защищенных EFS файлов на внешнем диске, а затем переформатировали свой диск и переустановили Windows, то EFS не сможет прочитать эти файлы. Так как будет считать, что это другой компьютер.

Примечание: Если подходить строго к организации безопасности, то EFS далеко не самая сильная система защиты. Но, она и предназначена для широкого круга пользователей, которым не нужна сверхсложная система защиты с кучей паролей и карт доступа. А нужна интегрированная система с простейшим способом использования, но, тем не менее, защищающая систему.

Копируем сертификат эцп через криптопро csp

Этот способ подходит для ОС Windows.

Шаг 1 . Вставьте носитель в USB-разъём.

Шаг 2. Откройте приложение КриптоПро CSP и выберите вкладку «Сервис».

Шаг 3. Найдите раздел «Контейнер закрытого ключа» и нажмите на кнопку «Скопировать».

Шаг 4. Откроется окно «Копирование контейнера закрытого ключа». В нём нажмите на кнопку «Обзор».

Шаг 5. Из списка контейнеров выберите тот, что установлен на флешку-токен и нажмите «ОК».

Шаг 6. Придумайте название для нового контейнера закрытого ключа и нажмите «Готово».

Шаг 7. Откроется окно «Выбор ключевого носителя КриптоПро CSP». Чтобы использовать реестр Windows, выберите опцию «Реестр» и нажмите «Готово».

Шаг 8. Для того чтобы защитить вашу электронную подпись от использования посторонними, придумайте пароль и введите его в поля на экране.

После этого появится сообщение о том, что сертификат успешно скопирован в локальный реестр. Нажмите «ОК».

Шаг 9. Снова откройте КриптоПро CPS, найдите раздел «Сертификаты в контейнере закрытого ключа». Выберите «Просмотреть сертификаты в контейнере».

Шаг 10. В открывшемся окне нажмите на кнопку «Обзор». В списке найдите новый контейнер по считывателю «Реестр» и по заданному вами названию.

Шаг 11. Выделите нужный контейнер и нажмите «ОК».

Шаг 12. Появится окно с информацией о сертификате, где указаны владелец ЭЦП, поставщик и срок действия. Проверьте информацию и нажмите «Установить».

Шаг 13. Если установка прошла успешно, появится уведомление о том, что сертификат установлен в хранилище «Личное». Нажмите «ОК».

Массовый перенос сертификатов эцп

Данный способ переноса сертификатов ЭЦП подходит как для защищенных ключей, так и для большого объема информации (если нужно скопировать сразу несколько ключей для работы в системе СБИС и т.п.).

Как скопировать ЭЦП на флешку:

  • значение S-1-5-21-551888299-3078463796-888888888-46162 — это SID личной учетной записи. С его помощью можно выгрузить закрытые ключи. Пользователь открывает новую ветку командой:

Ошибка копирования контейнера

Обычно процесс переноса информации проходит без ошибок, но некоторые закрытые ключи Удостоверяющий центр помечает как «‎Недоступные для копирования». Делается это для того, чтобы в случае необходимости пользователи обращались в УЦ за копией. Выглядит ошибка так:

Про сертификаты:  Оформить свидетельство о безопасности транспортного средства БКТС

Если при повторной попытке копирования с использованием утилиты ошибка повторяется, то нужно использовать другой способ переноса информации.

Перенос сертификатов из реестра через internet explorer

Для создания копии дубликата ЭЦП на флешке нужно:

  • в IE открыть «Свойства браузера» / «‎Содержание» / «‎Сертификаты» / «‎Экспорт»;
  • через правую клавишу мышки в оснастке нужного сертификата выбрать «‎Экспорт»;
  • в мастере переноса сертификатов ЭЦП сначала нажимают «‎Далее», а затем напротив пункта«‎Экспортировать закрытый ключ вместе с сертификатом» ставят галочку;
  • если эта область неактивна, значит, ключ защищен от копирования, и данный способ не подходит;
  • если все работает, то следующий шаг — выбор формата загрузки;
  • далее пользователь задает пароль и указывает место хранения закрытого ключа;
  • завершается процесс нажатием «‎Готово».

Проведение копирования контейнера с помощью встроенных средств операционной системы windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Создаем резервные копии сертификатов efs

  1. Откройте диспетчер сертификатов. Для этого в меню Пуск в поле “Найти программы и файлы” введите “certmgr.msc” (без кавычек) и нажмите Enter. Для запуска оснастки вам потребуются права администратора.
  2. В левой панели дважды щелкните “Личные”. В случае, если у вас нет личного сертификата, перейдите в пункт “Доверенные корневые центры сертификации”
  3. Щелкните на пункте “Сертификаты”. А затем в правой части найдите все сертификаты, у которых среди назначений указана “Шифрующая файловая система (EFS)” (возможно придется сильно расширить экран и прокрутить правую область)
    Создаем резервную копию ключа шифрования EFS для предотвращения потери данных
  4. Если вы нашли более одного сертификата EFS, то необходимо создать резервные копии всех найденных сертификатов
  5. Щелкните правой кнопкой мыши на сертификате, а затем перейдите внутрь пункта “Все задачи” и выберите “Экспорт…”
  6. В мастере экспорта сертификатов нажмите кнопку “Далее”, затем кнопку “Да, экспортировать закрытый ключ” (Актуально только для личных ключей), а затем далее. 
  7. Выберите пункт “Файл обмена личной информацией” (Актуально только для личных ключей; для доступных можно использовать другие способы) и нажмите “Далее”
  8. Введите новый пароль для последующего восстановления сертификата и повторите его (Актуально только для личных ключей). После чего нажмите кнопку “Далее”. 
  9. Введите желаемое имя файла и его месторасположение (полный путь), или нажмите кнопку “Обзор”, перейдите в папку, введите желаемое имя файла и нажмите кнопку сохранить
  10. Нажмите кнопку “Далее”, а затем нажмите кнопку “Готово” 

Примечание: Если вы не изменяли настройки, то имена зашифрованных файлов и папок в проводнике отображаются зеленым цветом. Так что если вы случайно обнаружили у себя, что часть ваших записей отображается зеленым цветом, то вероятно, на вашей системе используется EFS.

Оцените статью
Мой сертификат
Добавить комментарий