Модели Рутокен с аппаратной криптографией, которые подойдут для генерации ключей для ЕГАИС

Рутокен ЭЦП 3.0, серт. ФСБ
Смарт-карта Рутокен ЭЦП 3.0, серт. ФСБ

Неизвлекаемые ключи изначально генерируются внутри устройства, подписание происходит «на борту» с использованием аппаратной криптографии токена. Какая-либо возможность извлечения или копирования закрытого ключа отсутствует.

ВАЖНО! При генерации ключевой пары по алгоритму ГОСТ Р 34.10 - 2012 следует выбирать короткий ключ 256 бит.
С ключами длиной 512 бит УТМ не работает. При подключении к УТМ ключа с длиной закрытой части 512 бит в логах УТМ будет ошибка

Способы генерации неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС:

Способ 1. С использованием «КриптоПро CSP» версии 5.0 R2 и новее

Для Windows cоветуем скачать сертифицированную версию «КриптоПро CSP» со встроенными модулями pkcs#11 с официального сайта компании «КриптоПро» (для скачивания требуется предварительная регистрация). В случае установки этой версии «КриптоПро CSP», установка Драйверов Рутокен не обязательна.

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-35-1.png

Установка в Windows

Если на компьютере с ОС Windows установлены Драйверы Рутокен, и производится первичная установка КриптоПро CSP 5.0 R2, то настройка системы будет выполнена автоматически.
При обновлении программы с предыдущих версий КриптоПро CSP, необходимо:

1) Установить актуальную версию «Драйверов Рутокен».

2) Запустить «КриптоПро CSP» с правами Администратора.

3) Выбрать «Оборудование» — «Настроить считыватели» — «Считыватель смарт-карт PKCS#11».

Установка в Linux

Перед установкой КриптоПро CSP необходимо установить библиотеку rtpkcs11ecp.so, она доступна https://www.rutoken.ru/support/download/pkcs/.

Если установка КриптоПро происходит скриптом install_gui.sh, то необходимо отметить пункт "Поддержка токенов и смарт-карт".
Если установка КриптоПро происходит скриптом install.sh, то после установки основных пакетов необходимо установить пакеты cprocsp-rdr-cryptoki и cprocsp-rdr-rutoken.

В «КриптоПро CSP» версии 5.0 R2 и выше в разделе «Оборудование» — «Настроить считыватели» должен быть добавлен пункт «Все считыватели смарт-карт PKCS#11».

Если такого пункта нет, запустите «КриптоПро CSP» с правами Администратора и в этом окне добавьте считыватели, нажав на кнопку «Добавить...»

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_15-58-54.png

Если такой вариант считывателя отсутствует, удалите «КриптоПро CSP» и, убедившись, что вы устанавливаете версию 5.0 R2 или выше, еще раз ее установите.

1) Установите актуальную версию Драйверов Рутокен.

2) Подключите устройство из семейства Рутокен ЭЦП 2.0/3.0 к компьютеру.

3) При генерации ключей нужно использовать версию «КриптоПро CSP» версии 5.0 R2 или новее.

4) В окне выбора ключевого носителя выберите режим, который позволяет работать с внутренним криптоядром Рутокена через библиотеку PKCS#11.
У вас может быть один из двух вариантов (зависит от версии КриптоПро CSP):

Вариант 1. Выберите в списке носителей «Rutoken ECP (PKCS#11)».
Вариант 2. Выберите в списке носителей «Rutoken ECP», а в выпадающем списке "Активный токен (pkcs11_rutoken_ecp_xxxxx).

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_17-3-18.png

5) После генерации ключей и записи сертификата на Рутокен, проверьте формат ключей одним из двух способов:

Способ 1. Через «Панель управления Рутокен»: вкладка "Сертификаты".

Способ 2. Через «КриптоПро CSP»: вкладка «Сервис» — «Протестировать...» .

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_17-14-48.png

Способ 2. С использованием «Генератора запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0»

«Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0» входит в состав Драйверов Рутокен.

1) Установите актуальную версию Драйверов Рутокен.

2) Подключите устройство из семейства Рутокен ЭЦП 2.0/3.0 к компьютеру.

3) Запустите «Панель управления Рутокен».

4) Перейдите на вкладку «Сертификаты».

5) Нажмите кнопку «Ввести PIN-код» и введите PIN-код Администратора.

6) Нажмите на кнопку «Выписать сертификат», откроется приложение:

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_15-28-50.png

Далее используйте Инструкцию по работе с Генератором запросов.

Способ 3. С использованием программы «КриптоАРМ» 5 версии

Для генерации неизвлекаемых ключей можно использовать программу КриптоАРМ 5.

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-37-40.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-37-58.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-8.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-19.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-28.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-34.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-40.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-46.png

Портал документации Рутокен > Генерация неизвлекаемых ключей по стандарту PKCS#11 для ЕГАИС (Росалкогольтабакрегулирование) > image2021-12-10_16-38-55.png

Корректное заполнение расширения 1.2.643.100.111

Модель	значение
Рутокен ЭЦП 3.0 3220	СКЗИ "Рутокен ЭЦП 3.0"
Рутокен ЭЦП 2.0 2100	СКЗИ "Рутокен ЭЦП 2.0 2100"
Рутокен ЭЦП 2.0 (2000)	СКЗИ "Рутокен ЭЦП 2.0"
Рутокен ЭЦП 2.0 micro	СКЗИ "Рутокен ЭЦП 2.0 micro"
Рутокен ЭЦП 2.0 3000	СКЗИ "Рутокен ЭЦП 2.0 3000"
Рутокен ЭЦП 2.0 3000 micro	СКЗИ "Рутокен ЭЦП 2.0 3000 micro"
Рутокен ЭЦП 2.0 3000 Type-C	СКЗИ "Рутокен ЭЦП 2.0 3000 Type-C"
Рутокен ЭЦП 2.0 Flash	СКЗИ "Рутокен ЭЦП 2.0 Flash"
Смарт-карта Рутокен ЭЦП 2.0 2100	СКЗИ "Смарт-карта Рутокен ЭЦП 2.0

Может быть полезно

Видео

Инструкция: Переход на УТМ ЕГАИС 4