За замовчуванням заборона на експортований ключ ставиться ще при створенні токена, на центрі сертифікації. Якщо ж там цього не зробили, то ми зробимо ось такий фінт.

Установка драйверів і модуля управління Rutoken

Насамперед вам необхідно встановити драйвера і софт для управління і адміністрування рутокеном. Завантажити його можна на офіційному сайті виробника.

https://www.rutoken.ru/support/download/drivers-for-windows/

У момент установки РУТОКЕН токен повинен бути від'єднаний від комп'ютера

Дана помилка, в 99 відсотках випадків вискакує з-за відсутності або простроченої ліцензії КріптоПро CSP.

Після установки КріптоПро все виглядає як треба і доступна кнопка експорту закритого ключа.

Забороняємо експортування сертифіката

Виробляємо експорт сертифіката, в результаті у вас вийде архів pfx. Він буде містити як відкритий, так і закритий ключ. Тепер спробуйте зробити імпорт сертифіката. Зверніть увагу, що в момент імпорту, вам не потрібно ставити галку "Дозволити експорт закритого ключа" саме їй ми не дамо його вивантаження.

Вводимо пінкод (найчастіше він стандартний у рутокен, якщо ви його не змінювали)

У вас може з'явитися в деяких випадках помилка "імпортовані можуть бути тільки сертифікати для ключів RSA"

Для її вирішення нам потрібно перетворити сертифікат pfx. Нам буде потрібно утиліта OpenSSL. За допомогою OpenSSL експортуємо закритий ключ з PFX-файлу:

• pkcs12 -in newcert.pfx -nocerts -out encrypted.key
• Проводимо ті ж дії з сертифікатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem
• Конвертуємо отримані сертифікат і закритий ключ в формат DER:
  OpenSSL> x509 -in cert.pem -out cert.crt -outform DER
  OpenSSL> rsa -in encrypted.key -out key.der -outform DER
• Записуємо сконвертовані закритий ключ на Рутокен
• Видаляємо старий сертифікат, після перевірки нового.

Сподіваюся вам допоможе даний метод, заборонити експортування приватного ключа з рутокен, якщо у вас є доповнення або інші методи, то напишіть про них в коментарях.

призначення

Утиліта PinChanger призначена для автоматизації процедур форматування і адміністрування Рутокен: зміни мітки токена, PIN-кодів і їх параметрів.

Підтримувані моделі

• Рутокен S (тільки на Windows-платформах і тільки з використанням бібліотеки rtPKCS11.dll (задана за замовчуванням))
• Рутокен Lite
• Рутокен ЕЦП

Підтримувані платформи

• MS Windows 8/2012/7/2008 / Vista / 2003 / XP / 2000
• GNU / Linux
• Mac OS X

параметри

Утиліта запускається з командного рядка і має наступні параметри:

При необхідності параметри командного рядка можуть бути передані за допомогою конфігураційного файлу.

У разі відсутності заданих PIN-кодів при форматуванні встановлюються PIN-коди за замовчуванням.

Утиліта є циклічною і після виконання заданих дій на підключеному токені очікує підключення наступного.

форматування

Утиліта надає користувачеві можливість поточного форматування токенов:

1. Користувач запускає утиліту, встановивши попередньо необхідні настройки в файлі конфігурації або задавши опції в командному рядку.

Утиліта форматує виявлені маркери, заносить результати в лог-файл, чекає підключення наступного токена або команди припинення роботи (наприклад після натискання на клавішу Enter).

Результати форматування пишуться в лог.

Користувач може запустити форматування токенов з автоматичною генерацією PIN-коду заданої довжини, для цього він встановлює відповідну опцію в файлі конфігурації.

Зміна PIN-коду

Користувач може змінити PIN-код користувача або адміністратора без форматування токена, якщо йому відомі поточні PIN-коди користувача та адміністратора.

Користувач задає поточний PIN-код адміністратора і користувача в файлі конфігурації або командному рядку, задає нові PIN-коди, параметри зміни PIN-коду і запускає утиліту.

Результати зміни PIN-кодів пишуться в лог.

Користувач може запустити зміну PIN-кодів з автоматичною генерацією нових PIN-кодів заданої довжини, для цього він встановлює відповідну опцію в файлі конфігурації.

Користувач може задати дефолтні значення PIN-кодів, тоді все токени матимуть однакові PIN-коди.

Користувач може задавати PIN-коди або генерувати їх автоматично в кодуванні UTF-8, встановивши відповідну опцію в файлі конфігурації.

Користувач може використовувати заздалегідь згенеровані сторонніми утилітами PIN-коди. Для цього в настройках він вказує файл, в якому зберігається список згенерованих PIN-кодів з символом переведення рядка як роздільник.

Протоколювання роботи в лог-файл

Лог є файл з рядками такого змісту:

1. У разі форматування

2. У разі зміни PIN-коду

3. У разі форматування Flash-пам'яті

4. У разі зміни атрибутів розділів Flash-пам'яті

5. У разі отримання інформації про атрибути розділів Flash-пам'яті

Користувач може задавати ім'я лог-файлу і його розташування. За замовчуванням файл лежить в папці з утилітою і називається Pinchanger.exe.log.

Якщо при повторному запуску утиліти користувач не вказав нове ім'я лог-файлу, то старий файл доповнюється.

приклади використання

Відформатувати один токен з параметрами за замовчуванням (для поточного виконання прибрати прапор -q)

PinChanger.exe -f -q

Відформатувати токен, задавши ім'я токена RutokenLabel, PIN-код користувача 123456789 і PIN-код адміністратора 987654321.

PinChanger.exe -f -L RutokenLabel -u 123456789 -a 987654321 -q

Відформатувати токен з використання конфігураційного файлу, задавши ім'я токена RutokenLabel, PIN-код користувача 123456789 і PIN-код адміністратора 987654321.

Флешка Token в звичайну і отримав найкращу відповідь

Відповідь від DomMasterIT © [гуру]
Для вашої уваги
- ChipGenius v2.72 (2009-02-25) - утиліта для отримання інформації про всі підключених USB пристроях. Показує значення VID & PID. Є вбудована база по якій визначається модель і виробник контролера.
- CheckUDisk v5.0 - утиліта для отримання інформації про всі підключених USB пристроїв.
Показує значення idVendor і idProduct для визначення типу контролера пристрою.
А також показує швидкість, ревізію, серійний номер флеш накопичувача.
- UsbIDCheck (USB Bench - Faraday USB Test Utility) - програма для отримання інформації про всі підключених USB пристроїв. Показує значення idVendor і idProduct для визначення типу контролера пристрою. Список, по якому можна визначити виробника пристрою - файл usb.ids.txt в папці програми.
- Flash Disk Utility v1.20 - програма для швидкого і повного форматування флешки, створення завантажувального диска, стиснення данн і шифрування паролем, інструкція англійською мовою.
- FlashNull - утиліта по перевірки працездатності і обслуговування Flash-пам'яті (USB-Flash, IDE-Flash, SecureDigital, MMC, MemoryStick, SmartMedia, XD, CompactFlash і т. Д.). Список виконуваних операцій:
- Тест читання - перевірка доступності кожного сектора носія (дублює функціональність звичайних HDD-тестів)
- Тест запису - перевірка можливості запису кожного сектора носія (дублює функціональність більшості HDD-тестів)
- Тест збереження записаної інформації - перевірка відповідності записаної і прочитаної інформації (аналогічно функціональності memtest, але відносно flash-накопичувачів).
- Збереження образу вмісту пристрою - посекторноє збереження всього (або частини) вмісту в файл. (Аналогічно функціональності dd з UNIX).
- Завантаження зображення в пристрій - посекторного запис образу в пристрій (аналогічно функціональності dd з UNIX).
Інструкція російською мовою.
iCreate_iFormat_V1.32 - утиліта для контролерів iCreate i5122, i5128, i5129. Після установки програми робоче вікно з'являється і зникає, вставивши флешку можна форматувати ...
- MPTool V2.0 (MXT6208 + A MPTool V2.0) - утиліта для відновлення флешок на контролері MXTronics MXT6208A. Допомагають китайським флешка Kingstone і деяким Sony підробкам.
- UmpTool v1.6.3 - утиліта для відновлення флеш на контролерах Chipsbank CBM2090.
Можливо підійде для інших контролерах серії CBM209Х.
- USB Disk Storage (HP USB Disk Storage Format Tool v2.1.8) - утиліта для форматування і створення завантажувального USB Flash (підтримується NTFS, FAT, FAT32).
- Dr. UFD v1.0.2.17 (PQI Dr.UniFlashDisk 1.0.2.17) - фірмова утиліта для низькорівневого форматування флеш на контролерах PQI. Підтримувані моделі:
- Card Drive Series
- Intelligent Drive Series
- Cool Drive Series
- Traveling Disk Series.
- EzRecover - утиліта відновлення USB Flash, допомагає, коли флеш визначається як Security Deviсe, взагалі не визначається або показує 0Mb обсяг. Для того щоб EzRecovery побачив флешку треба після запуску програми і видачі повідомлення про помилку вийняти флешку і знову вставити її і тоді все шляхом.
Увага! Після використання програми всі дані на флеш не будуть збережені.
- FORMAT v30112 - фірмова утиліта для флешок PQI. Дозволяє форматувати, керувати розділами, створювати приховані і запаролених розділи.
- JetFlash RecoveryTool v1.0.5 - утиліта для відновлення (ремонту) USB Flash Transcend.

Токени, електронні ключі для доступу до важливої ​​інформації, набувають все більшої популярності в Росії. Токен зараз - не тільки засіб для аутентифікації в операційній системі комп'ютера, але і зручний пристрій для зберігання і пред'явлення персональної інформації: ключів шифрування, сертифікатів, ліцензій, посвідчень. Токени надійніше стандартної пари "логін / пароль" за рахунок механізму двухфакторной ідентифікації: тобто користувач не тільки повинен мати в наявності носій інформації (безпосередньо сам токен), але і знати PIN-код.

Основних форм-факторів, в яких випускаються токени, три: USB-токен, смарт-карта і брелок. Захист за допомогою PIN-коду найчастіше зустрічається в USB-токен, хоча останні моделі USB-токенів випускаються з можливістю установки RFID-мітки і з рідкокристалічним дисплеєм для генерації одноразових паролів.

Зупинимося докладніше на принципах функціонування токенов з PIN-кодом. PIN-код - це спеціально заданий пароль, який розбиває процедуру аутентифікації на два етапи: приєднання токена до комп'ютера і введення власне PIN-коду.

Найбільш популярні моделі токенов на сучасному електронному ринку Росії - Рутокен, eToken від компанії "Аладдін", і електронний ключ від компанії "Актив". Розглянемо найбільш поширені запитання щодо PIN-кодів для токена на прикладі токенов цих виробників.

1. Який PIN-код використовується за умовчанням?

У таблиці нижче представлені інформація про PIN-коди за замовчуванням для токенов Рутокен і eToken. Пароль за замовчуванням відрізняється для різних рівнів власників.

2. Чи треба змінювати PIN-код за замовчуванням? Якщо так, то в який момент роботи з токеном?

3. Що робити, якщо PIN-коди на токені невідомі, а PIN-код за замовчуванням вже скинутий?

Єдиний вихід - повністю очистити (відформатувати) токен.

4. Що робити, якщо PIN-код користувача заблоковано?

Розблокувати PIN-код користувача можна через панель управління токена. Для виконання цієї операції необхідно знати PIN-код адміністратора.

5. Що робити, якщо PIN-код адміністратора заблокований?

Розблокувати PIN-код адміністратора неможливо. Єдиний вихід - повністю очистити (відформатувати) токен.

6. Які заходи безпеки вжито виробниками для зниження ризику підбору пароля?

Основні пункти політики безпеки для PIN-кодів USB-токенів компаній "Аладдін" і "Актив" представлені в таблиці нижче. Проаналізувавши дані таблиці можна зробити висновок, що eToken імовірно матиме більш захищений пін код. Рутокен, хоч і дозволяє задавати пароль всього з одного символу, що небезпечно, за іншими параметрами не поступається продукту компанії "Аладдін".

Важливість збереження PIN-коду в секреті відома всім тим, хто використовує маркери в особистих цілях, зберігає на ньому свій електронний підпис, довіряє електронному ключу інформацію не тільки особистого характеру, але і деталі своїх бізнес-проектів. Токени компаній "Аладдін" і "Актив" мають попередньо встановленими захисними властивостями і разом з певною часткою обережності, яка буде проявлена ​​користувачем, знижують ризик підбору пароля до мінімуму.

Програмні продукти Рутокен і eToken представлені в різних конфігураціях і форм-факторах. Пропонований асортимент дозволить вам вибрати саме ту модель токена, яка найбільш відповідає вашим вимогам, будь то