сделать УКЭП неизвлекаемой

Александр

клиент

22.04.2025

Александр, Вопрос: Можно ли уже выпущенную УКЭП (экспортируемую) сделать неизвлекаемой, “перенеся” её на Рутокен ЭЦП 3.0 или другим способом?
👉 Краткий ответ:
Нет, невозможно “превратить” экспортируемую УКЭП в неизвлекаемую постфактум.
Это связано с принципами криптографической безопасности и архитектурой работы токенов.

🔎 Почему так:
1. Экспортируемая УКЭП
Закрытый ключ хранится в операционной системе или программном контейнере (например, в CryptoPro CSP).

Он может быть скопирован, экспортирован, скомпрометирован.

2. Неизвлекаемая УКЭП
Закрытый ключ генерируется внутри защищённого устройства (например, Рутокен ЭЦП 3.0) и никогда не покидает его.

Даже сам пользователь не может его “вытащить” или скопировать.

⚠️ Перенести существующий закрытый ключ в Рутокен невозможно — токен должен сразу генерировать его внутри себя.

✅ Что можно сделать:
🔄 Выпустить новую УКЭП заново, сгенерировав ключ внутри токена
Подключаешь Рутокен ЭЦП 3.0

Запрашиваешь новый сертификат в УЦ, указав генерацию ключа на Рутокене

Получаешь сертификат, который уже:

Неизвлекаемый

Хранится внутри токена

Соответствует требованиям 63-ФЗ и ГОСТ

📌 Важно: Удостоверяющий центр (УЦ) должен поддерживать генерацию ключей на Рутокене, а не “где угодно”.

🔧 Если ты в структуре или организации:
Если ты работаешь с клиентами или в организации и хочешь “перевести” всех с экспортируемых ключей на аппаратные:

Нужно перевыпускать каждому новую ЭЦП с созданием ключа на Рутокене

Возможно настроить удалённую генерацию через токены (если есть доверенные устройства)

💬 Хочешь — могу помочь:
Сформировать запрос на новый сертификат под Рутокен

Подсказать УЦ, которые поддерживают генерацию на токене

Помочь с настройкой Рутокен/СКЗИ на клиентской машине

Если скажешь, какой УЦ используется и какая у тебя структура — дам точные шаги.