У бюджетних організаціях, так і в комерційних, хоч і рідше, часто-густо використовуються електронно цифрові підписи (ЕЦП). Сьогодні ми поговоримо з Вами про те як бути якщо потрібно оперативно розкидати на декілька персональних комп'ютерів одну і ту ж ЕЦП. Крім того той метод який ми будемо використовувати допоможе нам заощадити фізичні \ залізні флешки які використовуються в якості носія закритого ключа ЕЦП. Так як не всі програми використовуються для підключення до різних "бюрократичного сервісів" працюють із закритими ключами поміщеними в реєстр комп'ютера і вимагають саме знімний накопичувач, то ми займемося тим що воістину можна назвати магією - вірутальних флешка.

І так ... Ви бюджетна організація і Ви, тільки що отримали флешку з федерального казначейства. На флешці ЕЦП і Ви готуєтеся встановити ці підписи на купу комп'ютерів у всій організації. Підписи потрібні для розміщення на майданчику державних закупівель заявок вашої організації, найімовірніше ці функції поставлені вашому юристу. Головному бухгалтеру необхідні ЕЦП для відправки звітності через програми електронного документообігу, для роботи на порталах * .gov.ru абсолютно різних, таких як Електронний бюджет, Бюджетне планування, ті ж державні закупівлі та ін. Бухгалтер касир бюджетного підприємства для взаємодії з казначейством обов'язково користується СУФД , маса звітів накопичилося і в економіста. Заступник або заступники директора так само беруть участь в цьому, вони звітують в різних системах за підвідомчого їм ділянку роботи. І всюди незмінно використовуються ЕЦП, вони використовуються як безпосередньо для підписання документів, так і для встановлення захищених каналів зв'язку взаємодіючи з яким небудь екзотичним софтом типу JinnClient, ContinentTLS іноді навіть з плагінами \ розширеннями встановлюються безпосередньо в браузер.

Думаю ви вже відчули принаду за все, що може відбуватися з вами в разі втрати цієї єдиної флешки з ЕЦП, яку так просто втратити або в некторих хоч і вельми рідкісних випадках просто спалити. Насамперед необхідно зробити резервну копію і заховати в кілька місць відомих тільки Вам, це очевидно !!!

Для того щоб спати спокійно скористаємося нехитрої програмою ImDisk Virtual Disk Driver (Завантажити з офіційного сайту). Софт досить не погано розповзся і по мережі, можна пошукати на softportal.com або просто в пошуковій системі. Суть даної програми в тому що в операційну систему встановлюється драйвер який повністю емулює носій інформації з образу лежачого на вашому жорсткому диску. Звичайно дана програма може семуліровать будь-який диск, припустимо віртуальний диск, диск всередині CD приводу, флоппі диск, але нам важливий її функціонал щодо так званих зовнішніх носіїв, а саме флешок. Так само не маловажним є те, що повністю повторюється функціонал віртуальних пристроїв по відношенню до їх залізним копіям, тобто на образ не тільки емулюється у вигляді флешки, але на цю флешку так само як і на звичайну можна записувати і стирати з неї дані, її можна форматувати і найголовніше ця віртуальна флешка видно через головний криптопровайдер "Всієї Русі" програму яку особисто схвалив до використання ФСБ Росії - КріптоПро CSP.

Ми підібралися до найголовнішого вступна частина закінчена і тепер переступимо до створення флешки. Установка вищеописаної програми ImDisk Virtual Disk Driver не повинно викликати труднощів уважно читаємо і натискаємо далі далі ... Після установки ми зможемо працювати як з консольної програмою imdisc.exe так і c додатком (GUI консольного застосування) розташованим на панелі управління.

Для довідки по консольного додатку в CMD вводимо команду imdisc.exe /? і отримуємо повний синтаксис по роботі з описом ключів для роботи в командному режимі.

Ця інформація стане в нагоді нам трохи пізніше, а зараз скористаємося GUI. Відкриваємо панель управління, виставляємо параметр перегляд в режим "Великі значки", далі знаходимо і запускаємо ImDisk Virtual Disk Driver, в запустив вікні натискаємо кнопку "Mount new ..."

У наступному вікні вказуємо букву диска яку бажаємо використовувати під віртуальну флешку (в прикладі F :), вказуємо розмір диска 32 мегабайта, ставимо крапку навпроти зберігати файл образу в фізичної пам'яті, і вказуємо що наш диск буде знімним, так само можна явно вказати тип диска , але за замовчуванням буде створено потрібний диск з цього дане поле залишаємо в режимі Авто. Після зроблених налаштувань натискаємо кнопочку "Ok" для підтвердження виконаних дій.

Тепер у вікні програми ми бачимо перед собою тільки що створений віртуальний диск - флешку, операційна система найімовірніше запропонує вам його відформатувати. Відформатуйте віртуальний флеш диск і задайте йому зручне ім'я наприклад ЕЦП. Повернувшись до вікна програми збережемо образ нашого віртуального флеш накопичувача кнопкою "Save image"

На запит опцій збереження образу диска відзначте другий варіант і натисніть "Ok". Далі піде попередження про блокування віртуального флеш носія на час створення копії відповідайте ствердно "Ok" щоб продовжити. Наступне вікно запросить місце для збереження і ім'я файлу, виберете директорію і вкажіть ім'я, натисніть кнопку "Зберегти", щоб надалі уникнути складнощів з введенням довгих імен бажано розташувати образ в папці з коротким ім'ям наприклад "c: \ img \ virtflash.img" . Після збереження програма повідомить вас про успішне створення файлу образу віртуальної флешки на Вашому комп'ютері.

Вітаю ви тільки що отримали повноцінну віртуальну флешку яку можна подмонтировать до будь-якого комп'ютера попередньо встановивши програму ImDisk Virtual Disk Driver і просто перемістивши на цільовий комп'ютер файл образу який ми абзацом раніше зберегли на комп'ютері.

Далі нам необхідно за допомогою програми КріптоПро CSP скопіювати закритий ключ з фізичної флешки отриманої в Федеральному Казначействі або іншому засвідчувальному центрі на нашу віртуальну флешку. Не забуваємо, так само скопіювати і самі сертифікати, швидше за все вони лежать у вас на тій же флешці, з назвою у вигляді прізвища людини на кого випущена ЕЦП. Питання установки КріптоПро CSP ми не будемо розглядати в рамках цієї статті, скажу тільки, що скачати дистрибутив можна з офіційного сайту лише тільки після реєстрації на ньому, в питаннях що стосуються ЕЦП не варто намагатися брати дистрибутив з сумнівних джерел. Без ключа КріптоПро CSP запуститься і пропрацює до 90 днів, дуже зручно якщо Вам необхідно обладнати нове робоче місце і у вас ще немає ліцензії. Можна встановити КріптоПро CSP без ключа і починати працювати відразу, а ключ замовити вже пізніше. У випадку з бюджетними організаціями ключ можна отримати за листом-запитом на ліцензію безпосередньо в казначесйтве. Ліцензії які видаються казначейством як правило безстрокові.

Розглянемо докладніше процедуру копіювання закритих ключів. Відкриємо КріптоПро CSP перейдемо на вкладку "Сервіс" і в розділі "Контейнер закритого ключа" вибираємо кнопку "Копіювати"

У вікні навпроти поля "Ім'я ключового контейнера" ​​натисніть кнопку "Огляд ..." далі вибираємо ключовий контейнер по його імені знаходиться "залізної", фізично існуючої флешці (в даному випадку Диск Н, Прізвище Ім'я По батькові на кого видана підпис) натискаємо кнопку "Ok" для підтвердження вибору. Після того як ми підтвердили вибір Контенери, ми побачимо його в поле "Ім'я ключового контейнера" ​​натискаємо кнопку "Далі>" і переходимо на наступний екран.

У наступному вікні пропонується ввести ім'я для ключа який буде створений на інший флешці методом копіювання, тобто ім'я ключа яке буде йому присвоєно при створенні на нашій віртуальній флешці (Ім'я можна змінювати, наприклад для зручності дописати час закінчення дії ЕЦП). Після введення імені натисніть кнопку "Готово"

Після натискання кнопки "Готово" у Вас з'явиться вікно в якому нам треба буде знайти нашу раніше створену віртуальну флешку, якщо відмотати трохи назад то ми згадаємо що це був Диск F, мітка диска (назва) була задана нами як "ЕЦП", власне саме це ми і бачимо в поле вставлений носій. Переконавшись в правильності вибору натискаємо кнопку "Ok".

Спливаюче далі вікно пропонує нам ввести пароль для нового закритого ключа, зазвичай я цього не роблю, тому що іноді буває складно пригадати заданий пароль через якийсь час після його введення (місяць-два). Але якщо ви впевнені у своїй пам'яті те встановити його я все ж рекомендую, це буде додатковим захистом при подальшому використанні ключа. Ми залишаємо поле введення пароля і підтвердження порожніми або вводимо однаковий пароль в обидва поля якщо вирішили посилити захищеність своєї майбутньої ЕЦП на віртуальній флешці далі натискаємо кнопку "Ok".

На цьому перенесення закритої частини ключа з фізичної флешки на віртуальну завершено. Якщо це необхідно то повторіть операцію з іншими ЕЦП наявними на флешці поки все контейнери не будуть перенесені. Перевіримо що у нас вийшло на нашій віртуальній флешці.

Ми бачимо, що відрізняє нашу віртуальну флешку від реальної - фізичної, на ній не вистачає сертифікатів безпеки. Скопіюємо їх з фізичної флешки і вставимо на віртуальну засобами операційної системи. Отримаємо наступне:

Тепер Ви сміливо можете витягти свою фізичну флешку ... Сховайте її скоріше в сейф вона, можливо, Вам ще знадобиться. Тепер можна користуватися вашої віртуальної точно так же, як Ви це робили б з фізичної, але тепер ви отримали бонус у Вас нічого не стирчить з комп'ютера, ну або може бути з ноутбука який щовечора повинен пірнати в сумку і з нього доводилося туди сюди смикати фізичну флешку з ЕЦП. Тепер ви легко можете просто перенести свою ЕЦП на інший комп'ютер, всього лише скопіювавши образ віртуальний флешки і подмонтіровать його на новому місці.

Єдине, що звичайно пригнічує, що треба кожен раз ручками монтувати цей образ, але ми ж не шукаємо з Вами легких шляхів! Якщо ви уважно читали цю статтю то Ви пам'ятаєте що нашу віртуальну флешку ми монтували з буквою "F:", так само ми вже говорили, що наша флешка є знімним носієм, і звичайно на самому початку ми обговорювали той момент, що крім GUI програми ImDisk Virtual Disk Driver у неї є консольний додаток. Давайте докладніше розберемося з тим, які ключі є у консольного застосування, і як нам подмонтровать наш образ у вигляді віртуальної флешки з консолі (без GUI інтерфейсу знаходиться на панелі управління). Вийде так:

imdisk -a -fc: \ img \ virtflash.img -mf: -o rem

де:

-a - ключ на підключення диска

-f c: \ img \ virtflash.img - використовувати файл диска для створення віртуальної флешки;

-mf: - тому для монтування, створюється віртуальний накопичувач F;

-o rem - це додатковий параметр, знімний диск (флешка rem - remote), якщо цей параметр не вказати, то буде змонтований жорсткий диск.

Запускаємо в консолі і переконуємося що все працює. Перевіряємо диски відкривши ярлик "Мій комп'ютер", диск створений і підключений як знімний диск тобто флеш накопичувач, в нашому випадку віртуальний.

Ви запитаєте мене навіщо нам робити все те ж що можна зробити через GUI програми розташованого на панелі керування. А я скажу вам, що можна, наприклад зробити bat файл з даною командою і покласти його в папку автозавантаження в меню Пуск. Таким чином можна буде його запускати при старті системи, але мені не подобається "Надмірна Костильна" цього методу bat скрипти гарні по своєму але при контрольованому запуску безпосередньо користувачем, та й в принципі весь скрипт складався б з неї рядки, а тому ми можемо спробувати більш витончений варіант. Ми спробуємо виконати нашу консольную команду з меню автозавантаження знаходиться в Реєстрі операційної системи, для цього нам буде необхідно створити строковий параметр в розділі реєстру HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Отже спробуємо увійти в реєстр натискаємо і утримуємо клавіші Win + R в поле "Виконати" необхідно ввести команду regedit і натисніть "Ok"

Далі здійснюється перехід до папки HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

У правій частині меню редактора реєстру знаходиться призначене для користувача ПО, яке запускається при завантаженні системи. Туди також можна внести або вилучити з нього якусь програму. Для цього необхідно натиснути правою кнопкою миші по порожньому правому сегменту редактора, у відчиненому контекстному меню вибирати «Створити», далі «Строковий параметр». Введемо ім'я новоствореного строкового параметра наприклад задамо ім'я ImDisc ім'я можна вибирати довільно. Після подвійного кліка по новому строковому параметру необхідно поставити "Значення" на наступне: imdisk -a -fc: \ img \ virtflash.img -mf: -o rem, яке надалі буде запускатися на виконання одноразово із завантаженням ОС. Після зміни значення строкового параметра необхідно підтвердити зміни натиснувши кнопку "Ok".

Ось і все ми змогли змусити стартувати нашу команду одночасно з операційною системою, і тепер наша віртуальна флешка буде автоматично монтуватися при завантаженні Windows.

Мені здається що ми повністю розкрили тему. І на останок ліричний відступ :)

- Бачиш флешку з ЕЦП? ..

- Ні ...

- І я не бачу ... А вона є!

- Зрозуміло ...