Здравствуйте!
Есть токен с экспортируемой квалифицированной эцп, которая свободно копируется на ПК.
Как скопировать эцп так, чтобы ее из этого места больше нельзя было скопировать, т.е. как сделать ее копию неэкспортируемой?

Большое спасибо!
А как быть с несанкционированным копированием?
Как например здесь: https://wiki.tektorg.ru/...ge.action?pageId=5636223
Безопаснее ли делать локальную копию на диск, нежели в реестр?

Доступ? Под нужной учетной записью? Это преувеличение защиты контейнера - контейнер просто не работает без доступа на чтение и запись! Следовательно доверенный пользователь заведомо имеет к нему полный доступ и может делать что захочет. Впрочем, чтоб скопировать системными средствами хватит и только чтения. Без разницы на диске/флешке/неактивном токене или в реестре - с них все равно можно вытащить данные. Предотвратить можно, но это требует меры почти как при охране секретных данных.

1) Флешка: очевидно что есть куча способов скопировать с флешки. Просто потому что большинство флешек в системе FAT32 и не поддерживают разделение прав. Да даже если в NTFS и поддерживают - подключить к компу где есть админские права не сложно. От несанкционированного доступа можно защитить организационно, но если доверенный пользователь захочет скопировать - не поможет. Приходится задумываться о запрете всех других флешек - чтобы не было куда скопировать. Плюс меры против обхода ограничения (ниже).
2) Жесткий диск или реестр: даже без доступа к редактору реестра или разделу реестра пользователь с физическим доступом к компьютеру относительно легко вытащит данные из реестра. Так, можно загрузиться с диска или флешки (или по сети с другой машины наконец - корпоративный DHCP не спасет, если подключить 2 компьютера напрямую, а утилиты, руководства и готовые сервера загрузки есть в Интернете) и запустить offline редактор реестра или скопировать любую папку. Можно вытащить жесткий диск и подключить к другому компьютеру.
Значит потребуется принять меры против обхода: запрет других источников загрузки, пароль на вход в биос, опечатывание системного блока, опечатывание витой пары как у компьютера, так и у коммутатора, установка плат типа Соболь (при настройке - предотвращает вход в биос и загрузку с других источников), отключение всяческого удаленного управления (или вообще изоляция от сети и Интернета - но тогда без флешек или компакт дисков работы не получится, а папку можно и на диск записать, потом перекинуть на флешку; или DMZ сегмент сети). Мер много, ограничений много, эффективность не очень (несоблюдение одной меры создает угрозу всему комплексу мер).

Так что если хотите исключить копирование - только токены активного режима ФКН с неизвлекаемым ключом (которые не выдают ключ "наружу", а делают все операции "внутри"). К сожалению, как минимум часть УЦ по факту их не поддерживает (в соседних темах был вопрос как плагин УЦ вообще отрубал работу токенов).

Отредактировано пользователем 14 апреля 2020 г. 5:18:43(UTC)  | Причина: Не указана