Копирование неэкспортируемого ключа с JaCarta LT

[АртёмВолик1]

Доброго времени суток. Есть ЭП на токене ESMART.
Пробовал через скрипт и вручную сделать копию, безрезультатно. Выскакивала ошибка при тесте через криптопро.
В итоге, при очередной попытке скопировать получилось. Теперь флешка проходит тест из панель управления-криптопро.
(правда при этом не просит ввести пинкод, оригинальный токен просит)
Но.
При попытке пройти тест через плагин в браузере просит вставить именно носитель Esmart.
Подскажите, может я както неправильно собрал файлы подписи? Или может еще гдето ошибку допустил?
Также обратил внимание, что в pki клиенте есть упоминание о pkcs#11. Возможно изза этого и затык?
С ориг подписью все работает, само собой.

[Андрей Карпишин]

в pki клиенте есть упоминание о pkcs#11

Это встроенная аппаратная криптография, при которой ключ никогда не покидает память самого устройства. В этой теме не раз и не два об этом говорилось.

Решение против этого пока не найдено и будет ли найдено вообще - неизвестно.

[Драйзер]

-

[АртёмВолик1]

Продолжаю свой рассказ.
Итак, пост тов. Драйзера напомнил мне то, что я устанавливал сертификат через крипто про в личные.
И видимо плагин в браузере как раз обращался к этому сертификату. И требовал вставить оригинальный ключ.
Я удалил сертификат средствами криптопро(инструменты криптопро) из хранилища на пк и теперь скопированная подпись корректно проходит тест в обоих случаях(и через браузер и через протестировать в крипто про). Через браузер, правда, ругается что сертификат не установлен в
личное хранилище. И, самое что интересное, не требует ввода пинкода.
_____
Продолжаю эксперименты.
Я смог авторизоваться на гос услугах для организации через скопированную ЭП.
При входе потребовал пинкод кстати.
Я НЕ смог войти в личный кабинет налоговой, так как налоговая требует добавление сертификата в хранилище(а в этом случае требует вставить
оригинальный токен).

[Драйзер]

-

[СерёжаФартов]

возможно информация будет кому-то полезной, читал только последние 4 страницы, каюсь.
пока копию сделать получилось, ситуация:

есть эцп на ISBC ESMART Token 0
в pki клиенте есть упоминание о pkcs#11 (!!!), как у человека в первом комментарии на этой странице
делаю на Windows 7x64
использую новый imp2_64.exe из коммента сверху
использую 2 способа появления текстового файла:
1)КриптоПро CSP --> Сервис --> Протестировать
2)Яндекс-браузер-вход в личный кабинет налогоплательщика ИП
соответственно создаются файлы
1)rundll32.exe.txt / 54738 байт
2)browser.exe.txt / 48776 байт
после применения imp2_64.exe появляются совпадающие name.key, primary.key и mask.key, но разного размера header.key соответственно
1)2400 байт
2)2581 байт
далее в обоих случаях на диске видется контейнер ExEsmart, но строчка пустая в CertFix, кроме столбцов тест=ERR, владелец=нет сертификата , при "тесте контейнера" = "тест контейнера пройден"
при попытке "Просмотреть сертификаты в контейнере" через крипто-про ошибка "В контейнер 'FAT32\#######' отсутствуют закрытые ключи"
при тестировании контейнера закрытого ключа в крипто-про:
"Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя ExEsmart
Уникальное имя FAT12\#######
FQCN \\.\FAT12_E\ExEsmart
Проверка целостности контейнера поврежден
Ключ обмена отсутствует
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Значение ControlKeyTimeValidity 0
Режим работы CSP библиотека
Расширения контейнера Ошибка 0x8009000A: Указан неправильный тип."

через pki клиент тектовый файл создается, но на носителе 2 подписи, которые пока нельзя разделять или удалять, так что файл непригоден, так как снифует только сразу 2, потом ключ в нем не находит
и в нескольких случаях текстовый файл не создавался совсем, например
- при заходе на гос услуги по эцп
- при тестах через утилиту "Инструменты КриптоПро"
- при тесте через плагин в браузере (как 1й комент на стр)

методом ковыряний дошел в утилите CertFix нажать правой кнопкой "восстановить контейнер(файловая система)" - выбирать файл *.cer сертификата предварительно выгруженного простым способом по умолчанию из контейнера физического токена esmart.
дальше скопированная эцп в обоих случаях стала определятся везде нормально , заходить на сайт налоговой, госуслуг, проходить тест через плагин подпись в браузере(в отличие от 1го комента на стр) без ошибок и предупреждений ттт.
даже скопированный файловый результат на другую - чистую машину, где никогда не был физический токен(и соответственно следов и привязок), показал нормальную работу ттт. отпечаток и серийный номер идентичны оригиналу.
в обоих описанных выше вариантах "исправленный" файл header.key стал размером 3075 байт и равным по содержимому для обоих вариантов.

НО непосредственно в работе и в подписи реальных документов пока не проверяли, дам буху на проверку в течении недели.
* #### - я заменил часть символов

[Андрей Карпишин]

СерёжаФартов, иными словами, вы сделали всё стандартно, только нашли новый метод при этом:
восстановить контейнер с помощью CertFix.

А какой версии была утилита CertFix?

[Драйзер]

-

[СерёжаФартов]

как я описал выше - именно есмарт заработал, на входе и по проверкам везде, точно такой же есмарт как у человека в первом комменте на стр, неплохо бы ему проверить этот способ, не знаю как у вас обращаться. я был раньше только на ру-борде.) в конце недели отпишусь по прям подписям отчетов для бухов и разных сайтов в работе. сертфикс та версия которая одна без обнов делает некопируемые ключи копируемыми правой кнопкой 1.1.27.3154
любые вопросы и проверки приветствуются. я сам 10 раз правил "отчет" по ходу дела и проверки результатов


если драйзер хочет доработать утилиту, то мб могу сбросить в лс результаты 3х вариантов хедер кей

[Андрей Карпишин]

СерёжаФартов, нет проблем, на форуме доступна связь через ЛС.