Что такое экспортируемый закрытый ключ в контексте Казначейства?

В системе электронного документооборота (ЭДО) Федерального казначейства России (Казначейства России) для работы с бюджетными средствами, подачи заявок, сведений и отчетности используется усиленная квалифицированная электронная подпись (КЭП). Закрытый ключ — это секретный элемент этой подписи, который хранится у владельца и служит для создания уникальной цифровой подписи документа.

Термин «экспортируемый» означает, что данный закрытый ключ сгенерирован и сохранен таким образом, что его можно скопировать (экспортировать) с одного защищенного носителя (например, токена Рутокен или eToken) на другой или в файл-контейнер на жестком диске компьютера. Это отличает его от неэкспортируемого ключа, который навсегда «привязан» к конкретному физическому носителю и не может быть скопирован.

Зачем это нужно при работе с Казначейством?

Работа с системами Казначейства (например, «Электронный бюджет», система взаимодействия с ГИИС «Электронный бюджет» или порталом Госуслуг для юридических лиц) требует строгой аутентификации и юридически значимой подписи документов. Экспортируемый ключ может быть полезен в нескольких типичных сценариях:

  • Резервное копирование: Создание копии ключа на случай утери или поломки основного носителя (токена). Это критически важно для непрерывности финансовых операций организации.
  • Работа на нескольких рабочих местах: Если сотруднику необходимо подписывать документы с разных компьютеров, наличие экспортируемого ключа (например, в виде файла-контейнера) упрощает этот процесс, хотя и требует соблюдения повышенных мер безопасности.
  • Миграция на новый носитель: При замене устаревшего токена на новый или при необходимости переноса ключа с файлового контейнера на более защищенный аппаратный носитель.

Технические особенности и средства криптозащиты

Работа с электронной подписью для Казначейства регламентирована и требует использования средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России. Чаще всего это криптопровайдеры КриптоПро CSP или VipNet CSP. Именно в настройках этих программ при установке ключа можно выбрать опцию «Разрешить экспорт закрытого ключа».

Важно: Возможность экспорта закрытого ключа определяется не на этапе его использования, а на этапе генерации ключевой пары. Если ключ изначально создан как неэкспортируемый, сделать его экспортируемым позже невозможно.

С точки зрения безопасности, неэкспортируемый ключ считается более защищенным, так как его нельзя скопировать и украсть с носителя. Экспортируемый ключ, особенно хранящийся в виде файла на диске, более уязвим для копирования вредоносным ПО. Поэтому его использование должно сопровождаться строгими организационными мерами: хранение на зашифрованных дисках, использование сложных паролей на контейнер, ограничение доступа к файлу.

Типичный рабочий процесс

  1. Организация получает сертификат ключа проверки электронной подписи в одном из аккредитованных удостоверяющих центров (УЦ), совместимых с инфраструктурой Казначейства.
  2. При установке сертификата и закрытого ключа с токена или дискеты в систему с помощью КриптоПро CSP пользователь (или администратор) может увидеть опцию разрешения экспорта.
  3. Если экспорт разрешен, ключ можно через интерфейс криптопровайдера экспортировать в файл-контейнер (обычно с расширениями .000, .key, .dat), защищенный паролем.
  4. Этот файл-контейнер затем можно импортировать на другой компьютер или носитель для использования.

Правовые и практические аспекты

Согласно федеральному закону № 63-ФЗ «Об электронной подписи», ответственность за сохранность закрытого ключа и недопущение его использования третьими лицами полностью лежит на владельце сертификата. Поэтому, даже если ключ экспортируемый, его копирование и передача другим лицам является нарушением и может привести к юридическим последствиям, особенно если речь идет о подписи финансовых документов для государственных органов.

Казначейство России как регулятор бюджетных потоков предъявляет высокие требования к безопасности. В официальных рекомендациях часто подчеркивается необходимость использования аппаратных носителей (токенов) для хранения закрытых ключей, что минимизирует риски. Экспортируемый ключ, хранящийся на жестком диске, может не соответствовать внутренним регламентам безопасности многих организаций, работающих с бюджетом.

Вывод: Экспортируемый закрытый ключ в контексте взаимодействия с Казначейством РФ — это техническая возможность переноса ключа электронной подписи, необходимая для обеспечения гибкости и резервирования в электронном документообороте. Однако его использование должно быть взвешенным и компенсироваться усиленными мерами защиты, чтобы не нарушить требования информационной безопасности, предъявляемые к работе с государственными финансовыми системами.

Источники