Возможно ли использовать несколько RuToken-сертификатов на Windows Server?

Question

[Andy Et]

Добрый день!
Подсажите пожалуйста по следующей задаче: планируем поднимать RDP Windows Server (версию пока рассматриваем 2019) для удаленной работы нескольких сотрудников. На сервере будет установлен КриптоПРО csp 5.0. Свестки RuToken подключены к серверу физически (1 свисток - 1 usb).

Возможно ли организовать работу внешних сотрудников с разными ЭЦП на сервере?
Пример:

• Иванов ИИ - доступ только к ЭЦП "Рога и копыта" - со входом в браузерные кабинеты от юр лица.
  
• Петров ПП - доступ только к ЭЦП "Петров" - со входом в браузерные кабинеты от юр лица.
  

При этом Иванов не видит ЭЦП Петрова и наоборот.

Comments

[Alexey Dmitriev]

ЭЦП с Рутокена можно перенести в реестр или файлы и уже там обеспечить права доступа к ним.

[Ziptar]

Alexey Dmitriev, ФНС разве в извлекаемом виде закрытый ключ пишет на токены?

[Drno]

разве RDP позволяет получить доступ к физ ключам? насоклько я помню не позволяет...

[99insania99]

Ziptar, нет, но извлечь - можно

[Ziptar]

99insania99, если без использования специальных технических средств можно - я отказываюсь понимать, что там сертифицирует фсб/фстэк

[99insania99]

Ziptar, ну я за все виды токенов не знаю, но в целом на форумах админских существует много инструкций по копированию подписей с разных токенов.

[Alexey Dmitriev]

Ziptar, сейчас не знаю, поэтому и не в ответах, а в комментариях. Но раньше крипто про позволял переносить эцп из различных госслужб в реестр или файл.

[CityCat4]

99insania99,

нет, но извлечь - можно

Без нарушения заонодательства? Без реверса, разборки ключа и подпайки куда-нибудь? Просто вставил и скопировал? Тогда я согласен с Ziptar

[99insania99]

CityCat4, насколько я знаю, если с согласия владельца, то можно копировать. Рутокен - вставил, 2 кнопки нажал и скопировал.

[shurshur]

Alexey Dmitriev, в случае с физическими ключами это регулрируется не криптопро, а самим ключом. Можно так выпустить, что извлечь его из устройства нельзя.

Понятное дело, что ключи на флешках извлекаются без проблем.

[Ziptar]

99insania99, рутокены тоже есть разные. Есть light, который в принципе сам ничего не делает, и по большому счёту от флешки не отличается. Есть обычный, который криптографические операции выполняет сам. На него закрытый ключ можно записать либо в извлекаемом виде - экспортируется без проблем, либо в неизвлекаемом - легитимными методами экспортировать нельзя. Либо сгенерить ключ на нём самом, тоже в неизвлекаемом виде.

Answer 1

[99insania99]

Рутокен, если включен в сервер физически, не будет работать если подключаться к нему через RDP.
Скопируйте подписи и разграничьте права

Answer 2

[CityCat4]

планируем поднимать RDP Windows Server

Без лицензии два коннекта. Лицензию не купить - M$ не продаст. Как собираетесь подключение лицензировать? Если "как раньше", то явно адресом ошиблись - тут не хакерский форум...

Comments

[Ziptar]

Ах да, CAL же в розницу не продаются, мда (возвращаясь к лицензированию форточек)
Причем чисто формально это не только вопрос работы rds.

[Andy Et]

этот момент совсем не учел... похоже вопрос снимается

Answer 3

[rPman]

погуглил за вас (сам я не в теме но тоже интересна принципиальная возможность и концепция)
https://cryptopro.ru/forum2/default.aspx?g=posts&m...

Добрый день.
Это штатное поведение RDP Windows. Он намеренно пробрасывает локальные токены на удаленную машину и скрывает удаленные.
Подробнее: https://docs.microsoft.com/en-us/windows/security/...

У нас есть некоторый workaround, чтобы обойти эту систему: https://support.cryptopro.ru/index.php?/Knowledgeb...

Но я бы настоятельно рекомендовал попытаться перепридумать концепцию. Токены - персональные устройства, которые не предназначены для совместного (тем более одновременного!) использования несколькими пользователями.

Если у пользователей разные ключи, может, стоит их прописать в пользовательские ветки реестра на удаленной машине?

Comments

[Andy Et]

Да, действительно, схема с ветками выглядит здравой.
Я просто немного плаваю в направлении ЭЦП.