В ЛК налогоплательщика ЮЛ ФНС России теперь можно войти из Linux с ЭЦП

Есть несколько реализаций ключа. 1 - укэп записывается на обычный носитель (можно не только usb-флэшку использовать, но и вообще любой носитель, хоть на дискету или перфокарту). 2 - использование специальных usb-токенов. Туда просто так без специального ПО ничего не записать. В этой ситуации ключ даже если и скопировать, то он не будет работать, т.к. в токене работает фактически целое аппаратно-специфичное устройство СКЗИ. Такой токен как правило использует для передачи данных инфраструктуру конторы-производителя. Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки. Именно поэтому нельзя будет просто скопировать данные и поместить их на любой другой носитель - множество параметров просто не сойдутся при валидации ключа и носителя в тех самых сервисах криптопровайдера. Но и это не всё, на самом деле там много тонкостей в зависимости от типа СКЗИ, самого ключа, а так же сервиса. Сами ключи выпускаются авторизированными центрами из реестра по лицензии.

Я в целом знаю чем они друг от друга отличаются, но абизян на столько свободно кидается разными терминами, что решительно невозможно понять что конкретно он имеет в виду, ещё и обидки кидает «у меня для вас посылка, но я ее вам не отдам»

Спасибо за детали, видно что вы в теме, единственный момент - с Рутокен 3 уже можно дампить ключи через специальное ПО и создавать клона. Такое делают например для ООО-шек где одним ключом нужно пользоваться нескольким людям в бухгалтерии. Или когда ЭЦП директора клонируют и дают главбуху (осуждаю).

ЭЦП директора клонируют и дают главбуху (осуждаю)

Это прямо беда. У моего бухгалтера одна контора попросила принести рутокен, один раз на 5 минут, чтобы им удобнее был отправлять отчетность в ФНС. Ничего им не дал. Но смежники, по простоте душевной, свои токены отнесли.

Туда просто так без специального ПО ничего не записать.

Гостовые ключи принципиально не записываются извне, во всяком случае простым смертным такое недоступно. А те, что записываются - просто сохраняются в «защищенной памяти».

Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки

Что не даст то им работать без сервисов? Я не переубедить пытаюсь, а понять, о том ли речь, о чём я думаю или нет.

Смысл в том, что в условном токене есть аппаратные инструменты и привязанные ID, которые расшифровываются только силами сервиса через свои протокольные запросы. Т.е. это не просто флехи с режимом «только чтения», с которых можно что-то скопировать, а именно аппаратно-программный комплекс. Сервис производителя через свои велосипеды делает правильную форму запроса к токену таким образом, что сам токен даёт правильный ответ. В противном случае любые другие запросы либо вообще игнорятся, либо дают неполный ответ. Именно поэтому флешки от рутокена будут работать только в сервисах рутокена или по партнёрке, потому что у других нет нужных доступов к аппаратной части. Не знаю будет ли корректным сравнение, но это как доступ к руту на каком-нибудь условном яфоне или самсунге, без которого никто ничего установить туда самопальное/самописное не может. У нас в конторе очень давно использовались отдельные eToken от Континента, и отдельный какой-то там токен в бухгалтерии от РСХБ для управления зарплатным проектом. Сейчас это уже не используется в связи с более жёсткими и надёжными методами аутентификации, но тем не менее в коммерции токены довольно распространены.

Есть ещё и среди usb-ключей свои уровни возможности извлекаемости или неизвлекаемости из них данных, но это уже другая тема.

P.S. Я прям сейчас попробовал воткнуть старый неиспользуемый eToken без программной обвязки - в винде вообще нуль реакции. Это потому что нет правильного драйвера от производителя, который формирует корректные обращения к устройству. Под линь вроде вообще ничего нет для работы с данными токенами (может не прав, никогда не сталкивался в работе).

Именно поэтому флешки от рутокена будут работать только в сервисах рутокена или по партнёрке, потому что у других нет нужных доступов к аппаратной части.

Под линь вроде вообще ничего нет для работы с данными токенами (может не прав, никогда не сталкивался в работе).

Всё там есть:

• https://www.rutoken.ru/support/download/pkcs/
• https://github.com/OpenSC/OpenSC/wiki/Aktiv-Co.-Rutoken-ECP
• https://github.com/OpenSC/OpenSC/wiki/Aladdin-eToken-PRO

Есть ещё и среди usb-ключей свои уровни возможности извлекаемости или неизвлекаемости из них данных, но это уже другая тема.

Меня она в первую очередь и интересует. Не «неэкспортируемые» в терминах крипто-про, а «неизвлекаемые» в терминах рутокен. Туманные понты Obezyan походят на то, что он говорил про вторые и их копирование. «неэкспортируемые» я и сам умею доставать.

О, большое спасибо за ссылку!

Меня она в первую очередь и интересует.

К сожалению конкретно с этой темой не знаком, просто знаю что такие есть, но сам никогда не ковырял.

Если бы прочитали с холодной головой то что я пишу, то обнаружили бы что речь идет только о Рутокен и я явно указываю что Крипто-Про не нужен и им не пользуюсь.

Т.е. вы сами решили что речь про Крипто-Про, сами обиделись, потом осознали свою ошибку. Но туманные понты - у меня. Браво.

Т.е. вы сами решили что речь про Крипто-Про

Это вы сами решили что я решил. Что вы там конкретно имели в виду решительно непонятно, но склоняюсь к тому, что метод аналогичный контейнерам крипто-про.

В общем вижу, что конструктивно вы общаться не желаете.

Такой токен как правило использует для передачи данных инфраструктуру конторы-производителя. Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки. Именно поэтому нельзя будет просто скопировать данные и поместить их на любой другой носитель

Так ведь можно же. Просто через ПО производителя выгружаешь ключи в файлы, дальше делаешь что нужно. Естественно, ты должен осознавать риски такого хранения чувствительной информации.

Если имелось в виду тоже самое ПО, просто направленное по незадуманному сценарию, то вполне допускаю).