Использование ЭЦП - бесплатно, удобно и безопасно.

[vamh]

Моё чистейшее IMHO, но всё же решил поделиться с народом.

Первое - не тратим деньги на покупку всяких ru, ua и e-token'ов.
Второе - храним ЭЦП только на машине, которая используется для ЭД и резервную копию на флешке в сейфе.
Третье - не корячимся вставляя - меняя дискеты или ru, ua и e-token'ы, только движения мышОй.

Необходимый софт для организации безопасного, удобного и бесплатного хранения и использования ЭЦП:
а. RawWrite for Windows - для создания образов дискет. http://www.chrysocome.net/downloads/rawwritewin-0.7.zip
б. Virtual Floppy Drive (VFD) for Windows NT - бесплатный эмулятор Floppy-дисков для платформ Windows NT / 2000 / XP и 2003 (только 32-х битные!). Позволяет эмулировать любые 5.25, 3.5 дискеты стандартных емкостей в 1 или 2-х виртуальных дисководах. Программа позволяет подключать образы дискет, созданные в других приложениях (RawWrite(Win), WinImage, dd), или же создавать их самому.
Работает и в WIN7, есть драйвер и для 64-битных систем, но я не проверял работу, поэтому только сведения о наличии. (читаем продолжение) http://citylan.dl.sourceforge.net/pr...d21-080206.zip
http://citylan.dl.sourceforge.net/pr...-critical0.zip
http://nnm-club.ru/forum/viewtopic.php?t=303640
в. TrueCrypt - программа для шифрования «на лету» для 32- и 64-разрядных операционных систем семейств Microsoft Windows. Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска, все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску.
http://www.truecrypt.org/download/tr...tup%207.0a.exe
http://www.truecrypt.org/download/th...crypt-7.0a.zip
http://nnm-club.ru/forum/viewtopic.php?t=293691
г. DevCon — это программа с интерфейсом командной строки, которая используется в качестве альтернативы диспетчеру устройств. С ее помощью можно включать, выключать, перезапускать, обновлять, удалять и опрашивать отдельные устройства или группы устройств. Нам будет нужна для программного отключения floppy дисковода. http://download.microsoft.com/downlo...240/devcon.exe
Всё это ПО бесплатное, спасибо огромное авторам этих программ.
Весь набор одним архивом можно скачать здесь: http://www.kashary.ru/downloads/Floppy.zip (примерно 8 метров, в наборе и образ чистой дискеты, с него удобно начинать генерацию ключей, если это предусмотрено программой. Но образ форматированной дискеты можно сделать и самостоятельно, и при том, очень запросто в Virtual Floppy Drive).
Установка.
Крипто-Про, Sbersign и все подобные установлены, ключи ЭЦП заказываем или генерируем сами на floppy дискетах.
1.Устаналиваем (очень громко сказано) RawWrite for Windows - просто распаковываем rawwritewin-0.7.zip в походящее место. Пусть даже в корень диcка - C:\. Запускаем rawwritewin.exe. И создаём образы дискет с ЭЦП, сохраняя их на припасённую флешку, которую потом спрячем сейф за семь замков.
2.Оцениваем ситуацию на используемой для ЭД машине, если имеются иные программы, использующие в качестве ключевого носителя исключительно диск A:\, то и для них делаем образы дискет и отключаем физический floppy дисковод утилитой DevCon.
Если же используется только Крипто-про, то физический floppy дисковод можно не отключать, отставив за ним A:\. Крипто Про с успехом будет использовать виртуальный диковод B:\.
Для отключения физического floppy дисковода распаковываем скачанный devcon.exe и в командной строке даем команду ПУТЬ_КУДА_РАСПАКОВАЛИ\devcon\i386\devcon.exe disable *FLOPPY* , если надо будет когда-нить включить дисковод, то devcon.exe enable *FLOPPY*
3. Устанавливаем TrueCrypt, создаем шифрованный файл, подключаем его как диск и копируем на него образы дискет с ЭЦП. Как это сделать, если вдруг в самой программе не понятно, - http://truecrypt.org.ua/faq, http://truecrypt.org.ua/content/руко...для-начинающих . Добавляем наш шифрованный файл в виде раздела в избранные.
4. Устаналиваем (очень громко сказано) Virtual Floppy Drive (VFD) for Windows NT - просто распаковываем vfd21-080206.zip. Пусть даже в корень диcка - C:\. Запускаем vfdwin.exe и настраиваем эмуляцию виртуального дисковода. Очень подробно сие действие описано в инструкции в общем архиве.
Использование.
В трее значок TrueCrypt давим правой кнопки мыши и выбираем пункт "монтировать избранные тома", вводим пароль и только тогда!!! получаем доступ к образам дискет с ЭЦП. Двойным щелчком по нужной в данный момент подписи "вставляем" её в виртуальный привод. Нужна вторая подпись - щёлкаем по нужному образу и он уже в "дисководе".
В настройках TrueCrypt ставим "размонтировать через Х минут неиспользования", и наши ЭЦП будут сами "прятаться" по прошествии указанного времени.
Вот и безопасность - не зная пароля доступ к ЭЦП не получить, и дискеты на столе (в дисководе) не валяются (не торчат) по забывчивости.
По мне - так красотища! И ru, ua и e-token'ы ф топку, а то может случиться пива нахлещусь и потеряю... А так всё под паролем, забыл пароль или выгнал бухгалтера - все копии на флешке в сейфе!!!

Подготовленно по публикациям в рунете, всем, чьи материалы прямо или косвенно использовались огромный респект. Ссылки на всех, к сожалению, дать не могу - уже позабыл где и что читал...

[vamh]

Для использования вышеозначенного пакета программ на 64 битных Windows7 необходимо VFD уговорить запуститься в 64 битной среде. Остальные программы и так работают как миленькие.
Что нам понадобится.
1. Драйвер VFD для х64 взять на этой странице http://levicki.net/downloads , на сегодняшний день третья сверху позиция: 2009/02/16 Virtual Floppy Drive Kernel Mode Driver
2. Программка для установки собственной ЭЦП на вышеуказанный драйвер. Лежит тут http://files.ngohq.com/ngo/dseo/dseo13b.exe, но наверное начать придётся отсюда http://www.ngohq.com/home.php?page=dseo.
3. Она же для отключения проверки ЭЦП у драйверов.
4. RemoveWatermark для удаления надписи с рабочего стола о включенном тестовом режиме (если кому жить мешает) взять тут http://file.qip.ru/file/u7JVZl46/Rem..._20090509.html
Для чего нужна программа из п.2 и п.3. Если мы просто (как на х86) попытаемся установить имеющийся драйвер, то ничего не выйдет потому, что достопочтенный Windows 7 64bit не предупреждая нас просто не запустит неподписанный драйвер. Вот такая особенность имеется.
Можно отключить эту проверку, но только на один сеанс - до перезагрузки: по F8 до загрузки Windows выбрать соответствующий пункт.
Применяя утилиту Driver Signature Enforcement Overrider 1.3b мы одной программой драйвер подпишем и включим тестовый режим (тот же, что и по F8, только не на один сеанс).
Сразу скажу, что есть ещё один вариант отключения проверки подписи драйверов, но он, на мой взгляд, гораздо сложнее и вмешивается в загрузчик Windows, что не есть гут.

Что делаем.
1. Отключаем UAC (Контроль Учетных Записей): щелкните на кнопке Пуск и затем откройте окно Панель управления. В поле поиска, расположенном в верхнем правом углу окна, введите UAC. Теперь щелкните на ссылке Изменение параметров контроля учетных записей. Откроется окно в котором ползунок передвигаем в самый низ. Ок – перезагружаемся.
Ещё вариант отключения и включения UAC батниками, они имеются в наборе.
2. Разархивируем драйвер vfd_x64.zip в папку программы VFD, то есть заменяем имеющиеся там vfd.dll и vfd.sys на специальные для 64 битных систем.
2. Отключаем запрет на установку неподписанных драйверов и подписываем тестовой подписью.
а. Запускаем dseo13b.exe давим Next, Yes (соглашаемся с тем что никто ни за что не несёт ответственности, хотя программа использует штатный режим операционной системы и не может навредить сама по себе)
б. Включаем тестовый режим, установив переключатель в положение "Enable Test Mode", давим Next. Должно появится окошко с предупреждением от том, что включен тестовый режим. "Test Мode has been ENABLED......" давим ОК. Предусмотрено и обратное действие "Disable Test Mode", отключающее тестовый режим.
в. Теперь нужно добавить подписи для непроверенных системных файлов. Для этого выберите "Sign a System File" и введите имя файла, включая полный путь.
В моём случае путь назывался так c:\Program Files(86)\vfd21\vfd.sys, Вы исходите из того, куда установили (распаковали VFD). Ввели путь к драйверу, давим ОК, и фсё - VFD подружился с Windows 7 64 bit. Далее как и в XP настраиваем программы.
3. Теперь, если мы перезагрузимся, то на рабочем столе появится надпись Test Мode итп, надпись маленькая, жить особо не мешает, но если вам будет портить жизнь, то запускаем RemoveWatermarkX64.exe давим Y, и ждём пока в окошке не появится "Press Enter to exit". Конечно давим Enter.
Всё, мы сделали своё дело, драйвер будет принят за своего и мы можем настраивать программы для хранения ключей на шифрованном разделе винчестера.
Опять-таки всем, чьи труды я использовал громадный респект.
Набор http://www.kashary.ru/downloads/Floppy.zip обновлён.

[vamh]

Отсутствие комментариев наводит на мысль, что получилось "многа букаф", но старался чтобы все могли разобраться.

[ant1773]

Цитата:

Сообщение от vamh

Отсутствие комментариев наводит на мысль, что получилось "многа букаф", но старался чтобы все могли разобраться.

Инструкция хорошая. Спасибо за труд.
Есть некоторые сомнения насчет использования равврайта. У меня на флэшке хранятся копии образов для VFD, не вижу особого смысла еще в каком-то варианте копирования дискет.
Трукрипт - единственное назначение на мой взгляд - защитить данные, если похитили флэшку. При получении удаленного доступа к компьютеру по большому счету ничем помочь не сможет.