Найти в Дзене
Красная Флэшка
28 подписчиков

Где хранится PIN-код на ключевой контейнер КриптоПро?

108
2 мин
⏱️ Время выполнения: от 5 минут
🖥️ Операционная система: Mac OS, Windows
📀 Используемые программы: КриптоПро CSP 4.x/5.x
📅 Актуально на 19 октября 2025 года Посмотреть пароль можно с помощью утилиты командной строки csptest.exe: "C:\Program Files\Crypto Pro\CSP\csptest.exe" -passwd -showsaved -container "%containername%" Где %containername% - имя контейнера. Утилита выводит пинкод, только если он был ранее сохранен для указанного ключевого контейнера. Пинкод хранится в ветке реестра Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\<User SID>\KeyDevices\passwords\<IMAGE TYPE>\<Наименование носителя>\<Наименование контейнера> Пинкод хранится в файле: /var/opt/cprocsp/users/<username>/local.ini где <username> - имя пользователя в ОС. Функционал Cryptopro CSP позволяет кешировать pin коды для контейнеров с закрытыми ключами. Функционал используется в основном для двух целей: Обычно кеш сохранненых pin-кодов хранится в реестр учёной записи пользователя (Window
Оглавление

⏱️ Время выполнения: от 5 минут
🖥️ Операционная система: Mac OS, Windows
📀 Используемые программы: КриптоПро CSP 4.x/5.x
📅 Актуально на 19 октября 2025 года

Операционные системы Windows

Посмотреть пароль можно с помощью утилиты командной строки csptest.exe:

"C:\Program Files\Crypto Pro\CSP\csptest.exe" -passwd -showsaved -container "%containername%"

Где %containername% - имя контейнера.

Утилита выводит пинкод, только если он был ранее сохранен для указанного ключевого контейнера.

Пинкод хранится в ветке реестра

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\<User SID>\KeyDevices\passwords\<IMAGE TYPE>\<Наименование носителя>\<Наименование контейнера>

macOS (и в другие *nix системы)

Пинкод хранится в файле:

/var/opt/cprocsp/users/<username>/local.ini

где <username> - имя пользователя в ОС.

Как сохранить pin для контейнера в контекст сертификата

Функционал Cryptopro CSP позволяет кешировать pin коды для контейнеров с закрытыми ключами.

Функционал используется в основном для двух целей:

  1. Сохранение pin на контейнер для пользователя, что бы не вводить один и тот же pin много раз.
  2. Кеширование pin для сервисов или служб, обращающихся к закрытому ключу без непосредственного участия пользователя (silent режим). Например Служба сертификации КриптоПро УЦ 2.0, Microsoft IIS.

Обычно кеш сохранненых pin-кодов хранится в реестр учёной записи пользователя (Windows) или в конфигурационных файлах (Linux/UNIX), однако существует альтернативный способ хранения кешей в контексте сертификата в хранилище сертификатов. Принципиальная разница заключается в том, что при обращении к ключу через сертификат в хранилище не потребуется ввода pin-кода, а непосредственное обращение к контейнеру закрытого ключа потребует.

Сохранить пин в хранилище сертификатов можно следующей командой:

csptest.exe -ipsec -reg -mycert C:\way_to_file\certificate.cer -autocont -savepin -passw 12345678

В UNIX подобных ОС используется утилита csptestf с теми же параметрами.

PIN-коды по умолчанию на разных токенах

Rutoken

12345678; 11111111

JaCarta LT

1234567890

JaCarta-2 SE (PKI)

1111111

JaCarta-2 SE (ГОСТ)

0987654321

eToken

1234567890

Ссылки

https://cryptopro.ru/forum2/default.aspx?g=posts&t=22715

https://cryptopro.ru/forum2/default.aspx?g=posts&t=18276

https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/392/0/chto-delt-esli-zbyl-prol-n-kontejjner-v-kriptopro

https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/234/0/kk-sokhrnit-pin-dlja-kontejjner-v-kontekst-sertifikt