Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):

1. ОС MS Windows 7 SP1
2. СКЗИ КриптоПРО CSP 3.9.8423
3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:

1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом ;
4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами ) и передаются уполномоченным пользователям;
5. после изготовления необходимого количества рабочих ключевых документов исходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет исходный ключевой документ . Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив рабочие ключевые документы . После этого уничтожим исходный ключевой документ , удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Проведение тестирования

1. Создадим исходный ключевой документ .

Описание

Для этого с помощью КриптоАРМ создадим в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN=test)

2.Сформируем рабочие ключевые документы .

Описание

С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск-->Панель управления-->КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно.
Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны):








Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).

3.Уничтожим исходный ключевой документ

Описание

Штатными средствами СКЗИ КриптоПРО CSP удалим из реестра ключевой контейнер test-key-reestr.

4. Скопируем ключевую информацию из рабочих ключевых документов

Описание

Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.
Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S , JaCarta PKI , …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
- для Рутокен ЭЦП - СКЗИ КриптоПРО Рутокен CSP .
- для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP .

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс . Он это умеет . При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Выводы

• Не верьте продавцам, чушь вам городящим. Использование обычных версий криптопровайдера КриптоПРО CSP и обычных Рутокен ЭЦП или JaCarta ГОСт не позволяют реализовать технологию ФКН.
• Для использования технологии ФКН совместно с продуктами ООО «КРИПТО-ПРО» необходимы как специально подготовленные токены, содержащие апплет, с которым умеет работать СКЗИ, так и специальные версии криптопровайдера КриптоПРО CSP , которые умеют работать с апплетом на токенах.
• Рутокен ЭЦП и JaCarta ГОСТ умеет самостоятельно реализовывать технологию ФКН, но для этого необходим специальный софт.

• Проверьте работоспособность Вашего Интернет-соединения.
• Проверьте версию Вашей операционной системы. Страница системы Клиент-Банк не будет отображаться на операционных система Windows XP Service Pack 2 и ниже, а также на Windows Server 2003 без установленных последних обновлений.
• В Internet Explorer перейдите в «Сервис» → «Свойства браузера» → «Дополнительно» . В открывшемся окне поставьте галочки напротив пунктов, содержащих в названии аббревиатуру «TLS » и снимите галочки напротив пунктов, содержащих «SSL ».
• Нажмите комбинацию клавиш Ctrl+F5 . Будет выполнено обновление страницы с очисткой кэша.
• Проверьте правильность написания адреса страницы системы Клиент-Банк. В адресной строке удалите всю информацию после .ru и нажмите Enter .

Проверьте правильность ввода логина и пароля. Рекомендуем обратить внимание на параметры ввода: текущий язык ввода и нажатие клавиши Caps Lock. Попробуйте ввести пароль в текстовом документе, проверьте его визуально и скопируйте в поле для ввода пароля в системе.

Данная ошибка может отображаться по следующим причинам:

• Истек срок действия ключей ЭП.
• Истек срок действия полномочий директора/ген. директора, указанный в банковской карточке организации.
• Вы ещё не выполнили первичную генерацию новых ключей.
• Вы только что сделали первичную генерацию новых ключей и нажали кнопку «Далее ». В этот момент ключи ещё не готовы. Для изготовления ключей необходимо распечатать заявление на изготовление сертификата открытого ключа и предоставить его в обслуживающий Ваши счета офис Банка.

Для уточнения подробной информации по данной ошибке обратитесь в службу технической поддержки.

Убедитесь, что в настройках параметров ключевых носителей абонентов у Вас указан путь только к каталогу с секретными ключами. Все остальные строчки должны быть пустыми:

• Убедитесь, что Вы зашли в систему с помощью браузера Internet Explorer.
• Добавьте адрес сайта системы Клиент-Банк в список сайтов, работающих в режиме совместимости.
• В браузере Internet Explorer нажмите на кнопку «Сервис » в верхней полосе (если кнопок нет, то нажмите клавишу Alt на клавиатуре до появления полосы с кнопками «Файл », «Правка », «Вид » и т.д.).
• Далее выберите пункт «Параметры просмотра в режиме совместимости ».
• В открывшемся окне впишите в верхнюю строку адрес сайта сайт и нажмите кнопки «Добавить » и «Закрыть ».
• Перезапустите браузер для того, чтобы изменения вступили в силу.

• В браузере Internet Explorer нажмите комбинацию клавиш «Ctrl+Shift+Delete ». В открывшемся окне поставьте галочки только напротив пунктов «Временные файлы Интернета » и «Файлы cookie » и нажмите кнопку «Удалить ».
• Произведите общий сброс настроек браузера.
• Закройте все окна Internet Explorer и перейдите в пункт «Панель управления » → «Свойства браузера Сети и Интернет »).
• Дополнительно » и нажмите кнопку «Сброс ».
• Удалить личные настройки » и нажмите кнопку «Сброс ».

Windows Vista, Windows 7:

• Пуск ».
• Выберите пункт «Панель управления » → «Свойства браузера » (может находиться в разделе «Сети и Интернет »).
• В открывшемся окне перейдите на вкладку «Дополнительно » и нажмите кнопку «Сброс ».
• В открывшемся окне не ставьте галочку «Удалить личные настройки » и нажмите кнопку «Сброс ».
• После завершения сброса перезагрузите компьютер, чтобы изменения вступили в силу.

Windows 8–10:

• Пуск » правой кнопкой мыши.
• Выберите пункт «Панель управления » → «Свойства браузера » (может находиться в разделе «Сети и Интернет »).
• В открывшемся окне перейдите на вкладку «Дополнительно » и нажмите кнопку «Сброс ».
• В открывшемся окне не ставьте галочку «Удалить личные настройки » и нажмите кнопку «Сброс ».
• После завершения сброса перезагрузите компьютер, чтобы изменения вступили в силу.

Ошибки при генерации новых ключей

Данная ошибка связана с тем, что система не может получить доступ к выбранному месту хранения ключей.

Если в офисе банка Вы не получали USB-устройство (eToken):

• При заполнении параметров генерации в поле «Место хранения ключей » укажите «Дисковый накопитель ». В поле «Каталог » укажите место для хранения ключей. Настоятельно рекомендуем, во избежание ошибок при создании ключей, НЕ ИСПОЛЬЗОВАТЬ для хранения ключей системный диск (локальный диск C:\) и хранящиеся на нем папки (в том числе Рабочий стол, Документы и т.д.).
• Проверьте, доступен ли для записи тот каталог, который был выбран для хранения секретных ключей в разделе «Место хранения ключей ».
• Проверьте, исправен ли Flash-носитель, который Вы используете.

Если Вы используете eToken:

Ошибки при работе в системе Банк-Клиент

Windows Vista, Windows 7:

• Закройте все окна Internet Explorer и перейдите в меню «Пуск ».
• Выберите пункт «Панель управления » → «Свойства браузера » (может находиться в разделе «Сети и Интернет »).
• В открывшемся окне перейдите на вкладку «Дополнительно » и нажмите кнопку «Сброс ».
• В открывшемся окне не ставьте галочку «Удалить личные настройки » и нажмите кнопку «Сброс ».
• После завершения сброса перезагрузите компьютер, чтобы изменения вступили в силу.

Windows 8–10:

• Закройте все окна Internet Explorer и нажмите по кнопке «Пуск » правой кнопкой мыши.
• Выберите пункт «Панель управления » → «Свойства браузера » (может находиться в разделе «Сети и Интернет »).
• В открывшемся окне перейдите на вкладку «Дополнительно » и нажмите кнопку «Сброс ».
• В открывшемся окне не ставьте галочку «Удалить личные настройки » и нажмите кнопку «Сброс ».
• После завершения сброса перезагрузите компьютер, чтобы изменения вступили в силу.

ОСНОВНЫЕ ПОНЯТИЯ

КСКПЭП –квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.

Криптопровайдер – средство защиты криптографической защиты информации.Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.

ЛКМ – левая кнопка мыши.

ПКМ – правая кнопка мыши.

CRM- AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.

Перед началом генерации

После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.

Откройте ссылку для генерации из письма в одном из рекомендуемых браузеров: Google Chrome , Mozilla Firefox , Yandex.Браузер . Если Вы уже находитесь в одном из вышеперечисленных браузеров, кликните по ссылке ЛКМ или ПКМ > «Открыть ссылку в новой вкладке». Страница генерации (Рис.1) откроется в новом окне.

При открытии ссылки, появится первоначальное предупреждение. Ознакомьтесь с ним, если для хранения КЭП вы используете носитель Jacarta LT . Подробнее о носителях в ниже. Если используете иной носитель, то нажмите кнопку «Закрыть» .

Рис.1 – Страница генерации

Установка приложения

Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке» . После скачивания приложения запустите установку.

Рекомендуется отключить антивирусное ПО перед загрузкой программы !

В процессе установки приложения « crm - agent » появится сообщение с запросом доступа (Рис.2).

Рис.2 – Запрос доступа

Нажмите кнопку «Да».

Предоставление доступа

После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).

Рис.3 – Доступ к хранилищу сертификатов

Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).

Рис.4 – Доступ к хранилищу сертификатов 2

Если не появилась кнопка «Продолжить»

Если после установки приложения « crm - agent » , ссылка на скачивание приложения не исчезла, причиной может быть блокировка подключения вашей системой безопасности.

Для устранения ситуации необходимо:

Отключить антивирус, установленный на вашем компьютере;

Открыть новую вкладку в браузере;

Ввести в адресную строку браузера адрес без пробелов - 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);

При появлении сообщения браузера «Ваше подключение не защищено» , добавьте страницу в исключения браузера. Например, Chrome : «Дополнительные» - «Все равно перейти на сайт» . Для остальных браузеров воспользуйтесь соответствующей инструкцией разработчика.

После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.

Установка КриптоПРО CSP

В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).

Это важно: приложение « crm - agent » обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP ), свяжитесь со специалистами технической поддержки УЦ для консультации.

Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.

КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10

После окончания загрузки откройте zip -архив с помощью соответствующей программы-архиватора (например, Win - RAR ). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

Рис.5 – Установка КриптоПРО

Пропустите окно, нажав «Далее» . Установка КриптоПРО завершена.

Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb -токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Тип USB-носителя	Внешний вид USB-носителя	Ссылка на загрузку драйверов	PIN-код
ruToken

Настройка