Dom
Postavke 
Ne mogu dobiti lozinku u klijentu akta. Rješavanje problema. Šta je SKZ imenik nosioca ključa

Ne mogu dobiti lozinku u klijentu akta. Rješavanje problema. Šta je SKZ imenik nosioca ključa

Vrlo često prilikom izdavanja certifikata ključeva elektronski potpis Može se posmatrati opsesivni PR tokena sa nepovratnim ključem. Prodavci iz certifikacijskih centara uvjeravaju da ćemo kupovinom od njih CIPF CryptoPRO CSP i tokena sa neizmjenjivim ključem (EDS Rutoken ili JaCarta GOST) dobiti certificirani CIPF koji pruža 100% zaštitu od krađe ključeva iz tokena. Ali da li je to zaista tako? Da bismo odgovorili na ovo pitanje, hajde da izvedemo jednostavan eksperiment...

Konfiguracija testnog stola

Hajde da sastavimo testni sto sa tipičnom konfiguracijom za mašine koje učestvuju u elektronskom upravljanju dokumentima (EDF):
  1. OS MS Windows 7 SP1
  2. CIPF CryptoPRO CSP 3.9.8423
  3. Rutoken drajveri za Windows (x86 i x64). Verzija: v.4.1.0.0 od 20.06.2016., WHQL certificiran
  4. Jedan klijent JaCarta i JaCarta SecurLogon. Verzija 2.9.0 build 1531
  5. CryptoARM Standard Plus 5. Verzija 5.2.0.8847.
Za testiranje će se koristiti tokeni sa nepovratnim ključem:
  1. Rutoken EDS. Verzija 19.02.14.00 (02)
  2. JaCarta GOST. Broj modela JC001-2.F09 v2.1

Metodologija testiranja

Modelirajmo tipičan proces pripreme od strane administratora sigurnost informacija ključni dokumenti za organizaciju e-dokumentotoka:
  1. generišu se kontejner privatnog ključa i zahtjev za certifikatom javni ključ;
  2. nakon prolaska procedure sertifikacije u sertifikacionom centru, dobija se sertifikat iz zahteva;
  3. Certifikat, zajedno sa spremnikom privatnog ključa, čini ključne informacije spremne za upotrebu. Ovu ključnu informaciju ćemo nazvati snimljenom na mediju originalni ključni dokument;
  4. With originalni ključni dokument kopije se prave i snimaju na prenosivim medijima (u daljem tekstu ih nazivamo radni ključni dokumenti) i prenose se ovlaštenim korisnicima;
  5. nakon proizvodnje potrebne količine radni ključni dokumenti originalni ključni dokument uništena ili deponovana kod nadležnih organa kriptografska zaštita informacije.
U našem slučaju nećemo koristiti usluge certifikacijskih tijela, već ćemo generirati spremnik ključeva sa samopotpisanim certifikatom i staviti ga u registar računara (radna stanica za generiranje informacija o ključu), to će biti originalni ključni dokument. Zatim kopiramo ključne informacije u Rutoken EDS i JaCarta GOST, pravljenje radni ključni dokumenti. Nakon toga ćemo uništiti originalni ključni dokument brisanjem spremnika ključeva iz registra. I na kraju, hajde da pokušamo da kopiramo ključne informacije iz radnih ključnih dokumenata nazad u registar.

Testiranje

1. Kreirajmo originalni ključni dokument.

Opis

Da bismo to uradili, koristeći CryptoARM, kreiraćemo kontejner privatnog ključa test-key-reestr u registru, koji sadrži samopotpisani sertifikat (CN=test)


















2. Formirajmo se radni ključni dokumenti.

Opis

Korišćenjem redovnih sredstava CIPF CryptoPRO CSP (Start-->Control Panel-->CryptoPro CSP) kopirajte kontejner ključeva test-key-reestr na medijum ključeva Rutoken EDS i JaCarta GOST. Nazvat ćemo spremnike ključeva na ključnom mediju test-key-rutoken i test-key-jacarta, respektivno.
Opis je dat u odnosu na JaCarta GOST (za Rutoken EDS radnje su slične):








Tako smo primili radni ključni dokumenti na JaCarta GOST (test-ključ-jacarta kontejnera) i Rutoken EDS (test-ključ-rutoken kontejnera).


3.Uništite originalni ključni dokument

Opis

Koristeći standardne CIPF alate CryptoPRO CSP, uklonit ćemo kontejner ključeva test-key-reestr iz registra.


4. Kopirajte ključne informacije iz radni ključni dokumenti

Opis

Pokušajmo kopirati kontejneri za ključeve test-key-rutoken i test-key-jacarta nazad u registar.
Opis je dat za JaCarta GOST (za Rutoken EDS radnje su slične).












Kao što vidimo, ključna informacija je uspješno kopirana ili, drugim riječima, ekstrahirana iz tokena s ključem koji se ne može preuzeti. Ispada da proizvođači tokena i CIPF lažu? Zapravo ne, i situacija je složenija nego što se čini na prvi pogled. Ispitujemo hardver po tokenima.

Materijal

Ono što se na tržištu obično naziva tokenom sa ključem koji se ne može preuzeti ispravno se naziva funkcionalni nosač ključa (FKN) (dodatne informacije).

Glavna razlika između FKN i običnih tokena (Rutoken S, JaCarta PKI, ...) je u tome što se prilikom izvođenja kriptografskih transformacija (na primjer, generiranje elektronskog potpisa) privatni ključ ne napušta uređaj. Dok se kod korištenja običnih tokena, privatni ključ kopira iz tokena u memoriju računala.

Upotreba FKN-a zahtijeva posebnu organizaciju interakcije između primijenjenog kriptografskog softvera i CIPF biblioteke (kriptoprovajdera ili, drugim riječima, CSP-a).

Ovdje je važno to vidjeti softverski dio CIPF biblioteke moraju znati za postojanje apleta na tokenu koji implementira kriptografsku funkcionalnost (na primjer, generiranje ključeva, potpisivanje podataka, itd.) i biti sposobne raditi s njim.

Hajde da iznova pogledamo naš testni sto

Rutoken EDS je korišten kao jedan od ključnih nosača. Preko “Rutoken Control Panela” možete dobiti sljedeće informacije o tome:

Poslednji red sadrži frazu „Podrška za CryptoPRO FKN: Ne“, što znači da token nema aplet sa kojim CIPF CryptoPRO CSP može da radi. Stoga je implementacija FKN tehnologije korištenjem CIPF-a i tokena opisanih u konfiguraciji testnog stola nemoguća.

Slična je situacija i sa JaCarta GOST. Štaviše, CIPF CryptoPRO CSP, barem verzija koja je korištena na testnoj klupi, koristi ove ključeve kao „obične tokene“, koji su, zauzvrat, jednostavno ključni nosači.

Ovu izjavu je vrlo lako potvrditi. Da biste to učinili, morate instalirati CryptoPRO CSP CIPF na čistu mašinu bez drajvera tokena i povezati JaCarta GOST token. Windows 7 OS će otkriti JaCarta GOST token kao "Microsoft Usbccid čitač pametnih kartica (WUDF)". Sada možete pokušati kreirati ključ na tokenu i kopirati ga u registar računara. Sve funkcije CIPF-a će uspješno raditi.

Kako osigurati da sve prođe kako treba?

Da biste implementirali FKN tehnologiju koristeći proizvode CRYPTO-PRO LLC, morate:

1. Kupite posebnu verziju CIPF biblioteke:
- za Rutoken EDS - CIPF CryptoPRO Rutoken CSP.
- za JaCarta GOST – CIPF CryptoPro FKN CSP.

2. Uz CIPF biblioteku potrebno je kupiti posebno pripremljene tokene koji sadrže softverske dijelove (aplete) sa kojima CryptoPRO Rutoken CSP odnosno CryptoPro FKN CSP može raditi.

Ispada da Rutoken EDS i JaCarta GOST nisu tokeni s ključem koji se ne može preuzeti?

Ne opet. Ovi uređaji mogu implementirati funkcionalnost FKN-a (ali, možda, u manjoj mjeri nego kada se koriste zajedno sa CIPF CryptoPRO), ali za to je potreban softver koji može raditi s apletima postavljenim na tokene. Takav softver bi mogao biti CryptoARM Standard 5 Plus. On to može. Prilikom generiranja para ključeva u CryptoARM čarobnjaku, možete odabrati kripto provajdera koji će se koristiti, na primjer, Rutoken ECP ili eToken GOST. Ovo će omogućiti da se token koristi kao FKN.

Zaključci

  • Ne vjerujte prodavcima koji vam govore gluposti. Korištenje redovnih verzija kriptoprovajdera CryptoPRO CSP i redovnog Rutoken EDS ili JaCarta GOST ne dozvoljavaju implementaciju FKN tehnologije.
  • Da biste koristili FKN tehnologiju u kombinaciji s proizvodima CRYPTO-PRO LLC, potrebni su vam i posebno pripremljeni tokeni koji sadrže aplet s kojim CIPF može raditi, kao i posebne verzije kriptoprovajdera CryptoPRO CSP, koji može raditi s apletom na tokenima.
  • Rutoken EDS i JaCarta GOST mogu samostalno implementirati FKN tehnologiju, ali za to je potreban poseban softver.
  • Provjerite funkcionalnost vaše internetske veze.
  • Provjerite verziju vašeg operativnog sistema. Sistemska stranica klijent-banka neće biti prikazana na radnom mjestu Windows sistem XP servisni paket 2 i noviji, kao i dalje Windows Server 2003 bez instaliranih najnovijih ažuriranja.
  • IN Internet Explorer idi na “Alati” → “Opcije pretraživača” → “Napredno”. U prozoru koji se otvori označite kućice nasuprot stavki koje sadrže skraćenicu “ TLS" i poništite okvire koji sadrže " SSL».
  • Pritisnite kombinaciju tastera Ctrl+F5. Stranica će biti osvježena i keš memorija će biti obrisana.
  • Provjerite ispravnost pisanja adrese sistemske stranice klijent-banka. U adresnoj traci izbrišite sve informacije nakon toga .ru i pritisnite Enter.

Provjerite jesu li vaša prijava i lozinka ispravno uneseni. Preporučujemo da obratite pažnju na parametre unosa: trenutni jezik unosa i pritisak na taster Caps Lock. Pokušajte unijeti svoju lozinku tekstualni dokument, provjerite vizualno i kopirajte u polje za lozinku u sistemu.

Ova greška može biti prikazan iz sljedećih razloga:

  • Elektronski ključevi su istekli.
  • Mandat direktora/generalnog je istekao. direktora naveden na bankovnoj kartici organizacije.
  • Još niste završili početnu generaciju novih ključeva.
  • Upravo ste obavili početnu generaciju novih ključeva i kliknuli na " Sledeći" U ovom trenutku ključevi još nisu spremni. Za izradu ključeva morate odštampati zahtjev za izradu certifikata javnog ključa i predati ga u poslovnicu Banke koja servisira vaše račune.

Za pojašnjenje detaljne informacije Za ovu grešku kontaktirajte servis tehnička podrška.

Uvjerite se da u postavkama medija pretplatničkog ključa navedete put samo do direktorija s tajnim ključevima. Svi ostali redovi trebaju biti prazni:


  • Provjerite jeste li prijavljeni koristeći Internet Explorer.
  • Dodajte adresu web stranice sistema klijent-banka na listu lokacija koje rade u kompatibilnom režimu.
  • IN Internet pretraživač Explorer kliknite na " Servis» na gornjoj traci (ako nema dugmadi, pritisnite Alt na tastaturi do trake sa dugmadima “ File», « Uredi», « Pogled“, itd.).
  • Zatim odaberite “ Opcije prikaza kompatibilnosti».
  • U prozoru koji se otvori unesite adresu web stranice u gornji red web stranica i pritisnite dugmad Dodaj" i " Zatvori».
  • Ponovo pokrenite pretraživač kako bi promjene stupile na snagu.
  • U Internet Exploreru pritisnite kombinaciju tipki " Ctrl+Shift+Delete" U prozoru koji se otvori označite kućice samo nasuprot stavki “ Privremeni Internet fajlovi" i " Kolačići " i kliknite na " Izbriši».
  • Izvršite generalno resetiranje postavki vašeg pretraživača.
  • Zatvori sve Internet prozori Explorer i idite na " Control Panel» → « Svojstva pretraživačaMreže i Internet»).
  • Dodatno" i kliknite na " Reset».
  • Uklonite lične postavke" i kliknite na " Reset».

Windows Vista, Windows 7:

  • Počni».
  • Odaberite " Control Panel» → « Svojstva pretraživača" (može biti u odjeljku " Mreže i Internet»).
  • U prozoru koji se otvori idite na „ Dodatno" i kliknite na " Reset».
  • U prozoru koji se otvori, nemojte označiti kućicu “ Uklonite lične postavke" i kliknite na " Reset».
  • Kada se resetovanje završi, ponovo pokrenite računar da bi promene stupile na snagu.

Windows 8–10:

  • Počni» desni taster miša.
  • Odaberite " Control Panel» → « Svojstva pretraživača" (može biti u odjeljku " Mreže i Internet»).
  • U prozoru koji se otvori idite na „ Dodatno" i kliknite na " Reset».
  • U prozoru koji se otvori, nemojte označiti kućicu “ Uklonite lične postavke" i kliknite na " Reset».
  • Kada se resetovanje završi, ponovo pokrenite računar da bi promene stupile na snagu.

Greške prilikom generiranja novih ključeva



Ova greška je zbog činjenice da sistem ne može pristupiti odabranoj lokaciji za pohranu ključeva.

Ako niste dobili USB uređaj (eToken) u poslovnici banke:

  • Prilikom popunjavanja parametara generiranja u " Lokacija za pohranu ključeva» navedite « Disk drive " na terenu" Katalog» odredite mjesto za pohranjivanje ključeva. Toplo preporučujemo da, kako biste izbjegli greške prilikom kreiranja ključeva, NEMOJTE KORISTITI za čuvanje ključeva sistemski disk (lokalni disk C:\) i fascikle pohranjene na njemu (uključujući radnu površinu, dokumente itd.).
  • Provjerite da li je u direktorij koji je odabran za pohranjivanje tajnih ključeva u odjeljku " moguće pisati Lokacija za pohranu ključeva».
  • Provjerite da li Flash medij koji koristite radi ispravno.

Ako koristite eToken:


Greške pri radu u sistemu Banka-Klijent

Windows Vista, Windows 7:

  • Zatvorite sve prozore Internet Explorer-a i idite na " Počni».
  • Odaberite " Control Panel» → « Svojstva pretraživača" (može biti u odjeljku " Mreže i Internet»).
  • U prozoru koji se otvori idite na „ Dodatno" i kliknite na " Reset».
  • U prozoru koji se otvori, nemojte označiti kućicu “ Uklonite lične postavke" i kliknite na " Reset».
  • Kada se resetovanje završi, ponovo pokrenite računar da bi promene stupile na snagu.

Windows 8–10:

  • Zatvorite sve prozore Internet Explorer-a i kliknite na " Počni» desni taster miša.
  • Odaberite " Control Panel» → « Svojstva pretraživača" (može biti u odjeljku " Mreže i Internet»).
  • U prozoru koji se otvori idite na „ Dodatno" i kliknite na " Reset».
  • U prozoru koji se otvori, nemojte označiti kućicu “ Uklonite lične postavke" i kliknite na " Reset».
  • Kada se resetovanje završi, ponovo pokrenite računar da bi promene stupile na snagu.

OSNOVNI KONCEPTI

KSKPEP – certifikat ključa za provjeru kvalifikovanog elektronskog potpisa.
CEP– kvalifikovani elektronski potpis.

Crypto provider sredstvo za zaštitu kriptografske informacione sigurnosti Program uz pomoć kojeg se generira zatvoreni dio elektronskog potpisa i koji omogućava rad sa elektronskim potpisom. Ovo polje za potvrdu je automatski označeno.

Izvezeni ključ mogućnost kopiranja elektronskog potpisa na drugi medij. Ako nema kvačice, kopiranje elektronskog potpisa neće biti moguće.

LMB– lijevo dugme miša.

RMB– desni taster miša.

CRM-AGENT– aplikacija koju su razvili CA stručnjaci kako bi se pojednostavila procedura za generisanje para ključeva, kreiranje zahteva i snimanje sertifikata.

Prije početka generacije

Nakon posjete certifikacijskom centru i prolaska procedure za provjeru identiteta osobe koju ste naveli u prijavi email, CA je poslao pismo koje sadrži link za generiranje. Ako niste primili pismo, kontaktirajte svog menadžera ili centar za tehničku podršku koristeći kontakt broj u ovom vodiču.

Otvorite vezu za generiranje iz pisma u jednom od preporučenih pretraživača:Google Chrome, Mozilla Firefox, Yandex.Browser. Ako ste već u nekom od gore navedenih pretraživača, kliknite na link LMB ili RMB> “Otvori vezu u novoj kartici.” Stranica generisanja (slika 1) će se otvoriti u novom prozoru.

Kada otvorite link, pojavit će se početno upozorenje. Upoznajte se s tim ako koristite medije za pohranjivanje CEP-ovaJacarta LT . Više o medijima pročitajte naispod. Ako koristite drugi medij, kliknite na dugme "Zatvori".

Slika 1 – Stranica generisanja

Instaliranje aplikacije

Kliknite na link"Preuzmi aplikaciju" da započnete preuzimanje. Ako se ništa ne dogodi nakon klika, kliknite na link RMB > "Otvori link u novoj kartici". Nakon preuzimanja aplikacije, pokrenite instalaciju.

Preporučuje se da onemogućite antivirusni softver prije preuzimanja programa !

Tokom procesa instalacije aplikacije « crm - agent » pojaviće se poruka koja zahteva pristup (slika 2).

Slika 2 - Zahtjev za pristup


Kliknite na dugme "Da".

Omogućavanje pristupa

Nakon instaliranja aplikacije, vratite se na stranicu za generiranje. Pojavit će se poruka o “Granting access” (slika 3).

Sl.3 - Pristup spremištu certifikata


Kliknite "nastavi" i, u prozoru koji se pojavi, "Dozvoli pristup"(Sl.4).

Slika 4 – Pristup spremištu certifikata 2


Ako se dugme ne pojavi "nastavi"

Ako nakon instaliranja aplikacije « crm - agent » , link za preuzimanje aplikacije nije nestao, razlog može biti taj što je veza blokirana od strane vašeg sigurnosnog sistema.

Da biste riješili situaciju morate:

Onemogućite antivirus instaliran na vašem računaru;

Otvori nova kartica u pretraživaču;

Uđi adresna traka adresa pretraživača bez razmaka - 127.0.0.1:90 – i idite (pritisniteEnter na tastaturi);

Kada se pojavi poruka pretraživača "Vaša veza nije sigurna", dodajte stranicu u izuzetke pretraživača. na primjer,Chrome: "dodatni" - “Idi na web lokaciju svejedno”. Za druge pretraživače koristite odgovarajuća uputstva za programere.

Nakon što se pojavi poruka o grešci, vratite se na stranicu generiranja i ponovite Tačka 2 ovo uputstvo.

Instalacija CryptoPRO CSP-a

Ako nemate unaprijed instalirane kripto provajdere, nakon faze pristupa pojavit će se linkovi za preuzimanje CryptoPRO (Sl. 5).


ovo je važno: aplikacija « crm - agent » otkriva sve kripto provajdere na vašem računaru i ako imate instaliran drugi CryptoPRO CSP program (npr.VipNET CSP ), kontaktirajte stručnjake za tehničku podršku CA radi konsultacija.

Kliknite na link "CryptoPRO 4.0" na stranici za generiranje ili sličnom linku ispod da preuzmete CryptoPRO instalacioni fajl na svoj računar.

CryptoPro CSP 4.0 – verzija za OS Win 7 / 8 / 10

Nakon što je preuzimanje završeno, otvoritezip-arhivirati pomoću odgovarajućeg programa za arhiviranje (npr.Pobjedi - RAR ). Unutra će se nalaziti sam CryptoPRO instalacioni fajl. Pokrenite ga i instalirajte sa zadanim postavkama. Tokom procesa instalacije možete vidjeti sljedeći prozor:

Slika 5 – Instalacija CryptoPRO

Preskočite prozor klikom "Sljedeći". Instalacija CryptoPRO je završena.

Instaliranje drajvera za token

Potpisi se mogu pohraniti u registar računara, na obične fleš diskove i na posebneusb-žetoni. Lista tokena, pin kodova i veza do softvera prikazana je u tabeli ispod (Tabela 1).

Tabela 1 - Upravljački programi za sigurne medije

Tip USB medija

Izgled USB uređaj za pohranu

Link za preuzimanje drajvera

PIN kod

ruToken

Postavke 

Možda će vam se također svidjeti