Tokeny, elektronické klíče pro přístup k důležitým informacím, jsou v Rusku stále populárnější. Token je nyní nejen prostředkem pro autentizaci v operačním systému počítače, ale také pohodlným zařízením pro ukládání a prezentaci osobních informací: šifrovací klíče, certifikáty, licence, certifikáty. Tokeny jsou spolehlivější než standardní pár „login/password“ díky mechanismu dvoufaktorové identifikace: uživatel tedy musí mít k dispozici nejen nosič informací (samotný token), ale také znát PIN kód.

Tokeny jsou vydávány ve třech hlavních formách: token USB, čipová karta a přívěsek na klíče. Zabezpečení pomocí PIN se nejčastěji vyskytuje v tokenech USB, i když nejnovější tokeny USB přicházejí s možností štítků RFID a LCD displejem pro generování jednorázových hesel.

Podívejme se podrobněji na principy fungování tokenů s PIN kódem. PIN kód je speciálně nastavené heslo, které rozděluje proces ověřování do dvou fází: připojení tokenu k počítači a zadání skutečného PIN kódu.

Nejoblíbenější modely tokenů na moderním ruském elektronickém trhu jsou Rutoken, eToken od společnosti Aladdin a elektronický klíč od společnosti Aktiv. Podívejme se na nejčastější dotazy týkající se tokenových PIN kódů na příkladu tokenů od těchto výrobců.

1. Jaký je výchozí PIN?

Níže uvedená tabulka poskytuje informace o výchozích kódech PIN pro tokeny Rutoken a eToken. Výchozí heslo se liší pro různé úrovně vlastníka.

2. Mám změnit výchozí PIN? Pokud ano, v jaké fázi práce s tokenem?

3. Co mám dělat, pokud jsou kódy PIN na tokenu neznámé a výchozí kód PIN již byl resetován?

Jediným východiskem je úplné vymazání (formátování) tokenu.

4. Co mám dělat, když je PIN uživatele zablokován?

Uživatelský PIN můžete odemknout pomocí ovládacího panelu tokenu. K provedení této operace potřebujete znát PIN správce.

5. Co mám dělat, když je PIN správce zablokován?

PIN správce nelze odemknout. Jediným východiskem je úplné vymazání (formátování) tokenu.

6. Jaká bezpečnostní opatření přijali výrobci, aby snížili riziko uhodnutí hesla?

Hlavní body bezpečnostní politiky pro PIN kódy USB tokenů společností Aladdin a Active jsou uvedeny v tabulce níže. Po analýze údajů v tabulce můžeme dojít k závěru, že eToken bude mít pravděpodobně bezpečnější PIN kód. Rutoken, i když vám umožňuje nastavit heslo pouze jednoho znaku, což není bezpečné, v ostatních ohledech není horší než produkt Aladdin.

Důležitost utajení PIN kódu znají všichni, kdo používají tokeny pro osobní účely, ukládají si na ně svůj elektronický podpis, důvěřují elektronickému klíči informacemi nejen osobního charakteru, ale i detaily svých podnikatelských projektů. Tokeny Aladdin a Aktiv mají předinstalované ochranné vlastnosti a spolu s určitou mírou opatrnosti, kterou uživatel učiní, snižují riziko uhodnutí hesla na minimum.

Softwarové produkty Rutoken a eToken jsou prezentovány v různých konfiguracích a formách. Navržený sortiment vám umožní vybrat si přesně ten model tokenu, který nejlépe odpovídá vašim požadavkům, zda

Možnost 1:

Použije se výchozí nastavení, systém si pamatuje PIN tokenu. Nejméně bezpečná varianta. Chcete-li to provést, musíte při prvním vyžádání kódu PIN zaškrtnout políčko „Zapamatovat kód PIN“:

V tomto případě již na tomto počítači nebude vyžadován PIN kód, pro podepisování stačí pouze jednou vybrat certifikát, kterým se podepisujeme. PIN kód bude zapamatován pro všechny akce s ES, dokud v nastavení Crypto Pro-Service - Hesla soukromých klíčů - Smazat zapamatovaná hesla ... nebudou smazána.

Možnost 2:

Použití režimu mezipaměti kontejneru soukromého klíče.

V nastavení Crypto Pro musíte povolit použití služby úložiště klíčů a mezipaměti. Změny parametrů Crypto Pro provádí uživatel s právy správce.

Je-li povoleno, je nutné zadat PIN kód při vstupu na stránky, poté nebude PIN kód vyžadován až po restartování prohlížeče. Pokud na stránce kliknete na tlačítko „Ukončit“ a poté se na ni vrátíte pod stejným uživatelem, aniž byste zavřeli prohlížeč, PIN kód nebude vyžadován. Pokud prohlížeč zavřete a znovu otevřete nebo vstoupíte na stránky v jiném prohlížeči, je vyžadován PIN kód (testováno v Google Chrome, Internet Explorer).
Podle "ЖТЯИ.00087-01 92 01. Návod k použití. Windows.pdf" - Nastavení parametrů zabezpečení - str.43:"Při ukládání klíčů do služby úložiště klíčů je možné využít cachování kontejnerů soukromých klíčů. Cachování znamená, že klíče načtené z nosiče zůstávají v paměti služby. Klíč z cache je dostupný i poté, co má nosič klíče odstraněny ze čtečky, stejně jako po práci toho, kdo si tento klíč aplikace stáhl Každý klíč z mezipaměti je dostupný jakékoli aplikaci, která běží pod stejným účtem jako aplikace, která tento klíč umístila do mezipaměti Všechny klíče z mezipaměti mezipaměť jsou k dispozici, dokud služba úložiště klíčů neskončí. Když je mezipaměť plná, další klíč se zapíše na místo dřívějšího klíče uloženého v mezipaměti.
Ukládání do mezipaměti kontejnerů zlepšuje výkon aplikací tím, že poskytuje rychlejší přístup k soukromému klíči, as klíč je přečten pouze jednou.
Velikost mezipaměti určuje počet klíčů, které lze současně uložit do paměti.
Chcete-li povolit ukládání do mezipaměti, musíte nastavit příznak v poli Povolit ukládání do mezipaměti. V odpovídajícím vstupním poli musíte také nastavit velikost mezipaměti.".

Aby byly tyto režimy povoleny, je nutné při instalaci Crypto Pro na počítač nainstalovat komponentu „Key Storage Service“, ve výchozím nastavení není tato služba nainstalována.

Možnost 3: (Použití této možnosti se nedoporučuje při práci na ETP, protože při podpisu elektronické smlouvy lze podepsat více než 100 souborů)

Použije se výchozí nastavení, nejvyšší úroveň zabezpečení. V tomto případě bude při podpisu smluvních dokumentů vyvoláno okno pro zadání PIN kódu pro podpis každého dokumentu (smlouva, přílohy, specifikace atd.).

Tato stránka obsahuje odpovědi na často kladené otázky, které se objevují při práci s EDS. Vyberte otázku, která vás zajímá, otevřete ji a postupujte jasně podle pokynů.

WOscripts.com - JavaScript - smluvní záhlaví skriptu

1. Získání EDS

Pro získání EDS můžete vyplnit registrační kartu na našich webových stránkách (v sekci „Získání EDS“) nebo na stránkách, kde jste se o nás dozvěděli, nebo kontaktovat nejbližší CA.

Při žádosti o CA musíte mít s sebou následující dokumenty:

doklady totožnosti (standardní - kopie pasu);

doklady potvrzující existenci právnické osoby (certifikát DIČ, Jednotný státní rejstřík právnických osob atd.);

plná moc pro FL o zmocnění k provádění určitých úkonů od organizace;

po obdržení EDS pro vedoucího příkaz ke jmenování do funkce (rozhodnutí o volbě).

Další informace požadované CA v souladu s jejími předpisy nejsou upraveny zákonem. V praxi má každý CA svůj vlastní seznam dokumentů pro získání EDS.

2. EDS nefunguje

1. Soukromý klíč na zadaném kontejneru neodpovídá veřejnému klíči v certifikátu Kontrolujeme všechny uzavřené kontejnery, možná jste zvolili špatný. Pokud požadovaný kontejner nenajdeme, musíte kontaktovat CA a znovu vydat EDS

2. Certifikát není platný (certifikát není platný)

3. V tento certifikát neexistuje žádná důvěra, musíte nainstalovat kořenové certifikáty vaší CA podle pokynů. Za tímto účelem si je lze stáhnout z webových stránek AETP nebo je nalézt na digitálních médiích dodávaných s EDS.

4. Platnost CryptoPro vypršela Musíte zadat licenční klíč programu CryptoPro z dokumentů dodaných s EDS vaší CA.

5. Capicom není nainstalován Stáhněte si Capicom a nainstalujte jej se zavřeným prohlížečem a nakonfigurujte prohlížeč podle pokynů TP, na kterém plánujete pracovat.

6. Nebyl nalezen žádný platný certifikát (nebo není zobrazen výběr certifikátu)

Nainstalujte EDS podle pokynů CA

Zkontrolujte dobu platnosti certifikátu (možná již vypršela)

Nainstalujte kořenový certifikát vaší CA

Nainstalujte CAPICOM se zavřeným prohlížečem

3. Existuje možnost EDS hackingu nebo padělání?

Podle většiny odborníků je nemožné EDS zfalšovat (hacknout) - k tomu je zapotřebí obrovské množství výpočtů, které nelze při současné úrovni výpočetní techniky a matematiky realizovat v přijatelném čase, tedy pokud informace obsažené v podepsaný dokument zůstává relevantní.

Dodatečnou ochranu proti padělání poskytuje certifikace veřejného klíče podpisu certifikační autoritou.

4. Uživatel EDS s právy správce skončí. Jak být?

5. Zapomněli jste heslo EDS. Jak obnovit klíč?

Standardní hesla: Rutoken 12345678, Etoken 1234567890

Pokud jste zapomněli heslo k rutokenu, musíte použít konzolu Rutoken, která se instaluje spolu s ovladačem a je dostupná z Ovládacích panelů (Windows). To platí pro případ, kdy Uživatel zná heslo (pin-kód) Administrátora a potřebuje odemknout token (vynulovat počítadlo počtu chybně zadaných hesel na 0).

Pokud je dopravcem token, musíte kontaktovat CA.

6. Jak digitálně podepsat soubor aplikace Word

Dokument vytvořený v aplikaci Microsoft Office Word je podepsán pomocí EDS, jehož soukromý klíč nebyl vygenerován nástrojem EDS dříve než Crypto-Pro 3.0. Před podpisem je potřeba zkontrolovat jádro Crypto-Pro (Start / Ovládací panely / Crypto-Pro / Obecné. Verze Crypto-Pro bude uvedena na záložce a poté bude stát „build“ - to je jádro). Je vhodné nainstalovat produkt nejnovější sestavení.

Nyní podepíšeme samotný dokument

Dokument je nutné nejprve uložit. V menu vyberte Nástroje / Možnosti / Zabezpečení / Digitální podpisy / certifikát, klikněte na "OK" a dokument podepište. Pokud certifikát není registrován v Osobním, dokument nelze podepsat. Uložte dokument. Vyberte tlačítko Kancelář / Připravit / Přidat digitální podpis / Určit účel podepsání dokumentu (například akreditace) / Vybrat podpis / podepsat. Zobrazí se zpráva „Tento dokument obsahuje digitální podpis“. Na panelu se objeví červený znak.

7. Kde mohu získat EDS zdarma?

Zdarma EDS přijímat pouze stát. organizace v divizích federálního ministerstva financí

8. Může jednotlivec obdržet elektronický podpis?

EDS může obdržet i jednotlivec. V současné době je tato služba nejvíce žádaná pro účast fyzických osob v aukcích na elektronických obchodních platformách pro konkurz (prodej majetku v konkurzu). Aby jednotlivci získali EDS, musí kontaktovat CA a mít s sebou:

Cestovní pas občana Ruské federace;

Osvědčení o přidělení DIČ.

9. Existuje univerzální digitální podpis pro všeobecné použití?

V současné době neexistuje univerzální EDS, která by fungovala na elektronických aukcích (státních i komerčních) a s jejichž pomocí by bylo možné podávat hlášení.

10. Kde mohu získat školení o práci s EDS?

Školení můžete získat ve školicím centru Asociace elektronických obchodních platforem. Semináře se pravidelně konají na území většiny subjektů Ruské federace.

11. Kolik dní se provádí EDS?

12. Mohu během prázdnin přenést svůj digitální podpis na kolegu?

Ne. Odpovědnost podle federálního zákona o EDS nese osobně jeho majitel.

13. Pomoc! Smazal jsem podpis z flash disku, co mám dělat?

Chcete-li obnovit a znovu vydat EDS, obraťte se na CA

14. Bude smlouva platná, když ji podepíšu dnes (má EDS vyprší zítra) a můj partner za týden (v době podpisu partnerem již můj podpis nebude platný, ale když jsem ji podepsal, stále fungoval)?

Pokud je dokument podepsán v souladu se všemi pravidly a platnost EDS v době podpisu ještě nevypršela, bude smlouva platná, ale po podpisu v ní nebude možné provádět změny.

15. Lze na tržištích používat digitální podpis vydaný pro daňové přiznání?

Ne. EDS pro daňové hlášení není vhodné pro elektronické obchodování.

16. Jak získáte EDS?

EDS Přijímá pouze osobně vlastník certifikátu

17. Jak zkopírovat podpis z disku na USB flash disk?

Kopírování kontejneru soukromého klíče:

Chcete-li zkopírovat kontejner soukromého klíče, spusťte Start - Programy - CryptoPro - CryptoProCSP a přejděte na kartu Nástroje. Klepněte na tlačítko Kopírovat.

Systém zobrazí okno „Kopírovat kontejner soukromého klíče“.

V tomto okně musíte vyplnit následující vstupní pole: Název kontejneru klíčů – zadaný ručně nebo vybraný ze seznamu kliknutím na tlačítko Procházet

Možnosti hledání:

Zadaný název určuje kontejner klíčů - přepínač je nastaven na Uživatel nebo Počítač v závislosti na úložišti, kde se kontejner nachází;

Vyberte CSP pro hledání kontejnerů klíčů – požadovaný poskytovatel kryptografie (CSP) je vybrán z navrhovaného seznamu.

Můžete také vybrat kontejner, který odpovídá certifikátu nainstalovanému ve vašem systému. Chcete-li to provést, místo tlačítka Procházet klepněte na Podle certifikátu a vyberte ze seznamu certifikátů nainstalovaných v osobních úložištích uživatele nebo, pokud máte práva správce, na místním počítači certifikát, jehož kontejner chcete zkopírovat;

Pokud je pro přístup k soukromému klíči nastaveno heslo, systém vás požádá o jeho zadání. Zadejte heslo a klepněte na OK.

Systém zobrazí okno „Kopírovat kontejner soukromých klíčů“, ve kterém musíte zadat název nového kontejneru klíčů a vybrat přepínač Zadaný název nastaví kontejner klíčů na Uživatel nebo Počítač, podle toho, kam chcete zkopírovaný kontejner umístit. kontejner.

Po zadání klikněte na Dokončit. Systém zobrazí okno, ve kterém je třeba vybrat médium pro zkopírovaný kontejner.

Vložte médium do čtečky a klikněte na OK. Systém zobrazí okno pro nastavení hesla pro přístup k soukromému klíči. Zadejte heslo, potvrďte jej, v případě potřeby nastavte příznak Zapamatovat heslo (pokud je tento příznak nastaven, heslo se uloží do speciálního úložiště na lokálním počítači a při přístupu k privátnímu klíči se heslo automaticky načte z toto úložiště a nezadané uživatelem).

Pokud se vám materiál líbil, můžete na něj umístit odkaz na sociální sítě:

Při generování požadavků na certifikát a klíče v programu „Key generation workstation“ se objeví okno, kde vás tento program (nebo spíše Crypto Pro) vyzve k zadání hesla (obr. 8). Nabízí, ale nevnucuje. Pokud pole zůstanou prázdná, nebude nastaveno žádné heslo. Uživatelé ale pravděpodobně uvažují jinak a tato pole samozřejmě vyplňují. Všechno by bylo v pořádku, ale pak bezpečně zapomenou, jaké heslo při generování zadali, a když mají něco poprvé podepsat, člověk upadne do bezvědomí. Pak samozřejmě následuje volání na ministerstvo financí s žádostí o pomoc.

Dnes vám v tomto článku řeknu, jak můžete toto heslo odstranit nebo změnit. Existují dvě možnosti odstranění hesla. První - když si uživatel pamatuje staré heslo, druhý - když si nepamatuje. Začněme tím prvním. Jak jsem již zmínil na začátku článku, za heslo ke kontejneru klíčů je zodpovědný program Crypto Pro. Spustíme to tak, že přejdeme na ovládací panel počítače (obr. 1):

Abyste mohli otevřít stejné okno jako já, vyberte v pravém horním rohu okna režim zobrazení "Malé ikony". Spustíme Crypto Pro, otevře se okno (obr. 2):

Kliknutím na záložku "Služba" se dostanete do následujícího okna (obr. 3):

V dolní části okna je tlačítko označené „Změnit heslo“. Klikněte na něj a dostanete se do následujícího okna (obr. 4):

Zde se nám nabízí výběr klíčového kontejneru kliknutím na tlačítko „Procházet“. Nejprve nezapomeňte spolu s klíči vložit do počítače USB flash disk nebo jiné médium. Po kliknutí na tlačítko se otevře následující okno (obr. 5):

Vyberte klíčového dopravce, kterého potřebujeme, a klikněte na „OK“. Otevře se následující okno (obr. 6):

Ujistíme se, že máme skutečně vybraný kontejner soukromého klíče, který potřebujeme, a klikneme na tlačítko „Dokončit“, po kterém se otevře okno pro zadání hesla (obr. 7):

Zde je potřeba zadat heslo, které jste zadali při generování klíčů a žádosti o certifikát v programu „Key generation workstation“. Předpokládá se, že si to pamatujete :). Zadáme, klikneme na „OK“, zaškrtávací políčko „Zapamatovat heslo“ není nutné a dostaneme se do okna pro zadání nového hesla (obr. 8):

Zde můžete heslo nejen změnit, ale také smazat, pokud pole necháte prázdná. Pokud chcete změnit heslo, tak se zamyslete a zadejte ho dvakrát.

S případem, kdy si uživatel pamatuje staré heslo pro kontejner, jsme na to přišli. Zkusme odstranit heslo z kontejneru, když je bezpečně zapomenuto. Zde nám pomůže utilita csptest.exe, která je součástí instalační sady Crypto Pro od verze 3.6. Pokud máte tento program nainstalovaný, máte tento nástroj a nachází se podél instalační cesty programu, tj. C:\Program Files (x86)\Crypto Pro\CSP (mám 64bitový OS, pokud máte 32bitový , pak (x86) nebude v cestě chybět). Musíme to spustit z příkazového řádku.

Chcete-li otevřít příkazový řádek ve Windows 7, musíte se dostat do požadované složky prostřednictvím průzkumníka, stisknout klávesu "Shift" na klávesnici a při jejím držení kliknout pravým tlačítkem myši na požadovanou složku. Vše je znázorněno na obrázku níže (obr. 9):

V kontextové nabídce, která se objeví, vyberte levým tlačítkem myši "Otevřít příkazové okno". V příkazovém okně musíte nejprve zadat následující příkaz: samozřejmě bez hranatých závorek. Tento příkaz nám zobrazí všechny dostupné kontejnery soukromých klíčů ve tvaru: [\\.\název média\název kontejneru]. Když zjistíme název našeho kontejneru soukromých klíčů, musíme zadat ještě jeden příkaz: . Opět žádné hranaté závorky. V uvozovkách musíte zadat název kontejneru soukromého klíče, který jste se naučili v předchozím kroku. Zadejte uvozovky NUTNĚ. Tento příkaz nám zobrazí uložené heslo, po jeho naučení můžeme prvním způsobem heslo odstranit nebo změnit.

Všechny výše uvedené akce jsem provedl já, jak dokládá obrázek 10:

Chci hned poznamenat, že se mi nepodařilo "naučit" heslo touto metodou (červená čára na obr. 10). Myslím si ale, že je to dáno tím, že kontejner, který jsem uvedl v druhém příkazu, byl získán zkopírováním z média na médium pomocí položky nabídky Crypto Pro „Kopírovat“ (obr. 3). Generování privátních klíčů bylo provedeno na jiném médiu, které již nemám k dispozici. Ale metoda funguje.

Pokud se vám nepodaří odstranit ani heslo tímto způsobem, pak zbývá pouze zrušit aktuální certifikát a vygenerovat nové klíče a novou žádost o certifikát. A pokud berete ochranu heslem vážněji, pak hesla nebudou „zapomenuta“. To je vše. Hodně štěstí!

A nakonec ... Pokud se vám tento článek líbil a dozvěděli jste se z něj něco nového, můžete vždy vyjádřit svou vděčnost v penězích. Částka může být libovolná. K ničemu vás to nezavazuje, vše je dobrovolné. Pokud se přesto rozhodnete podpořit můj web, pak klikněte na tlačítko „Děkuji“, které vidíte níže. Budete přesměrováni na stránku na mém webu, kde můžete převést libovolnou částku peněz do mé peněženky. V tomto případě na vás čeká dárek. Po úspěšném převodu peněz si jej můžete stáhnout.