Venemaal muutuvad üha populaarsemaks märgid, elektroonilised võtmed olulisele teabele juurdepääsuks. Token pole nüüd mitte ainult vahend arvuti operatsioonisüsteemis autentimiseks, vaid ka mugav seade isikliku teabe salvestamiseks ja esitamiseks: krüpteerimisvõtmed, sertifikaadid, litsentsid, sertifikaadid. Tokenid on standardsest “sisselogimise/parooli” paarist töökindlamad tänu kahefaktorilisele identifitseerimismehhanismile: see tähendab, et kasutajal peab lisaks infokandjale (tokenile endale) käepärast olema ka PIN-koodi teadmata.

Tokenite väljastamisel on kolm peamist vormitegurit: USB-märk, kiipkaart ja võtmehoidja. PIN-koodi turvalisust leidub kõige sagedamini USB-märkides, kuigi hiljutised USB-märgid on varustatud RFID-märgendi ja LCD-ekraaniga ühekordsete paroolide genereerimiseks.

Peatugem lähemalt PIN-koodiga žetoonide toimimise põhimõtetel. PIN-kood on spetsiaalselt seadistatud parool, mis jagab autentimisprotseduuri kaheks etapiks: märgi kinnitamine arvutile ja tegeliku PIN-koodi sisestamine.

Kõige populaarsemad märgimudelid kaasaegsel Venemaa elektroonilisel turul on Rutoken, eToken ettevõttelt Aladdin ja elektrooniline võti ettevõttelt Aktiv. Vaatleme nende tootjate žetoonide näitel kõige korduma kippuvaid küsimusi žetoonide PIN-koodide kohta.

1. Mis on vaike-PIN?

Allolev tabel sisaldab teavet Rutokeni ja eTokeni märkide vaike-PIN-koodide kohta. Vaikimisi parool on erinevatel omanikutasemetel erinev.

2. Kas ma peaksin muutma vaike-PIN-koodi? Kui jah, siis millisel hetkel märgiga töötades?

3. Mida teha, kui märgil olevad PIN-koodid on tundmatud ja vaike-PIN on juba lähtestatud?

Ainus väljapääs on märgi täielik tühjendamine (vormindamine).

4. Mida teha, kui kasutaja PIN-kood on blokeeritud?

Kasutaja PIN-koodi saate avada märgi juhtpaneeli kaudu. Selle toimingu tegemiseks peate teadma administraatori PIN-koodi.

5. Mida peaksin tegema, kui administraatori PIN-kood on blokeeritud?

Te ei saa administraatori PIN-koodi avada. Ainus väljapääs on märgi täielik tühjendamine (vormindamine).

6. Milliseid turvameetmeid on tootjad kasutusele võtnud, et vähendada parooli äraarvamise ohtu?

Aladdini ja Active ettevõtete USB-tokenide PIN-koodide turvapoliitika põhipunktid on toodud allolevas tabelis. Pärast tabeli andmete analüüsi võime järeldada, et eToken saab eeldatavasti turvalisema PIN-koodi. Rutoken, kuigi see võimaldab määrata vaid ühe tähemärgiga parooli, mis pole turvaline, ei jää see muus osas sugugi alla Aladdini ettevõtte tootele.

PIN-koodi saladuses hoidmise olulisust teavad kõik need, kes kasutavad žetoone isiklikuks otstarbeks, hoiavad sellel oma elektroonilist allkirja, usaldavad elektroonilisele võtmele mitte ainult isikliku iseloomuga informatsiooni, vaid ka oma äriprojektide üksikasju. Aladdini ja Aktiv žetoonidel on eelinstallitud kaitseomadused ja koos teatud ettevaatusabinõudega, mida kasutaja rakendab, vähendatakse parooli äraarvamise riski miinimumini.

Rutokeni ja eTokeni tarkvaratooted on saadaval erinevates konfiguratsioonides ja vormitegurites. Pakutav valik võimaldab teil valida täpselt teie nõuetele kõige paremini vastava märgi mudeli

Valik 1:

Kasutatakse vaikesätteid, süsteem jätab märgi PIN-koodi meelde. Kõige vähem turvaline variant. Selleks peate esmakordsel PIN-koodi küsimisel märkima märkeruudu "Jäta PIN-kood meelde".

Sel juhul selles arvutis enam PIN-koodi ei küsita, allkirjastamiseks tuleb lihtsalt valida sertifikaat, millega allkirjastame ühe korra. PIN-kood jäetakse meelde kõigi ES-iga tehtud toimingute puhul, kuni Crypto Pro-Service seadetes - Privaatvõtme paroolid - Kustutage meeldejäänud paroolid ... neid ei kustutata.

2. valik:

Privaatvõtme konteineri vahemälurežiimi kasutamine.

Crypto Pro seadetes peate lubama võtmesalvestusteenuse ja vahemällu salvestamise. Crypto Pro parameetrite muudatused teeb administraatori õigustega kasutaja.

Kui see on sisse lülitatud, tuleb saidile sisenemisel sisestada PIN-kood, seejärel ei küsita PIN-koodi enne brauseri taaskäivitamist. Kui klõpsate saidil nuppu "Välju" ja lähete seejärel brauserit sulgemata sama kasutaja alla tagasi, siis PIN-koodi ei küsita. Kui sulgete brauseri ja avate selle uuesti või sisestate saidi mõnes teises brauseris, küsitakse PIN-koodi (testitud Google Chrome'is, Internet Exploreris).
Vastavalt "ЖТЯИ.00087-01 92 01. Kasutusjuhend. Windows.pdf" - Turvaparameetrite seadistamine - lk.43:"Võtmete salvestamisel võtmehoidla teenuses on võimalik kasutada privaatvõtmete konteinerite vahemällu salvestamist. Vahemälu tähendab, et kandjalt loetud võtmed jäävad teenuse mällu. Vahemälust võti on saadaval ka siis, kui võtmekandja on saanud lugejast eemaldatud, aga ka pärast selle rakenduse võtme allalaadija tööd Iga vahemälu võti on saadaval kõikidele rakendustele, mis töötavad sama konto all kui selle võtme vahemällu paigutanud rakendus Kõik võtmed vahemälu on saadaval kuni võtmesalvestusteenuse lõppemiseni Kui vahemälu on täis, kirjutatakse järgmine võti vahemällu salvestatud varajase võtme kohale.
Konteinerite vahemällu salvestamine parandab rakenduse jõudlust, pakkudes kiiremat juurdepääsu privaatvõtmele, nagu võtit loetakse ainult üks kord.
Vahemälu suurus määrab võtmete arvu, mida saab korraga mällu salvestada.
Vahemällu salvestamise lubamiseks peate väljale Luba vahemälu määrama lipu. Samuti peate vastavale sisestusväljale määrama vahemälu suuruse.".

Nende režiimide lubamiseks on Crypto Pro arvutisse installimisel vaja installida komponent "Key storage service", vaikimisi seda teenust ei installita.

3. valik: (Selle valiku kasutamine pole ETP-ga töötamisel soovitatav, kuna elektroonilise lepingu allkirjastamisel saab allkirjastada rohkem kui 100 faili)

Kasutatakse vaikesätteid, kõrgeimat turbetaset. Sel juhul kuvatakse lepingudokumentide allkirjastamisel aken iga dokumendi (leping, lisad, spetsifikatsioonid jne) allkirjastamiseks PIN-koodi sisestamiseks.

Sellel lehel on vastused korduma kippuvatele küsimustele, mis tekivad EDS-iga töötamisel. Valige teid huvitav küsimus, avage see ja järgige juhiseid selgelt.

WOscripts.com – JavaScript – kokkulepitavad päisteskriptid

1. EDS-i saamine

EDS-i saamiseks võite täita registreerimiskaardi meie veebisaidil (jaotises "EDS-i hankimine") või saidil, kust saite meie kohta teada, või võtta ühendust lähima CA-ga.

CA-sse kandideerides peavad teil olema kaasas järgmised dokumendid:

isikut tõendavad dokumendid (standard - passi koopia);

juriidilise isiku olemasolu kinnitavad dokumendid (TIN-i sertifikaat, juriidiliste isikute ühtne riiklik register jne);

FL-i volikiri, mis annab talle õiguse teha organisatsiooni teatud toiminguid;

juhi EDS-i saamisel korraldus ametikohale määramiseks (valimise otsus).

Täiendav teave, mida KA nõustab vastavalt oma määrustele, ei ole seadusega reguleeritud. Praktikas on igal KA-l EDS-i saamiseks oma dokumentide loend.

2. EDS ei tööta

1. Määratud konteineri privaatvõti ei ühti sertifikaadi avaliku võtmega Kontrollime kõiki suletud konteinereid, võib-olla olete valinud vale. Kui me soovitud konteinerit ei leia, peate EDS-i uuesti väljastamiseks ühendust võtma CA-ga

2. Sertifikaat ei kehti (sertifikaat ei kehti)

3. Seda sertifikaati ei usaldata. Peate installima oma CA juursertifikaadid vastavalt juhistele. Selleks saab need alla laadida AETP veebisaidilt või leida need EDS-iga kaasasolevalt digitaalselt.

4. CryptoPro on aegunud. Peate sisestama CryptoPro programmi litsentsivõtme oma CA EDS-iga kaasasolevatest dokumentidest.

5. Capicom pole installitud Laadige alla Capicom ja installige see suletud brauseriga ning konfigureerige brauser vastavalt selle TP juhistele, millega kavatsete töötada.

6. Kehtivat sertifikaati ei leitud (või pole näidatud sertifikaadi valikut)

Paigaldage EDS vastavalt CA juhistele

Kontrollige sertifikaadi kehtivusaega (võib-olla on see aegunud)

Installige oma CA juursertifikaat

Installige CAPICOM suletud brauseriga

3. Kas on võimalik EDS-i häkkimine või võltsimine?

Enamiku ekspertide sõnul on EDS-i võltsimine (häkkimine) võimatu - see nõuab tohutul hulgal arvutusi, mida ei saa arvutitehnoloogia ja matemaatika praegusel tasemel vastuvõetava aja jooksul rakendada, st samal ajal kui allkirjastatud dokument jääb asjakohaseks.

Täiendavat kaitset võltsimise eest pakub allkirja avaliku võtme sertifitseerimine sertifitseerimisasutuse poolt.

4. Administraatoriõigustega EDS-i kasutaja väljub. Kuidas olla?

5. Unustasite EDS-i parooli. Kuidas võtit taastada?

Standardparoolid: Rutoken 12345678, Etoken 1234567890

Kui unustasite rutokeni parooli, peate kasutama Rutokeni konsooli, mis installitakse koos draiveriga ja on saadaval juhtpaneelilt (Windows). See kehtib juhul, kui kasutaja teab administraatori parooli (pin-koodi) ja tal on vaja žetoon avada (valesti sisestatud paroolide arvu loendur nullida).

Kui vedaja on token, peate võtma ühendust CA-ga.

6. Wordi faili digiallkirjastamine

Microsoft Office Wordis loodud dokument allkirjastatakse EDS-iga, mille privaatvõti genereeris EDS-tööriist mitte varem kui Crypto-Pro 3.0. Enne allkirjastamist peate kontrollima Crypto-Pro tuuma (Start / Juhtpaneel / Crypto-Pro / Üldine. Crypto-Pro versioon näidatakse vahekaardil ja siis jääb seisma “build” - see on tuum). Soovitatav on installida uusima konstruktsiooniga toode.

Nüüd kirjutame dokumendile alla

Esmalt tuleb dokument salvestada. Valige menüüst Tööriistad / Valikud / Turvalisus / Digitaalallkirjad / sertifikaat, klõpsake "OK" ja allkirjastage dokument. Kui sertifikaat ei ole Personalis registreeritud, ei saa dokumenti allkirjastada. Salvestage dokument. Vali Kontori nupp / Valmista / Lisa digiallkiri / Määra dokumendi allkirjastamise eesmärk (näiteks akrediteering) / Vali allkiri / allkiri. Ilmub teade "See dokument sisaldab digitaalallkirja". Paneelile ilmub punane embleem.

7. Kust saada tasuta EDS-i?

Tasuta EDS-i saab ainult olek. föderaalkassa osakondade organisatsioonid

8. Kas üksikisik võib saada elektroonilist allkirja?

Üksikisik võib saada ka EDS-i. Praegu on see teenus enim nõutud üksikisikute osalemiseks elektrooniliste kauplemisplatvormide pankrotioksjonitel (pankrotivara müük). EDS-i saamiseks peavad üksikisikud võtma ühendust CA-ga, kaasates:

Vene Föderatsiooni kodaniku pass;

TIN-i määramise tunnistus.

9. Kas üldiseks kasutamiseks on olemas universaalne digiallkiri?

Hetkel puudub universaalne EDS, mis töötaks elektroonilistel oksjonitel (nii riiklikel kui kommertsoksjonitel) ja mille abil oleks võimalik esitada aruandeid.

10. Kust saada EDS-iga töötamise koolitust?

Koolituse saate teha Elektrooniliste Kauplemisplatvormide Liidu koolituskeskuses. Enamiku Vene Föderatsiooni subjektide territooriumil toimuvad regulaarselt seminarid.

11. Mitu päeva EDS-i tehakse?

12. Kas ma saan puhkuse ajal oma digiallkirja kolleegile üle anda?

Ei. Vastavalt EDS-i föderaalseadusele kannab vastutust selle omanik isiklikult.

13. Aidake! Kustutasin mälupulgalt allkirja, mida teha?

EDS-i taastamiseks ja uuesti väljastamiseks võtke ühendust CA-ga

14. Kas leping hakkab kehtima, kui ma allkirjastan selle täna (minu EDS aegub homme), ja elukaaslane nädala pärast (partneri poolt allkirjastamise hetkel minu allkiri enam ei kehti, kuid allkirjastades töötas ikka)?

Kui dokument on allkirjastatud vastavalt kõikidele reeglitele ja EDS ei ole allkirjastamise hetkel aegunud, on leping kehtiv, kuid pärast allkirjastamist ei ole võimalik selles muudatusi teha.

15. Kas maksuaruandluseks antud digiallkirja saab turuplatsidel kasutada?

Ei. Maksuaruandluse EDS ei sobi elektrooniliseks kauplemiseks.

16. Kuidas saada EDS-i?

EDS Saab ainult isiklikult sertifikaadi omanik

17. Kuidas kopeerida allkirja kettalt USB-mälupulgale?

Privaatvõtme konteineri kopeerimine:

Privaatvõtme konteineri kopeerimiseks käivitage Start - Programs - CryptoPro - CryptoProCSP ja minge vahekaardile Tööriistad. Klõpsake nuppu Kopeeri.

Süsteem kuvab akna "Kopeeri privaatvõtmekonteiner".

Selles aknas tuleb täita järgmine sisestusväli: Võtmemahuti nimi – sisestatakse käsitsi või valitakse loendist, klõpsates nuppu Sirvi

Otsinguvalikud:

Sisestatud nimi määrab võtme konteineri – lüliti on seatud asendisse Kasutaja või Arvuti, olenevalt salvestusruumist, kus konteiner asub;

Valige võtmekonteinerite otsimiseks CSP – pakutud loendist valitakse vajalik krüptograafiline pakkuja (CSP).

Samuti saate valida konteineri, mis vastab süsteemi installitud sertifikaadile. Selleks tuleb Browse nupu asemel vajutada Serdi järgi ja valida kasutaja isiklikesse poodidesse või administraatoriõiguste olemasolul kohalikus arvutis installitud sertifikaatide loendist sertifikaat, mille konteinerit soovid kopeerida;

Kui privaatvõtmele juurdepääsuks on määratud parool, palub süsteem teil see sisestada. Sisestage parool ja klõpsake nuppu OK.

Süsteem kuvab akna "Kopeeri privaatvõtmekonteiner", kuhu tuleb sisestada uue võtmekonteineri nimi ja valida raadionupp Sisestatud nimi määrab võtmekonteineriks Kasutaja või Arvuti, olenevalt sellest, kuhu soovite kopeeritud võtme paigutada. konteiner.

Pärast sisestamist klõpsake nuppu Lõpeta. Süsteem kuvab akna, milles peate valima kopeeritud konteineri jaoks kandja.

Sisestage kandja lugejasse ja klõpsake nuppu OK. Süsteem kuvab privaatvõtmele juurdepääsu parooli määramise akna. Sisestage parool, kinnitage see, vajadusel määrake lipp Mäleta parool (kui see lipp on määratud, salvestatakse parool kohaliku arvuti spetsiaalsesse salvestusruumi ja privaatvõtmele juurdepääsul loetakse parool automaatselt see salvestusruum ja seda pole kasutaja sisestanud).

Kui teile materjal meeldis, saate postitada selle lingi sotsiaalvõrgustikesse:

Sertifikaadi ja võtmepäringute genereerimisel programmis "Võtme genereerimise tööjaam" ilmub aken, kus see programm (õigemini Crypto Pro) palub teil sisestada parool (joonis 8). Pakub, aga ei sunni. Kui väljad jäetakse tühjaks, parooli ei määrata. Kuid kasutajad arvavad ilmselt teisiti ja loomulikult täidavad need väljad. Kõik oleks hästi, aga siis unustatakse ohutult ära, mis parooli genereerimisel sisestati ja kui esimest korda midagi allkirjastama peab, langeb inimene stuuporisse. Siis muidugi helistatakse riigikassasse ja palutakse abi.

Täna selles artiklis räägin teile, kuidas saate selle parooli eemaldada või muuta. Parooli eemaldamiseks on kaks võimalust. Esimene - kui kasutaja mäletab vana parooli, teine ​​- kui ta ei mäleta. Alustame esimesest. Nagu artikli alguses mainisin, vastutab võtmekonteineri parooli eest Crypto Pro programm. Käivitame selle, minnes arvuti juhtpaneelile (joonis 1):

Selleks, et saaksite avada minuga sama akna, valige akna paremas ülanurgas vaaterežiim "Väikesed ikoonid". Käivitame Crypto Pro, avaneb aken (joonis 2):

Järgmise akna avamiseks klõpsake vahekaardil "Teenus" (joonis 3):

Akna allosas on nupp "Muuda parooli". Klõpsake sellel ja avage järgmine aken (joonis 4):

Siin pakutakse meile võtmekonteineri valimist, klõpsates nuppu "Sirvi". Esiteks ärge unustage oma klahvidega arvutisse USB-mälupulka või muud meediumit sisestada. Kui klõpsate nupul, avaneb järgmine aken (joonis 5):

Valige vajalik võtmekandja ja klõpsake "OK". Avaneb järgmine aken (joonis 6):

Veendume, et meil on tõesti valitud privaatvõtme konteiner ja vajutame nuppu "Lõpeta", misjärel avaneb parooli sisestamise aken (joonis 7):

Siin peate sisestama parooli, mille sisestasite võtmete genereerimisel ja sertifikaadi taotlemisel programmis "Võtme genereerimise tööjaam". Eeldatakse, et mäletate seda :). Sisestame, klõpsake "OK", märkeruut "Jäta parool meelde" pole vajalik ja pääseme uue parooli sisestamise aknasse (joonis 8):

Siin saate mitte ainult parooli muuta, vaid ka kustutada, kui jätate väljad tühjaks. Kui soovite parooli muuta, siis mõelge välja ja sisestage see kaks korda.

Kui kasutaja mäletab konteineri vana parooli, mõtlesime selle välja. Proovime parooli konteinerist eemaldada, kui see on ohutult ununenud. Siin aitab meid utiliit csptest.exe, mis sisaldub Crypto Pro installikomplektis alates versioonist 3.6. Kui teil on see programm installitud, on teil see utiliit ja see asub programmi installitee ääres, st C:\Program Files (x86)\Crypto Pro\CSP (mul on 64-bitine OS, kui teil on 32-bitine , siis (x86) teel puudub). Peame selle käivitama käsurealt.

Käsurea avamiseks operatsioonisüsteemis Windows 7 peate Exploreri kaudu jõudma soovitud kausta, vajutama klaviatuuril klahvi "Shift" ja hoides seda all, paremklõpsake soovitud kaustal. Kõik on illustreeritud alloleval pildil (joonis 9):

Ilmuvas kontekstimenüüs valige hiire vasaku nupuga "Ava käsuaken". Käsuaknas peate esmalt sisestama järgmise käsu: muidugi ilma nurksulgudeta. See käsk näitab meile kõiki saadaolevaid privaatvõtme konteinereid järgmisel kujul: [\\.\meediuminimi\konteineri nimi]. Kui saame teada oma privaatvõtme konteineri nime, peame sisestama veel ühe käsu: . Jällegi, ilma nurksulgudeta. Jutumärkidesse peate sisestama oma privaatvõtme konteineri nime, mille õppisite eelmises etapis. Jutumärgid sisenevad VAJALIKULT. See käsk näitab meile salvestatud parooli, pärast selle õppimist saame parooli eemaldamiseks või muutmiseks kasutada esimest meetodit.

Kõik ülaltoodud toimingud tegin mina, nagu näitab joonis 10:

Tahan kohe märkida, et mul ei õnnestunud seda meetodit kasutades parooli "õppida" (punane joon joonisel 10). Kuid ma arvan, et see on tingitud asjaolust, et konteiner, mille ma teises käsus täpsustasin, saadi meediumilt meediumile kopeerimise teel, kasutades Crypto Pro menüükäsku "Kopeeri" (joonis 3). Privaatvõtmete genereerimine viidi läbi teisel meediumil, mis pole enam minu jaoks kättesaadav. Kuid meetod töötab.

Kui ka sel viisil parooli eemaldamine ebaõnnestub, on ainus võimalus tühistada kehtiv sertifikaat ning genereerida uued võtmed ja uus sertifikaadipäring. Ja kui paroolikaitsesse tõsisemalt suhtuda, siis paroolid ei "unune". See on kõik. Edu!

Ja lõpuks ... Kui teile see artikkel meeldis ja õppisite sellest enda jaoks midagi uut, võite alati oma tänu väljendada rahaliselt. Summa võib olla mis tahes. See ei kohusta sind millekski, kõik on vabatahtlik. Kui otsustate siiski minu saiti toetada, klõpsake nuppu "Aitäh", mida näete allpool. Teid suunatakse minu veebisaidi lehele, kus saate minu rahakotti kanda mis tahes rahasumma. Sel juhul ootab teid kingitus. Pärast edukat rahaülekannet saate selle alla laadida.