Tokeny, elektronické kľúče na prístup k dôležitým informáciám, sú v Rusku čoraz populárnejšie. Token je teraz nielen prostriedkom na autentifikáciu v operačnom systéme počítača, ale aj pohodlným zariadením na ukladanie a prezentáciu osobných informácií: šifrovacie kľúče, certifikáty, licencie, certifikáty. Tokeny sú spoľahlivejšie ako štandardný pár „login / password“ vďaka dvojfaktorovému mechanizmu identifikácie: to znamená, že používateľ musí mať k dispozícii nielen nosič informácií (samotný token), ale musí poznať aj PIN kód.

Tokeny sa vydávajú v troch hlavných formách: token USB, čipová karta a prívesok na kľúče. Zabezpečenie PIN kódom sa najčastejšie vyskytuje v tokenoch USB, hoci najnovšie tokeny USB sa dodávajú so štítkom RFID a LCD displejom na generovanie jednorazových hesiel.

Pozrime sa podrobnejšie na princípy fungovania tokenov s PIN kódom. PIN kód je špeciálne nastavené heslo, ktoré rozdeľuje autentifikačnú procedúru na dve fázy: priloženie tokenu k počítaču a zadanie skutočného PIN kódu.

Najpopulárnejšie modely tokenov na modernom ruskom elektronickom trhu sú Rutoken, eToken od spoločnosti Aladdin a elektronický kľúč od spoločnosti Aktiv. Pozrime sa na najčastejšie otázky týkajúce sa tokenových PIN kódov na príklade tokenov od týchto výrobcov.

1. Aký je predvolený PIN?

Nižšie uvedená tabuľka poskytuje informácie o predvolených kódoch PIN pre tokeny Rutoken a eToken. Predvolené heslo sa líši pre rôzne úrovne vlastníka.

2. Mám zmeniť predvolený PIN? Ak áno, v akom bode práce s tokenom?

3. Čo mám robiť, ak sú kódy PIN na tokene neznáme a predvolený kód PIN už bol obnovený?

Jediným východiskom je úplne vyčistiť (naformátovať) token.

4. Čo mám robiť, ak je PIN používateľa zablokovaný?

Používateľský PIN môžete odomknúť cez ovládací panel tokenu. Na vykonanie tejto operácie potrebujete poznať kód PIN správcu.

5. Čo mám robiť, ak je zablokovaný PIN správcu?

Kód PIN správcu nemôžete odomknúť. Jediným východiskom je úplne vyčistiť (naformátovať) token.

6. Aké bezpečnostné opatrenia prijali výrobcovia, aby znížili riziko uhádnutia hesla?

Hlavné body bezpečnostnej politiky pre PIN kódy USB tokenov spoločností Aladdin a Active sú uvedené v tabuľke nižšie. Po analýze údajov v tabuľke môžeme konštatovať, že eToken bude mať pravdepodobne bezpečnejší PIN kód. Rutoken, hoci vám umožňuje nastaviť heslo iba jedného znaku, čo nie je bezpečné, v iných ohľadoch nie je horšie ako produkt Aladdin.

Dôležitosť utajenia PIN kódu poznajú všetci tí, ktorí používajú tokeny na osobné účely, ukladajú si na ne svoj elektronický podpis, dôverujú elektronickému kľúču informácie nielen osobného charakteru, ale aj detaily svojich podnikateľských projektov. Tokeny spoločností Aladdin a Active majú predinštalované ochranné vlastnosti a spolu s určitou mierou opatrnosti, ktorú bude používateľ dodržiavať, znižujú riziko uhádnutia hesla na minimum.

Softvérové ​​produkty Rutoken a eToken sú prezentované v rôznych konfiguráciách a formách. Navrhovaný sortiment vám umožní vybrať si presne ten model tokenu, ktorý najlepšie vyhovuje vašim požiadavkám, či

Možnosť 1:

Použijú sa predvolené nastavenia, PIN tokenu si systém pamätá. Najmenej bezpečná možnosť. Ak to chcete urobiť, pri prvej žiadosti o kód PIN musíte začiarknuť políčko „Zapamätať si kód PIN“:

V tomto prípade sa na tomto počítači už nebude vyžadovať PIN kód, na podpis si stačí vybrať certifikát, ktorým sa podpisujeme raz. PIN kód bude zapamätaný pre všetky úkony s ES, kým sa v nastaveniach služby Crypto Pro-Service - Heslá súkromných kľúčov - Odstrániť zapamätané heslá ... nevymažú.

Možnosť 2:

Použitie režimu vyrovnávacej pamäte kontajnera súkromných kľúčov.

V nastaveniach Crypto Pro musíte povoliť používanie služby úložiska kľúčov a ukladanie do vyrovnávacej pamäte. Zmeny parametrov Crypto Pro vykonáva používateľ s právami správcu.

Keď je povolená, pri vstupe na stránku je potrebné zadať PIN kód, potom sa PIN kód nebude vyžadovať až do reštartovania prehliadača. Ak kliknete na tlačidlo „Ukončiť“ na stránke a potom sa na ňu vrátite pod tým istým používateľom bez zatvorenia prehliadača, PIN kód sa nebude vyžadovať. Ak zatvoríte prehliadač a znova ho otvoríte, alebo vstúpite na stránku v inom prehliadači, potom sa vyžaduje PIN kód (testované v Google Chrome, Internet Explorer).
Podľa "ЖТЯИ.00087-01 92 01. Návod na použitie. Windows.pdf" - Nastavenie parametrov zabezpečenia - str.43:"Pri ukladaní kľúčov do služby úložiska kľúčov je možné využiť cachovanie kontajnerov súkromných kľúčov. Cachovanie znamená, že kľúče načítané z nosiča ostávajú v pamäti služby. Kľúč z cache je dostupný aj po tom, ako je nosič kľúčov odstránené z čítačky, ako aj po práci toho, kto stiahol tento kľúč aplikácie Každý kľúč uložený vo vyrovnávacej pamäti je dostupný pre akúkoľvek aplikáciu spustenú pod rovnakým účtom ako aplikácia, ktorá kľúč uložila do vyrovnávacej pamäte Všetky kľúče uložené vo vyrovnávacej pamäti sú dostupné, kým sa neskončí služba ukladania kľúčov Keď je vyrovnávacia pamäť plná, namiesto skoršieho kľúča uloženého vo vyrovnávacej pamäti sa prepíše nasledujúci kľúč.
Ukladanie do vyrovnávacej pamäte kontajnera zlepšuje výkon aplikácie tým, že poskytuje rýchlejší prístup k súkromnému kľúču, as kľúč sa číta iba raz.
Veľkosť vyrovnávacej pamäte určuje počet kľúčov, ktoré je možné súčasne uložiť do pamäte.
Ak chcete povoliť ukladanie do vyrovnávacej pamäte, musíte nastaviť príznak v poli Povoliť ukladanie do vyrovnávacej pamäte. V príslušnom vstupnom poli musíte tiež nastaviť veľkosť vyrovnávacej pamäte.".

Aby boli tieto režimy povolené, je potrebné pri inštalácii Crypto Pro na počítač nainštalovať komponent „Služba úložiska kľúčov“, štandardne táto služba nie je nainštalovaná.

Možnosť 3: (Používanie tejto možnosti sa neodporúča pri práci na ETP, pretože pri podpise elektronickej zmluvy je možné podpísať viac ako 100 súborov)

Použijú sa predvolené nastavenia, najvyššia úroveň zabezpečenia. V tomto prípade bude pri podpise zmluvných dokumentov vyvolané okno na zadanie PIN kódu pre podpis každého dokumentu (zmluvy, príloh, špecifikácií a pod.).

Táto stránka obsahuje odpovede na často kladené otázky, ktoré vznikajú pri práci s EDS. Vyberte otázku, ktorá vás zaujíma, otvorte ju a jasne postupujte podľa pokynov.

WOscripts.com - JavaScript - zmluvný skript hlavičiek

1. Získanie EDS

Pre získanie EDS môžete vyplniť registračnú kartu na našej webovej stránke (v časti „Získanie EDS“) alebo na stránke, kde ste sa o nás dozvedeli, alebo kontaktovať najbližšiu CA.

Pri podávaní žiadosti na CA musíte mať pri sebe tieto dokumenty:

doklady totožnosti (štandard - kópia pasu);

dokumenty potvrdzujúce existenciu právnickej osoby (osvedčenie o DIČ, jednotný štátny register právnických osôb atď.);

splnomocnenie pre FL o splnomocnení na vykonávanie určitých úkonov od organizácie;

po obdržaní EDS za prednostu príkaz na vymenovanie do funkcie (rozhodnutie o zvolení).

Doplňujúce informácie požadované CA v súlade s jej predpismi nie sú upravené zákonom. V praxi má každá CA svoj vlastný zoznam dokumentov na získanie EDS.

2. EDS nefunguje

1. Súkromný kľúč na zadanom kontajneri sa nezhoduje s verejným kľúčom v certifikáte Kontrolujeme všetky uzavreté kontajnery, možno ste vybrali nesprávny. Ak nenájdeme požadovaný kontajner, musíte kontaktovať CA a znova vydať EDS

2. Certifikát je neplatný (certifikát je neplatný)

3. V tento certifikát neexistuje žiadna dôvera, musíte nainštalovať koreňové certifikáty vašej CA podľa pokynov. Na tento účel si ich možno stiahnuť z webovej stránky AETP alebo nájsť na digitálnom médiu dodávanom s EDS.

4. Platnosť CryptoPro vypršala Musíte zadať licenčný kľúč programu CryptoPro z dokumentov dodaných s EDS vašej CA.

5. Capicom nie je nainštalovaný Stiahnite si Capicom a nainštalujte ho so zatvoreným prehliadačom a nakonfigurujte prehliadač podľa pokynov TP, na ktorom plánujete pracovať.

6. Nenašiel sa žiadny platný certifikát (alebo sa nezobrazil žiadny výber certifikátu)

Nainštalujte EDS podľa pokynov CA

Skontrolujte dobu platnosti certifikátu (možno už vypršala)

Nainštalujte koreňový certifikát vašej CA

Nainštalujte CAPICOM so zatvoreným prehliadačom

3. Existuje možnosť hacknutia alebo falšovania EDS?

Podľa väčšiny odborníkov je nemožné sfalšovať (hacknúť) EDS - to si vyžaduje obrovské množstvo výpočtov, ktoré nie je možné realizovať so súčasnou úrovňou výpočtovej techniky a matematiky v prijateľnom čase, teda kým informácie obsiahnuté v tzv. podpísaný dokument zostáva relevantný.

Dodatočnú ochranu pred falšovaním poskytuje certifikácia verejného kľúča podpisu certifikačnou autoritou.

4. Používateľ EDS s právami správcu skončí. Ako byť?

5. Zabudli ste heslo EDS. Ako obnoviť kľúč?

Štandardné heslá: Rutoken 12345678, Etoken 1234567890

Ak ste zabudli heslo na rutokene, musíte použiť konzolu Rutoken, ktorá sa inštaluje spolu s ovládačom a je dostupná z ovládacieho panela (Windows). To platí v prípade, ak Užívateľ pozná heslo (pin-kód) Administrátora a potrebuje odblokovať token (vynulovať počítadlo počtu nesprávne zadaných hesiel na 0).

Ak je nosičom token, musíte kontaktovať CA.

6. Ako digitálne podpísať wordový súbor

Dokument vytvorený v programe Microsoft Office Word je podpísaný pomocou EDS, ktorého súkromný kľúč vygeneroval nástroj EDS nie skôr ako Crypto-Pro 3.0. Pred podpisom je potrebné skontrolovať jadro Crypto-Pro (Štart / Ovládací panel / Crypto-Pro / Všeobecné. Verzia Crypto-Pro bude označená na karte a potom bude stáť „build“ - toto je jadro). Odporúča sa nainštalovať produkt najnovšej verzie.

Teraz podpíšeme samotný dokument

Dokument je potrebné najskôr uložiť. V menu zvoľte Nástroje / Možnosti / Zabezpečenie / Digitálne podpisy / certifikát, kliknite na "OK" a podpíšte dokument. Ak certifikát nie je zaregistrovaný v Osobnom, dokument nie je možné podpísať. Uložte dokument. Vyberte tlačidlo Kancelária / Pripraviť / Pridať digitálny podpis / Zadajte účel podpísania dokumentu (napríklad akreditácia) / Vybrať podpis / podpísať. Zobrazí sa správa „Tento dokument obsahuje digitálny podpis“. Na paneli sa zobrazí červený znak.

7. Kde môžem získať EDS zadarmo?

Voľný EDS dostáva iba štát. organizácie v divíziách federálneho ministerstva financií

8. Môže jednotlivec získať elektronický podpis?

EDS môže dostať aj jednotlivec. V súčasnosti je táto služba najviac žiadaná pre účasť fyzických osôb na aukciách na elektronických obchodných platformách pre konkurz (predaj majetku v konkurze). Ak chcete získať EDS, jednotlivci musia kontaktovať CA a musia mať pri sebe:

Cestovný pas občana Ruskej federácie;

Osvedčenie o pridelení DIČ.

9. Existuje univerzálny digitálny podpis na všeobecné použitie?

V súčasnosti neexistuje univerzálna EDS, ktorá by fungovala v elektronických aukciách (štátnych aj komerčných) a pomocou ktorej by bolo možné podávať výkazy.

10. Kde môžem získať školenie o práci s EDS?

Školiť sa môžete v školiacom stredisku Asociácie elektronických obchodných platforiem. Semináre sa pravidelne konajú na území väčšiny subjektov Ruskej federácie.

11. Koľko dní sa robí EDS?

12. Môžem počas prázdnin preniesť svoj digitálny podpis na kolegu?

Nie Zodpovednosť podľa federálneho zákona o EDS nesie osobne jeho majiteľ.

13. Pomoc! Vymazal som podpis z flash disku, čo mám robiť?

Ak chcete obnoviť a znova vydať EDS, kontaktujte CA

14. Bude zmluva platná, ak ju podpíšem dnes (zajtra mi končí platnosť EDS) a môjmu partnerovi o týždeň (v čase podpisu partnerom už môj podpis nebude platný, ale keď som ho podpísal, ešte pracoval)?

Ak je dokument podpísaný v súlade so všetkými pravidlami a platnosť EDS v čase podpisu neuplynula, zmluva bude platná, ale po podpise v nej nebude možné vykonávať zmeny.

15. Môže sa digitálny podpis vydaný na daňové priznanie použiť na trhoviskách?

Nie EDS pre daňové výkazníctvo nie je vhodné pre elektronické obchodovanie.

16. Ako získate EDS?

EDS Preberá len osobne majiteľ certifikátu

17. Ako skopírovať podpis z disku na USB flash disk?

Kopírovanie kontajnera súkromného kľúča:

Ak chcete skopírovať kontajner súkromného kľúča, spustite Štart - Programy - CryptoPro - CryptoProCSP a prejdite na kartu Nástroje. Kliknite na tlačidlo Kopírovať.

Systém zobrazí okno „Kopírovať kontajner so súkromným kľúčom“.

V tomto okne musíte vyplniť nasledujúce vstupné pole: Názov kontajnera kľúčov - zadaný ručne alebo vybratý zo zoznamu kliknutím na tlačidlo Prehľadávať

Možnosti vyhľadávania:

Zadaný názov určuje kontajner kľúčov - prepínač je nastavený na Používateľ alebo Počítač, v závislosti od úložiska, kde sa kontajner nachádza;

Vyberte CSP na vyhľadávanie kontajnerov kľúčov – požadovaný poskytovateľ kryptografie (CSP) sa vyberie z navrhovaného zoznamu.

Môžete tiež vybrať kontajner, ktorý sa zhoduje s certifikátom nainštalovaným v systéme. Ak to chcete urobiť, namiesto tlačidla Prehľadávať kliknite podľa certifikátu a vyberte zo zoznamu certifikátov nainštalovaných v osobných úložiskách používateľa alebo, ak máte práva správcu, na lokálnom počítači certifikát, ktorého kontajner chcete skopírovať;

Ak je pre prístup k súkromnému kľúču nastavené heslo, systém vás požiada o jeho zadanie. Zadajte heslo a kliknite na tlačidlo OK.

Systém zobrazí okno „Kopírovať kontajner súkromných kľúčov“, v ktorom musíte zadať názov nového kontajnera kľúčov a vybrať prepínač Zadaný názov nastaví kontajner kľúčov na Používateľ alebo Počítač, v závislosti od toho, kam chcete skopírovaný kontajner umiestniť. kontajner.

Po zadaní kliknite na tlačidlo Dokončiť. Systém zobrazí okno, v ktorom je potrebné vybrať médium pre skopírovaný kontajner.

Vložte médium do čítačky a kliknite na tlačidlo OK. Systém zobrazí okno na nastavenie hesla pre prístup k súkromnému kľúču. Zadajte heslo, potvrďte ho, v prípade potreby nastavte príznak Zapamätať si heslo (ak je tento príznak nastavený, heslo sa uloží do špeciálneho úložiska na lokálnom počítači a pri prístupe k súkromnému kľúču sa heslo automaticky načíta z toto úložisko a nezadané používateľom).

Ak sa vám materiál páčil, môžete naň umiestniť odkaz na sociálne siete:

Pri generovaní žiadostí o certifikát a kľúč v programe „Key generation workstation“ sa zobrazí okno, kde vás tento program (alebo skôr Crypto Pro) vyzve na zadanie hesla (obr. 8). Ponúka, ale nenúti. Ak polia zostanú prázdne, heslo sa nenastaví. Používatelia však pravdepodobne uvažujú inak a tieto polia samozrejme vypĺňajú. Všetko by bolo v poriadku, ale potom bezpečne zabudnú, aké heslo pri generovaní zadali, a keď majú niečo prvýkrát podpísať, človek upadne do bezvedomia. Potom, samozrejme, nasleduje volanie do štátnej pokladnice so žiadosťou o pomoc.

Dnes vám v tomto článku poviem, ako môžete toto heslo odstrániť alebo zmeniť. Existujú dve možnosti na odstránenie hesla. Prvý - keď si používateľ pamätá staré heslo, druhý - keď si nepamätá. Začnime tým prvým. Ako som už spomínal na začiatku článku, za heslo pre kontajner kľúčov je zodpovedný program Crypto Pro. Spustíme to tak, že prejdeme na ovládací panel počítača (obr. 1):

Aby ste mohli otvoriť rovnaké okno ako ja, v pravom hornom rohu okna vyberte režim zobrazenia „Malé ikony“. Spustíme Crypto Pro, otvorí sa okno (obr. 2):

Kliknutím na záložku „Servis“ sa dostanete do nasledujúceho okna (obr. 3):

V spodnej časti okna sa nachádza tlačidlo s názvom „Zmeniť heslo“. Kliknite naň a dostanete sa do nasledujúceho okna (obr. 4):

Tu sa nám ponúka výber kľúčového kontajnera kliknutím na tlačidlo „Prehľadávať“. Najprv nezabudnite spolu s kľúčmi vložiť do počítača USB flash disk alebo iné médium. Po kliknutí na tlačidlo sa otvorí nasledujúce okno (obr. 5):

Vyberte kľúčového nosiča, ktorý potrebujeme, a kliknite na tlačidlo "OK". Otvorí sa nasledujúce okno (obr. 6):

Presvedčíme sa, že naozaj máme vybraný kontajner privátneho kľúča, ktorý potrebujeme, a klikneme na tlačidlo „Dokončiť“, po ktorom sa otvorí okno na zadanie hesla (obr. 7):

Tu je potrebné zadať heslo, ktoré ste zadali pri generovaní kľúčov a žiadosti o certifikát v programe „Pracovná stanica na generovanie kľúčov“. Predpokladá sa, že si to pamätáte :). Zadáme, klikneme na „OK“, zaškrtávacie políčko „Zapamätať si heslo“ nie je potrebné a dostaneme sa do okna na zadanie nového hesla (obr. 8):

Tu môžete heslo nielen zmeniť, ale aj vymazať, ak necháte polia prázdne. Ak chcete zmeniť heslo, potom si to rozmyslite a zadajte ho dvakrát.

S prípadom, keď si používateľ pamätá staré heslo pre kontajner, sme na to prišli. Pokúsme sa odstrániť heslo z kontajnera, keď je bezpečne zabudnuté. Tu nám pomôže utilita csptest.exe, ktorá je súčasťou inštalačnej sady Crypto Pro od verzie 3.6. Ak máte nainštalovaný tento program, máte tento nástroj a nachádza sa pozdĺž cesty inštalácie programu, t. j. C:\Program Files (x86)\Crypto Pro\CSP (mám 64-bitový OS, ak máte 32 bit , potom (x86) nebude v ceste chýbať). Musíme ho spustiť z príkazového riadku.

Ak chcete otvoriť príkazový riadok v systéme Windows 7, musíte sa dostať do požadovaného priečinka prostredníctvom prieskumníka, stlačte kláves "Shift" na klávesnici a podržte ho a kliknite pravým tlačidlom myši na požadovaný priečinok. Všetko je znázornené na obrázku nižšie (obr. 9):

V kontextovej ponuke, ktorá sa zobrazí, vyberte ľavým tlačidlom myši "Otvoriť príkazové okno". V príkazovom okne musíte najprv zadať nasledujúci príkaz: bez hranatých zátvoriek, samozrejme. Tento príkaz nám zobrazí všetky dostupné kontajnery súkromných kľúčov v tvare: [\\.\názov média\názov kontajnera]. Keď zistíme názov nášho kontajnera súkromných kľúčov, musíme zadať ešte jeden príkaz: . Opäť žiadne hranaté zátvorky. V úvodzovkách musíte zadať názov kontajnera privátneho kľúča, ktorý ste sa naučili v predchádzajúcom kroku. Zadajte úvodzovky NUTNE. Tento príkaz nám zobrazí uložené heslo, po jeho naučení môžeme použiť prvý spôsob na odstránenie alebo zmenu hesla.

Všetky vyššie uvedené akcie som vykonal ja, čo dokazuje obrázok 10:

Hneď by som chcel poznamenať, že sa mi nepodarilo "naučiť" heslo pomocou tejto metódy (červená čiara na obr. 10). Myslím si však, že je to spôsobené tým, že kontajner, ktorý som špecifikoval v druhom príkaze, bol získaný kopírovaním z média na médium pomocou položky ponuky Crypto Pro „Kopírovať“ (obr. 3). Generovanie privátnych kľúčov bolo realizované na inom médiu, ktoré už nie je pre mňa dostupné. Ale metóda funguje.

Ak sa vám nepodarí odstrániť ani heslo týmto spôsobom, potom zostáva jediný spôsob, ako odvolať aktuálny certifikát a vygenerovať nové kľúče a novú žiadosť o certifikát. A ak beriete ochranu heslom vážnejšie, heslá sa „nezabudnú“. To je všetko. Veľa štastia!

A nakoniec ... Ak sa vám tento článok páčil a naučili ste sa z neho niečo nové, môžete vždy vyjadriť svoju vďačnosť v peňažnom vyjadrení. Suma môže byť ľubovoľná. K ničomu vás to nezaväzuje, všetko je dobrovoľné. Ak sa aj napriek tomu rozhodnete podporiť moju stránku, tak kliknite na tlačidlo „Ďakujem“, ktoré vidíte nižšie. Budete presmerovaný na stránku na mojej webovej stránke, kde si môžete previesť akúkoľvek sumu peňazí do mojej peňaženky. V tomto prípade na vás čaká darček. Po úspešnom prevode peňazí si ho môžete stiahnuť.