Как удалить ncalayer с компьютера

Обновлено: 06.01.2025

Программное обеспечение NCALayer предоставляет возможность использовать средства ЭЦП НУЦ РК в веб-приложениях. Функционал NCALayer может быть расширен установкой дополнительных модулей, предоставляемых сторонними разработчиками.

Понятия и сокращения

НУЦ РК	Национальный удостоверяющий центр Республики Казахстан, обслуживающий участников «электронного правительства», государственных и негосударственных информационных систем
КУЦ РК	Корневой удостоверяющий центр Республики Казахстан, осуществляющий подтверждение принадлежности и действительности открытых ключей электронной цифровой подписи удостоверяющих центров
ЭЦП	Электронная цифровая подпись ‑ набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания
Регистрационное свидетельство (сертификат)	Документ на бумажном носителе или электронный документ, выдаваемый НУЦ РК для подтверждения соответствия электронной цифровой подписи требованиям, установленным нормативно-правовыми актами Республики Казахстан
Защищенный носитель	Устройство безопасного хранения информации, шифрование данных для которого выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль.
ОС	Операционная система ‑ комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем
ПК	Персональный компьютер
Веб-приложение	Клиент-серверное приложение, в котором клиент взаимодействует с сервером при помощи браузера, а за сервер отвечает — веб-сервер

Cистемные требования

Системные требования исходят из среды выполнения для Java 8. Более подробные описания указаны по ссылкам:

Для ОС Windows, Linux и Mac OS X не требуется устанавливать Java, так как среда выполнения поставляется вместе с NCALayer.

Для работы некоторых порталов (НУЦ, egov) теперь требуется установленное и запущенное приложение NCALayer, поэтому в этой статье будет собрана информация о ошибках данного приложения.

Статья будет пополняться, до момента расставления всех точек над i.

Причины появления ошибки и решения:

Если значок на рабочем столе есть (т.е. программа установлена) и в трее значок присутствует тоже, попробуем найти другое решение проблемы (перейти к содержанию статьи).

Если же NCALayer отсутствует на вашем компьютере, скачайте приложение со страницы загрузки нашего сайта и установите.

Скачайте приложение со страницы загрузки нашего сайта и установите.

Рекомендую удалить NCALayer через Панель управления Windows и только после этого устанавливать новую версию.

Перейдите на сайт НУЦ. В левой стороне окна, щелкните по надписи pki_rsa один раз левой клавишей мыши, в появившемся окне, поставьте галочку Доверять при идентификации веб-сайтов и нажмите кнопку ОК.

То же самое проделайте, нажав на второй сертификат root_rsa.

Если же проблему разрешить не удалось и появились дополнительные вопросы, задать их можно на нашем форуме, в нашей группе Whatsapp.

Приложение NCALayer появилось в 2017, когда самые популярные браузеры прекратили поддержку Java апплетов. Позволяет использовать Java апплеты для определенных сайтов РК в любом современном браузере, а так же устанавливает в систему корневые сертификаты Национального удостоверяющего центра РК (НУЦ).

Перечень порталов, для работы с которыми необходимо использовать последнюю версию NCALayer:

• Национальный удостоверяющий центр РК (получение или продление ЭЦП);
• Электронное правительство РК (справки и запросы);
• Портал Электронные счета-фактуры (ИС ЭСФ);
• Государственные закупки РК (участие в тендерах);
• ИС Казначейство клиент;
• Комитет Статистики РК (отправки и доступ к истории статистических отчетов);
• Тендерная площадка Самрук-Казына;
• Судебный кабинет.

СОДЕРЖАНИЕ:

Как скачать NCALayer

Программа распространяется бесплатно, в трех версиях, для операционных систем: Windows, Linux, macOS.

Минимальные требования к компьютеру пользователя:

• браузер: Internet Explorer 10+, Firefox 4+, Opera 10+, Google Chrome 4+, Safari 5+;
• операционная система: Windows 7/8/10, Linux, OS X 10.

Если у вас не получается скачать приложение с сайта НУЦ, скачивайте NCALayer с хранилища MHelp.kz:

• NCALayer v 1.2 (последняя версия, автоматический установщик, для: Windows, Linux, MacOS)
• NCALayer v 1.2 (портативная версия, включая модули: ГЗ, ЭСФ, КНП)
• Корневые сертификаты НУЦ (необходимы для правильной работы приложения)

Как установить модуль NCALayer

Автоматическое добавление модуля в NCALayer:

1. Щелкните по значку запущенного NCALayer (правая нижняя часть экрана) правой клавишей мыши;
2. Выберите Управление модулями;
3. Выделите в списке нужный модуль;
4. Щелкните кнопку Установить модуль;
5. Согласитесь с перезапуском программы.

Как скачать модуль NCALayer (вручную)

Иногда возникает ситуация, что приложению NCALayer не удается автоматически установить необходимый модуль (такое обычно бывает, когда целевой сайт работает некорректно).

В этом случае скачайте модуль NCALayer и установите его вручную следуя инструкции ниже.

Проблема проявляется на 32х битных системах (не на всех).

Решение проблемы является не очень элегантным, но действенным.

Копируем папку установленного, рабочего экземпляра NCALayer (щелкните правой клавишей мыши по ярлыку NCALayer и выберите пункт Расположение файла) с любого компьютера и заменяем файлы в папке проблемного ПК.

В последнее время государство пытается максимально перенести все госуслуги в электронный формат. Активно выдаются адресные справки, и другие справки выдаются через Портал электронного правительства. Даже можно зарегистрировать брак пожениться через портал. На самом деле, очень удобно. Есть конечно же минусы, в основном — организационные, нормативные на уровне законов, на уровне реализации. Но это уже другой вопрос, главное очень хорошие начинания. Это все хорошо, но пост не про это.

Очевидно, чтобы пользоваться госуслугами, нужно как-то подтверждать свою личность. Для этого когда-то давно законодательно закрепили использование ЭЦП. Основная формулировка применения ЭЦП такая — ЭЦП приравнивается к собственноручной подписи. Многие не знают, но за передачу ключей ЭЦП (здесь и далее буду использовать термин — ключи ЭЦП. Все называют просто ЭЦП, а по факту это две пары ключей — для аутентификации и подписи). За передачу третьим лицам даже есть какая-то ответственность. Очевидно, что многим людям это без разницы, не понимают всей серьезности.

Вообще тема поста про NCALayer, прослойка между браузером и ключами ЭЦП. По безопасности — это уязвимый механизм использования ЭЦП.

Что такое NCALayer

Так как основная реализация криптопровайдера на Java и в последних версиях браузеров нет возможности использовать апплеты, то НУЦ придумал оригинальное решение для использования ЭЦП в браузерах. Это решение называется — NCALayer. NCALayer — посредник между браузером, криптопровайдером и ключами ЭЦП.

NCALayer устанавливается локально на компьютере пользователя. Работает NCALayer следующим образом — открывается вебсокет сервер на определенном порту, куда отправляется разного рода запросы.

Опуская все детали подключения, рассмотрим пока два запроса, чтобы иметь общее представление как NCALayer работает:

После отправки запроса, на машине где стоит NCALayer, открывается диалоговое окно, которое предлагает выбрать файл ключей ЭЦП.

Соответственно, после выбора ключа, через сокет получаем следующий ответ.

Внимание: при использовании NCALayer, получаешь реальный путь к файлу на машине клиента.

1. Если у вас есть путь к хранилищу ключей, то для последующей работы обязательно нужно предоставлять пароль от этого хранилища. Обычно сайт как-то забирает этот пароль через формочку. Вот пример, как подписать или поставить ЭЦП на какие-нибудь данные.

Не буду публиковать ответ, но там содержится подписанная часть xml, которая была в запросе.
Повторюсь, получить пароль от хранилища ключей ЭЦП, ложится на плечи сайта. То есть, сайт всегда знает где лежат ключи и пароль у пользователя, иначе работать нельзя.

Минусы реализации текущего варианта NCALayer

1. Здесь один большой минус — путь к файлу и паролю доступен любому разработчику сайта, где используется ЭЦП. Даже пользуясь всякими токенами, при использовании NCALayer, пароль от устройства-токена также передаются на сайт. По крайней мере, текущая реализация позволяет это сделать.
2. Хранение путей к ключам и пароль каждый сайт может хранить у себя в базе. Может и не хранить. Вообще, хранить или же не хранить пути и пароли — опять же, все это лежит на совести разработчиков сайтов.
3. Любой сайт может за вас подписывать данные без вашего ведома в фоновом режиме, если он знает про путь где хранятся ключи и пароль. Опять таки, Если вы хоть раз использовали ЭЦП на сайте, то сайт уже знает путь к файлу и паролю. Если сайт-злоумышленник, то он гарантированно сохранит пароль где-то у себя.
4. Хочу заметить, что прямой доступ к носителю с ключами не предоставляется. Доступ ограничен только функциями NCALayer.

Реальный пример, как получить доступ к egov.kz, если ты не владеешь ЭЦП человека

Не буду углубляться глубоко в технические детали и реализацию. Опишу как можно это сделать.
Теперь, чтобы эту уязвимость эксплуатировать, нужно понимать как работаем механизм входа на egov.kz через ЭЦП. Для входа на egov.kz, xml от egov.kz подписывается пользователем и передается на сервер, где проверяется. Если подпись валидна, то осуществляется вход. Со стороны NCALayer, процесс входа состоит из следующих шагов:

Портал запрашивает следующие данные из NCALayer — loadSlotList (здесь можно ответить ошибкой), getKeys, getSubjectDN, getNotBefore, getNotAfter и signXml. Если NCALayer правильно подставит эти данные от другого пользователя, то соответственно мы удачно войдем в систему. Здесь очень важно правильно получить от NCALayer только subjectDN и xml для подписи.
Теперь как получить доступ к egov.kz от другого человека, механизм:

1. У себя на компьютере, извлекаешь xml строку, которую нужно подписать чтобы войти на egov.kz. Это делается так, просто в консоли разработчика на idp.egov.kz, нужно запросить следующие данные — document.getElementById('xmlToSign').value .
2. Отправляешь xml строку на подпись нужному человеку, который сидит на сайте-злоумышленнике. Он у себя на компьютере, в фоновом режиме подписывает нужную xml строку. Дополнительно получаешь subjectDN.
3. Сейчас в наличии есть subjectDN и подписанный xml.
4. Теперь самое интересное, у себя на компьютере эмулируешь работу NCALayer, который отдает необходимые данные.

Некоторые утверждения

1. Пост не рассчитан на широкую аудиторию, больше на технарей, которые понимают принципы веб-разработки.
2. Уязвимы ВСЕ ресурсы, которые используют NCALayer.
3. Познания в криптографии не нужны.
4. Для эксплуатации этой уязвимости не нужно получать SDK от НУЦ. Соответственно, НУЦ не в состоянии выявить сайты-злоумышленники.
5. Разработчики NCALayer не могут дать гарантии, что злоумышленники не смогут использовать такой механизм. Это будет глупо отвечать за всех. Технически возможность есть.
6. Уязвимы ключи не только на файловой системе, но также на токенах.
7. Вы гарантированно засветили пароль от носителя ключей ЭЦП, даже от токенов. Достаточно войти всего один раз на egov.kz. Как используется пароль на сайте, это на совести разработчиков.
8. Насколько я слышал, уже есть системы, которые хранят путь к ключам ЭЦП и пароль в настройках.
9. На сайтах нет уязвимостей, просто схема использования ЭЦП через NCALayer небезопасна.

Что можно сделать

1. Будет неудобно — но при каждом использовании ключей, запрашивать хотя бы пароль.
2. Продвигать web crypto api
3. .

Эмулятор NCALayer
Приложение, которое без ведома пользователя, в фоновом режиме подписывает данные

В некоторых случаях установленное антивирусное ПО, в целях сканирования защищенных соединений, может подменять SSL-сертификаты для веб-ресурсов. Если корневые сертификаты не были установлены или настроены корректно, то могут возникнуть проблемы с подключением к NCALayer. Ниже приведен пример отключения подобного сканирования для антивируса Касперского.

В зависимости от типа и версии продукта Kaspersky шаги могут немного отличаться.

• Зайдите в "Настройки" антивируса.
• Выбрав пункт "Дополнительно" в боковой панели, нажмите на пункт "Сеть".
• В разделе "Проверка защищенных соединений", выберите опцию "Не проверять защищенные соединения".

Для корректной работы NCALayer в Windows XP нужна среда выполнения Java не выше 1.8.0_144. Данная необходимость связана с тем, что Windows XP устарел и официально не поддерживается производителями ПО. Использование устаревшего ПО не рекомендуется.

• Загрузите архив jre-8u144-windows-i586.tar.gz с официальной страницы Java SE 8 Archive Downloads.
• В домашней папке удалите папку jre. Распакуйте архив в эту папку. Переименуйте распакованную папку jre1.8.0_144 в jre.
• Запустите NCALayer.

Если старая версия приложения была заменена новой, но при запуске появляется ошибка

, то это может быть результатом некорректного обновления. Для решения проблемы перейдите в домашнюю папку NCALayer. Затем удалите там папку ncalayer-cache и файл ncalayer.der. При этом все сторонние модули будут удалены. Запустите NCALayer.

На данный момент представлено временное решение проблемы, в виде явного разрешения на запуск NCALayer.

"Приложение "NCALayer" заблокировано, так как его автор не является установленным разработчиком."

Если все верно, то нажмите кнопку "Подтвердить вход", после чего запустится NCALayer.

Читайте также:

  
• Тема групп это 1с битрикс ответы
  
• Как сделать бордюр в фотошопе
  
• Adf формат чем открыть
  
• Kingsoft pdf to word sdk что это
  
• Visual studio code live html previewer не работает