Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Как записать эцп на казтокен

Обновлено: 24.01.2025

Я расскажу о тонкостях внедрения электронной цифровой подписи (ЭЦП) в информационные системы (ИС) на базе веб технологий в контексте Национального Удостоверяющего Центра Республики Казахстан (НУЦ РК).

В центре внимания будет формирование ЭЦП под электронными документами и, соответственно, NCALayer — предоставляемое НУЦ РК криптографическое программное обеспечение. В частности уделю внимание вопросам связанным с UX и объемом поддерживаемого функционала NCALayer.

Процесс разделю на следующие этапы:

  • формирование неизменного представления подписываемого документа (под подписываемым документом я буду подразумевать любые данные которые необходимо подписать, такие как: договор, бланк заказа, форма аутентификации и т.п.);
  • подписание документа в веб интерфейсе с помощью NCALayer;
  • проверка подписи на стороне сервера;
  • (при необходимости) подготовка подписи к долгосрочному хранению.

Разработчикам важно понимать то, что любое изменение подписанного документа приведет к тому, что подпись под ним перестанет проходить проверку. При этом изменения могут быть вызваны не только редактированием самих данных документа, но и обновлением структуры документа или механизма его сериализации.

Рассмотрим простой пример — документы хранятся в виде записей в базе данных. Для подписания документа необходимо сформировать его представление в виде единого блока данных (конечно можно подписывать каждое поле записи поотдельности, но обычно так не делают), сделать это можно, к примеру, следующими способами:

  • извлечь все поля записи, привести их к строкам и соединить в одну строку;
  • сформировать XML или JSON представление;
  • сформировать PDF документ на базе шаблона с каким-то оформлением содержащий данные из записи;
  • и т.п.

Далее возможны два сценария каждый из которых имеет свои подводные камни:

  • ИС не хранит сформированного представления и каждый раз для проверки подписи под документом (в частности проверки неизменности данных) формирует его;
  • ИС хранит сформированное представление и использует его для проверки подписи.

В том случае, если ИС не хранит сформированного представления, разработчикам необходимо гарантировать что в будущем формируемые представления будут бинарно идентичны тем, которые были сформированы в первый раз не смотря на:

  • изменения схемы базы данных;
  • обновления механизма формирования представления (которое может так же зависеть от внешних библиотек которые, скорее всего, не стремятся к обеспечению бинарной идентичности).

В том случае, если на каком-то этапе бинарная идентичность перестанет соблюдаться, то проверки цифровых подписей перестанут выполняться и юридическая значимость документов в ИС будет утеряна.

Подход с хранением сформированного представления в базе данных ИС надежнее с точки зрения обеспечения сохранности юридической значимости, но и тут есть нюанс — необходимо гарантировать эквивалентность данных в подписанном документе данным в записи в базе данных иначе может возникнуть такая ситуация когда ИС принимает решение (выполняет расчет) на основании информации не соответствующей тому, что было подписано. То есть нужно либо так же, как и в предыдущем случае, обеспечивать бинарную идентичность формируемого представления, тогда при проверках в первую очередь следует формировать представление из текущего содержимого записи в базе данных и бинарно сравнивать новое представление с сохраненным. Либо необходим механизм позволяющий разобрать сохраненное сформированное представление и сравнить данные из него с текущим содержимым записи в базе данных. Этот механизм так же придется дорабатывать постоянно параллельно с доработками основного функционала ИС.

Для формирования цифровых подписей на стороне клиента НУЦ РК предоставляет единственный инструмент — сертифицированное программное обеспечение NCALayer которое представляет из себя WebSocket сервер, запускаемый на 127.0.0.1 , которому можно отправлять запросы на выполнение криптографических (а так же некоторых смежных) операций. При выполнении некоторых операций NCALayer отображает диалоговые окна — то есть берет часть работы по получению пользовательского ввода на себя.

Описание API NCALayer доступно в составе комплекта разработчика. Для того, чтобы поэкспериментировать со взаимодействием с NCALayer по WebSocket можно воспользоваться страницей интерактивной документации KAZTOKEN mobile (KAZTOKEN mobile повторяет API NCALayer).

  • файловые, поддерживается единственный тип заданный константой 'PKCS12' ,
  • аппаратные (токены и смарт-карты), для перечисления тех типов, экземпляры которых в данный момент подключены в ПК пользователя, следует использовать запрос getActiveTokens .

Таким образом для того, чтобы предоставить пользователю возможность работать с любым поддерживаемым NCALayer хранилищем, можно воспользоваться одним из следующих подходов:

Для подписания данных рекомендую использовать следующие запросы (опять же чтобы снизить вероятность выстрела в ногу):

  • createCAdESFromBase64 — вычислить подпись под данными и сформировать CMS (CAdES);
  • createCMSSignatureFromBase64 — вычислить подпись под данными, получить на подпись метку времени (TSP) и сформировать CMS (CAdES) с внедренной меткой времени;
  • signXml — вычислить подпись под XML документом, сформированную подпись добавить в результирующий документ (XMLDSIG);
  • signXmls — аналогично signXml , но позволяет за один раз подписать несколько XML документов.

В качестве параметров каждому из них нужно будет передать тип хранилища, тип сертификата, подписываемые данные и дополнительные модификаторы.

  • 'AUTHENTICATION' — сертификаты для выполнения аутентификации;
  • 'SIGNATURE' — сертификаты для подписания данных.

NCLayer предоставит пользователю выбирать только из тех сертификатов, которые соответствуют указанному типу.

Упрощенный пример подписания произвольного блока данных с использованием ncalayer-js-client:

Тема проверки цифровых подписей обширна и я не планировал раскрывать ее в этот раз, но упомянуть о необходимости выполнения проверок как с технической, так и юридической точки зрения счел необходимым.

С технической точки зрения проверка цифровой подписи на стороне сервера в первую очередь гарантирует целостность полученного документа, во вторую — авторство, а так же неотказуемость. То есть даже в том случае, если ИС получает подписанный документ не напрямую от пользователя, а через какие-то дополнительные слои программного обеспечения, уверенность в том, что было получено именно то, что отправлял пользователь сохраняется. Поэтому в ситуации когда подписание на стороне клиента реализовано, а возможность проверки подписи на стороне сервера отсутствует, внедрение цифровой подписи теряет смысл.

С юридической точки зрения ориентироваться следует на Приказ Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”. В Приказе перечислены необходимые проверки которые должны выполнять информационные системы для обеспечения юридической значимости подписанных электронной цифровой подписью документов. Анализу этого документа, а так же некоторым техническим вопросам посвящена заметка Проверка цифровой подписи.

Выполнять проверки необходимо с применением сертифицированных средств, к примеру с помощью библиотек входящих в состав комплекта разработчика НУЦ РК, либо можно воспользоваться готовым решением SIGEX.

Проверка подписи под электронным документом включает в себя проверку срока действия сертификата и проверку статуса отозванности сертификата. В том случае, когда необходимо обеспечить юридическую значимость подписанного документа по истечению срока действия сертификата или в том случае, когда сертификат был отозван через некоторое время после подписания, следует собирать дополнительный набор доказательств фиксирующий момент подписания и подтверждающий то, что на момент подписания сертификат не истек и не был отозван.

Для фиксации момента подписания принято использовать метки времени TSP. Метку времени на подпись можно получить либо на клиенте (запрос createCMSSignatureFromBase64 интегрирует метку времени в CMS), либо на сервере. Метка времени позволит удостовериться в том, что момент подписания попадает в срок действия сертификата.

Для того, чтобы удостовериться в том, что сертификат не был отозван в момент подписания, следует использовать CRL или OCSP ответ. Этот нюанс и рекомендации по реализации описаны в разделе APPENDIX B — Placing a Signature At a Particular Point in Time документа RFC 3161.

KazToken - Mhelp.kz

Хранение ключей на аппаратных ключах (Kaztoken, eToken) увеличивает безопасность хранения и использования ЭЦП организации:

  • Хранимые ЭЦП с данных устройств скрытно скопировать сложнее, нежели с ПК
  • При утере токена, использование ЭЦП защищено паролем

Для использования устройств Казтокен, организация должна иметь действующие ключи ЭЦП.

Пароль пользователя KazToken: 12345678

Пароль администратора KazToken: 87654321

Подключите устройство Казтокен к компьютеру, подождите окончания установки драйверов..

Установка ключей ЭЦП на устройство Казтокен - Mhelp.kz

В окне Аутентификация, нажимаем кнопку Обзор и указываем расположение существующего ключа AUTH_RSA

Как записать ключи ЭЦП на устройство KAZTOKEN - Mhelp.kz

Вводим пароль на ключ (По-умолчанию выданный ЦОН 123456), нажимаем Ввод, указываем Код с картинки и нажимаем кнопку Войти.

Проверяем правильность записи ключей на Kaztoken, на портале для которого вы получали ключи, в моём случае ключи выдавались для системы ИС Казначейство-Клиент.

Если какие-то моменты остались непонятны, вы можете ознакомиться с видео уроком по установке ключей на устройство KazToken, с официального видеоканала на Youtube.

Если же проблему разрешить не удалось или появились дополнительные вопросы, задать их можно на нашем форуме, в нашей группе Whatsapp.


Общая информация

В устройстве KAZTOKEN предусмотрено два ПИН кода: ПИН код пользователя и ПИН код администратора. На оба этих ПИН кода установлена защита, которая блокиует ПИН код после 15 попыток ввода не правильного ПИН кода.

ПИН код пользователя используется в большинстве случаев (вход на порталы, подписание документов, получение регистрационных свидетельств и т.п.). ПИН код администратора используется для разблокировки заблокированного ПИН кода пользователя и для форматирования устройства.

ПИН коды по умолчанию

  • ПИН код пользователя: 12345678
  • ПИН код администратора: 87654321

ВАЖНО! Мы настоятельно рекомендуем вам сменить ПИН коды по умолчанию для того, чтобы предотвратить корыстное использование вашего регистрационного свидетельства в чужих интересах в случае утери или хищения вашего устройства KAZTOKEN.

Для форматирования и разблокировки ПИН кодов, а так же для получения информации о вашем устройстве, используйте Панель управления KAZTOKEN. Этот инструмент поставляется в составе полнофункционального драйвера, доступного для скачивания в разделе Загрузки.

Как получить ключи НУЦ для работы в системах СОНО и Кабинет налогоплательщика?

Налоговый комитет уведомил, что с 1 января 2020 года обмен электронными документами с органами государственных доходов будет осуществляться с использованием электронной цифровой подписи, выданной Национальным удостоверяющим центром (ЭЦП НУЦ).

Теперь для взаимодействия с органами государственных доходов и обмена электронными документами, необходимо получить средства ЭЦП НУЦ, а также пройти регистрацию на портале «Электронное правительство» для открытия «Личного кабинета».

Получить ключи ЭЦП СОНО и ключи ЭЦП Кабинета налогоплательщика для физических и юридических лиц можно здесь:

ВАЖНО: ключи для ЭЦП НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе. Поэтому во всех инструкциях на получение регистрационных свидетельств НУЦ РК указано: Внимание! Хранилище «Персональный компьютер» является небезопасным. Рекомендуем использовать защищенный носитель ключевой информации для снижения риска компрометации ключей ЭЦП.

Что значит «небезопасным» - это означает, что ключи, хранящиеся на Персональном компьютере, флешке (не путать с токеном!) можно скопировать и подписать от вашего имени документы, которые вы не собирались подписывать. Скопировать можно в том числе и с помощью вредоносного ПО.

KAZTOKEN является защищенным носителем, так как ключи генерируются внутри него и никогда его не покидают, соответственно, не могут быть скопированы.

НУЦ РК рекомендует использовать KAZTOKEN для безопасного хранения ЭЦП, предотвращения возможности его копирования и защищенного использования при помощи пин-кода.

Срок действия регистрационных свидетельств НУЦ РК, выпущенных на KAZTOKEN составляет 3 года.

Можно ли выпустить на KAZTOKEN две и более пар ключей?

Технически KAZTOKEN позволяет выпустить несколько пар ключей, однако, могут быть ограничения по количеству ключей на устройстве со стороны информационной системы, в которой вы предполагаете использовать выпущенные на KAZTOKEN ключи.

Нужен ли KAZTOKEN физическому лицу?

Так как ключи НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе, то любой владелец заинтересован в защите своих ключей. Кроме того, наличие ЭЦП сделанной вашими ключами обеспечит неотказуемость, то есть однозначность вашего авторства, а также целостность документа – покажет, что вы подписывали именно этот документ.

Подписание документов ключами ЭЦП – это действие в правовом поле, которое несет правовые последствия. Если вы хотите защитить себя от неправомерного использования ваших ключей как для подписания документов, подачи заявлений от вашего имени, получения информации о вас (как в личном кабинете на сайте электронного правительства, так и в других информационных системах) и других неправомерных действий – используйте KAZTOKEN и меняйте на нем пин-код по умолчанию.

Нужен ли KAZTOKEN юридическому лицу?

Так как ключи НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе, руководитель юридического лица прямо заинтересован в безопасности работы с ключевой информацией. Безопасность работы с ключами обеспечивает KAZTOKEN, а установка собственного пин-кода на устройство, защитит его от несанкционированного использования.

Можно ли использовать один KAZTOKEN для работы с ключами разных лиц?

В соответствии с Законом «Об электронном документе и электронной цифровой подписи»

Статья 10. Использование электронной цифровой подписи

2. Закрытые ключи электронной цифровой подписи являются собственностью лиц, владеющих ими на законных основаниях.

Лицо может иметь закрытые ключи электронной цифровой подписи для различных информационных систем. Закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам.

Какой ПИН код «Пользователя»?

По умолчанию ПИН код Пользователя – 12345678

Настоятельно рекомендуется сменить ПИН код сразу после приобретения устройства.

Какой ПИН код «Администратора»?

По умолчанию ПИН код Администратора – 87654321

Настоятельно рекомендуется сменить ПИН код сразу после приобретения устройства.

Как отформатировать KAZTOKEN?

Подключаете устройство Kaztoken к компьютеру

Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код»

  1. В появившемся окне выберите учётную запись «Администратор» и введите ПИН код Администратора (по умолчанию это 87654321) и нажмите кнопку «ОК»
  1. В самом низу окна, в разделе «Форматирование токена», станет активной кнопка «Форматировать». Нажмите её. Откроется новое окно «Форматирование токена»
  1. Выберете в разделе «Пин код пользователя может поменять» вариант «Пользователь», и нажмите кнопку начать.
  1. Выйдет предупреждение о том, что все данные будут уничтожены, нажмите «ок».
  1. Дождитесь завершения форматирования.

Проблема ИС «Казначейство-клиент»: Ошибка формирования запроса

В случае отображения уведомления “Ошибка формирования запроса” при попытке входа в ИС «Казначейство-клиент» следует попробовать выполнить следующую последовательность действий:

  • перейдите на сайт НУЦ в раздел СЕРВИС ПРОВЕРКИ КЛЮЧЕЙ ЭЦП;
  • в меню “Хранилище ключей” выберите “Казтокен”;
  • укажите путь к хранилищу ключей, делается это в полуавтоматическом режиме, будут перечислены все подключенные защищённые устройства хранения KAZTOKEN (например, если подключено только одно устройство, то будет отображено - DigiFlow LLP KAZTOKEN 0);
  • нажмите на кнопку “Проверить ключ”;
  • введите пароль (ПИН код) от устройства;
  • нажмите на кнопку “Обновить список ключей”;
  • в выпадающем меню “Выберете ключ” выберите ПУСТОЙ ключ без сертификата (пустой ключ, это тот ключ, в котором не указаны персональные данные, такие как фамилия, имя и т.д.);
  • нажмите на кнопку “Удалить ключ”;
  • повторяйте перечисленные шаги до тех пор, пока в списке присутствуют пустые ключи.

Отображение уведомления “Ошибка формирования запроса” может быть вызвано тем, что в одном из обновлений программного обеспечения NCALayer изменился алгоритм хранения и перечисления ключей на аппаратных хранилищах, что стало приводить к отображению тех ключей, которые, судя по всему, ранее были удалены. Приведенная выше последовательность действий позволяет удалить те самые не релевантные ключи.

Где взять программу «Панель управления KAZTOKEN»

Программа устанавливается вместе с Драйвером KAZTOKEN для Windows.

Загрузить его можно в разделе Загрузки.

Как сменить ПИН коды?

Подключаете устройство Kaztoken к компьютеру.

Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код».

  1. В появившемся окне выберите учётную запись «Пользователь» и введите ПИН код пользователя (По умолчанию - 12345678) и нажмите кнопку «ОК».
  1. После ввода ПИН кода пользователя, станет активной кнопка «Изменить…» в разделе «Управление ПИН кодами». Для изменения ПИН кода, нажмите её.
  1. В появившемся окне, введите новый ПИН код пользователя, введите подтверждение ПИН кода пользователя (это тот же самый ПИН код, который вы ввели в поле «Введите новый ПИН код») и нажмите кнопку «ОК».

Подключаете устройство Kaztoken к компьютеру.

Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код».

  1. В появившемся окне выберите учётную запись «Администратор» и введите ПИН код Администратора (По умолчанию - 87654321) и нажмите кнопку «ОК».
  1. После ввода ПИН кода Администратора, станет активной кнопка «Изменить…» в разделе «Управление ПИН кодами». Для изменения ПИН кода, нажмите её.
  1. В появившемся окне, введите новый ПИН код администратора, введите подтверждение ПИН кода администратора (это тот же самый ПИН код, который вы ввели в поле «Введите новый ПИН код») и нажмите кнопку «ОК».

Где можно найти руководство пользователя KAZTOKEN?

Руководство пользователя на русском и казахском языках доступно в разделе Загрузки.

KAZTOKEN и Национальный Удостоверяющий Центр (НУЦ)

Национальный Удостоверяющий Центр (НУЦ) поддерживает использование устройства KAZTOKEN в качестве защищенного хранилища ключевой информации.

Руководство по настройке рабочей станции для работы с порталами НУЦ доступно в Руководстве пользователя NCALayer.

Процедура получения регистрационного свидетельства (ЭЦП) в общем виде:

  1. Настройка рабочей станции в соответствии с руководством
  2. Подача заявки на получение регистрационного свидетельства
  3. Подготовка необходимых документов для получения регистрационного свидетельства в соответствии с руководством
  4. Предоставление пакета документов в ЦОН
  5. Получение регистрационного свидетельства

ВАЖНО! Для того, чтобы получить регистрационное свидетельство на устройство KAZTOKEN, вы должны подключить устройство KAZTOKEN к вашей рабочей станции до подачи заявки на получение регистрационного свидетельства.

ПРИМЕЧАНИЕ. Вы можете получить новое регистрационное свидетельство на KAZTOKEN без обращения в ЦОН в том случае, если у вас уже есть действительное (не простроченное) регистрационное свидетельство на любом носителе (удостоверение личности, файловая система и т.д.). Для этого достаточно пройти в Личный Кабинет НУЦ и подать онлайн заявку. Во время подачи онлайн заявки вам нужно будет выбрать устройство KAZTOKEN в качестве хранилища для нового регистрационного свидетельства.

KAZTOKEN на предприятии

Устройство KAZTOKEN возможно использовать для строгой двухфактроной аутентификации в операционные системы и приложения.

Для реализации двухфактроной аутентификации на предприятии не обязательно приобретать дополнительное программное обеспечение, весь необходимый базовый функционал реализован в операционных системах семейства Windows. Все что нужно - установить на рабочие станции и сервера наш полнофункциональный драйвер (доступен для скачивания в разделе Загрузки).

Для получения дополнительных возможностей, таких как учет устройств, автоматизация процессов, связанных с жизненным циклом сертификатов, аудит и построение отчетности, мы предлагаем дополнительное программное обеспечение по запросу.

ПРИМЕЧАНИЕ. Устройство KAZTOKEN возможно дополнить RFID меткой для интеграции со СКУД.

1 Руководство по получению электронной цифровой подписи Удостоверяющего центра и регистрации в системе «Интернет-Банкинг» с использованием USB-токена (KazToken) Программное обеспечение Ak Kamal e-security Client (далее апплет), предназначено: - для упрощения процесса получения пользователем сертификатов (регистрационных свидетельств) - ЭЦП в удостоверяющем центре «Казахстанского Центра Межбанковских Расчетов Национального Банка Республики Казахстан» (далее УЦ КЦМР); - для регистрации данных сертификатов в системе «Интернет-Банкинг»; - для заверения документов электронной цифровой подписью; - для реализации безопасного соединения между системой «Интернет-Банкинг» и пользователем. Содержание: 1. Термины. 2. Установка апплета. 3. Установка драйверов на KazToken. 4. Получение ЭЦП и регистрация в системе «Интернет Банкинг» с использованием USB-токена (KazToken). 5. Смена пароля на USB токен с помощью «Панель управления KazToken». 6. Перерегистция в СИБ. Форматирование USB токена (KazToken). 7. Разблокировка пользовательского пароля. 8. Настройка прокси-сервера.

2 1. Термины: 1.1. Internet Explorer, Google Chrome, Mozilla Firefox, Yandex и т.д. ( ра узер) это программное обеспечение используемое для просмотра и работы с Web страницами Апплет программное обеспечение e-security Client разработанное компанией ТОО "Ak Kamal Security" Ключи первичной инициализации - криптографические ключи, получаемые от Банка и используемые Клиентом для начала работы с Удостоверяющим центром, в том числе для их замены на криптографические ключи электронной цифровой подписи Носитель ключа USB-flash, хранилище закрытых ключей электронной цифровой подписи, содержащее файлы Электронного сертификата Клиента, позволяющих однозначно идентифицировать Клиента и использовать Электронные подписи на документах, передаваемых в Банк СИБ - система «Интернет-Банкинг», предназначена Клиентам - юридическим лицам для удаленного управления банковским счетом в АО «Банк ЦентрКредит» через сеть Интернет, без посещения офиса банка Удостоверяющий центр (УЦ) - юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность Регистрационного свидетельства (Республиканское государственное предприятие на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан») Электронная цифровая подпись (ЭЦП) - набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания KAZTOKEN - персональное устройство доступа к информационным ресурсам, полнофункциональный аналог смарт- карты, выполненный в виде usb-брелока. KAZTOKEN - предназначен для безопасного хранения и использования цифровых сертификатов, ключей шифрования и ЭЦП.

4 Рис. 2 -Окно подтверждения подключения устройства KAZTOKEN в USB-порт компьютера На этой странице пользователь может: -записать Руководство по получению ЭЦП с использованием KAZTOKEN; -установить Драйвер для ра оты с устройством KAZTOKEN. После того, как пользователь подключит KAZTOKEN в USB-порт, следует нажать на кнопку «Я подключил KAZTOKEN» 2.2. Если апплет не был установлен ранее, откроется окно (Рис.3), запрашивающее подтверждение на установку, где нужно нажать на кнопку «Установить». Рис. 3 -Окно подтверждения установки апплета После чего будет открыто окно процесса установки апплета (Рис.4).

5 Рис. 4 -Окно процесса установки апплета

6 3. Установка драйверов на KazToken Чтобы установить драйвер для KAZTOKEN необходимо перейти по ссылке: ВНИМАНИЕ! Перед началом загрузки и установки программного пакета, нео ходимо на время отключить антивирусные программы на компьютере, на котором производится загрузка / установка данного программного о еспечения. Также отключите устройство криптографической защиты Kaztoken от компьютера. После этого необходимо скачать соответствующий драйвер. (Рис.5) Рис. 5 страница с драйверами KazToken После запуска установочного файла, откроется окно программы установки драйверов Kaztoken. Установите галочку в пункте «Создать на рабочем столе ярлык Панели Управления Kaztoken» и нажмите кнопку «Установить» (Рис.6) ВНИМАНИЕ! Не подключайте устройство KAZTOKEN к компьютеру до окончания установки! Если KAZTOKEN уже подключен, отсоедините его.

7 Рис. 6 -Окно начало установки драйверов Kaztoken Рис. 7 - Окно процесса установки драйверов KAZTOKEN

8 Рис. 8 - Окно завершения процесса установки драйверов KAZTOKEN После завершения установки программы на рабочем столе появится ярлык «Панель управления Kaztoken». (Рис.9) Рис. 9 - Ярлык «Панель управления Kaztoken» ВНИМАНИЕ! Не за удьте включить Антивирус!

10 Рис. 12 Окно приветствия мастера создания профиля 4.3. В следующем окне (Рис. 13) необходимо ввести данные для регистрации в системе «Интернет Банкинг»: Рис. 13 Ввод регистрационной информации в поле «ID пользователя:» введите ID пользователя (из приложения 2 к договору)

12 Рис. 15 Окно подтверждения введенных регистрационных данных 4.6. В следующем окне (Рис. 16) отображается процесс создания профиля. Однако необходимо учесть, что процесс генерации ключей на KAZTOKEN может занимать до 5 минут. Рис. 16 Процесс получения и регистрации сертификатов

13 4.7. В случае успешного результата процедуры регистрации, окно примет вид, представленный на Рис.17. Рис. 17 Окно завершения процесса создания профиля 4.8. После нажатия на кнопку «Готово», откроется окно выбора профиля в котором будет отображаться созданный вами профиль (Рис. 18). Рис. 18 После того как профиль будет создан можно осуществить вход на защищаемый ресурс. Для этого необходимо в окне логина выбрать токен, введите пароль от токена и нажмите на кнопку «OK», программа увидит, что на токене содержится профиль и будет использовать его для подключения к шлюзу безопасности Ak Kamal e-security Suite.

14 Внимание. В случае возникновения оши ки во время создания Казтокена при с оях связи с интернетом, вводе некорректных данных пользователя и т.д., нео ходимо продолжить процесс регистрации. При незавершенной регистрации Казтокен форматировать нельзя. 5. Смена пароля на USB токен с помощью «Панель управления KazToken». После установки драйверов, в панели управления добавляется компонент «Панель управления KazToken» (Рис.19) а так же на рабочем столе появляется ярлык «Панель управления Kaztoken» (Рис.20). Рис. 19 Компонент «Панель управления KazToken» Рис Ярлык «Панель управления Kaztoken» - Для смены пользовательского пароля, необходимо запустить «Панель управления KazToken» (Рис. 19, 20) и нажав на кнопку Login произвести аутентификацию на токене от имени пользователя (по умолчанию пароль ) (Рис.21). - Для смены пароля администратора, необходимо запустить «Панель управления KazToken» (Рис. 22) и нажав на кнопку Login произвести аутентификацию на токене от имени администратора (по умолчанию пароль ).

15 Рис. 21 Панель управления KazToken Рис. 22 Панель управления KazToken После аутентификации, вам будет предоставлен доступ к функционалу смены пароля (PIN-кода) на KazToken (Рис.23). Для смены пароля на KazToken, необходимо нажать на кнопку «Изменить».

16 Рис. 23 Панель управления KazToken В открывшемся окне, можно ввести новый пароль (Рис.24). Рис. 24 Смена пароля пользователя

17 6. Перерегистация в СИБ. Форматирование USB токена (KazToken) Внимание! Форматирование токена удалит всю информацию на нем! Если Вы проходите регистрацию первый раз, то нео ходимо выполнить только пункты 2-5 данной инструкции. ПО Ak Kamal e-security Suite создает профиль только на «пустом» токене. Если на токене уже присутствует профиль, то, перед созданием нового профиля, необходимо отформатировать токен, то есть пройти процесс перерегистрации. Для форматирования, необходимо запустить «Панель управления KazToken» и нажав на кнопку Login произвести аутентификацию на токене от имени администратора (по умолчанию пароль ) (Рис.25). Рис. 25 Аутентификация на токене от имени администратора После аутентификации, вам будет предоставлен доступ к функционалу форматирования токена. Для форматирования устройства, необходимо нажать на кнопку «Форматировать». (Рис.26)

18 Внимания. Форматирование. Рис. 26 Панель управления KazToken В открывшемся окне, можно ввести имя токена, задать пароли пользователя и администратора. Здесь же можно указать, кто сможет изменять пароль пользователя. После форматирования USB-токена регистрация в СИБ аналогичен процессу п. 4. Получение ЭЦП и регистрация в системе «Интернет - Банкинг» с использованием USB токена (KazToken).

19 7. Раз локировка пользовательского пароля. Для разблокировки пользовательского пароля, необходимо открыть: 1. - Панель управления->панель управления KAZTOKEN(Рис. 20)>Нажать Login->Выбрать Администратор и ввести ПИН администратора (по умолчанию ) - Меню «Пуск»->Панель управления KAZTOKEN (Рис. 19) ->Нажать Login->Выбрать Администратор и ввести ПИН администратора (по умолчанию ) 2. Нажать на кнопку «Раз локировать» (Рис. 26) Рис.26

20 8. Настройка прокси-сервера. 8.1 В настойках Вашего прокси-сервера создайте разрешающее правило для хоста ib.bcc.kz, по IP адресу порт 80. Адреса, которые должны быть доступны с клиентской машины: Адрес (хост) ib.bcc.kz 80 ibdemo.bcc.kz 80 bcc.kz 80 e-security.kz 80 ibgw1.bcc.kz 443 ibgw2.bcc.kz 443 Ibgw3.bcc.kz 443 localhost Далее нужно настроить апплет для работы через прокси-сервер, нажмите правой кнопкой мыши на значок Банка ЦентерКредит в нижнем правом угле панели инструментов (Рис. 27), выберите пункт Настройки > Настройки соединения. Рис.27 Введите пароль, используемый Вами ранее на вход через апплет (Рис. 28) Рис.28

21 8.3. Для использования прокси-сервера установите галочку «Использовать прокси» в окне настроек соединения (Рис. 29). В поле Хост введите IP адрес прокси-сервера. В поле Порт введите номер используемого вами порта. Рис.29 Если необходима авторизация на прокси-сервере, то нужно поставить галочку «Требуется авторизация» и ввести данные. Нажмите на кнопку «OK», настойка завершена.

Флешка — удобный и мобильный хранитель информации. Можно ли записать на нее электронную подпись (ЭП), насколько это безопасно и как именно это сделать расскажем в статье.


Что такое флешка и токен электронной подписи

Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт.

Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.

На флешке тоже можно установить пароль, но уровень ее защиты намного ниже токена. На большинстве токенов стоят средства криптографической защиты информации (СКЗИ), которые проходят проверку в ФСБ. Они есть, например, на Рутокене ЭЦП 2.0 и JaCarta SF. Также токены проходят проверку Федеральной службы по техническому и экспортному контролю (ФСТЭК). Эта служба проверяет, чтобы на устройстве не было незадекларированных возможностей.

А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней.

На какие носители можно записать электронную подпись

Сертификат электронной подписи можно записать:

  • в память компьютера: в реестр или на жесткий диск;
  • токен;
  • флешку;
  • съемный жесткий диск.

Последние два носителя практически не отличаются друг от друга по свойствам. Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.

Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.

Какой должен быть объем у флешки для электронной подписи

Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.

Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.

В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.

Как записать электронную подпись на флешку

Записать сертификат ЭП на флешку или токен можно тремя способами:

  • в личном кабинете удостоверяющего центра;
  • с помощью криптопровайдера КриптоПро CSP;
  • с помощью средств Windows;
  • в профиле Контур.Диагностики.

Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.

Как записать сертификат в личном кабинете

Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра. Сервис попросит пройти аутентификацию: введите номер телефона, который указали в заявлении на получение ЭП. В течение двух минут на этот номер придет одноразовый пароль для входа. Этот пароль будет действовать только 5 минут, если вы не успеете ввести его за это время — запросите пароль еще раз.
  2. Затем вставьте в компьютер носитель, на который вы хотите записать сертификат ЭП — флешку или токен.
  3. В личном кабинете найдите нужный сертификат и нажмите на кнопку «Перейти к выпуску». Система автоматически проверит ваш компьютер и предупредит, если на него нужно установить дополнительные программы.
  4. Следуйте указаниям системы, чтобы выпустить сертификат.
  5. Если вы записываете ЭП на флешку, придумайте и установите на нее пароль в открывшемся окне.
    Если вы записываете ЭП на токен со стандартным паролем — пропустите этот пункт. Но если вы меняли стандартный пароль на собственный — введите его в открывшемся окне.
  6. После выпуска сертификат можно установить на носитель. Для этого нажмите на кнопку «Установить сертификат».

Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра.
  2. Выберите сертификат электронной подписи, который хотите записать.
  3. Вставьте флешку или токен в компьютер.
  4. Нажмите на кнопку «Сделать резервную копию».
  5. Выберите носитель, на который сервис запишет сертификат.
  6. Если вы копируете ЭП на флешку придумайте пароль и установите его в открывшемся окне. Этот пароль нужно вводить каждый раз, когда вы используете ЭП. Забытый пароль нельзя восстановить, однако мы не рекомендуем пропускать этот шаг — без пароля ваши данные останутся без защиты.
    Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы задавали на токене собственный пароль — введите его в специальном окне.
  7. После ввода пароля система запишет сертификат ЭП на носитель.

Как записать ЭП с помощью КриптоПро CSP

  1. На компьютере откройте меню «Пуск», выберите выберите пункт «Панель управления» и нажмите на иконку «КриптоПро CSP».
  2. Во вкладке «Сервис» нажмите на кнопку «Скопировать».
  3. В открывшемся окне нажмите на кнопку «Обзор» и выберите контейнер закрытого ключа ЭП, который хотите скопировать на флешку.
  4. Укажите имя контейнера, на который программа скопирует сертификат.
  5. Вставьте флешку компьютер и укажите в программе на какой носитель записать ЭП.
  6. Если вы копируете ЭП на флешку, придумайте и установите пароль в специальном окне. Не пропускайте этот шаг, если хотите защитить свои данные. Без пароля любой пользователь, взявший флешку, сможет воспользоваться вашей подписью. Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы меняли пароль на токене на собственный — введите его в специальном окне.
  7. После этого программа скопирует контейнер на токен или флешку и вернется во вкладку «Сервис».

Как записать ЭП с помощью средств Windows

  1. Найдите папку с закрытым ключом ЭП на компьютере. В этой папке должно быть шесть файлов с расширением.key.
  2. Скопируйте эту папку на выбранную флешку. Проверьте, чтобы в папке на флешке оказались все шесть файлов.

Как записать ЭП в профиле Контур.Диагностики

  1. Зайдите на страницу «Копирование сертификатов» Контур.Диагностики.
  2. Вставьте в компьютер флешку, на которую хотите записать сертификат.
  3. Выберите нужный сертификат из списка и нажмите кнопку «Скопировать».
  4. Введите пароль от контейнера при необходимости.
  5. Выберите носитель, на который программа запишет сертификат ЭП.
  6. Придумайте название для нового контейнера и нажмите кнопку «Далее».

Как пользоваться электронной подписью с флешки и токена

Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке.

Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную.

От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:

    используют, чтобы создать открепленную ЭП. Это бесплатный веб-сервис, который работает с сертификатами любых удостоверяющих центров (УЦ). используют для создания открепленной или совмещенной подписи. Во время пробного периода работать с программой можно бесплатно. После его окончания нужно купить лицензию на программу, сделать это можно в любом сервисном центре. Если вы хотите подписать документ базовой электронной подписью — без проверки времени подписания и статуса сертификата ЭП — программу можно использовать бесплатно. используют, чтобы создать встроенную ЭП в документах Word или Excel. Это тоже платная программа, для работы с которой нужно купить лицензию. используют для создания встроенной ЭП в PDF-документе. В программе Adobe Reader КриптоПро PDF можно использовать бесплатно. А вот для работы в других программах, например Foxit Reader или Sejda PDF, нужно купить лицензию.

Чтобы подписать документ ЭП с флешки или токена:

Можно ли использовать Рутокен в качестве флешки?

Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.

Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.

Читайте также:

      
  • Как сохранить все вкладки в firefox в файл и потом восстановить
    •   
  • Межсетевой экран что это такое как отключить
    •   
  • Файл с расширением liquid
    •   
  • Ибп ippon smart winner 3000 new какие акб
    •   
  • Что за файл mobilecontroller html
  • Контакты
  • Политика конфиденциальности