bestrucap

1. Установка Ключа Etoken
2. Создание Обращения

Установка и настройка на рабочее место ПО средств СКЗИ «КриптоПро» версии 3.0, ПО сертифицированного электронного ключа eToken PRO в форм-факторе USB-брелка Электронной цифровой подписи. Устанавливаем дистрибутивы ПО СКЗИ «КриптоПро» версии 3.0. Запускаем файл. Как установить и настроить ключ руТокен на вашем компьютере. Может потребоваться для налоговой отчетности через интернет Контур-Экстерн. 4 Установка займет некоторое время. 7) По завершении процесса установки etoken PKI Client 5.1 SP1. Пакет драйверов и дополнительных утилит eToken PKI Client 5.1 SP1 является на сегодняшний день.

Установка Интернет/Клиент Банк 1. Установка драйвера ключа eToken PKI Client Внимание! Не устанавливайте аппаратный ключ eToken в компьютер до установки драйвера ключа. Для установки драйвера ключа вам необходимо определить разрядность вашей системы: 32- либо 64-разрядная система. Для это щелкните правой кнопкой мыши на ярлык МОЙ КОМПЬЮТЕР/свойства.

Смотрим ТИП СИСТЕМЫ. Далее заходим на сайт /corporate/remote/internet-bank/ (либо /ocx/ ),внизу страницы находим eToken драйвер 32 bit либо eToken драйвер 64 bit, скачиваем и устанавливаем драйвер.

Если Вы видите данное сообщение, то у Вас нет прав на установку. Для установки необходимы права администратора. Попросите Вашего администратора дать эти права или установить данный драйвер. Если все в порядке, Вы увидите следующее окно: Нажимайте Next. В этом окне выбирайте язык Russian и нажимайте Next. В этом окне выберите пункт I accept the license agreement и нажимайте Next.

В этом окне нажимайте Next. Ждите окончания процесса копирования.

После установки драйвера ключа перезагрузите компьютер и вставьте устройство eToken в любой свободный USB порт. Добавление узла в «Надежные узлы» Откройте программу Internet Explorer. Внимание, если у вас 64 разрядная ОС, то Internet Explorer следует запускать через « Локальный диск » ( Диск С ) / Program Files x86 / папка Internet Explorer / запустить браузер через файл iexplore.exe правой кнопкой мыши « Запуск от имени администратора ». Зайдите в ней в меню «Сервис» - «Свойства обозревателя»(или «Свойства браузера»). Откройте вкладку «Безопасность» и выберите «Надежные узлы».

После чего нажмите кнопку «Узлы». Наберите адрес https:// ibank. Ru и нажмите кнопку «Добавить». Адрес должен отобразиться в нижнем окошке «Веб-узлы». Нажимайте «ОК». Вы вернетесь обратно на окно «Свойств обозревателя», на вкладку «Безопасность». Нажмите кнопку «Другой».

В появившемся окне «Параметры безопасности» выберите уровень «Низкий» и нажмите кнопку «ОК». Данные параметры устанавливаются только для сайтов, которые занесены в безопасную зону! На остальные сайты данная настройка не влияет! Настройка завершена. Заходите на сайт https:// ibank. При появлении в Internet Explorer всплывающих строчек, необходимо нажимать на строчке правой кнопкой мыши и выбирать пункт: Установить элемент управления (или Запустить надстройку).

Вход в систему Интернет/Клиент-Банк (далее Система) После установки драйвера ключа открывайте программу Internet Explorer и переходите на сайт: https:// ibank. Ru При переходе на данную страницу вы увидите следующее: Дождитесь, пока появится окно установки, где необходимо нажать «ОК». Во всех последующих окнах нажимайте «Далее». Появится окно входа, где необходимо набрать Ваши логин и пароль со скреч-карты и нажать «Далее». При первом входе появится окно: Это сообщение отображает информацию о необходимости смены пароля. Это делается в целях повышения безопасности работы в системе. Нажимаете кнопку «ОК».

После чего появится следующее окно: Здесь Вам необходимо ввести в поле «Новый пароль» и «Подтверждение нового пароля» новый пароль для входа в Систему. Этот пароль Вы придумываете сами. Применяются следующие требования к сложности пароля: Пароль должен быть не менее 8 символов и не более 10 символов. В пароле должны одновременно использоваться заглавные и прописные буквы и цифры. Система будет требовать смены пароля раз в 30 дней. Процедура будет проходить аналогично.

Если пароль не будет соответствовать указанной сложности, на экране появится окно, показанное ниже. В этом случае нужно нажать ОК и ввести другой пароль. После смены пароля обязательно запомните его! В дальнейшем для входа необходимо использовать его. Если Вы забудете Ваш пароль, Вы не сможете войти в Систему!

В случае ввода неверного пароля более двадцати раз система заблокируется. Выдача нового комплекта логин/пароль – платная процедура, которая тарифицируется согласно тарифам банка. Будьте внимательны при работе с паролем! После успешной смены пароля Вы попадете на следующую страницу, где будет происходить загрузка компонентов. Дождитесь до появления на странице окна, как показано на рисунке ниже (время ожидания зависит от скорости Вашего Интернет-соединения). Е сли Вы не вставили в USB порт аппаратный ключ eToken – вставьте его сейчас. Нажимайте «Далее».

Увидите окно, в котором необходимо нажать «Далее». Система запросит у Вас пароль на аппаратный ключ eToken. Вам необходимо ввести пароль и нажать «ОК».

Пароль на аппаратный ключ вложен в Ваш конверт! Данный пароль Вы можете поменять через установленную в первом этапе программу eToken PKI Client.

Установка Ключа Etoken

Сеансовый ключ, сформированный устройством с дисплеем, паролем на ключ не является! Сеансовый ключ нужен будет далее.

После успешного ввода пароля на ключ Вы получите следующее окно: Система запрашивает у Вас ввод сеансового ключа, сформированного устройством eTokenPass. Нажмите кнопку на аппаратном генераторе сеансовых ключей eTokenPass (кнопка при этом должна находиться справа, а надпись на дисплее должна читаться нормально – не должна быть перевернута). Данный генератор сеансовых ключей сформирует Вам шестизначное число, которое и необходимо ввести в данное поле. После ввода ключа нажмите «ОК». Данный генератор формирует только числовую последовательность!

Буквенных символов в данной последовательности быть не может! Данный ключ при каждом входе меняется, и при следующем входе Вы будете вводить уже другое число! Не нажимайте на данное устройство «просто так».

В случае, если Вы сформируете сеансовый ключ более 10 раз и не воспользуетесь этим ключом для входа в Систему, данное устройство заблокируется и будет в дальнейшем выдавать неверные ключи. Будьте внимательны!

Вы войдете в Систему. Для полноценной работы в системе, Вам необходимо сделать запрос на перегенерацию ключей. Перегенерация комплекта ключей (формирование запроса на рабочие ключи) При первом входе Вы увидите следующий экран: Н еобходимо создать запрос на рабочие ключи.

Для этого нажмите один раз левой кнопкой мыши на свой профиль, со статусом «необходима начальная генерация». Далее нажимаем на знак белого листа на верхней панели. Далее вы увидите: Поля, подчеркнутые красным цветом, необходимы для заполнения. Убедитесь в правильности заполнения организации, должность; в поле идентификатор должно быть ФИО владельца ключа; если ИНН организации состоит из 10 знаков, то вначале ставим 00 (два нуля). После заполнения нажимаем на кнопку «сохранить запрос», находящуюся на верхней панели:. После нажатия этой кнопки у Вас на экран выйдет бланк документа и кнопкой печати.

Создание Обращения

Нажмите на кнопку печать и распечатайте 2 копии. Документ, распечатанный в двух экземплярах Вам необходимо заполнить, указав сведения о Вашей организации, сведения о владельце ключа (карточка с образцами подписей), ставите подписи, печать и привозите в банк (туда, где заключали договор на обслуживание в системе). Если же у вас не было возможности распечатать «Сведения об открытом ключе», а запрос вы уже сделали, то Ваш профиль, при входе с систему, будет иметь статус «принят банком». Для распечатки необходимо выделить этот профиль и нажать на кнопку «Просмотреть акт признания сертификата». Далее распечатка в двух экземплярах.

После того, как Вы подвезете заполненные бланки в банк, служба безопасности проверит на соответствие подписей карточке образцов подписей. В случае, если все в порядке, Ваши ключи будут подтверждены. О том, что ключи зарегистрированы, Вы узнаете, когда войдете в Систему и увидите на экране следующее: Щелкайте по этой строке левой кнопкой мыши 1 раз. Запрос будет выделен синим цветом. После чего, нажмите на кнопку «Получить сертификат (ключ)» - Далее нажимайте «ОК». Потом нажмите «Продолжить».

После чего вы получите сообщение «Вы переведены на работу с новым комплектом ключей». Все, теперь Вы можете подписывать платежные поручения и отправлять их в банк. В противном случае статус вашего профиля будет «отказ в регистрации». Это значит, что вы не правильно заполнили какие-нибудь поля при запросе на генерацию. Для этого надо выделить ваш профиль, нажать на кнопку «Подтвердить получение отказа в регистрации»:.

Далее можете снова сделать запрос на генерацию, так же распечатать два экземпляра «сведения об открытом ключе», подписываете, ставите печати и относите в банк по месту обслуживания. Срок действия электронных цифровых подписей ограничен и равен одному году с момента создания. Необходимо заблаговременно заменить ЭЦП, не дожидаясь окончания срока их действия, для того, что бы работа Системы не прерывалась. Мы рекомендуем начать процесс замены за один месяц до окончания срока действия ЭЦП, т.к. Для активации новых ключей Вам необходимо будет привезти в банк две бумажные копии Сведений об открытом ключе абонента с подписью руководителя организации, подписью главного бухгалтера и наличием печати. Риски клиентов при работе с системой дистанционного банковского обслуживания Интернет/Клиент-Банк За последние несколько месяцев в ряде российских банков участились случаи хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы дистанционного банковского обслуживания «Интернет/Клиент-Банк».

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них и токен с неизвлекаемым ключом ( или ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент Конфигурация тестового стенда Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):. ОС MS Windows 7 SP1. СКЗИ КриптоПРО CSP 3.9.8423. Драйверы Рутокен для Windows (x86 и x64).

Версия: v.4.1.0.0 от, WHQL-certified. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:. Рутокен ЭЦП. Версия 19.02.14.00 (02). JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1 Методика тестирования Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:.

генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;.

после изготовления необходимого количества рабочих ключевых документов исходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации. В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет исходный ключевой документ. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив рабочие ключевые документы. После этого уничтожим исходный ключевой документ, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Проведение тестирования 1. Создадим исходный ключевой документ. С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск-Панель управления-КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ.

Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно. Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны): Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken). 3.Уничтожим исходный ключевой документ. Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.

Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны). Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут?

На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется. Главным отличием ФКН от обычных токенов (, ) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера. Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP). Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать. По-новому взглянем на наш тестовый стенд В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию: В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP.

Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна. Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа. Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». Теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера.

Весь функционал СКЗИ успешно отработает. Как сделать, чтобы все было хорошо? Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо: 1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП —. — для JaCarta ГОСТ –. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом? Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН. Выводы. Не верьте продавцам, чушь вам городящим.

Использование обычных версий криптопровайдера и обычных Рутокен ЭЦП или JaCarta ГОСт не позволяют реализовать технологию ФКН. Для использования технологии ФКН совместно с продуктами ООО «КРИПТО-ПРО» необходимы как специально подготовленные токены, содержащие апплет, с которым умеет работать СКЗИ, так и, которые умеют работать с апплетом на токенах. Рутокен ЭЦП и JaCarta ГОСТ умеет самостоятельно реализовывать технологию ФКН, но для этого необходим специальный софт.

Метки:. Добавить метки Пометьте публикацию своими метками Метки лучше разделять запятой. Например: программирование, алгоритмы. Скопировать ключи можно не с любых токенов, но довольно с многих. Галкой «неизвлекамый» — вы наварено называете «не экспортируемый». Стоит отметить, что наличие данной галки — обрабатывается только СКЗИ.

А это значит, что если ключевая информация доступна в обход СКЗИ (например, ключ хранятся на флешке или в реестре), то она может быть успешно скопирована не смотря на галку. Таким образом, ответить на ваш вопрос о возможности копирования ключей, для которых стоит галка «не экспортируемый» можно следующим образом: — Если к ключевой информации можно обратится в обход СКЗИ, то не смотря на эту галку их скопировать можно. Применительно к токенам обходные маневры расписаны.

Автор, подскажите какой именно функционал содержит апплет в аппаратной части? Про функционал не подскажу, этот вопрос лучше адресовать производителям токенов. Неплохая документация по токенам — Точнее: можно ли с помощью него реализовать шифрование ГОСТ без установки ГОСТ-криптобиблиотек непосредственно на рабочую станцию. В общем случае так сделать нельзя. Прикладное ПО (например, MS outlook) обращается к крипторафическим библиотека по какому либо стандартному интерфейсу, например MS CryptoAPI. Для того чтобы этот интерфейс был доступен и нужны криптопровайдеры. Можно пойти по пути как сделал КриптоАРМ.

Они умеют самостоятельно общаться с токеном, фактически реализуя встроенную криптобиблиотеку. Если посчитать описание по ссылке проблема в чипах (АУууу импортозамещение )на уровне железа чип поддерживает только RSA, DES, 3DES, SHA-1 (так же как и etoken) Для госта нужен апплет, для апплета нужно ПО, т.к. Контроллер 8 битный — все работает жутко медленно (Для RSA есть специальные 32 битные функция, и если я правильно понял операции происходят за 1 такт) Выпускаем чип, поддерживающий гост «из коробки» — никакое ПО (кроме дров) не нужно. Но это удар по таким гигантам как Крипто-про и Инфотекс т.к. Все будет работать, имхо, через openssl+токен напрямую (сейчас есть существенные заморочки).

Холодильник lg отзывы. Инструкция взял в руки лук и стрелы, тронул кулаком тугую тетиву, lg звон тетивы разнесся далеко по лесу.

Все будет работать, имхо, через openssl+токен напрямую А в чем координальное отличие? Вместо CSP будет требоваться OpenSSL, один cliet-side софт меняется на другой.

Утверждать что OpenSSL более безопасный чем тот же КриптоПРО CSP считаю не корректным. Надо сравнивать по моделям угроз и ТЗ систем для которых применяется СКЗИ. В тоже время если вопрос в деньгах, то можно использовать бесплатный криптопровайдер VIPNET CSP или бесплатную версию КриптоПРО CSP (она становится таковой, когда заканчивается триал) правда у нее нет возможности формировать ЭП, можно только проверять. Кардинальных отличий, пожалуй нет, но: 1) На текущий момент Криптопровайдер Vipnet CSP не может работать с подписью КриптоПРО CSP и наоборот — разный контейнеры закрытого ключа 2) реализовать через них TLS можно, но в достаточной степени геморройно, хотя не так давно (пару недель) крипто ПРО выпустили движок для openssl и прикрутить приптопрошную подпись к сайту стало на порядок легче (сам еще не пробовал) 3) про безопасность я тут умолчу, т.к.

Полностью с вами согласен что сравнивать как минимум сложно 4) тот же серверный крипто-про стоит 60к руб Для пользователей, согласен, есть некоторые варианты обойтись бесплатными версиями. 1) На текущий момент Криптопровайдер Vipnet CSP не может работать с подписью КриптоПРО CSP и наоборот — разный контейнеры закрытого ключа Уточним. VIPNET CSP не может работать с ключевыми контейнерами сформированными КриптоПРО CSP, Но вы без проблем можете подписать запрос на сертификат сгенерированный из VIPNET CSP с помощью УЦ работающего на КриптоПРО CSP. Поэтому тут вопрос скорее к Росстандарту и ФСБ России о том, что необходимо стандартизировать формат ключвых контейнеров. 2) реализовать через них TLS можно, но в достаточной степени геморройно, Я бы сказал тут дело привычки.

Поднять TLS на IIS+КриптоПРО CSP (серверный вариант) у меня занимало порядка 2-3 минут. Под.nix было сложнее. В остальном согласен, за исключением цены — «Лицензия на право использования СКЗИ „КриптоПро CSP“ версии 3.9 на сервере 30 000,00р.», но тоже дороговато. Проблема наших СКЗИ в том, что их преимущества для пользователей не очевидны. По криптографии (взлом криптоалгоритма, баги криптосхем и т.д.) информационные системы ломают крайне редко, поэтому для обычного пользователя что отечественная библиотека СКЗИ, что импортная обеспечивают сравнимый уровень защиты, но в тоже время отечественные системы стоят денег, и порой довольно больших.

Более того, сама система использования отечественных СКЗИ — сертификация, реализация требований документации, и нормативки, например ФАПСИ 152 превращает все это просто в кошмар.