Obținerea unui CEP de testare. Să aruncăm o privire nouă asupra bancului nostru de testare

Destul de des, atunci când se emit certificate de cheie de semnătură electronică, se poate observa PR intruziv al token-urilor cu cheie nedetasabila. Vânzătorii de la centrele de certificare asigură că achiziționând de la aceștia un CIPF CryptoPRO CSP și un token cu o cheie nedemontabilă (EDS Rutoken sau JaCarta GOST), vom primi certificat CIPF care oferă protecție 100% împotriva furtului cheilor de pe token. Dar este chiar așa? Pentru a răspunde la această întrebare, să facem un experiment simplu...

Configurația bancului de testare

Să asamblam un banc de testare cu o configurație tipică pentru mașinile care participă la gestionarea electronică a documentelor (EDF):

1. OS MS Windows 7 SP1
2. CIPF CryptoPRO CSP 3.9.8423
3. Drivere Rutoken pentru Windows (x86 și x64). Versiune: v.4.1.0.0 din 20.06.2016, certificat WHQL
4. Client unic al JaCarta și JaCarta SecurLogon. Versiunea 2.9.0 build 1531
5. CryptoARM Standard Plus 5. Versiunea 5.2.0.8847.

Jetoanele cu o cheie irecuperabilă vor fi folosite pentru testare:

1. Rutoken EDS. Versiunea 19.02.14.00 (02)
2. JaCarta GOST. Număr de model JC001-2.F09 v2.1

Metodologia de testare

Să modelăm un proces tipic de pregătire de către Administrator securitatea informatiei documente cheie pentru organizarea fluxului de documente electronice:

1. sunt generate un container de cheie privată și o cerere pentru un certificat de cheie publică;
2. după trecerea procedurii de certificare la centrul de certificare, din cerere se obține un certificat;
3. Certificatul, împreună cu containerul cheii private, formează informații despre cheie gata de utilizare. Vom numi această informație cheie înregistrată pe suport documentul cheie original;
4. Cu documentul cheie original se fac și se înregistrează copii pe suporturi transferabile (în continuare le vom numi documente cheie de lucru) și sunt transmise utilizatorilor autorizați;
5. după producerea cantităţii necesare documente cheie de lucru documentul cheie original distruse sau depozitate pentru depozitare într-o autoritate protecţie criptografică informație.

În cazul nostru, nu vom folosi serviciile autorităților de certificare, ci vom genera un container de chei cu un certificat autosemnat și îl vom plasa în registrul computerului (stația de lucru pentru generarea informațiilor cheie), acesta va fi documentul cheie original. Apoi copiem informațiile cheie în Rutoken EDS și JaCarta GOST, creând documente cheie de lucru. După aceea vom distruge documentul cheie original prin ștergerea containerului de chei din registru. Și, în sfârșit, să încercăm să copiem informațiile cheie din documentele cheie funcționale înapoi în registru.

Testare

1. Să creăm documentul cheie original.

Descriere

Pentru a face acest lucru, folosind CryptoARM, vom crea un container de chei private test-key-reestr în registru, care conține un certificat autosemnat (CN=test)

2.Să formăm documente cheie de lucru.

Descriere

Prin utilizarea fonduri regulate CIPF CryptoPRO CSP (Start-->Panou de control-->CryptoPro CSP) copiați containerul de chei test-key-reestr în mass-media cheie Rutoken EDS și JaCarta GOST. Vom denumi containerele cheie pe media cheie test-key-rutoken și, respectiv, test-key-jacarta.
Descrierea este dată în legătură cu JaCarta GOST (pentru Rutoken EDS acțiunile sunt similare):








Astfel am primit documente cheie de lucru pe JaCarta GOST (container test-key-jacarta) și Rutoken EDS (container test-key-rutoken).

3. Distrugeți documentul cheie original

Descriere

Folosind instrumentele standard CIPF CryptoPRO CSP, vom elimina containerul de chei test-key-reestr din registru.

4. Copiați informațiile cheie din documente cheie de lucru

Descriere

Să încercăm să copiem containerele de chei test-key-rutoken și test-key-jacarta înapoi în registry.
Descrierea este dată pentru JaCarta GOST (pentru Rutoken EDS acțiunile sunt similare).

După cum putem vedea, informațiile cheie au fost copiate cu succes sau, cu alte cuvinte, extrase din jetoane cu o cheie irecuperabilă. Se pare că producătorii de jetoane și CIPF mint? De fapt nu, iar situația este mai complicată decât pare la prima vedere. Examinăm hardware-ul prin simboluri.

Material

Ceea ce se numește în mod obișnuit pe piață un token cu o cheie care nu poate fi recuperată se numește corect purtător de chei funcționale (FKN) (informații suplimentare).

Principala diferență dintre FKN și token-urile obișnuite (Rutoken S, JaCarta PKI, ...) este că atunci când se efectuează transformări criptografice (de exemplu, generarea unei semnături electronice), cheia privată nu părăsește dispozitivul. În timp ce folosiți jetoane obișnuite, cheia privată este copiată din jetoane în memoria computerului.

Utilizarea FKN necesită o organizare specială a interacțiunii între software-ul criptografic aplicat și biblioteca CIPF (cryptoprovider sau, cu alte cuvinte, CSP).

Aici este important de observat că partea software a bibliotecii CIPF trebuie să știe despre existența unui applet pe token care implementează funcționalitatea criptografică (de exemplu, generarea cheilor, semnarea datelor etc.) și să poată lucra cu acesta.

Să aruncăm o privire nouă asupra bancului nostru de testare

Rutoken EDS a fost folosit ca unul dintre purtătorii de chei. Prin „Panoul de control Rutoken” puteți obține următoarele informații despre acesta:

Ultima linie conține expresia „Suport pentru CryptoPRO FKN: Nu”, ceea ce înseamnă că jetonul nu are un applet cu care să poată lucra CIPF CryptoPRO CSP. Astfel, implementarea tehnologiei FKN folosind CIPF și token-urile descrise în configurația bancului de testare este imposibilă.

Situația este similară cu JaCarta GOST. Mai mult, CIPF CryptoPRO CSP, conform macar versiunea care a fost folosită în bancul de testare folosește aceste medii cheie ca „jetoane obișnuite”, care, la rândul lor, sunt pur și simplu medii cheie.

Această afirmație este foarte ușor de confirmat. Pentru a face acest lucru, trebuie să instalați CryptoPRO CSP CIPF pe o mașină curată, fără drivere de jeton și să conectați jetonul JaCarta GOST. Sistemul de operare Windows 7 va detecta simbolul JaCarta GOST ca „Microsoft Usbccid (WUDF) Smart Card Reader”. Acum puteți încerca să creați o cheie pe token și să o copiați în registrul computerului. Toate funcționalitățile CIPF vor funcționa cu succes.

Cum să vă asigurați că totul merge bine?

Pentru a implementa tehnologia FKN folosind produsele CRYPTO-PRO LLC, trebuie să:

1. Cumpărați o versiune specială a bibliotecii CIPF:
- pentru Rutoken EDS - CIPF CryptoPRO Rutoken CSP.
- pentru JaCarta GOST – CIPF CryptoPro FKN CSP.

2. Alături de biblioteca CIPF, este necesară achiziționarea de token-uri special pregătite care conțin părți software (applet-uri) cu care CryptoPRO Rutoken CSP sau, respectiv, CryptoPro FKN CSP poate lucra.

Se pare că Rutoken EDS și JaCarta GOST nu sunt jetoane cu o cheie care nu poate fi recuperată?

Nu din nou. Aceste dispozitive pot implementa funcționalitatea FKN (dar, poate, într-o măsură mai mică decât atunci când sunt utilizate împreună cu CIPF CryptoPRO), dar acest lucru necesită software care poate funcționa cu applet-urile plasate pe token-uri. Un astfel de software ar putea fi CryptoARM Standard 5 Plus. El o poate face. Când generați o pereche de chei în expertul CryptoARM, puteți selecta furnizorul cripto care va fi utilizat, de exemplu, Rutoken ECP sau eToken GOST. Acest lucru va permite ca jetonul să fie folosit ca FKN.

concluzii

• Nu aveți încredere în vânzătorii care vă spun prostii. Utilizare versiuni obișnuite criptoproviderul CryptoPRO CSP și Rutoken EDS obișnuit sau JaCarta GOST nu permit implementarea tehnologiei FKN.
• Pentru a utiliza tehnologia FKN împreună cu produsele CRYPTO-PRO LLC, aveți nevoie atât de token-uri special pregătite care conțin un applet cu care poate lucra CIPF, cât și de versiuni speciale ale criptoproviderului CryptoPRO CSP, care pot funcționa cu applet-ul pe token-uri.
• Rutoken EDS și JaCarta GOST pot implementa independent tehnologia FKN, dar aceasta necesită software special.

Descrierea problemei. Pentru EGAIS sunt utilizate două certificate: certificat GOST pentru semnificația juridică a TTN; Certificat RSA pentru identificarea contrapartidei.

Fiecare certificat este valabil timp de un an de la data formării lui.

Certificatul GOST este emis de un centru de certificare, așa că pentru a-l reînnoi, contactați centrul de certificare.

Certificatul RSA este generat pe portalul EGAIS, așa că îl puteți înlocui singur.

La rezolva problema de, trebuie să ștergeți secțiunea PKI din vechiul certificat RSA și să scrieți unul nou acolo.

Instrucțiuni pas cu pas despre cum să reînnoiți un certificat RSA

Pasul 1. Comutați la modul de administrare

În meniul Start, găsiți aplicația JaCarta Unified Client și deschideți-o.

Orez. 1. Client unic JaCarta

Se va deschide Spațiul de lucru programe.

Orez. 2. Comutați la modul de administrare

Spațiul de lucru al programului se va redeschide. Accesați fila PKI.

Orez. 3. Informații despre simbol

NOTĂ:Înainte de a continua, asigurați-vă că secțiunea PKI nu este blocată.

Solicitați o consultație cu un specialist în lucrul cu EGAIS

Pasul 2. Curățarea partiției PKI

În fila PKI din panoul Operațiuni aplicație, faceți clic pe linkul Inițializare....

Orez. 4. Operațiuni de aplicare

Pentru a inițializa, a obține permisiunea și a furniza date utilizator:

1. PIN administrator - implicit 00000000

2. PIN utilizator - implicit 11111111

Orez. 5. Inițializarea aplicației

După introducerea datelor, faceți clic pe „Run”.

Va apărea o notificare care afirmă că vechiul certificat PKI va fi șters în timpul inițializării. Faceți clic pe Continuare pentru a finaliza.

Orez. 6. Avertisment de ștergere

Odată ce ați șters partiția PKI, aceasta este gata să fie scrisă într-un nou certificat.

Pasul 3: Scrieți un nou certificat

Orez. 11. Introduceți codul PIN al cheii hardware

Sistemul vă va afișa certificatul. Faceți clic pe el pentru a intra în portal.

Orez. 12. Certificat de intrare pe portal

In stanga meniu vertical selectați „Obțineți cheia”.

Orez. 13. Obținerea unei chei

În centrul paginii vor apărea puncte cu adrese care sunt înregistrate în sistemul EGAIS. Găsiți-l pe cel de care aveți nevoie și faceți clic pe butonul „Generați cheia”.

Procesul de creare a certificatului va începe.

Pentru a genera un certificat, introduceți codul PIN al utilizatorului - implicit este 11111111. Faceți clic pe butonul „Generați cheia”.

Orez. 14. Generarea unui certificat RSA

In unele cazuri sistem de operare vă va cere suplimentar să introduceți codul PIN al utilizatorului PKI al secțiunii – implicit 11111111.

Orez. 15. Introducerea PIN suplimentară

Așteptați până când certificatul RSA este generat.

După finalizarea cu succes, va apărea următorul mesaj: „Certificatul a fost scris cu succes pe token”.

Orez. 16. Generarea certificatului

Aceasta completează înlocuirea certificatului RSA, continuați să lucrați cu EGAIS.

Continuând subiectul conectării la EGAIS, să trecem la partea practică a problemei. Din păcate, dezvoltatorii de sisteme schimbă regulile și condițiile tehnice literalmente din mers. Acest material era aproape gata când dezvoltatorii au limitat în mod neașteptat lista de browsere acceptate doar la IE și au trebuit să refacă materialul finit. Prin urmare, în ciuda faptului că toate articolele noastre sunt în mod necesar testate în practică, se poate dovedi că aceasta informatie se dovedește a fi incorectă sau depășită, în același timp vom încerca să sprijinim prompt acest material la zi.

În primul rând, asigurați-vă că computerul dvs. îndeplinește cerințele de sistem pentru a instala modulul de transport. Mai exact, trebuie să rulați Windows 7 sau o versiune ulterioară și Internet Explorer 9 sau mai târziu. După cum puteți vedea, nimic special nu este necesar de la sistem dacă utilizați cele mai recente versiuni ale sistemului de operare și actualizați regulat sistemul - aveți deja tot ce aveți nevoie, altfel va trebui să aduceți software-ul în conformitate. Veți avea nevoie și de Instalare Java 8, care este necesar pentru funcționarea modulului de transport.

Instalarea software-ului pentru lucrul cu cheia cripto JaCarta

După cum am spus deja, cheia cripto JaCarta utilizată în sistem conține două depozite GOST și PKI, pentru a lucra cu fiecare dintre ele necesită propriul software, care poate fi descărcat și instalat separat, există și un singur client care combină totul instrumentele necesareîntr-un singur pachet.

Să mergem la pagina http://www.aladdin-rd.ru/support/downloads/jacarta/ și să aruncăm o privire la lista de software oferite. Primul pe listă este oferit Client unic JaCarta și JaCarta SecurLogon 2.7.0.1226, în opinia noastră, acesta este cel mai mult soluție convenabilăși nu există niciun motiv să o refuzi. Pe în prezent Client unic nu acceptă Windows 10, așa că dacă utilizați acest sistem de operare, va trebui să descărcați și să instalați pachete JaCarta GOST pentru WindowsȘi JaCarta PKI pentru Windows.

De fapt, instalarea software-ului specificat se realizează în mod obișnuit și nu ridică dificultăți.

După instalarea software-ului, conectăm cheia cripto și ne asigurăm că este detectată în sistem și că au fost instalate toate driverele necesare.

Obținerea unui CEP de testare

Dacă, la achiziționarea unei chei criptografice, nu ați primit imediat o cheie calificată semnatura electronica(CEP), pe care vă recomandăm cu tărie, puteți utiliza un CEP de testare în timpul instalării și testării. Pentru a face acest lucru, accesați pagina http://egais.ru/testkey/innkpp și introduceți TIN-ul și KPP-ul organizației.

Tot ce ne interesează pe această pagină este un link către generator, descărcați-l.

Îl lansăm, completăm câmpurile obligatorii și facem clic pe Generare, cheia va cere o parolă din stocarea GOST, implicit este 0987654321, o introducem și așteptăm să fie generată cererea. Singura subtilitate este în calitate adresa postala trebuie să îl indicați pe cel pe care l-ați folosit pentru a vă înregistra în contul dvs. personal FSRAR.

Încărcăm cererea primită pe site, nu uitați să selectați fișierul de solicitare înainte de a apăsa butonul Descărcați și continuați.

Acum puteți merge să luați prânzul sau să faceți alte lucruri, certificatul va fi generat într-un timp și va fi trimis prin e-mail. Descărcați-l în orice locație convenabilă și scrieți-l pe cheie folosind utilitarul generator.

Apoi rulați JaCarta Unified Client sau utilitarul pentru lucrul cu stocarea GOST și asigurați-vă că înregistrarea certificatului CEP a avut succes.

Generarea cheii RSA

După ce ați primit CEP, ar trebui să generați certificate pentru punctele de vânzare cu amănuntul. Pentru a face acest lucru, accesați pagina https://service.egais.ru/checksystem și faceți clic pe butonul Citiți termenii și condițiile și verificați respectarea acestora, va apărea o pagină de verificare Cerințe de sistem. Din păcate, nu există altă cale Zona Personală nu, și va trebui să treceți printr-un control de fiecare dată, deoarece nu trebuie să îl vizitați atât de des.

Dacă ați îndeplinit toate cerințele software, atunci ar trebui să treceți cu succes primele două puncte de verificare. Apropo, mențiunea din prima este destul de interesantă punct Windows XP, teoretic poți încerca să lansezi un modul de transport pe baza lui.

Adăugat.Începând cu 13/12/15, Windows XP SP3 a fost adăugat oficial la lista de sisteme acceptate.

Următorul pas este instalarea modulului Fsrar-Crypto 2, pentru a face acest lucru, pur și simplu descărcați și rulați programul de instalare din link.

După care, repetând verificarea încă o dată, vei ajunge în sfârșit la contul tău personal. În primul rând, trebuie să obțineți o cheie RSA pentru o conexiune sigură, mergeți la secțiunea cu același nume și selectați priza dorită; Vă rugăm să rețineți că fiecare cheie trebuie scrisă pe propriul token, iar această operațiune se poate face pe un singur computer.

Procesul este cât se poate de simplu. Selectați un punct de vânzare cu amănuntul și faceți clic Generați cheia, apoi introduceți parola pentru stocarea PKI, implicit 11111111, după care cheia va fi generată și scrisă în token.

După ce ați scris cu succes cheia, jetonul este complet gata de utilizare și puteți continua la instalarea modulului de transport.

Instalarea modulului de transport

Pentru a primi modulul de transport, accesați din nou contul personal. Vă rugăm să rețineți că există două versiuni ale modulului de transport: test și producție. Toate datele transmise prin UTM-ul de lucru sunt înregistrate în Sistemul Informațional Unificat de Stat și este inacceptabilă să le folosiți pentru a verifica și testa lucrarea. În această etapă, ar trebui să instalați un modul de transport de testare și numai după ce ați configurat întregul sistem și sunteți sigur că funcționează, ar trebui să reinstalați modulul de transport la versiunea sa de lucru.

Descarca distribuția necesarăși începeți instalarea, prima etapă de instalare nu ar trebui să provoace dificultăți speciale.

Dar atunci veți avea nevoie de o cheie cripto și de o anumită atenție. În primul rând, ar fi o idee bună să găsiți o locație permanentă pentru cheia cripto, deoarece dacă aceasta lipsește, modulul de transport nu se va încărca și serviciile sale vor trebui pornite manual.

După despachetare fisierele necesare va fi instalat un terminal de transport, care folosește fișiere criptate și necesită o cheie. Mai întâi, instalatorul vă va cere parola pentru stocarea PKI (11111111) și vă va cere să selectați o cheie RSA. Acest lucru este necesar pentru a stabili o conexiune sigură cu serverele EGAIS.

Amintiți-vă codul certificatului, acesta este ID-ul dvs. FSRAR, veți avea nevoie de el mai târziu, atunci când configurați software-ul de contabilitate a mărfurilor, îl puteți vizualiza oricând în proprietățile certificatului.

Apoi va trebui să specificați parola pentru stocarea GOST (0987654321), care conține EPC, care este necesar pentru a autentifica datele transmise în numele organizației dumneavoastră.

După care instalarea va trece la etapa finală, în această etapă instalatorul se va conecta la serverele EGAIS, va primi datele necesare și va efectua configurarea inițială a software-ului pentru un anumit client. Ulterior, lucrul cu acest modul de transport va fi posibil doar dacă aveți copia cheii cripto cu care a fost efectuată instalarea.

Puteți verifica funcționarea modulului de transport tastând în browser adresa IP sau numele gazdei care indică portul 8080.

Configurarea software-ului de contabilitate a mărfurilor

În exemplul nostru, vom folosi software-ul de contabilitate a stocurilor din sistemul 1C:Enterprise, dacă utilizați produse software alți producători, vă rugăm să contactați documentatie tehnica pe ei.

În primul rând, ar trebui să actualizați configurația la Versiune curentă cu suport EGAIS, astăzi configurația certificată pentru EGAIS este 1C: Retail, dar lucrul cu EGAIS este acceptat și în Trade Management. Pe viitor, toate exemplele se vor referi la 1C: Retail 1.0, cu toate acestea, alte configurații 1C sunt configurate într-un mod identic, diferențele sunt nesemnificative.

După actualizarea configurației, accesați parametrii contabili și pe fila Contabilitatea alcoolului bifeaza casuta Luați în considerare produsele cu alcool.

Apoi urmați linkul de mai jos Module de transport și creați o configurație pentru lucrul cu UTM-ul nostru. Puteți alege numele în mod arbitrar, trebuie să indicați corect ID-ul dvs. FSRAR și adresă de rețea UTM. Vă reamintim că ID-ul FSRAR poate fi găsit în numărul certificatului cheii RSA.

Mai jos vom urmări al doilea link Module de transport utilizateși indicați modulul de transport utilizat la această priză. Să explicăm, carte de referință Depozitați module de transport conține informații despre toate UTM-urile în totalitate puncte de vânzare cu amănuntul, trebuie să îl selectați pe cel de care aveți nevoie din această listă. Această setare face o înscriere în registrul de informații care leagă locul de vânzare (Magazin în ceea ce privește 1C: Retail), entitateși UTM-ul aferent acestora.

În sfârșit, să trecem la configurarea programului, deoarece la începutul lucrului cu EGAIS trebuie să solicitați date destul de des, setăm sarcina să se repete la fiecare 30 de secunde, ulterior această valoare ar trebui ajustată în funcție de nevoile reale.

În cele din urmă, aruncați o privire la fila Schimb de dateși asigurați-vă că este activat și utilizatorul este specificat să efectueze sarcini de rutină.

După ce a făcut totul setările necesare reporniți programul, acum va apărea un nou element de meniu în el - EGAIS. Scopul sub-articolelor este destul de clar, iar lucrul cu ele este intuitiv și nu ar trebui să provoace dificultăți nimănui utilizator încrezător 1C.

Cu toate acestea, înainte de a începe lucrul, trebuie să vă comparați propriile directoare de contrapărți și nomenclatură cu clasificatorii EGAIS de organizații și produse alcoolice. Pentru a face acest lucru, accesați articolul corespunzător de meniu și completați cererea indicând TIN-ul contrapărții. Pentru a obține un clasificator al produselor alcoolice, trebuie să indicați TIN-ul producătorului sau importatorului. Acest punct trebuie remarcat Atentie speciala: este TIN-ul producătorului (importatorului), nu al furnizorului.

Apoi, după ce ați primit clasificatorul solicitat, ar trebui să îl comparați cu datele din directoarele programului pentru a face acest lucru, selectați elementele corespunzătoare din clasificator (stânga) și director (dreapta) și apăsați butonul Comparaţie. Elementele potrivite sunt evidențiate cu verde.

După cum puteți vedea, nu este nimic deosebit de complicat în implementarea practică a EGAIS. Acum, după ce v-ați asigurat că totul funcționează așa cum trebuie, nu uitați să obțineți un EPC funcțional (dacă nu ați făcut acest lucru înainte) și să reinstalați UTM-ul de la testare la funcționare.