Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Эп на рутокен для сбис: что это такое

Аппаратные продукты Рутокен применяют для работы в СБИС — что это такое мы расскажем в данном блоке.

СБИС — онлайн-система бухгалтерского и складского учета, а также оператор фискальных данных. Программный продукт предназначен для:

Также система позволяет создать корпоративный портал и организовать внутреннюю социальную сеть: формирование и просмотр мероприятий, репост публикаций, участие в конкурсах и опросах и прочее.

Чтобы использовать возможности СБИС, необходимо создать аккаунт в качестве юрлица, физлица или ИП. Сотрудники имеют возможность присоединиться к ЛК организации по приглашению. При этом личный кабинет физлица тоже будет активным.

Для предоставления отчетов, форм, заявок, обмена документами необходима цифровая подпись. Можно использовать имеющуюся ЦП, записанную на Рутокен. Для этого зарегистрируйте КЭП, как указано здесь.

Почему двухфакторная аутентификация в домене по токену с pin-кодом безопаснее обычной парольной схемы?

PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.

Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.

С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.

Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.

Где приобрести рутокен и эцп

Если для подписи отчетов, ведения электронного документооборота вам необходима цифровая подпись и токены, то обращайтесь в УЦ «Астрал-М». Мы специализируемся на оформлении ЭЦП любых типов, предлагая клиентам:

Получить дополнительную информацию можно с помощью запроса через сайт, по электронной почте или телефону. Мы поможем сформировать полный пакет документов и оперативно окажем необходимые услуги.

Двухфакторная аутентификация

Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное.

Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю.

Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.

А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.

Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.

Как задать безопасный pin-код

Параметры PIN-кода можно задавать во время настройки политик при форматировании Рутокена. В общем случае рекомендуем придерживаться следующих правил:

Как проверить срок действия эцп рутокен

Срок действия сертификатов электронной цифровой подписи составляет стандартно 12 месяцев. Связано это с необходимостью обеспечить безопасность и предотвратить возможную компрометацию данных. Пользователю необходимо знать дату завершения срока действия для своевременного продления.

Для выполнения операции запустите КриптоПРО CSP и перейдите во вкладку «Посмотреть сертификат в контейнере», расположенную в разделе «Сервис». Далее через кнопку «Обзор» выберите интересующий вас контейнер с сертификатом и кликните по нему дважды мышкой. В итоге откроется окно, где будет указана дата завершения действия сертификата.

Как работать с эцп без флешки?

Выдача ЭЦП осуществляется на флеш-накопителе. Но нужно учитывать, что это вещь не вечная: может потеряться или сломаться. Пользоваться электронной подписью получится и без флешки. Достаточно выполнить следующие действия на компьютере:

Перед тем как установить личный сертификат с носителя, где находится Рутокен, следует удостовериться в его наличии в контейнере. Сделать это довольно просто, если следовать инструкции.

Удостовериться в наличии сертификата в контейнере можно путем нажатия соответствующей кнопки во вкладке «Сервис». Тут понадобится выбрать подходящий вариант. Принцип прост: достаточно кликнуть дважды левой кнопкой мыши.

При создании контейнера предлагается создать новый пароль. Его понадобится ввести дважды в соответствующие строки. Однако это не является обязательным действием во время установки Рутокена.

По завершении копирования сертификата в реестр понадобится установить его в раздел, который именуется «Личное». Как это сделать: во вкладке под названием «Сервис» выбирается пункт «Просмотреть сертификаты в контейнере». На дисплей выводится окно, где предлагается нажать кнопку «Обзор». Понадобится обозначить, какой именно сертификат интересует, и подтвердить это путем нажатия кнопки «ОК».

В окне будет обозначена информация в отношении действующего сертификата ЭЦП. Именно тут понадобится нажать на кнопку, которая называется «Установить».

Затем все еще проще: следует нажать кнопку «Да», потом «ОК», чтобы подтвердить совершаемые действия.

На этом завершается процедура установки ЭЦП на компьютер. Теперь можно совершать любые желаемые действия без ограничений: посещать торговые площадки, госпортал либо же работать с подписью без привлечения флеш-накопителя.

Чтобы проверить, удалось ли установить ЭЦП, надлежит совершить попытку зайти в ЛК требуемого интернет-сервиса по ключу. Достаточно совершить любое обращение к электронной подписи без вставленной в ПК флешки. Результатом станет вывод на экран данных о сертификате ЭЦП.

Как удалить сертификат с рутокен

В отдельных случаях может понадобиться удаление действующего сертификата с Рутокен. Обычно это происходит при заполнении памяти (стандартный токен может включать 6-8 ЭЦП) либо истечении срока действия. Сделать это можно через панель управления Рутокен.

Мы же делать этого не рекомендуем. Причина в невозможности затем открыть документы, которые были подписаны удаленным сертификатом даже в случае, когда новый выдан на аналогичные реквизиты. Более разумным вариантом станет покупка нового токена, где будут храниться новые данные для ЭЦП, что обеспечит доступ ко всему массиву подписанных документов вне зависимости от даты операции.

Как установить рутокен плагин

Для нормального функционирования плагина Рутокен не нужны дополнительные программы, платформы. Достаточно на ПК или мобильное устройство установить плагин и браузер: Mozilla Firefox, Apple Safari, Internet Explorer не ниже седьмой версии, Opera и другие.

После чего при посещении пользователем защищенного интернет-ресурса утилита загружается на страницу в автоматическом режиме. При последующих обращениях к площадке функции плагина вызываются из скриптов страницы. Для установки плагина Рутокен необходимо:

Контроль правильности подключения рутокен


Для проверки корректности работы токена выполните следующие действия:

Если в последнем вы видите ваш токен, то устройство работает корректно. В противном случае повторно подключите его в USB-разъем.

Настройка двухфакторной аутентификации в домене windows

Теоретическая часть:

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карты и токена, начиная с Windows 2000. Она заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556 .

Читайте также:  Почти все, что вы хотели знать о КриптоПро CSP - Моя подпись

Протокол Kerberos был специально разработан для того, чтобы обеспечить надежную аутентификацию пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sing-On. Протокол основан на ключевой сущности Ticket (билет).

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей).

Когда пользователь выполняет первичную аутентификацию после успешного подтверждения его подлинности, KDC выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT).

В дальнейшем при обращении к отдельным ресурсам сети, пользователь, предъявляет TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Ticket Granting Service (TGS).

Одним из преимуществ протокола Kerberos, обеспечивающим высокий уровень безопасности, является то, что при любых взаимодействиях не передаются ни пароли, ни значения хеша паролей в открытом виде.

Расширение PKINIT позволяет использовать двухфакторную аутентификацию по токенам или смарт-картам на этапе предаутентификации Kerberos.

Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. TGT создается на основе электронной подписи, которая вычисляется на смарт-карте или токене.

Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

Практика:

Приступим к настройке.

Сделаем так, чтобы в домен под вашей учетной записью можно было зайти только по предъявлению токена и зная PIN-код.

Для демонстрации мы будем использовать Рутокен ЭЦП PKI производства компании «Актив».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

1 Этап — Настройка домена Первым делом установим службы сертификации.

Дисклеймер.

Эта статья не является туториалом по внедрению корпоративного PKI. Вопросы проектирования, разворачивания и грамотного применения PKI тут не рассматриваются ввиду необъятности этой темы.

Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение такого решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Удостоверяющий центр, выдающий сертификаты для использования смарт-карт или токенов, должен быть помещен в хранилище NT Authority.

Зайдите в Диспетчер сервера и выберите «Добавить роли и компоненты».

При добавлении ролей сервера выберите «Службы сертификации Active Directory» (Microsoft категорически рекомендует не делать это на контроллере домена, дабы не огрести проблем с производительностью). В открывшемся окне выберите «Добавить компоненты» и выберите пункт «Центр сертификации».

На странице для подтверждения установки компонентов нажмите «Установить».

2 Этап — Настройка входа в домен с помощью токена

Для входа в систему нам понадобится сертификат, который содержит идентификаторы Smart Card Logon и Client Authentication.

Сертификат для смарт-карт или токенов также должен содержать UPN пользователя (суффикс имени участника-пользователя). По умолчанию суффиксом имени участника-пользователя для учетной записи является DNS-имя домена, которое содержит учетную запись пользователя.

Сертификат и закрытый ключ должны быть помещены в соответствующие разделы смарт-карты или токена, при этом закрытый ключ должен находиться в защищенной области памяти устройства.

В сертификате должен быть указан путь к точке распространения списка отзыва сертификатов (CRL distribution point). Такой файл содержит список сертификатов с указанием серийного номера сертификата, даты отзыва и причины отзыва. Он используется для передачи сведений об отозванных сертификатах пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

Настроим установленные службы сертификации. В правом верхнем углу нажмите на желтый треугольник с восклицательным знаком и щелкните «Настроить службы сертификации…».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

В окне «Учетные данные» выберите необходимые учетные данные пользователя для настройки роли. Выберите «Центр сертификации».

Выберите «ЦС предприятия».

ЦС предприятия интегрированы с AD. Они публикуют сертификаты и списки отзыва сертификатов в AD.

Укажите тип «Корневой ЦС».

На следующем этапе выберите «Создать новый закрытый ключ».

Выберите период действия сертификата.

3 этап — Добавление шаблонов сертификатов

Для добавления шаблонов сертификатов откройте Панель управления, выберите пункт «Администрирование» и откройте Центр сертификации.

Щелкните по названию папки «Шаблоны сертификатов», выберите пункт «Управление».

Щелкните по названию шаблона «Пользователь со смарт-картой» и выберите пункт «Скопировать шаблон». На следующих скриншотах показано, какие параметры в окне «Свойства нового шаблона» необходимо изменить.

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Если в списке поставщиков нет «Aktiv ruToken CSP v1.0», то необходимо установить комплект «Драйверы Рутокен для Windows».

Начиная с Windows Server 2008 R2 вместо специального провайдера от производителя можно использовать «Microsoft Base Smart Card Crypto Provider».

Для устройств Рутокен библиотека «минидрайвера», поддерживающая «Microsoft Base Smart Card Crypto Provider», распространяется через Windows Update.

Проверить установился ли «минидрайвер» на вашем сервере можно подключив Рутокен к нему и посмотрев в диспетчер устройств.

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Если «минидрайвера» по каким-то причинам нет, его можно установить принудительно, инсталлировав комплект «Драйверы Рутокен для Windows», а после этого воспользоваться «Microsoft Base Smart Card Crypto Provider».

Комплект «Драйверы Рутокен для Windows» распространяется бесплатно с сайта Рутокен .

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Добавьте два новых шаблона «Агент сертификации» и «Пользователь с Рутокен».

Для этого выйдите из окна «Управления шаблонами». Нажмите правой кнопкой мыши на «Шаблоны сертификатов» и выберите пункт меню «Создать» и подпункт «Выдаваемый шаблон сертификата».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр


Далее выберите «Агент регистрации» и «Пользователь с Rutoken» и нажмите «ОК».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр
Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Далее нам необходимо выписать сертификат администратору домена. Откройте службу «Выполнить» и укажите команду mmc. Добавьте оснастку «Сертификаты».

В окне «Оснастки диспетчера сертификатов» выберите «моей учетной записи пользователя». В окне «Добавление и удаление оснастки» подтвердите добавление сертификатов.

Выберите папку «Сертификаты».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Запросите новый сертификат. Откроется страница для регистрации сертификата. На этапе запроса сертификата выберите политику регистрации «Администратор» и нажмите «Заявка».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Таким же образом запросите сертификат для Агента регистрации.

Чтобы запросить сертификат для определенного пользователя щелкните «Сертификаты», выберите пункт «Зарегистрироваться от имени…».

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

В окне для запроса сертификата установите флажок «Пользователь с Рутокен».

Теперь необходимо выбрать пользователя.

В поле «Введите имена выбранных объектов» укажите имя пользователя в домене и нажмите «Проверить имя».

В окне для выбора пользователя нажмите «Заявка».

В раскрывающемся списке выберите имя токена и укажите PIN-код.

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Таким же образом выберите сертификаты для других пользователей в домене.

4 этап — Настройка учетных записей пользователей

Для настройки учетных записей откройте список пользователей и компьютеров AD.

Настройка плагина рутокен

После успешной инсталляции модуля нужно включить расширение Рутокен Плагин в используемом веб-обозревателе. Настройку Google Chrome и Mozilla Firefox осуществляют в главном меню — 3 точки или 3 горизонтальные черты в правом верхнем углу браузера.

Процесс выполняют в несколько кликов. Сначала нужно перейти в закладку «Расширения» и активировать «Адаптер Рутокен Плагин» — поставить флажок «Включить» напротив названия (Google Chrome), нажать кнопку включения (Mozilla Firefox). Чтобы включить расширение плагина в Яндекс.Браузере нужно:

  1. Открыть главное меню, нажав на 3 горизонтальные линии в верхней части страницы.
  2. Перейти в раздел «Дополнения».
  3. Кликнуть по иконке «Расширения для Яндекс.Браузера».
  4. В поисковой строке, расположенной в верхней левой части открывшейся страницы, ввести слово rutoken.
  5. Нажать на название «Адаптер Рутокен Плагин», которое появится на экране.
  6. Активировать кнопку «Добавить».
  7. Установить расширение, нажав на одноименную иконку.
  8. Дождаться сообщения об успешной инсталляции, которое высветится на экране.
  9. Перейти в раздел «Дополнения», во вкладку «Из других источников».
  10. Кликнуть по значку «Вкл.».
Читайте также:  Информационная безопасность: механизмы аутентификации, шифрования и электронной подписи — СКБ Контур

Описание настройки ПО для других браузеров размещено здесь — страницы 16-22.

Настройка рабочего места

Для корректной работы токена необходимо предварительно настроить ПК или ноутбук, что можно сделать самостоятельно (если необходимо, то дополнительную консультацию предоставят сотрудники удостоверяющего центра «Астрал-М»).

Недостатки, куда же без них

Токены или смарт-карты не бесплатные (решается бюджетом).

Их нужно учитывать, администрировать и обслуживать (решается системами управления токенами и смарт-картами).

Некоторые информационные системы могут «из коробки» не поддерживать аутентификацию по токенам (решается системами типа Single Sign-On — предназначенными для организации возможности использования единой учетной записи для доступа к любым ресурсам области).

Особенности использования токенов

На все токены производитель предлагает гарантийный срок эксплуатации сроком в 12 месяцев. На практике срок службы устройства кратно больше и зависит в основном о соблюдения правил использования. Последние включают следующие рекомендации:

  • защищайте токен от воздействий любого типа (агрессивные вещества, повышенные и пониженные температуры, удары, вибрации, воздействия твердыми предметами);
  • при подключении устройства не прилагайте больших усилий (особенно направленных перпендикулярно боковой поверхности корпуса);
  • предотвращайте попадание на устройство (особенно касается считывателя) пыли, грязи, влаги, а для очистки используйте обычную чистую сухую ткань;
  • не носите токен вместе с ключами, монетами и иными твердыми предметами;
  • не разбирайте и не сгибайте устройство;
  • подключайте токен только к исправному USB-разъему либо считывателю;
  • не извлекайте устройство во время горящего или мигающего индикатора из-за риска повреждения информации, микроконтроллера;
  • не используйте длинные переходники или большие хабы без дополнительного питания из-за снижения напряжения.

На практике, идеальным местом для хранения Рутокен на рабочем месте будет сейф, ящик стола, который закрывается на ключ и куда нет доступа у третьих лиц.

Преимущества входа в домен по токену

PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.

PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.

При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.

Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.

Регистрация и установка программного решения cryptopro

Сама программа предназначена для защиты данных путем шифрования и формирования ЭП. Сертификат нужен для подтверждения значимости и статуса цифровой документации во время работы с различными объектами, включая:

Перед тем как приступать непосредственно к инсталляции ПО, надлежит закрыть все приложения. Нужно перейти в учетную запись администратора. Также важный момент — наличие лицензии на программу.

Следуя инструкции, можно установить программу «КриптоПро» без особых проблем. Порядок действий прост: понадобится лишь сохранить и запустить установочный файл. По завершении процедуры требуется произвести перезагрузку компьютера. Получить дистрибутив предлагается на официальном сайте программного продукта.

Интегрированное ПО позволяет выполнять различные операции с ЭЦП. Его преимуществом является бесплатность на протяжении всего пробного периода. Испытать возможности «КриптоПро» предлагается на протяжении 3 месяцев. По истечении 90 дней бесплатного демонстрационного периода надлежит купить лицензионный ключ, чтобы и дальше иметь доступ ко всему функционалу.

Важно учесть, что перед инсталляцией надлежит проверить ПК на соответствие минимальным требованиям. Обычно нужна операционная система Windows 7 и более свежая, браузер IE8, процессор с частотой минимум 1 ГГц и оперативная память не менее 512 Мб. USB-вход стандарта 1.1 — также обязательное требование к компьютеру, где проводится работа с программой.

Рутокен s

Рутокен S — USB-устройство с функцией генерации ЭП для безопасного хранения закрытых ключей электронной подписи, биометрических данных и другой конфиденциальной информации. Сведения записываются на защищенную внутреннюю память токена. Доступ к области хранения информации открывается после ввода секретного кода, известного владельцу устройства.

Криптографические операции выполняются на самом электронном идентификаторе. При работе с хранилищем закрытая информация не выдается наружу, например, не переносится на жесткий диск персонального компьютера (ноутбука). Украсть секретные сведения невозможно.

Производитель Рутокен S — отечественная компания «Актив», предлагает клиентам несколько моделей устройства:

  • micro — компактный токен, подходит для ноутбуков, нетбуков, планшетов;
  • RF — токен с RFID-меткой, используемой для идентификации личности и открытия доступа на охраняемые объекты (офисы, базы);
  • ндв3 и 4 ФСТЭК — базовая или микро-модель, укомплектованная сертификатом Федеральной службы по техническому и экспортному контролю.

Для работы с Рутокен S на сервер, ПК или мобильный гаджет нужно установить специальный комплект драйверов. Программное обеспечение доступно по ссылке во вкладке «Центр Загрузки».

Важно: перед запуском процесса инсталляции ПО рекомендуем закрыть активные приложения и утилиты, извлечь токен из разъема компьютера.

Установка драйвера возможна при наличии у пользователя прав доступа администратора.

Рутокен лайт

Рутокен Лайт — компактное устройство для хранения закрытого ключа, сертификата ЦП. Доступ к информации, записанной на USB-носитель, открывается после прохождения пользователем двухэтапной аутентификации. То есть ему необходимо предъявить два доказательства: секретный шифр и сам токен. Если носитель украден (утерян), злоумышленник не сможет считать с устройства сведения без PIN-кода.

Модель Lite представлена в нескольких исполнениях: карты microSD, стандартного USB-токена или микро-устройства. Устройство работает по CCID. Протокол позволяет подключить токен к компьютеру через стандартный USB-интерфейс и считывать с него информацию без предварительной установки дополнительных утилит (кроме криптографической программы КриптоПро CSP).

Модель Lite подходит коммерческим структурам, которые работают с:

  • электронными документами: счетами-фактурами, актами, отчетами;
  • сообщениями, отправленными, полученными по электронной почте;
  • персональными данными физлиц (медучреждения, социальные службы).

Также токен можно использовать в качестве носителя ключа ЭП для проведения финансовых операций в онлайн-режиме.

Рутокен плагин

Рутокен Плагин — независимый программный модуль (фрагмент), необходимый для связи веб-обозревателя с flash-носителем, на котором пользователь хранит ЭП. Плагин совместим с операционными системами: Linux (для встраиваемых систем, серверов, игровых приставок, нетбуков, суперкомпьютеров и станций)

  • вычисление хэш-функции — определение алгоритма преобразования (хэширования) исходных сведений;
  • аутентификация — проверка «подлинности» пользователя онлайн-ресурса по аппаратному средству защиты КЭП (токену или смарт-карте);
  • шифрование — криптографическое преобразование данных при обмене ими между веб-службой и браузером;
  • визирование формы (отчета, счета-фактуры, заявки и прочего) электронной подписью;
  • разграничение доступа — предоставление пользователю при работе с интернет-ресурсом прав, которые определены и ограничены электронным сертификатом.
Читайте также:  Электронная подпись (ЭЦП) для Честного знака, купить и получить

При визировании документа ЭП плагин обращается к токену или смарт-карте. Все криптографические процессы выполняются на носителе. То есть закрытый ключ не извлекается из защищенного хранилища и не копируется в оперативную память компьютера. Украсть КЭП, используя интернет, невозможно.

Рутокен эцп 2.0 с пин-кодом

Еще одно устройство линейки Рутокен — ЭЦП 2.0. Основа токена — защищенный микроконтроллер со встроенной памятью. Чтобы воспользоваться секретными сведениями (КЭП, данные владельца, пароли и прочая информация), которые хранятся на устройстве, необходимо в разъем компьютера (ноутбука, планшета) вставить Рутокен ЭЦП 2.0 и ввести пин-код, известный собственнику токена.

Компания-производитель выпускает три варианта средств криптографической защиты информации модели ЭЦП 2.0: стандартный USB-носитель, микро-токен, смарт-карта. Устройство сертифицировано Федеральной службой безопасности России и ФСТЭК.

Некоторые модели USB-токена снабжены особыми функциями:

  • RF оснащен RFID-меткой, которая позволяет идентифицировать владельца и открыть ему доступ в охраняемое помещение;
  • Type-C подходит для работы на современных компьютерных устройствах с USB Type-C — универсальным двухсторонним разъемом и Thunderbolt 3 — интерфейсом, который объединяет в себе PCIe, DP;
  • Touch оснащен кнопкой, при нажатии на которую владелец подтверждает правильность и легальность наложения электронной подписи на цифровой документ.

Модель ЭЦП 2.0 подходит для систем с высокими требованиями к информационной безопасности: Единой государственной информационной системы, цифрового документооборота в госсекторе, удаленного банковского обслуживания.

Рутокен эцп с пином для егаис: сертификат гост, ключ rsa

ЕГАИС — общероссийская система, предназначенная для осуществления федерального контроля за движением спирта и спиртосодержащих товаров с момента производства и до реализации конечному потребителю. Подача отчетности и других документов в ЕГАИС возможна при наличии квалифицированной цифровой подписи, которую чаще всего хранят на защищенном носителе (токене). Для работы в системе необходим Рутокен ЭЦП 2.0 с пином, сертификат ГОСТ, ключ RSA с пин кодом.

Прежде чем приступить к настройке токена, необходимо установить специальный драйвер. Для этого:

Способы получения электронной цифровой подписи на пк

Конкретный вариант того, как получить электронную подпись, зависит от ее типа:

С полным перечнем прошедших аккредитацию удостоверяющих центров предлагается ознакомиться на веб-портале Минкомсвязи РФ.

Усиленная подпись позволяет участвовать в торгах, взаимодействовать с налоговой инспекцией, сдавать отчеты в госорганы, проводить коммерческие торги и пр. Ее использование гарантирует самый высокий уровень безопасности. Для подписания первичных бухгалтерских документов в цифровом формате достаточно простой подписи. Однако для ведения полноценной предпринимательской деятельности этого мало.

Как пользователь может получить и установить ЭЦП на компьютере:

Последний вариант менее удобен в том случае, когда сертификат используется сразу несколькими людьми. Следует иметь в виду и необходимость повторного выпуска сертификата в случае выхода из строя винчестера либо переустановки ОС.

Чаще всего используется вариант установки Рутокена через обычный флеш-накопитель. Электронная подпись будет иметь вид папки с файлами.

Токен и смарт-карта

Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.

Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.

На фотографии изображена типичная смарт-карта и считыватель.

Как при помощи токена сделать Windows домен безопаснее? Часть 1 / Хабр

Однако вернемся к корпоративной безопасности.

А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.

Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.

Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.

Установка эцп с флеши на пк

Перед тем как установить и активировать цифровую подпись с flash-накопителя на ПК, потребуется удостовериться в наличии нескольких условий:

Нужно также настроить место работы. Процедура предполагает установку сертификата удостоверяющего сервиса, ключа, а также его дальнейшую загрузку.

Сама инструкция по установке цифровой подписи на компьютер выглядит не слишком сложно. Список действий, как активировать и затем произвести настройку ЭЦП, схож с обычной установкой сертификата. Предварительно следует лишь вставить flash-накопитель в ПК.

Порядок действий таков:

Вероятна ситуация, что окно с выбором считывателей не появится. В таком случае нужно перейти в настройки считывателей, выбрать пункт с названием «Добавить», после чего нажать кнопку «Далее».

В отобразившемся на дисплее окне надлежит выбрать пункт, называющийся «Все производители». Потом жмем «Далее».

Важный нюанс: закрытый ключ выдается в формате файлов *.key. Если они расположены в корневой папке, «КриптоПро CSP» не сможет их увидеть. Поэтому сначала нужно перенести все файлы на флеш-накопитель. Важно, чтобы он находился в папке первого уровня.

Об успешной установке ЭЦП с флешки на компьютер оповестит соответствующее окно. На экране появится надпись о завершении операции.

Иногда может понадобиться вручную установить сертификат в контейнер. Это делается посредством перехода в СКЗИ «КриптоПро», где во вкладке «Сервис» нужно выбрать кнопку «Установить личный сертификат».

Потом предлагается выбрать имя файла, в который помещен сертификат. Обозначить путь к нему нужно через кнопку «Обзор».

После нажатия кнопки «Далее» выдаются основные сведения сертификата для установки. Уточнить данные можно путем перехода во вкладку «Свойства».

Нажимаем кнопку «Далее» и попадаем в окно с названием «Контейнер закрытого ключа». Тут надлежит нажать кнопку «Обзор» в строке «Имя ключевого сертификата». В перечне будут предложены контейнеры, потребуется выбрать интересующий.

Если для получения доступа к закрытому ключу нужен пароль, будет подан запрос на него. Надлежит ввести код и подтвердить его нажатием кнопки «ОК».

Нажатием кнопки «Обзор» можно перейти к выбору места, куда надлежит установить сертификат ЭЦП. Предлагаются следующие варианты: хранилище пользователя либо ПК.

Нужно поставить флажок напротив пункта «Установить сертификат в контейнер».

В завершение предлагается удостовериться в корректности внесенных сведений. Посредством нажатия кнопки «Готово» завершается процедура установки.

Заключение

Основная задача — настроить Рутокен. После установки драйвера и перезагрузки компьютера можно активировать ЭЦП. Данная операция касается электронного ключа. Активировать его можно довольно просто. Нужно найти установленный дистрибутив в панели управления и перейти во вкладку с названием «Свойства». Далее нажатием на кнопку «Сервис» можно посмотреть сертификаты в контейнере. Осуществляется операция импорта.

Именно так можно активировать ЭЦП. Инструкция не предполагает выполнения сложных действий.

Наличие установленной электронной подписи позволит пользоваться ею даже при отсутствии самого флеш-накопителя, прямо с компьютера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector