- Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере
- Что делать, если забыл пароль и сертификат не устанавливался
- Что такое сертификат электронной подписи?
- Если у вас токен (Рутокен например)
- Если закрытый ключ в виде файлов
- Использование электронной подписи без токена или флешки (установка в реестр)
- Используйте функционал личного кабинета налогоплательщика
- Как получит новый сертификат
- Как узнать пароль электронной подписи
- Какие стандартные пин-коды носителей?
- Криптопро просмотреть сохраненный пароль (пинкод) на контейнер закрытого ключа эцп
- Отличие пароля подписи от пин-кода токена
- Попробуйте разные варианты имеющихся паролей
- Проблемы с паролем к электронно-цифровой подписи
- Стандартный пин-код для токена. особенности работы. –
- Заключение
Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере
Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.
Что делать, если забыл пароль и сертификат не устанавливался
Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет.
Что такое сертификат электронной подписи?
Обычно под сертификатом электронной подписи понимается бумажный или электронный документ. Предназначенный для проверки подлинности электронной подписи, и подтверждающий принадлежность ключа ЭП владельцу сертификата.
Сертификат ЭП выпускается специализированным удостоверяющим центром, занимающимся выдачей таких сертификатов и их обслуживанием. Такой сертификат содержит данные о владельце закрытого ключа электронной подписи и информацию об удостоверяющем центре, выпустившим такую подпись. Удостоверяющий центр ответственен за достоверность представленных в сертификате данных.
В сертификате ключа проверки ЭП обычно присутствует сам ключ проверки ЭП, название средства электронной подписи и имя удостоверяющего центра, выпустившего сертификат. Также здесь имеются:
- Данные о дате начала и конца действия сертификата.
- Сведения о владельце ЭП.
- Данные об ограничениях в сфере применения ЭЦП и другая справочная информация.
Для получения сертификата ключа проверки ЭП необходимо обратится в удостоверяющий центр, заполнить онлайн-заявку и оплатить выставленный вам счёт. Позже на указанный вами в заявке е-мейл придёт уведомление о готовности сертификата. Останется подготовить документы для идентификации, и посетить с ними ближайший офис для получения сертификата ЭП.
Если у вас токен (Рутокен например)
Прежде чем система сможет с ним работать понадобится установить нужный драйвер.
Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.
Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.
Если закрытый ключ в виде файлов
Закрытый ключ может быть в виде 6 файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key
Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:Andrey{файлики}, если расположить в E:Andreykeys{файлики}, то работать не будет.
(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:tmp появится новый диск (X:), в нем будет содержимое папки C:tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)
Нашли файлы, записали на флешку, переходим к следующему шагу.
Использование электронной подписи без токена или флешки (установка в реестр)
Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:
- Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
- Далее открываем КриптоПро CSP
- Заходим на вкладку Сервис
- Нажимаем кнопку Скопировать
- С помощью кнопки Обзор выбираем наш ключ
- Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например “Пупкин, ООО Ромашка” и нажимаем кнопку Готово
- Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
- Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок
Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).
Важное замечание: портал OpenSRO не “увидит” сертификат, если вышел срок его действия.
Используйте функционал личного кабинета налогоплательщика
Функционал ЛК налогоплательщика позволяет отозвать сертификат электронной подписи, к которому вы забыли пароль, и сформировать вместо него новый сертификат с новым паролем. Такая процедура стандартизирована, предусмотрена возможностями ЛК, и может использоваться в случае невозможности вспомнить прежний пароль к сертификату ЭП.
Выполните следующее:
Как получит новый сертификат
Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.
Справка: для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.
Потребуется предоставить в удостоверяющий центр базовый набор документов:
- паспорт;
- ИНН;
- СНИЛС;
- выписка из реестра ФНС (только для предпринимателей).
Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.
Как узнать пароль электронной подписи
Если пользователь забыл код доступа от подписи, использование которой осуществляется через установку программы на компьютер, его действия зависят от того, установлен ли уже сертификат на устройство или нет. Если установлен — пароль доступен через процедуру обращения к системе, если нет — подпись придется перевыпускать, узнать старый код невозможно.
Инструкция, как узнать пароль ЭЦП, установленной на компьютер:
- Зайти в папку с программой «КриптоПро CSP». Расположена она, как правило, в папке Program Files.
- Найти и запустить файл с названием csptest — это утилита, которая необходима для просмотра пароля.
- В открывшемся окне ввести cd «C:Program FilesCrypto ProCSP».
- Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Пользователь получит перечень всех имеющихся на устройстве подписей, если таковая только одна — список составит один пункт.
- Ввести команду csptest -passwd -showsaved -container «<xxxxxxxx>», где xxxxxxxx — это название контейнера, доступ к которому необходим.
- Нажать Enter и узнать набор системных данных, в числе которых — искомый код.
Такой способ возможен только, если сертификат подписи уже установлен на компьютер и необходимо только узнать код доступа от него.Если пользователь забыл пароль на сертификат ЭЦП, сертификат которой на компьютер не установлен, придется действовать одним из следующих способов:
- пытаться подобрать комбинацию для доступа вручную, перебирая все значимые для пользователя комбинации символов: даты рождения, ПИН-коды карточек и т. д. Количество попыток неограниченно, поэтому шанс узнать утраченную комбинацию есть и при таком подходе;
- отозвать текущий сертификат и получить в удостоверяющем центре новую ЭЦП.
Пароль для подписи в личном кабинете налогоплательщика указывается при запросе создания ЭП и при каждом использовании. Если пользователь забыл созданный код, способа, как узнать пароль от сертификата ЭЦП для налоговой нет: сертификат придется отозвать и создать новый, но это очень простая процедура, которая займет от нескольких минут до суток.
Какие стандартные пин-коды носителей?
Если во время использования требуется ввести пин-код от защищенного носителя, попробуйте следующие заводские коды:
Носители Rutoken S/Lite/ЭЦП 2.0:
12345678 – пользователь
87654321 – администратор
Носитель eToken:
Стандартный пин-код пользователя: 1234567890
Носители eSmart/JaCarta/JaCarta LT:
Стандартный пин-код на таких токенах: 12345678
Носитель Jacarta SE (Обычно используется для работы с системой ЕГАИС)
Стандартный пин-код для PKI-части:
Администратора 00000000;
Пользователя 11111111;
Стандартный пин-код для ГОСТ части:
Администратора 1234567890;
Пользователя 0987654321.
Криптопро просмотреть сохраненный пароль (пинкод) на контейнер закрытого ключа эцп
Недавно столкнулся с проблемой, в бухгалтерии, КриптоПро спросил пинкод на контейнер закрытого ключа, для каких целей уже не помню. Бухгалтер, конечно же, не помня никаких паролей, начал листать блокнот, тыкать мне десяток флешек и нервно что-то бормотал про религию, правительство и директора. Я тоже прикинулся “северным оленем” залез в интернеты и нашел простой способ узнать сохраненный пароль, пинкод (если изволите), на контейнер закрытого ключа электронной цифровой подписи (ЭЦП).
Был сильно удивлен простотой, и думал, что это не сработает, но все получилось. Вот пошаговая инструкция:
- Запускаем командную строку – сочетание клавиш Windows R, а потом пишем cmd. Должно появиться черное окошко (есть люди, которые окна называют табличками:))
- в командной строке нужно перейти в папку с КриптоПро, в Windows XP нужно набрать команду cd “C:Program FilesCrypto ProCSP” (ковычки обезательны). В Windiws 7 команда может быть такой – cd “C:Program Files (x86)Crypto ProCSP”
- Просмотрим список имен контейнеров закрытого ключа ЭЦП командой csptest -keyset -enum_cont -fqcn -verifycontext
Теперь мы можем просмотреть сохраненный пароль КриптоПро для интересующего контейнера ЭЦП csptest -passwd -showsaved -container “<имя контейнера>”
Я был удивлен, что было так просто восстановить забытый пароль на контейнер ЭЦП, интересно это как согласуется с требованиями к безопасности, ГОСТами и т.п.? После таких простых манипуляций, бухгалтер начала называть меня “программистом”, а я считал себя крутейшим хакером 🙂
Отличие пароля подписи от пин-кода токена
Электронная подпись (ЭЦП) — это программа, призванная заменить ручной автограф при электронном документообороте. Сертификат ЭП выдается конкретному лицу и идентифицирует его личность.
Существует два варианта работы с ЭЦП, от которых зависит ответ на вопрос, как узнать ПИН-код от ЭЦП. Это:
- Установка ее на компьютер: в этом случае создается специальная папка, контейнер или директория, в которой сертификат подписи и ключи. При установке программа требует подтвердить возможность доступа — при оформлении владельцу выдается или направляется с помощью СМС стандартный код, после установки его следует заменить на собственный и запомнить. Подтверждение права доступа потребуется при переустановке подписи на другие устройства, и при каждом ее использовании, чтобы не вводить код доступа при каждом использовании, пользователю предоставлена возможность воспользоваться функцией запоминания, тогда программа не потребует его каждый раз, но тем больше вероятность его забыть и при необходимости переустановить программу на другое устройство встретиться с множеством сложностей.
- С помощью специального физического носителя — токена, напоминающего по виду обычную флешку. Токен имеет средство обеспечения безопасности использования — ПИН-код, который вводится при записи ЭЦП на носитель — если носитель новый, используется заводской код, при установке сертификата на компьютер пользователя и при каждом подписании с его помощью, если пользователь не нажал «Запомнить».
Таким образом, и пароль ЭЦП, и ПИН-код токена — это средства обеспечения безопасности использования подписи, но один используется для установленного на компьютер программного обеспечения, а другой — при использовании внешнего носителя ЭЦП. И инструкции, как узнать пароль ключа ЭЦП и пин-код от токена, различны.
Существует несколько видов электронных подписей. Их выдачей занимаются удостоверяющие центры — специализированные юридические лица. Некоторые интернет-сервисы предоставляют возможность оформить собственные электронные подписи для работы конкретно на них.
Например, такую возможность дает официальный сайт налоговой службы, где в личном кабинете пользователь заказывает выдачу неквалифицированной подписи, которая используется для подачи документов в налоговую через личный кабинет налогоплательщика. К такой подписи необходимо подтверждение доступа, которое система запрашивает при каждом использовании.
Попробуйте разные варианты имеющихся паролей
Пароль от сертификата электронной подписи можно вводить в систему неограниченное количество раз. Имея неограниченное количество попыток, можно попытаться вспомнить пароль к ЭЦП, который вы вводили ранее. Поскольку каждый человек обычно использует небольшое число вариантов, вы можете перепробовать их все.
Обратите внимание на используемый при вводе пароля язык. Часто для пароля используется латиница, а человек пытается ввести пароль кириллицей, и получает отказ от системы. Перепробуйте все имеющиеся и возможные варианты, и если доступ к системе всё так же закрыт, переходите к следующему способу.
Проблемы с паролем к электронно-цифровой подписи
Довольно часто случаются ситуации, когда владелец электронно-цифровой подписи не может вспомнить пароль к ней. Такой пароль защищает систему от мошенников, но может стать преградой для нерадивого хозяина электронной подписи, забывшего пароль.
Особенно часто это происходит, когда владелец ЭП переносит систему на новый компьютер. Прежняя подпись могла использоваться на старом ПК в автоматическом режиме, при этом хозяин уже давно забыл правильный код доступа. Попытки вспомнить пароль часто не дают какого-либо результата.
Где же взять пароль при получении запроса о вводе пароля к сертификату? Расскажем ниже.
Стандартный пин-код для токена. особенности работы. –
Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.
Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.
Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код – это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.
Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.
1. Какой PIN-код используется по умолчанию?
В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.
Владелец | Пользователь | Администратор |
Рутокен | 12345678 | 87654321 |
eToken | 1234567890 | По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP. |
JaCarta PKI | 11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890 | 00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен |
JaCarta ГОСТ | Не задан | 1234567890 |
JaCarta PKI/ГОСТ | Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890 Для ГОСТ-функционала: PIN-код не задан | Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен Для ГОСТ-функционала: 1234567890 |
JaCarta PKI/ГОСТ/SE | Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321 | Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890 |
JaCarta PKI/BIO | 11111111 | 00000000 |
JaCarta PKI/Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
карта IDPrime | 0000 | 48 нулей |
JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?
PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.
3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?
Единственный выход — полностью очистить (отформатировать) токен.
4. Что делать, если PIN-код пользователя заблокирован?
Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.
5. Что делать, если PIN-код администратора заблокирован?
Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.
6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?
Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.
Параметр | eToken | Рутокен |
Минимальная длина PIN-кода | 4 | 1 |
Состав PIN-кода | Буквы, цифры, специальные символы | Цифры, буквы латинского алфавита |
Рекомендуемая длина PIN-кода | Больше или равно 7 | До 16 |
Администрирование безопасности PIN-кода | Есть | Есть |
Защита от атак с использованием методов полного перебора и подбора по словарю | Есть | Есть |
Значение по умолчанию счетчика неправильного ввода | 15 | 15 |
Возможность менять значение счетчика неправильного ввода | Есть | Есть |
Автоматическая блокировка при превышении количества попыток неправильного ввода | Есть | Есть |
Обнуление счетчика при первой успешной попытке ввода PIN-кода | Есть | Есть |
Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.
Программные продукты Рутокен и eToken представлены
в интернет-магазине Cryptostore.ru
в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то
токен в виде USB-брелока
или
электронный ключ, дополненный флэш-картой для хранения ваших данных
.
Заключение
В нашем материале мы разобрали, что делать при появлении надписи «Введите пароль к сертификату» в ситуации, когда вы забыли пароль, и где можно взять данный пароль. Если после нескольких попыток вы понимаете, что не можете вспомнить пароль, тогда отзовите старый сертификат, пароль к которому утерян.
Вместо отозванного сертификата сформируйте запрос на новый сертификат, и придумайте к нему новый пароль. Созданный пароль запишите где-либо на бумажке, которую сохраните в надёжном месте. Не исключено, что через некоторое время он может понадобиться вам вновь.