PIN-коды ЭЦП Рутокенов

1)      Необходимо определить носитель, на котором располагается контейнер закрытого ключа.

Способ для CSP 4.0/5.0

Для этого откройте Пуск-Все программы-КриптоПро CSP-Вкладка Сервис- Протестировать-Обзор

В колонке считыватель Вы увидите На каком носителе записан контейнер закрытого ключа.

Способ для CSP 5.0

Для этого откройте Пуск-Все программы- Инструменты КриптоПро

В колонке считыватель Вы увидите на какой носитель записан контейнер закрытого ключа.

2)   Определить тип носителя

-CLOUD значит контейнер закрытого ключа расположен на облачном сервере. Необходимо понять забыт пароль на контейнер или учетную запись пользователя.

То необходимо обратиться в организацию, выдавшую Вам облачную электронную подпись, они помогут восстановить данные.

Если при подписи Вы успешно прошли авторизацию и видите перед собой окно такого вида:

То Вы забыли пароль на закрытый ключ, восстановить его нельзя, только подобрать. Необходимо вспомнить пароль, либо перевыпустить подпись.

Важно: обычно у Вас есть ограниченное количество попыток при вводе пароля на облачный ключ, после превышения данного количества ключ будет временно заблокирован (обычно есть 5 попыток), блокировку могут снять в организации, выдавшей Вам облачную электронную подпись, после чего Вы сможете продолжить попытки подбора пароля.

-REGESTRY ключ расположен в реестре. Количество попыток ввода ограниченно 5 за одну попытку, но ключ не блокируется, можно продолжать подбор пароля заново.

-HDIMAGE ключ расположен на локальном диске. Количество попыток ввода ограниченно 5 за одну попытку, но ключ не блокируется, можно продолжать подбор пароля заного.

Какой либо из перечисленых:

Если Вы обнаружили что имя считывателя совпадает с одиним из Выше перечисленных занчений, то контейнер закрытого ключа расположен на токене. Вы имеете ограниченное количество попыток для подбора пароля, после их исчерпания токен будет заблокирован.

Послезно знать пароли по умолчанию:

В некоторых случаях, после исчерпания попыток, токен можно разблокировать с помощью пароля администратора. Для этого необходимо обратится к производителю токена.

Из нашей статьи вы узнаете:

Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:

• USB-накопитель;
• брелок;
• смарт-карта.

Разновидности кодов доступа на подписи Рутокен

Для подписи документов ЭЦП надо знать два типа подобных кодов:

• пользовательский (при заводских параметрах на токене установлено число 12345678);
• администраторский (при заводских параметрах на токене установлено число 87654321).

PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.

PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.

Как сохранить и обезопасить данные

Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:

• не держите в одном месте или рядом ЭЦП Рутокен и PIN-коды от него;
• не передавайте токен и пароль третьим лицам, включая системных администраторов, знакомых, членов семьи, коллег;
• пароли должны быть записаны и храниться в надежном недоступном для третьих лиц месте.

При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).

Как изменить ПИН

Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:

• длина должна составлять 6-10 символов (меньшее их число значительно увеличивает вероятность подбора, а большее потенциально ведет к росту числа ошибок при его введении);
• идеальным будет пароль, включающий в себя одновременно цифры, латинские буквы, специальные символы и пробелы (лучшим с точки зрения безопасности будет их перемешивание);
• откажитесь от использования в качестве обновленного ПИНа известных слов, устойчивых сочетаний;
• не используйте наборы символов, представляющих комбинации типа qwerty и другие, где элементы находятся на соседних кнопках;
• избегайте использования в качестве PIN-кода личных данных;
• на разных устройствах ЭЦП Рутокен должны быть разные пароли.

Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен

Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:

• подключите ЭЦП Рутокен к вашему рабочему компьютеру;
• зайдите в «Панель управления Рутокен»;
• введите актуальный ПИН Пользователя;
• перейдите в раздел-секцию «Управление PIN-кодами»;
• нажмите активную кнопку «Изменить» (если она неактивна, то обратитесь к системному администратору вашего токена);
• в поле «Введите новый PIN-код» и «Подтвердите новый PIN-код» введите придуманный вами пароль доступа (для проверки его надежности вы увидите индикатор, который должен получить зеленый цвет);
• подтвердите изменения нажатием на кнопку ОК.

Как войти в Рутокен с помощью пин-кода

После подключения токена к ноутбуку либо компьютеру выполните следующие действия:

• откройте «Панель управления Рутокен»;
• нажмите один раз кнопку «Ввести PIN-код»;
• введите пользовательский пароль;
• нажмите кнопку ОК.

Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.

Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?

Выполните действия по следующему алгоритму:

• подключите к ноутбуку или ПК ваш Рутокен;
• зайдите в «Панель управления»;
• введите актуальный PIN-код Администратора;
• щелкните в разделе «Управление PIN-кодами» по кнопке «Разблокировать»;
• нажмите кнопку ОК на окне с сообщением о разблокировке.

Основные нюансы работы с PIN-кодами Администратора

Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.

Рутокен имеет счетчик неверных попыток для ввода PIN-кода “Администраторы” (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.

Как скорректировать ПИН Администратора

Для изменения действующих настроек придерживайтесь следующего алгоритма:

• подключите Рутокен к вашему устройству;
• перейдите в раздел «Панель управления Рутокен»;
• введите актуальный пароль Администратора;
• перейдите в подраздел «Управление PIN-кодами»;
• кликните по кнопке «Изменить»;
• введите придуманный пароль в полях «Введите новый PIN-код», «Подтвердите новый PIN-код» (для контроля его сложности служит индикатор безопасности, который должен, в идеале, стать зеленым);
• подтвердите изменения, нажав кнопку «ОК».

Как вернуться к заводским настройкам Рутокен

Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:

• после возврата к заводским настройкам все данные с токена, включая сертификаты и ключи, будут удалены;
• при возврате к заводским параметрам на ЭЦП Рутокен будут удалены все данные, сохраненные на карте памяти;
• во время возврата нельзя отключать токен из-за риска его повреждения, когда понадобится покупка нового.

Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:

• подключите ваш токен к компьютеру;
• откройте «Панель управления Рутокен»;
• перейдите во вкладке «Форматирование токена»;
• нажмите кнопку «Форматировать»;
• укажите в окне под названием «Форматирование токена» ключевые параметры (они будут рассмотрены чуть ниже);
• нажмите кнопку «Начать»;
• подтвердите форматирование, нажав на кнопку ОК;
• дождитесь завершения процедуры;
• нажмите ОК для подтверждения завершения процесса.

Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:

• имя устройства;
• политика смены пароля Пользователя;
• установление нового пароля Администратора;
• указание минимальной и максимальной длины пароля Пользователя и Администратора;
• установление максимального числа попыток ввода пароля Пользователя и Администратора.

Изменение политики по смене пользовательского PIN-кода

Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:

• «Пользователь»;
• «Пользователь и Администратор»;
• «Администратор».

Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:

• использование PKCS#11 возможно с помощью С_InitToken();
• изменение ПИНа Администратора возможно при использовании криптографического сервиса Microsoft Base Smart Card Crypto Provider.

При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.

Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.

Способы установки PIN-кода Администратора и Пользователя

Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.

Способы защиты от указания слабого PIN-кода

Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):

• DEFPIN;
• PINENCODING;
• PPACCEPTBLEBEHAVIOR;
• PPMINPINLENGTH;
• PPDEFAULTPIN;
• PPONESYMBOLPIN;
• PPONLYNUBERALS;
• PPONLYLETERS;
• PPCURRENTPIN;
• PPBADPINBEHAVIOR;
• PPACCEPTABLEPINBEHAVIOR;
• PPPINLENGHTWEIGHT;
• PPBADPINBORDER;
• PPBOODPINBORDER.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.

PINENCODING (параметр, установленный в рамках базовых настроек, – ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.

PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.

PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.

PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.

PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.

PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.

PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, – 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.

PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.

(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.

PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.

Как изменить политики

Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:

• откройте в настройках «Панель управления Рутокен»;
• зайдите во вкладку «Настройки»;
• перейдите теперь в секцию «Политики качества PIN-кода»;
• щелкните по кнопке «Настройка»;
• выберите в выпадающем списке «Считать PIN-код слабым при длине меньше, чем» нужно число (оптимальное на практике значение – 6);
• в секции «Политики» установите галочки напротив интересующих вас политик;
• установите параметр «Запретить использование» в перечне «Если задан слабый PIN-код» при желании не допустить использование последних;
• установите значение «Предупреждать» в списке «Если задан средний PIN-код» при желании информировать при попытке задать соответствующий пароль;
• подтвердите изменения нажатием на кнопку «ОК»;
• примените изменения нажатием кнопки «Применить»;
• разрешите корректировки на ноутбуке или компьютере нажатием кнопки «Да».

Как разблокировать PIN-код?

Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:

• если блок на PIN-коде Пользователя, то восстановить возможность доступа поможет ввод пароля Администратора;
• если блок пине Администратора, то выходом становится только возврат к заводским первоначальным настройкам методом форматирования;
• если блок на PIN-коде защищенного раздела, то получить вновь к нему доступ поможет пароль Администратора;
• при отключении Рутокена от компьютера счетчик неверных попыток ввода не сбрасывается;
• при введении любого правильного кода счетчик по нему возвращается автоматически в исходное положение.

Работа с PIN-кодами через утилиту rtAdmin

• форматирование Рутокена;
• вывод или установка паролей Администратора или Пользователя;
• загрузка значений паролей из файлов либо их генерация;
• корректировка политики смены PIN-кодов;
• установка меток токена в разных кодировках;
• установление прав доступа.

Специфика работы с PIN-кодами смарт-карты Рутокен

В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).

По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).

Как изменить пароль смарт-карты Рутокен с помощью компьютера

При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:

• вставьте смарт-карту в считыватель (если последний контактный);
• приложите смарт-карту к считывателю (если последний бесконтактный);
• подключите считыватель к USB-разъему компьютера.

Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).

Для изменения пароля выполните следующие действия:

• откройте в настройках «Панель управления Рутокен»;
• выберите пункт «Подключенные Рутокен» в выпадающем списке смарт-карту;
• щелкните по кнопке «Ввести PIN-код»;
• переключитесь в положение «Администратор»;
• введите пароль Администратора;
• подтвердите действие нажатием на ОК;
• перейдите в раздел «Управление PIN-кодами»;
• щелкните по кнопке «Изменить»;
• поставьте переключатель в нужное положение в зависимости от вида вводимого пароля;
• введите дважды новый пароль;
• нажмите кнопку ОК.

Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.

Электронные подписи дают пользователям и юридическим лицам широкие возможности по ведению отчетности, защиты данных и взаимодействия с государственными сервисами.

Создать такую подпись можно через личный кабинет налогоплательщика, но иногда может возникнуть такая ситуация, когда владелец электронной подписи потерял к ней доступ – забыл пароль, устарел сертификат или произошел технический сброс не по вине пользователя.

В этой статье мы рассмотрим, как можно узнать пароль к электронной подписи через личный кабинет и вернуть доступ к сертификату.

Что такое электронная подпись налогоплательщика?

Электронная подпись (ЭП) предназначена для придания юридической силы электронному документу. Такая подпись также помогает установить авторство и целостность документа. За такой подписью могут обращаться юридические лица, нотариусы и индивидуальные предприниматели.

Согласно закону № 63-ФЗ в ст. 5, ЭП бывает двух видов:

Кроме этого, усиленная подпись может быть неквалифицированной, либо квалифицированной.

• квалифицированная ЭП – подтверждается квалифицированным сертификатом. Такую подпись предоставляет только ФНС и доверенные лица ФНС. К таким лицам относятся – ПАО Сбербанк, АО Аналитический центр и ПАО Банк ВТБ.
• неквалифицированная ЭП – подтверждается без сертифицированных центров. Для этого достаточно пройти процедуру идентификации в удостоверяющем центре.

Полный список аккредитированных удостоверяющих центров (ЭЦП) доступен на сайте ecp-shop.ru. Проверить доверенных лиц УЦ ФНС можно на официальном сайте ФНС России.

Как получить пароль к электронной подписи в личном кабинете налогоплательщика

Сгенерировать пароль для электронной подписи можно самостоятельно через сайт налогоплательщика.

• Открываем официальный сайт nalog.ru и входим в учетную запись
• В верхнем правом углу личного кабинета наводимся на свой профиль и нажимаем “Настройки профиля”.
• В настройках профиля нажимаем “Электронная подпись”.
• Выбираем вариант хранения электронной подписи “Хранить в защищенной системе ФНС России (Рекомендовано)”.
• После этого начнется генерация сертификата по подписи. Данный процесс занимает от 15 минут до 24-х часов. По завершению, вы сможете просмотреть ваш новый сертификат либо отозвать его.

Восстановление пароля к сертификату в личном кабинете налогоплательщика

Если вы забыли пароль от вашего сертификата, то единственным способом “вспомнить” пароль будет ваш браузер (если вы дали ему разрешение на сохранение пароля). Найти ваши сохраненные пароли можно в настройках браузера. Как правило они находятся в пункте “Безопасность”, “Сохраненные пароли” или “Автозаполнение”. Многие браузеры позволяют отображать введенные символы пароля, что

Если же вам не удалось вспомнить пароль или настройки браузера не сохранили пароль, то вам необходимо отозвать созданный сертификат в личном кабинете налогоплательщика и создать новый.

• В настройках профиля выбираем “Электронная подпись” и листаем в конец страницы.
• Видим сообщение, что сертификат электронной подписи успешно выпущен. Справа от этого оповещения нажимаем “Отозвать”.
• Подтверждаем нажатием кнопки “Отозвать”.
• Создаем новый сертификат на той же странице с указанием варианта хранения электронной подписи.
• Вводим необходимые реквизиты (ИНН, ФИО, СНИЛС, адрес) и указываем новый пароль в доступе к сертификату по подписи.

Пин-код ЕГАИС используется в RSA и ГОСТ-ключе. Первый необходим для взаимодействия пользователя с участниками в системе, второй — для установления защищённого соединения с сервером.

В статье подробно расскажем, как получить пин-код ГОСТ и RSA, какие ошибки могут возникать у пользователя и как их исправить.

Введение

Для работы на портале Росалкогольрегулирования подходят не все электронные подписи. С ЕГАИС взаимодействуют модели токенов, сертифицированные ФСБ или ФСТЭК России. Например, Рутокен ЭЦП 2.0 или JaCarta SE PKI/ГОСТ.
В память таких устройств уже встроена система криптографической защиты информации (СКЗИ), её не нужно устанавливать дополнительно.

Выбрать подходящий токен для ЕГАИС рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Ключ ГОСТ пользователь получает в удостоверяющем центре при выдаче подписи. Его нужно вводить при входе на сайт ЕГАИС. Ключ-RSA генерируется непосредственно в самой системе и записывается на токен. Важно использовать браузер Internet Explorer версии 9.0 или выше.

Рассмотрим, как зайти в личный кабинет ЕГАИС и сгенерировать RSA-ключ на примере Рутокен ЭЦП 2.0/3.0.

Вход в личный кабинет ЕГАИС

Ошибки при входе в личный кабинет ЕГАИС

При входе в личный кабинет ЕГАИС могут встречаться две основные ошибки. Они возникают на этапе проверки электронной подписи на соответствие.

«Не установлен программный компонент для работы с электронной подписью с использованием Web-браузера Internet Explorer (Фсрар-Крипто 3)»

Перед установкой программы необходимо закрыть все окна браузера. После установки нужно снова зайти на сайт ЕГАИС и пройти повторную проверку подписи на соответствие. При сохранении ошибки пользователю необходимо:

• Проверить подключение токена к компьютеру и корректную установку «ФСРАР-Крипто».
• Использовать Microsoft Edge вместо Internet Explorer.
• Удалить уже имеющуюся версию ФСРАР Крипто и установить последнюю версию программы от имени администратора.
• Пройти проверку в режиме разработчика.

«Не обнаружен аппаратный ключ. Перед следующей проверкой вставьте аппаратный ключ. (возможно не установлены драйверы аппаратного ключа, скачайте с сайта производителя аппаратного ключа)»

Обычно ошибка возникает, если:

• вставлен не тот токен или он неисправен;
• не установлены драйверы для электронной подписи.

Ключевой идентификатор Рутокен должен определяться в «Панели управления Рутокен» в поле «Подключенные Рутокен»

Получение RSA-ключа

Для генерации RSA-ключа требуется:

После данных действий RSA-ключ запишется на токен.

Как исправить ошибку при генерации RSA-ключа для ЕГАИС

В основном ошибки при генерации ключа связаны с некорректными настройками компьютера.

Ошибка:
При генерации ключа-RSA вместо запроса пин-кода у пользователя появляется ошибка:

• «Выберите устройство чтения смарт карт»;
• «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты».

Решение:
Нужна корректировка настроек компьютера.

Ошибка появляется, если настройки ПК не позволяют сформировать ключ для ЕГАИС. Если носитель Рутокен ЭЦП, потребуется выполнить следующие действия:

• Открыть «Панель управления Рутокен» через меню «Пуск» или ярлык на рабочем столе.
• Во вкладке «Настройки» нажать кнопку «Настройка».
• Перейти в «Настройки криптопровайдера» и установить напротив строки Рутокен ЭЦП значение «Microsoft Base Smart Card Crypto Provider».

После этого нужно сгенерировать ключ повторно. Если ошибка появилась снова, можно попробовать:

• поменять криптопровайдер, нажать «ОК» и выбрать «Microsoft Base Smart Card Crypto Provider» заново;
• обновить драйвер для Рутокен ЭЦП;
• установить утилиту восстановления работоспособности Рутокен.

Ошибка
Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT означает, что пин-код введён неверно.

Решение:
Проверить введённый пин-код на соответствие. Пин-коды по умолчанию:

• JaCarta — пин-RSA:11111111, пин-ГОСТ: 0987654321;
• Рутокен — пин-RSA:12345678, пин-ГОСТ: 12345678.

Если стандартные и пользовательские пин-коды не подходят, с большой вероятностью носитель заблокировался. Для разблокировки нужно обратиться в удостоверяющий центр.

Ошибка:
Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID. Встречается при использовании токенов JaCarta.

Решение:
Нужно провести инициализацию раздела PKI на токене:

• Открыть «Единый клиент JaCarta»в режиме «Администратора».
• Во вкладке PKI нажать «Инициализировать».
• Ввести пин-код Администратора: 00000000; пин-код Пользователя: 11111111.
• Попробовать сгенерировать RSA-ключ заново.

Общие рекомендации для успешной генерации RSA-ключа ЕГАИС

Чтобы генерация ключа-RSA произошла успешно, следует соблюдать следующие требования к рабочему месту:

• операционная система Windows Vista/7/8/8/1/10;
• браузер Internet Explorer версии 9 и выше;
• актуальная версия плагина ФСРАР Крипто;
• установленные и настроенные драйверы для используемого в ЕГАИС токена;
• во время работы с ЕГАИС должен быть вставлен только один носитель электронной подписи.

Для работы с ЕГАИС рекомендуем квалифицированные электронные подписи от УЦ «Калуга Астрал». В каталоге представлены тарифы для физлиц и сотрудников организаций. Индивидуальные предприниматели и руководители юрлица могут воспользоваться услугой Получение КЭП в ФНС под ключ.

Поскольку ЭЦП является ключевым моментом при подписании документов в рамках ЭДО и имеет большое правовое и финансовое значение, для нее необходима надежная защита. При внедрении ЭЦП в делопроизводство было решено применять защиту паролем и пин-кодом, аналогичным тому, которые используются для защиты банковских кредитных и дебетовых карт. Проверенный годами способ помогает с желаемой степенью надежности обеспечить защиту ЭЦП от посягательств мошенников. Но есть и обратная сторона медали. Пользователь может забыть свой пин-код. И если он не найдет у себя соответствующую запись, то не сможет воспользоваться ЭЦП в нужный момент. Как можно восстановить забытый пароль?

Стандартная ситуация

На самом деле забыть пин-код от ЭЦП гораздо проще, чем пароль от кредитной карты. Дело в том, что карточкой мы пользуемся ежедневно, а пин-код ЭЦП применяем гораздо реже. К примеру, мы вводим пин-код при установке ЭЦП на ПЭВМ, а в следующий раз он может нам понадобиться через несколько месяцев, если мы будем работать на другом компьютере. Мало кто может запомнить код, который использовал один раз полгода назад. Далеко не все надежно хранят записанные пароли. Поэтому потеря пин-кода является стандартной проблемой, и путь ее решения также для всех одинаковый.

Подробнее о пароле

Сразу отметим, что у ЭЦП могут быть два вида защиты: пин-код (как у банковской карты) и пароль (как у учетной записи на сайте того же банка, который выдал кредитную или дебетовую карту).

Продолжая аналогию с банковскими продуктами, рассмотрим особенности пароля. Пароль используется владельцем ЭЦП для внесения сертификата подписи на свой персональный компьютер или на любой обычный переносной диск памяти (флешку, например). Пароль пользователь придумывает сам, стараясь задать достаточно сложный набор из цифр, знаков и букв (как латинского, так и русского алфавита). Тот же пароль пользователь будет вводить при каждом сеансе работы с ЭЦП. Кажется, забыть его будет сложно. Но у браузеров компьютера имеется удобная опция – запоминание паролей. Если ею воспользоваться однажды, то во все последующие сеансы работы с ЭЦП ее владельцу можно будет не вводить пароль, что может спровоцировать его забывание.

Пин-код защищает не только ЦП, но и ее основной физический носитель – токен, выполненный в виде ЮСБ-флешки. Посторонние лица, даже завладев токеном, не смогут воспользоваться ЭЦП, также как не смогли бы снять деньги с чужой банковской карты, не зная ее пин-кода.

Пин-код применяется владельцем ЭЦП сразу после ее выпуска в процессе записи на токен. Токен – стандартное электронной устройство, которое изначально имеет заводской восьмизначный пин-код в виде ряда чисел от 1 до 8 по порядку. Понятно, что такой пин-код использовать небезопасно, поэтому после получения нового токена код нужно сменить.

Далее, как и при использовании пароля, пин-код будет необходим при каждой операции с ЭЦП. И так же, как и в случае с паролем, браузер предложить запомнить код. Чтобы не забыть его, нужно хранить резервную запись на электронном или бумажном носителе (но не держать ее вместе с токеном!).

Если пароль забыт и потерян

Если держатель ЭЦП воспользовался опцией запоминания пароля (пин-кода) и благополучно забыл его, а запись на бумажном носителе потерял или не делал вовсе, то при смене компьютера или при его ремонте после неисправности он уже не сможет использовать ЭЦП. При этом проще восстановить доступ к банковской карте, чем сменить или восстановить забытый код сертификата электронной подписи. Дело в том, что пин-код или пароль не сможет восстановить даже выпустивший ЭЦП удостоверяющий центр. Хорошей новостью будет старинной изречение о том, что безвыходных ситуаций не бывает. Ведь пароль можно вспомнить или подобрать.

Восстанавливаем пароль подписи

Начнем с того, что ограничений на количество неправильных попыток ввода пароля нет, поэтому пароль можно будет подобрать. Проще подбирать пароли, в которых содержится какая-либо значимая для владельца информация (памятные даты, пароли от других сервисов, номера автомобилей, телефонов, кабинетов и т. п.). Можно также поднять СМС переписку с УЦ, который изначально присылает код активации, который также мог быть использован в качестве пароля.

Если пользователь задал пароль по всем правилам безопасности, использовав сложную и бессмысленную комбинацию букв, цифр и знаков, то подобрать забытый пароль, как правило, практически невозможно. В этом случае можно попытаться перенести со старого компьютера на новый всю папку контейнера, которая помимо сертификата ЭЦП может содержать и запомненный пароль. Иногда такой трюк срабатывает и ЭЦП продолжает применяться на новом компьютере без ввода забытого пароля.

Последнее, что можно сделать, если пароль вспомнить не получилось, а фокус с переносом папки не удался, это обратиться в УЦ за новым сертификатом, предварительно отозвав старый. Данный процесс аналогичен получению ЭЦП впервые и занимает определенное время. Поэтому при получении нового сертификата, помня о неприятном опыте, стоит сохранить пароль в надежном месте, а также принять решение о целесообразности его запоминания браузером компьютера. При этом не стоит забывать о безопасности и задавать слишком простой пароль, ведь его сможет подобрать не только пользователь, но и мошенник.

Что делать с забытым пин-кодом токена

Невозможность восстановления пин-кода токена является гарантией его надежности. Очень важно, чтобы, даже завладев устройством, злоумышленники не могли бы использовать ЭЦП. Так что при потере заветной комбинации УЦ не сможет оказать помощь забывчивому владельцу ЭЦП. Остается полагаться только на свои силы и знания и попытаться решить вопрос одним из двух предлагаемых ниже способом.

Используем заводские настройки

Можно использовать то обстоятельство, что изначально на новые токены устанавливают стандартные заводские коды, которые, в зависимости от производителя, могут быть следующими:

Следует отметить, что использовать заводские настройки получается далеко не всегда. Поэтому целесообразно заранее вооружиться еще одним способом.

Метод подбора

В отличие от пароля, пин-код нельзя подбирать больше чем за 10 попыток. На десятой неверной попытке доступ к токену будет заблокирован. Но при этом есть способ получить возможность дополнительных попыток. Для этого пользователю понадобятся права администратора компьютера. Алгоритм действий будет следующим:

Шаг 1

Открыть панель управления устройством (токеном). Для большинства моделей это можно сделать через меню «Пуск», в котором выбираем кнопку панели управления токеном и открываем раздел администрирования. Важно учесть, что если при создании подписи не применялся пароль администратора, тогда его восстановить невозможно.

Шаг 2

В открывшейся ячейке вводим код администратора. В зависимости от производителя устройства эти коды будут следующими:

Возможно, что пользователь заменил эти стандартные коды на другие. В этом случае их можно ввести, использовав при этом не более десяти попыток. При десятикратном неверном вводе доступ к токену будет заблокирован.

Шаг 3

Если код администратора подошел, то остается только нажать на клавишу разблокировки пин-кода токена и продолжить подбор пин-кода.

КриптоПро в помощь!

Если пользователю известен код администратора, то «обнулить» количество ввода пробных попыток пин-кода токена можно другим способом, использовав КриптоПроCSP, после входа в который в опции «Оборудование» выбираем команду «Настройка типов носителей». Из предложенных вариантов выбираем тип своего токена и открываем его свойства. После этого входим в раздел информации, где успешно снимаем блокировку пин-кода. Далее продолжаем подбор пин-кода токена.

В обоих случаях мы получаем лишь возможность продолжить подбор пин-кода. И если подобрать его не удается, то, как и в случае с навечно забытым паролем, придется обращаться в УЦ за новым сертификатом ЭЦП. Старый сертификат также потребуется отозвать, но при том можно повторно использовать токен, предварительно отформатировав его.

Если ЭЦП записывается на новое устройство, то не стоит забывать о том, что по умолчанию на нем будут стоять заводские настройки. Несмотря на возможность повторной потери пин-кода, заводской код все же лучше сменить на собственный, более надежный. При этом настоятельно рекомендуется сохранить пин-код, чтобы вновь не сталкиваться проблемой его восстановления.

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Как использовать персональный пароль

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):

• для рутокенов — это 12345678;
• для eToken — 1234567890;
• для смарт-карт (JaCarta) — 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.

Внимание! Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Ведущий специалист по программному обеспечению

Важное замечание: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.

Как узнать ранее введенный пароль

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

• Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
• В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
• Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
• Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).

Важно! Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.

Что делать, если забыл пароль и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?

Нет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Как получит новый сертификат

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Справка: для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Как изменить пароль по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне — «Разблокировать».

После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.