Токенизация карт в E-commerce: что это такое и как работает? / Блог компании ЮMoney / Хабр

Что общего с apple pay и google pay

Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.

Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен.

А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.

Пока запомним эти особенности токенизации карт на устройствах пользователей:

• платить токеном может только тот, кто этот токен создал,
• управлять токеном можно отдельно и независимо от управления банковской картой.

Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.

Что такое токен

Рутокен — это российский товарный знак, принадлежащий компании «‎Актив»‎. Компания занимается созданием аппаратной и программной продукции в сфере аутентификации, защиты информации и электронной подписи. Фирма выпускает смарт-карты и токены, предназначенные для использования закрытого ключа ЭЦП и ключа проверки ЭЦП.

Токены могут дополняться RFID-метками, созданными по технологии бесконтактного обмена информации с использованием специфического электромагнитного излучения. Носитель ключа ЭЦП представляет собой небольшое электронное устройство (USB-флешку). В него встроена карта памяти, защищенная паролем. На карту записан закрытый ключ, необходимый для создания ЭЦП.

Процесс проверки подлинности пользователя проходит также с использованием токена в 2 этапа: сначала флешку вставляют в USB-разъем, вводят пароль и подключаются к терминалу сервера. После отключение токена сессия блокируется автоматически.

Устройство обеспечивает безопасное подключение к интернет-сетям и защищенным web-ресурсам. Рутокены одинаково используются в коммерческих и государственных организациях, а также частными лицами. Последние разработки компании позволили проводить операции шифрования документа как в компьютере, так и внутри токена, что обеспечивает повышенную защиту ЭЦП от вирусов и сторонних атак.

Что такое nft

Невзаимозаменямый токен — Non-Fungible Token — один из типов криптотокенов, каждый из которых уникален и не может быть замещен другим или подделан. Это могут быть цифровые активы или токенизированные версии физических ресурсов.

Взаимозаменяемые активы можно заменить аналогичными, имеющими те же характеристики и ценность, например, фиатные валюты так же, как и криптовалюты, как Биткоин, Эфир и другие.

Технология NFT позволит оцифровать взаимодействие с любыми виртуальными и физическими объектами, таким образом имеет потенциал значительно повлиять на все сферы жизни. Ее уже рассматривают как новый вид коллекционирования.

Токены выпускаются на блокчейнеEthereum, поэтому полная информация о токенизированном объекте и операциях с ним общедоступна и достоверна. Среди популярных объектов токенизации:

• искусство (цифровое и физическое);
• предметы из виртуальных вселенных: землю, гоночную трассу (и продавать право использования, например);
• игровые предметы: персонажи, одежда, артефакты, оружие, снаряжение;
• лицензирование и сертифицирование.

Описание системы

VPN будет работать по схеме IPSec L2TP PPP. Протокол Point-to-Point Protocol (PPP) работает на канальном уровне модели OSI и обеспечивает аутентификацию пользователя и шифрование передаваемых данных. Его данные инкапсулируются в данные протокола L2TP, который собственно обеспечивает создание соединения в VPN сети, но не обеспечивает аутентификацию и шифрование.

Данные L2TP инкапсулируются в протокол IPSec, который тоже обеспечивает аутентификацию и шифрование, но в отличие от протокола PPP аутентификация и шифрование происходит на уровне устройств, а не на уровне пользователей.

Данная особенность позволяет обеспечить аутентификацию пользователей только с определённых устройств. Мы же будем использовать протокол IPSec как данное и позволим производить аутентификацию пользователей с любого устройства.

Аутентификация пользователя с помощью смарт-карт будет производиться на уровне протокола PPP с помощью протокола EAP-TLS.

Более подробную информации о работе данной схемы можно найти в этой статье.

На что обратить внимание при выборе носителя ключа эцп

Выбирая носитель ключа электронной подписи, нужно убедиться в том, что у производителя или официального дилера имеется лицензия на выпуск и продажу устройства. Покупают Рутокен, исходя из области его применения: если он предназначен для работы в частной фирме со служебной информацией или с государственными органами, то лучше выбрать сертифицированный токен с комплектом драйверов и дополнительных утилит. USB-устройство должна обязательно сопровождать эксплуатационная информация.

Если пользователь предполагает использовать Рутокен для хранения нескольких сертификатов, то лучше выбрать накопитель с большим объемом памяти. Модели с пометкой «‎ЭЦП» отличаются встроенной криптографией и не требуют дополнительной установки криптопровайдера.

Что такое рутокен эцп 2.0 flash

Важной особенностью электронного идентификатора Рутокен ЭЦП 2.0 Flash является наличие управляемой Flash-памяти. Она может быть поделена на разделы, доступ к которым разграничивается с помощью PIN-кодов. Предусмотрена возможность создания скрытых и CD-ROM разделов.

Доступ и управление доступом к Flash-памяти осуществляется непосредственно через микропроцессор токена без использования каких-либо дополнительных электронных компонентов (хабов, контроллеров и т. п. ). Для каждого раздела Flash-диска определяются индивидуальные права доступа на чтение и запись, которые могут быть изменены «на лету» прямо во время работы устройства.

Встроенную Flash-память можно использовать для надежного хранения конфиденциальной информации, дистрибутивов программного обеспечения, автоматического запуска приложений при подключении токена, а также доверенной загрузки операционной системы.

Рутокен ЭЦП 2.0 Flash сочетает в себе всю функциональность сертифицированного средства криптографической защиты информации Рутокен ЭЦП 2.0 с интегрированной управляемой Flash-памятью.

• Безопасность Рутокен ЭЦП 2.0 Flash базируется на сертифицированном ФСБ СКЗИ Рутокен ЭЦП 2.0. Управление разделами Flash-памяти производится при помощи защищенного контроллера Рутокен ЭЦП 2.0 и основано на его внутренних политиках безопасности. Каждый отдельный раздел может быть защищен своим собственным PIN-кодом. Верификация PIN-кодов для доступа к разделам производится сертифицированными алгоритмами, встроенными в Рутокен ЭЦП 2.0.
• Удобство Сочетание двух типов устройств в одном корпусе позволяет пользователю не заботиться о физическом разделении информации. Пользовательские данные, необходимое для работы программное обеспечение, персональная информация и криптографические ключи всегда будут находиться в одном месте, удобном и безопасном.
• УнификацияРутокен ЭЦП 2.0 Flash базируется на Рутокен ЭЦП 2.0 и может использоваться во всех информационных системах, рассчитанных на применение электронных идентификаторов Рутокен ЭЦП 2.0. Дополнительная функциональность никак не сказывается на типовом применении электронного идентификатора, но добавляет дополнительные полезные функции.
• БыстродействиеРутокен ЭЦП 2.0 Flash обладает непревзойденными скоростными характеристиками, позволяющими «на лету» шифровать, расшифровывать, хешировать и подписывать большие объемы данных. Объем EEPROM-памяти для сертификатов и ключей увеличен до 128 Кб, а быстрый 32-разрядный процессор позволяет достичь скорости проходного симметричного шифрования до 320 Кб/с и хеширования до 230 КБ/с.

Итак, что такое токенизация в e-commerce

Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.

Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.

Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?

Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.

Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:

1. сохранить их на собственных серверах, если они сертифицированы на соответствие стандарту PCI DSS, что могут себе позволить далеко не все интернет-магазины,
2. доверить их хранение своему платежному решению, например Яндекс.Кассе, которая сертифицирована PCI DSS по высшему уровню безопасности.

А нельзя ли и здесь применить подход с токенизацией? Почему бы вместо хранения данных банковской карты не использовать некоторый токен, которым можно управлять отдельно от карты? А что если сделать так, чтобы при очередном перевыпуске карты токен оставался бы одним и тем же и не нужно было заново привязывать карту к разным сервисам? Звучит любопытно?

Давайте обо всем по порядку. При токенизации мы обмениваем данные банковской карты на некий токен, но что это такое? Токен предоставляется платежной системой карты — Mastercard или Visa. Он представляет собой уникальный идентификатор, аналогичный номеру учетной записи устройства в Apple Pay или номеру виртуального счета в Google Pay, которые можно найти в приложении на смартфоне (Wallet на устройствах Apple и Google Pay — на Android).

В отличие от *Pay, в E-commerce токенизации создание токена инициирует интернет-магазин или его платежное решение, а сами токены хранятся на серверах платежных систем.

Разумеется, кто угодно не может прийти к платежной системе и получить токен чьей-либо карты для оплаты покупок. Во-первых, токенизировать карты могут только те платежные решения, которые пройдут сертификацию и получат одобрение платежных систем. Такое платежное решение называется On-Behalf Token Requestor или Token Service Provider, но для простоты будем впредь оперировать термином Token Requestor.

И только Token Requestor может инициировать платежи токеном. Во-вторых, токен всегда выпускается для конкретного магазина, и с помощью токена можно платить только в этом магазине. Очень похоже на то, как токен *Pay связан с устройством, на котором он был создан.

За счет чего это достигается? Просто перед проведением каждого платежа по токену Token Requestor должен получить одобрение у платежной системы на этот платеж. Факт такого одобрения надо будет предъявить во время фактического проведения платежа, поэтому одобрение это имеет форму одноразовой криптограммы, которую формирует платежная система карты.

А что там про управление токеном независимо от управления картой? Тут вообще все просто — токен живет своей жизнью, имеет свои статусы жизненного цикла, и о каждом изменении статуса Token Requestor сразу же узнает от платежной системы карты.

Подведем некоторый итог. Что токенизация дает держателю карты?

1. Сохранность данных реальной банковской карты. При платеже используется токен, а сами данные карты не передаются, поэтому их никак не сможет перехватить потенциальный злоумышленник. А перехватывать данные токена нет никакого смысла, потому что токен превращается в тыкву при попытке заплатить в любом другом магазине.
2. При перевыпуске банковской карты токен, выпущенный для интернет-магазина, продолжает действовать, и владельцу карты нет необходимости привязывать новую карту к нужным ему сервисам.
3. Возможность управления токеном. Токенами можно будет управлять, не затрагивая саму банковскую карту. Банки-эмитенты смогут реализовать в своих интерфейсах специальные инструменты для гибкого управления привязками в интернет-магазинах (создание токена в новом магазине, просмотр имеющихся токенов, удаление неактуальных).

Что это дает интернет-магазинам?

1. То, что хорошо для покупателя, хорошо и для магазина, поэтому использование токенизированных карт может повысить лояльность клиентов.
2. Возможность перевыпуска банковской карты с сохранением токена важна для магазинов, использующих сценарии платежей по подписке. Магазину больше не нужно будет отключать подписку, если пользователь забыл обновить данные карты, и не придется всячески напоминать ему об этом. Стоит отметить, что у держателя карты все равно остается полный контроль и в любой момент он сможет отключить саму подписку.
3. Повышение конверсии платежей. Мы исследовали, как использование токенов влияет на конверсию платежей в сравнении с использованием сохраненных данных карт. Выяснилось, что доля успешных платежей без использования токенов была 88,53%, а после включения токенизации выросла до 97,89%*. Получившаяся разница объясняется тем, что если банк-эмитент уже одобрил создание токена, то в дальнейшем платежи этим токеном будут вызывать большее доверие у антифрод-системы банка. На конверсию влияет также возможность оплаты перевыпущенными картами. Если человек не обновит данные карты, которую он привязал к интернет-магазину, то оплата не пройдет, а с токеном такой проблемы не возникнет.

*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.

Nft-токены: как получить

Первый способ получить невзаимозаменяемые токены — приобрести их за вознаграждения на различных ресурсах. К примеру, агрегатор Coingecko начисляет специальные бонусы Candies после прохождения регистрации. Заходите каждый день в раздел вознаграждений, получайте баллы и обменивайте их на токены из специальных коллекций, выпускаемых на сайте несколько раз в месяц.

Получить NFT-токены бесплатно можно также от криптобирж, основателей проектов и разработчиков, которые раздают их во время различных розыгрышей и эйрдропов. 

Например, Дон Уонтон, разработчик проекта Avalanche, разыгрывает NFT-награды за ретвиты. Криптобиржа Binance выпускает в кооперации с Enjin токены Binance Collectibles — бесплатные NFT-токены для особых случаев применения.

Самый простой вариант, где взять NFT-токен бесплатно, — создать свой собственный.

Pin-коды рутокен эцп 2.0: пароли пользователя и администратора

Для защиты данных применяется двухфакторная аутентификация. Все операции осуществляются при соблюдении двух условий — присутствии токена в USB-разъеме ПК и введении верного пароля.

Для получения доступа к сертификату и ключевой паре (открытый и закрытый ключи) следует запустить панель управления и ввести PIN-код пользователя, который представляет собой определенную комбинацию символов. По умолчанию используется прямая последовательность цифр от единицы до восьмерки — 12345678.

Для изменения настроек Рутокен ЭЦП 2.0 понадобится пароль администратора, который также вводится через панель управления. Перед аутентификацией необходимо переключиться с «пользователя» на «администратора». Пароль можно узнать у организации (удостоверяющего центра, банка и пр.), выдавшей носитель ЭП. По умолчанию задается обратная последовательность цифр от восьмерки до единицы — 87654321.

Важно: перед началом работы рекомендуем изменить пароль по умолчанию на более надежный.

Виды токенов

Токены можно разделить на 3 основные группы:

1. Equity tokens – это токены, в ценность которых входят акции предприятий.

2. Utility tokens. Тут как пример можно привести начисление каких-либо баллов за совершение определенных действий, которые начисляются в играх.

3. Utility tokens – это токены на основе товаров или услуг.

Третий тип токенов наиболее обеспеченный, так как компании, которые предоставляют товары и услуги, или же отдельные лица, выступают гарантом совершения сделок. В данном случае один или несколько товаров (услуг) равняются одному токену. 

То есть, токены, простыми словами представляют собой валюту в закрытой экосистеме, использующуюся для покупок товаров и услуг, выступают как вознаграждение за определенные действия.

Где используется?

Рутокен ЭЦП 2.0 используют в электронном документообороте и самых разных системах, в том числе где установлены высокие требования к безопасности информации:

• дистанционное банковское обслуживание,
• электронный документооборот в госсекторе,
• взаимодействие с ЕГАИС ФСРАР.

«Рутокен ЭЦП 2.0» также можно использовать на сайте ФНС для аутентификации в сервисе «Личный кабинет индивидуального предпринимателя». С его помощью налогоплательщики подписывают и отправлять в ФНС заявления на регистрацию, перерегистрацию и снятие с учета контрольно-кассовой техники и другие документы.

Получить электронную подпись

Где используются nft

Невзаимозаменяемые токены позволяют подтверждать факт владения и права использования активов, подлинность уникальных предметов. Среди наиболее распространенных областей применения:

• предметы коллекционирования;
• индустрия онлайн-игр;
• искусство;
• недвижимость;
• названия доменов;
• карточные игры.

Децентрализованные приложения (dApps) используют NFT для выпуска уникальных цифровых токенов, которые могут выступать как коллекционные предметы или инвестиционные продукты.

NFT могут представлять собой доли реальных объектов, которые можно хранить и передавать в виде токенов, что обеспечивает рынкам необходимую ликвидность.

Цифровая идентификация с хранением данных и записей о владельце в блокчейне обеспечивает более высокий уровень конфиденциальности и целостности информации.

Где купить nft-токены

Торговые платформы предлагают различные невзаимозаменяемые токены, а также сопутствующие цифровые активы, криптоискусство и прочее. Среди наиболее популярных:

• OpenSea — крупнейшая площадка для продаж NFT и криптоискусства, которая отличается тем, что создает токен уже после появления покупателя на него. Такой подход позволяет избавить автора от дополнительных комиссий сети;
• NiftyGateway — площадка по продаже криптоискусства, известная самыми крупными по объему выручки распродажами, к примеру, именно на ней продавала свои токены Граймс;
• Rarible — NFT-маркетплейс;
• SuperRare — одна из первых площадок с редкими изданиями цифровых работ.

Совет! Если вы новичок, приобретайте для начала недорогие, но перспективные NFT-токены.

Кроме цены NFT-токена, покупатель оплачивает комиссию, которая колеблется в зависимости от загрузки сети. Для уменьшения расходов на комиссию некоторые площадки, как Rarible, используют wETH. Обязательно внимательно ознакомьтесь с инструкциями на конкретных маркетплейсах, чтобы учесть все нюансы перед покупкой.

Для клиента на linux

Для начала сгенерируем ключевую пару на токене и создадим заявку на сертификат:

#идентификатор ключа (параметр --id) можно заменить на любой другой.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:librtpkcs11ecp.so
...
OpenSSL> req -engine pkcs11 -new -key 45 -keyform engine -out client.req -subj "/C=RU/CN=client"

Появившуюся заявку client.req отправьте в УЦ. После того как вы получите сертификат для своей ключевой пары, запишите его на токен с тем же id, что и у ключа:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem --id  45

Для клиентов windows и linux (более универсальный способ)

Данный способ является более универсальным, т.к. позволяет сгенерировать ключ и сертификат, который будет успешно распознаваться у пользователей Windows и Linux, но он требует наличие машины на Windows для проведения процедуры генерации ключей.

Перед генерацией запросов и импортом сертификатов необходимо добавить корневой сертификат VPN сети в список доверенных. Для этого откроем его и в открывшемся окне выберем опцию “Установить сертификат”:

В открывшемся окне выберем установку сертификата для локального пользователя:

Установим сертификат в хранилище доверенных корневых сертификатов УЦ:

После всех этих действий соглашаемся со всеми дальнейшими пунктами. Теперь система настроена.

Создадим файл cert.tmp со следующим содержимым:

[NewRequest]
Subject = "CN=client"
KeyLength = 2048
KeySpec = "AT_KEYEXCHANGE" 
ProviderName = "Microsoft Base Smart Card Crypto Provider"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = PKCS10
SMIME = FALSE

После этого сгенерируем ключевую пару и создадим заявку на сертификат. Для этого откроем powershell и введём следующую команду:

certreq.exe -new -pin $PIN .cert.tmp .client.req

Отправьте созданную заявку client.req в ваш УЦ и дождитесь получения сертификата client.pem. Его можно записать на токен и добавить в хранилище сертификатов Windows с помощью следующей команды:

certreq.exe -accept .client.pem

Стоит заметить, что аналогичные действия можно воспроизвести с помощью графического интерфейса программы mmc, но данный способ является более времязатратным и менее программируемым.

Добавление нового клиента

Чтобы добавить нового клиента в сеть, необходимо записать его сертификат в список доверенных для данного клиента.

Если пользователь хочет стать участником VPN сети, он создаёт ключевую пару и заявку на сертификат для данного клиента. Если пользователь доверенный, то данную заявку можно подписать, а получившийся сертификат записать в директорию сертификатов:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Добавим строчку в файл /etc/ppp/eaptls-server для сопоставления имени клиента и его сертификата:

"client" * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

NOTEЧтобы не запутаться, лучше чтобы: Common Name, имя файла с сертификатом и имя пользователя были уникальными.

Также стоит проверить, что в других файлах аутентификации нигде не фигурирует имя пользователя, которого мы добавляем, иначе возникнут проблемы со способом аутентификации пользователя.

Зачем они нужны?

Если говорить попроще, главное предназначение токена –бартер неких ценностей, реализация которого в реальности осложнена расстоянием между сторонами сделок, размерами тех самых ценностей, участвующих в сделках.

Часто токены могут быть источником заработка. Для этого вам нужно знать, какие активы могут увеличить свою стоимость. Чтобы дать ответ на данный вопрос, важно понимать, почему стоимость предлагаемых продуктов или услуг может увеличиться в будущем. Это могут быть или дефицитные активы, или активы, которые будут расти самостоятельно.

Это заложено во всех ICO. Первоначально, когда его дальнейшая судьба неизвестна, ICO предлагает купить токены по низкой цене в качестве инвестора в конкретный проект, описывая, как он может принести прибыль в будущем. Если проект будет развиваться, цена токенов увеличится, если они связаны с активами проекта или применяются в бизнесе.

Интеграция с платежными системами

Чтобы получить техническую возможность токенизировать карты и проводить платежи токенами, необходимо интегрироваться с Visa и Mastercard, пройти тесты, сертификацию и получить их одобрение на запуск в production. Поначалу это звучало устрашающе. Да и не только поначалу, если честно, по крайней мере, для меня. Но устрашала скорее сертификация, а по технике все было предельно ясно.

Интеграция подразумевает реализацию следующего API (условно) между платежной системой и нами в качестве Token Requestor:

1. Создание токена.
   Мы передаем платежной системе данные банковской карты и идентификатор интернет-магазина, для которого создается токен. Дополнительно мы проводим скоринг для оценки рисков (risk scoring) токенизации конкретной карты для конкретного магазина и также передаем результат скоринга в запросе. В ответ мы получаем решение, одобрена токенизация карты ее эмитентом или нет, и если одобрена, получаем уникальный идентификатор созданного токена. После этого токен активен, можно проводить платежи с его использованием.
2. Получение одноразовой криптограммы для платежа токеном.
   Мало обладать токеном, чтобы им платить: для каждого платежа нужно еще получить одобрение от платежной системы — криптограмма, помните? Так вот, чтобы получить эту криптограмму, мы передаем в запросе платежной системе идентификатор токена и некоторые детали платежа. Если токен активен, мы в ответе получаем эту одноразовую криптограмму, которую затем надо будет передать эквайеру при проведении платежа по карте.
3. Уведомление от платежной системы об изменении состояния токена.
   Это может быть приостановка/возобновление действия токена по инициативе держателя карты, удаление этого токена навсегда, а также обновление данных банковской карты, для которой был выпущен этот токен, в случае ее перевыпуска. Нам нужно уметь обрабатывать определенные запросы от платежных систем и обновлять у себя информацию о токене, проще простого.

Это описание API условное и обобщенное — нетрудно догадаться, что у каждой платежной системы разные форматы запросов/ответов, алгоритмы подписи и шифрования данных в запросах, и есть различные нюансы в бизнес-логике. Поэтому все эти детали и различия мы скрыли от остальной нашей системы, создав отдельный сервис токенизации карт, который является адаптером к платежным системам и полностью отвечает за жизненный цикл токенов.

Как запустить панель управления рутокен эцп

В комплект драйверов для Windows входит панель управления, которая позволяет переключаться между USB-токенами (если их несколько), просматривать информацию об устройстве, проходить двухфакторную аутентификацию (введение PIN-кода) и выбирать криптопровайдер для использования по умолчанию.

Наиболее простой способ запустить панель управления Рутокен ЭЦП в ОС Windows — навести курсор мыши на иконку и дважды щелкнуть левой кнопкой.  Для упрощения запуска «разрешите» установщику создать иконку на рабочем столе, поставив соответствующую галочку в процессе установки.

Для начала работы с устройством необходимо выбрать нужный носитель в выпадающем списке, при необходимости проверить сведения о нем (ID, срок действия сертификата) и ввести PIN-код пользователя или администратора.

Как изменить пин-код по умолчанию для пользователя рутокен эцп 2.0

Для доступа к функциям Рутокен ЭЦП 2.0 можно использовать пин-код по умолчанию, но этот пароль не обеспечивает защиты данных. В целях безопасности стоит придумать другую комбинацию из 7-10 символов перед первым применением устройства. Запишите новый пароль, чтобы не ошибиться при аутентификации. Учитывайте, что после нескольких ошибочных попыток ввода токен будет заблокирован.

Как сменить PIN-код пользователя:

1. Подключите токен к USB-разъему ПК и откройте панель управления.
2. Выберите носитель, с которым будете работать.
3. Убедитесь, что переключатель стоит напротив «Пользователь».
4. Нажмите «Ввести PIN-код» и в появившемся поле введите 12345678. Если пароль указан корректно, напротив строки появится кнопка «Выйти», если некорректно — отобразится сообщение «Неудачная аутентификация» с указанием количества оставшихся попыток.
5. Нажмите кнопку «Изменить» напротив строки «Изменить PIN-коды пользователя и администратора».
6. Введите и подтвердите новый пароль, предварительно выбрав роль «Пользователь». Цветовой индикатор поможет определить уровень надежности PIN-кода (зеленый — надежный, красный — ненадежный).

Важно: если после нескольких ошибок вы введете верный пароль, счетчик неверных попыток вернется в изначальное состояние. Когда попытки закончатся, доступ будет заблокирован. Для разблокировки следует обратиться к администратору.

Как купить токен

Чтобы приобрести USB-носитель нужно обратиться на Единый портал Электронной подписи и оформить заявку. При отправлении запроса будущий владелец соглашается с условиями договора оферты на поставку токена. На портале можно купить сертифицированное устройство для работы на российском и белорусском рынке, для ЭДО, сдачи отчетности, участия в торгах и т.д.

Клиенты Центра получают полное сопровождение сделки, включающее:

• первичную консультацию;
• оформление документов;
• подбор сертифицированного устройства;
• отправку продукта клиенту.

Все документы оформляются в соответствии с требованиями Федеральных законов РФ. Оригиналы высылаются на почтовый адрес, указанный в заявке, а копии — на электронную почту. Сроки доставки зависят от региона и составляют от 1 до 5 рабочих дней.

Рутокен — это надежной цифровое устройство, предназначенное для хранения закрытого ключа ЭЦП. Различаются токены функциями, объемом памяти, возможностью использования с мобильными устройствами и криптографическими опциями. Приобретая Рутокен, пользователь должен исходить из его последующего использования и необходимого объема памяти.

Самые простые накопители предназначены лишь для работы с ЕГАИС, а токены PINPad могут использоваться даже в работе государственных структур. Приобретая носитель, пользователь берет на себя ответственность за его хранение и правильную эксплуатацию. Для покупки необходимо обращаться в сертифицированные центры и требовать все сопровождающие документы.

Как посмотреть срок действия сертификата на рутокен эцп

Срок действия электронной подписи истекает через 12—15 месяцев после выпуска, поэтому владельцу ЭП следует знать, как посмотреть информацию о сертификате на Рутокен ЭЦП.

Для проверки срока действия зайдите в Панель управления, введите пароль и перейдите во вкладку «Сертификаты». Выберите USB-токен из списка, а затем нажмите на название сертификата. Точные даты отображаются в строке «Действителен с… по …».

Если вы используете устройство для ЕГАИС, можете посмотреть информацию на домашней странице УТМ:

• В Личном кабинете кликните на «Ознакомиться с условиями и проверить их выполнение».
• Кликните на «Начать проверку».
• После завершения вернитесь в личный кабинет.
• Введите PIN-код 12345678.
• Кликните на «Показать сертификаты».

Как появились nft-токены

Первые NFT появились в 2021 году: сначала мем HOMERPEPE, токенизированный на Counterparty и проданный за $500, потом уникальные картинки с пиксельным артом CryptoPunks от Lever Labs с изображением различных героев.

CryptoKitties — одни из самых популярных NFT-токенов, которые в свое время умудрились перегрузить саму сеть Ethereum из-за количества транзакций. Пользователи покупают котиков, ухаживают за ними, обмениваются, получают потомство. В общем, развлекаются, как могут. 

На примере Криптокотят легко проследить, что NFT-токены имеют рейтинг даже внутри одного приложения: можно сгенерировать обычного котенка за 0.011 ETH, а можно купить эксклюзивного, например, коллекционного котика Dragon продали за 600 ETH.

Nike в 2021 году запатентовала кроссовки со встроенным невзаимозаменяемым токеном, который описывает уникальную модель обуви.

Как происходит платеж токеном?

Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:

Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.

С токенами в этом сценарии добавляется еще один шаг:

Если видим, что для карты и магазина ранее был выпущен токен, то мы можем провести платеж без использования данных карты. Для этого мы через сервис токенизации предварительно отправляем запрос в международную платежную систему с данными токена и в ответ получаем одноразовую криптограмму, которая подтверждает, что токен действующий и мы имеем право провести платеж. И уже после этого мы передаем банку-эквайеру данные токена вместе с этой криптограммой.

А что происходит в сценарии, когда пользователь перевыпускает карту в своем банке?Если к карте ранее были выпущены токены, то банк-эмитент сообщает в платежную систему Mastercard/Visa, что карта перевыпущена. В свою очередь, каждый Token Requestor, который выпускал токены к этой карте, получит уведомление от платежной системы.

Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина — платеж пройдет успешно. К тому же мы сообщим магазину уже новые последние 4 цифры банковской карты — они будут присутствовать в ответах нашего API. Это нужно для того, чтобы и магазин, и пользователь всегда видели, с какой именно карты списываются средства.

Как работают nft-токены

Для разработки большинства невзаимозаменяемых токенов используют несколько ERC-стандартов на Ethereum.

• ERC-721 — первый стандарт, используемый для NFT-токенов на блокчейне, произошедший от стандарта смарт-контрактов на Solidity.
• ERC-1155 — стандарт от команды Enjin с расширенным функционалом для ERC-721, позволяющий создавать как взаимозаменяемые, так и невзаимозаменяемые токены.

Среди других блокчейнов, поверх которых можно создавать NFT, уже заявлен TRON, на котором представлен стандарт TRC-721, а также EOS, на котором разработан стандарт для карточной игры Gods Unchained.

Как и другие токены на блокчейне, NFT привязан к определенному адресу и не может перемещаться кем-либо, кроме непосредственного владельца. Просматривать свои коллекции можно там же, где и хранить NFT-токены, — в соответствующих кошельках, например, MetaMask.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

исходный ключевой документ

. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

рабочие ключевые документы

. После этого уничтожим

исходный ключевой документ

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Настройка клиента l2tpipsecvpn

Запускаем установленный клиент:

После запуска у вас должен открыться апплет L2tpIpsecVPN. Нажмём на него правой кнопкой мыши и произведём настройку соединения:

Для работы с токенами, в первую очередь, укажем путь opensc движка OpenSSL и PKCS#11 библиотеки. Для этого откройте вкладку “Preferences” для настройки параметров openssl:

Закроем окно настроек OpenSSL и перейдём к настройке сети. Добавим новую сеть, нажав на клавишу Add… в панели настроек и введите имя сети:

После этого данная сеть станет доступна в панели настроек. Дважды кликнем правой кнопкой мыши по новой сети, чтобы настроить её. На первой вкладке необходимо произвести настройки IPsec. Зададим адрес сервера и общий ключ:

После этого переходим на вкладку настройки PPP и укажем там имя пользователя, под которым мы хотим зайти в сеть:

После этого откроем вкладку Properties и укажем путь до ключа, сертификата клиента и УЦ:

Закроем данную вкладку и выполним финальную настройку, для этого откроем вкладку “IP settings” и поставим галочку напротив опции “Obtain DNS server address automatically”:

Данная опция позволит клиенту получать от сервера личный IP-адрес внутри сети.

После всех настроек закроем все вкладки и перезагрузим клиент:

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Проблематика

Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.

Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.

Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.

Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.

Самые дорогие nft-токены

• В 2021 году певица Граймс продала 400 NFT-токенов, привязанных к ее рисункам и анимации ее брата за $5,8 млн.
• Один из первых токенизированных мемов Nyan Cat продан за $590 000.
• Нью-йоркская Taglialatella Gallery продала за $95 000 работу Бэнкси Morons (White) блокчейн-компании Injective Protocol, которая сожгла ее, токенизировала и собирается продать с аукциона уже за криптовалюту.
• В конце февраля 2021 года всемирно известный аукцион Christie’s выставил на торги самый дорогой NFT-токен стоимостью $69 млн — цифровой коллаж «Каждый день. Первые 5000 дней» цифрового художника Майкла Винкельмана. Известный как Beeple, он уже до этого заработал $6,6 млн на продаже токена сюрреалистической анимации «Поверженный Трамп».
• Первый музыкант, токенизировавший собственный альбом, диджей 3LAU заработал $11,6 млн.

Токенизация в яндекс.кассе

Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?

Главный вопрос: в какой момент создавать токен для банковской карты? В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.

Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.

Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».

Что же сами платежные системы делают в момент токенизации карты? Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.

Управление пин-кодом администратора рутокен эцп 2.0

Смена пин-кода администратора Рутокен ЭЦП 2.0 осуществляется таким же образом, как и изменение пароля пользователя. Для выполнения этой операции необходимо переставить переключатель на «Администратор» при введении пароля по умолчанию (87654321) и нового PIN-кода.

Администратор может разблокировать или сменить пароль пользователя с помощью соответствующих кнопок в разделе «Управление PIN-кодами». В «Настройках» можно также осуществить кэширование пароля (сохранение в памяти), чтобы вводить его только при первом входе в приложение.

Важно: после нескольких ошибочных попыток ввода PIN-код администратора блокируется. Для снятия блокировки и смены пароля необходимо вернуть заводские настройки («Форматирование»), что приведет к безвозвратному удалению данных.

Установка strongswan (ipsec)

В первую очередь, настроим firewall для работы ipsec

sudo firewall-cmd --permanent --add-port=1701/{tcp,udp}
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --reload

Затем приступим к установке

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

После установки необходимо задать конфигурацию для strongswan (одну из реализаций IPSec). Для этого отредактируем файл /etc/strongswan/ipsec.conf :

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey 

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%any
    leftprotoport=udp/1701
    right=%any
    rightprotoport=udp/%any
    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Также зададим общий пароль для входа. Общий пароль должен быть известен всем участникам сети для аутентификации. Данный способ и является заведомо ненадёжным, т.к. данный пароль с лёгкостью может стать известным личностям, которым мы не хотим предоставлять доступ к сети.

Тем не менее, даже этот факт не повлияет на безопасность организации сети, т.к. основное шифрование данных и аутентификация пользователей осуществляется протоколом PPP. Но справедливости ради стоит заметить, что strongswan поддерживает более безопасные технологии для аутентификации, например, с помощью приватных ключей.

Так же в strongswan имеется возможность обеспечить аутентификацию с помощью смарт-карт, но пока поддерживается ограниченный круг устройств и поэтому аутентификация с помощью токенов и смарт-карт Рутокен пока затруднительна. Зададим общий пароль через файл /etc/strongswan/ipsec.secrets:

# ipsec.secrets - strongSwan IPsec secrets file
%any %any : PSK "SECRET_PASSPHRASE"

Перезапустим strongswan:

sudo systemctl enable strongswan
sudo systemctl restart strongswan

Установка по «в один клик»

Для обеспечения работы с электронными торговыми площадками и государственными информационными ресурсами, как правило, требуется установка специального программного обеспечения: криптопровайдера, ActiveX-компонентов и других дополнительных компонентов операционной системы. Также зачастую есть необходимость в настройке браузера, регистрации сертификата и других административных действиях.

На Flash-памяти электронного идентификатора Рутокен ЭЦП 2.0 Flash может быть размещен неизменяемый CD-ROM раздел с комплектом программного обеспечения и установщиком с технологией автозапуска. Это предоставляет возможность настройки рабочего места «в один клик».

При первом подключении устройства к компьютеру нужно всего лишь нажать кнопку «установить» во всплывающем окне, все остальное происходит автоматически. Кроме того, на Flash-памяти можно разместить дополнительное программное обеспечение, документацию и обучающие материалы.