Как открыть ключ эцп на флешке казахстан
Обновлено: 18.09.2024
Технологии не стоят на месте, все больше предприятий на определенном этапе своего развития и в связи с увеличением оборотов, объемов обрабатываемой информации, приходит к постепенному отказу от бумажных носителей и оцифровыванию бизнес-процессов, делая ставку на ускорение обработки информации и обмен электронными документами.
1. Что такое электронная подпись (ЭП) и из чего она состоит?
Электронная подпись (ЭП) — заменяет собственноручную подпись и печать на документе бумажного формата. ЭП идентифицирует автора, позволяет определить, вносились ли изменения в документ после его подписания, а также защищает документ от просмотра третьими лицами.
Технология электронной подписи (ЭП) реализуется на связке открытого и закрытого ключа (так называемой ключевой пары).
Сертификат ЭП подтверждает принадлежность ее владельцу и содержит:
· закрытый ключ — для генерации электронных подписей;
· открытый ключ — для проверки подлинности подписи получателем;
· сведения о владельце — для проверки получателем информации об авторе документа.
Открытый и закрытый ключ электронной цифровой подписи решают разные задачи. Открытый ключ ЭП предназначен для зашифровки информации, в то время как закрытый ключ ЭП призван обеспечить ее расшифровку. При этом первый элемент можно без опасений передавать, не рискуя при этом сохранностью данных. Работа ключевой пары осуществляется только при взаимодействии двух составляющих.
2. Открытый электронный ключ
Открытый ключ известен всем пользователям системы и необходим для проверки электронной подписи. Именно открытую часть ЭП мы видим в интерфейсе программ 1С (об этом ниже). С его помощью получатель документа устанавливает авторство документа и неизменность документа после подписания. Открытая часть сертификата представляет собой файл с расширением *.cer:
Открытая часть сертификата
Как правило он имеет три раздела в своем составе:
· общую информацию (1 – для чего предназначен сертификат, 2 – кому и кем выдан, сроки действия (как правило сертификаты действительны в течение 1 года), 3 – кнопку перехода к помощнику установки сертификата);
Открытая электронная подпись
Вкладка состав открытого ключа электронной подписи
Путь сертификации открытой электронной подписи
Выдача открытой части ключевой пары ЭП осуществляется уполномоченным государственным органом — удостоверяющим центром. Для учета выданных сертификатов УЦ ведет специальный реестр. Спектр выполняемых органом задач охватывает также отзыв истекших либо скомпрометированных сертификатов с последующим обновлением существующей базы.
3. Закрытый ключ ЭП
Закрытый ключ ЭП – уникальная последовательность символов, с помощью которой формируется каждая электронная подпись. Закрытый ключ может храниться на ключевом носителе (токене – устройство в виде USB-флешки), который защищен паролем, известным только владельцу. Очень важно при получении токена в удостоверяющем центре поменять заводской пароль на собственный и бережно хранить токен – в этом случае никто не сможет подделать подпись. Токен может быть защищен от копирования и быть в единственном экземпляре.
Допускается хранение закрытой части ключа также в реестре компьютера, на обычном съемном носителе, а также в облачном хранилище. Остановимся немного подробнее на том, где можно хранить закрытый электронный ключ.
®WOW6432Node\ (если у Вас ваша 64 разрядная операционная система. Если нет – эту папку можно пропустить)
® Crypto Pro\ (либо другой криптопровайдер из установленных на компьютере)
® Keys\ (в этой папке и хранятся ключи ЭП)
Путь к закрытому ключу ЭП
В таком виде хранится закрытая часть сертификата в реестре компьютера (2 на скриншоте).
В состав криптоконтейнера закрытого ключа электронной цифровой подписи входят такие файлы как primary.key, primary2.key, masks.key, masks2.key, name.key и header.key. Эти же файлы записываются на флешку в случае хранения ключа на ней.
Особенность хранения ключей в реестре – это привязка к компьютеру или серверу, на котором будет происходить подписание электронной подписью. То есть на другом компьютере Вы не сможете подписать документ, не сделав предварительный перенос контейнера закрытого ключа на него.
В этом отношении кому-то покажется, что хранить ключ на флешке и иметь ее под рукой – более удобный вариант. Но как уже писалось выше, в случае потери флешки злоумышленники могут воспользоваться полученной информацией, незащищенной паролем как например в случае с токеном, где имеется двухфакторная аутентификация.
Еще один способ хранения закрытого ключа ЭП – это облачное хранение. Закрытая часть ключа не записывается на оборудование владельца подписи, а при выпуске сертификата создается и хранится потом в облачной инфраструктуре. Плюс – никто из мошенников уж точно не доберется до нее. Ее можно использовать из любой точки мира и с любого компьютера. Минус (который может возникнуть в некоторых ситуациях) – сам пользователь тоже не сможет использовать закрытую часть ключа, если в момент создания ключа не была сделана резервная копия. К тому же облачное хранение доступно не всем пользователям программ 1С – условия можно уточнить у обслуживающей организации.
4. Использование в программах 1С (на примере конфигурации 1С:Бухгалтерия предприятия, редакция 3.0)
Хранилище ключей в 1С Бухгалтерия предприятия, редакция 3.0
Добавления сертификата в 1С Бухгалтерия предприятия, редакция 3.0
Для отправки заявления на выпуск сертификата и создания закрытого электронного ключа потребуется установленная программа-криптопровайдер (КриптоПро CSP либо VipNet CSP). Рассмотрим формирование и отправку заявления на примере КриптоПро CSP. Для начала заполняем поля заявления и печатаем документы, которые необходимо предоставить в обслуживающую организацию:
Заявление на выпуск сертификата в 1С:Бухгалтерия предприятия, редакция 3.0
Вот пример заявления на присоединение к регламенту удостоверяющего центра:
Заявление на присоединение к регламенту удостоверяющего центра
Документы для присоединения к регламенту удостоверяющего центра
Далее открывается окно для выбора места – куда будет записан закрытый ключ ЭП:
Путь записи ключа ЭП
После выбора – нажимаем ОК и переходим к следующему шагу генерации ключа:
Генерация ключа в 1С:Бухгалтерия предприятия, редакция 3.0
После того, как закрытая часть ключа создана – предлагается задать пароль:
Создание пароля для ключа в 1С:Бухгалтерия предприятия, редакция 3.0
После отправки заявления и документов в обслуживающую организацию Вы можете отследить его статус в форме заявления:
Статус заявления в 1С:Бухгалтерия предприятия, редакция 3.0
После обработки заявления можно обновить его статус и получить открытую часть выпущенного нового сертификата, которая автоматически установится на компьютер пользователя.
Добавление сертификата в 1С Бухгалтерия предприятия, редакция 3.0
Начало работы с сертификатом в 1С:Бухгалтерия предприятия, редакция 3.0
В случае, если сертификат проходит проверку (пароля, сроков действия, алгоритмов шифрования, связи с закрытым ключом), то он добавляется в список установленных в программе 1С 8.3 Бухгалтерия предприятия 3.0.
Если же возникнут проблемы с проверкой параметров сертификата, то потребуется либо их устранить, либо выбрать другой. Пример неудачного прохождения проверки:
Неудачная проверка сертификата в 1С:Бухгалтерия предприятия, редакция 3.0
Добавленные сертификаты можно использовать в программе 1С:Бухгалтерия предприятия, редакция 11, например, в учетной записи сервиса 1С:ЭДО для обмена юридически значимыми документами с Вашими контрагентами.
Использование сертификатов в 1С:Бухгалтерия предприятия, редакция 3.0
В отправляемых документах появится пометка, что проставлена электронная подпись:
Пометка про ЭП в документе
Выгрузка сертификата в 1С:Бухгалтерия предприятия, редакция 3.0
Вас могут заинтересовать следующие статьи:
В соответствии с подпунктом 13-3) пункта 1 статьи 5 Закона Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре.
2. Комитету государственных услуг Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
| Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан | Б. Мусин |
"СОГЛАСОВАН"
Министерство торговли и интеграции
Республики Казахстан
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
| Утверждены приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 405/НҚ |
Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре
Глава 1. Общие положения
1. Настоящие Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре (далее- Правила) разработаны в соответствии с Законом Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" (далее - Закон) и определяют порядок создания, использования, и хранения закрытых ключей электронной цифровой подписи в облачных сервисах.
2. В настоящих Правилах применяются следующие понятия:
1) биометрическая аутентификация – комплекс мер, идентифицирующих личность на основании физиологических и неизменных биологических признаков;
2) блокчейн - информационно-коммуникационная технология, обеспечивающая неизменность информации в распределенной платформе данных на базе цепочки взаимосвязанных блоков данных, заданных алгоритмов подтверждения целостности и средств шифрования;
3) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);
4) удостоверяющий центр (далее - УЦ) - юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства;
5) владелец регистрационного свидетельства (далее - владелец) – физическое или юридическое лицо, на имя которого выдано регистрационное свидетельство, правомерно владеющее закрытым ключом, соответствующим открытому ключу, указанному в регистрационном свидетельстве;
6) электронная цифровая подпись (далее - ЭЦП) – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;
7) открытый ключ ЭЦП - последовательность электронных цифровых символов, доступная любому лицу и предназначенная для подтверждения подлинности электронной цифровой подписи в электронном документе;
8) закрытый ключ ЭЦП - последовательность электронных цифровых символов, предназначенная для создания электронной цифровой подписи с использованием средств электронной цифровой подписи;
9) средства электронной цифровой подписи - совокупность программных и технических средств, используемых для создания и проверки подлинности электронной цифровой подписи;
10) облачная ЭЦП – информационная система УЦ позволяющая создавать, использовать и хранить закрытые ключи электронной цифровой подписи владельца в HSM УЦ, где доступ к закрытому ключу осуществляется владельцем посредством не менее двух факторов аутентификации одним из которых является биометрическая;
11) хэш – преобразование массива входных данных произвольной длины в битовую сторону фиксированной длины.
12) аппаратный криптографический модуль (Hardware Security Module) (далее - HSM) - аппаратный криптографический модуль предназначенный для шифрования информации и управления открытыми и закрытыми ключами ЭЦП.
Глава 2. Порядок создания закрытых ключей ЭЦП в удостоверяющем центре
3. Закрытые ключи ЭЦП создаются УЦ:
1) на носителе ключевой информации владельца, которая передается владельцу;
2) в облачной ЭЦП.
4. Закрытые ключи ЭЦП облачной ЭЦП генерируются строго внутри HSM. Закрытый ключ не извлекается из HSM в открытом виде.
1) соответствует не ниже третьего уровня безопасности в соответствии с требованиями, установленными СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования";
2) спроектирован с физической защитой периметра (защита от вскрытия корпуса), использующей датчики для определения факта вскрытия корпуса и последующего удаления ключевой информации, необходимой для HSM.
3) соответствует нормам эффективности защиты и методикам оценки защищенности информации и технических средств согласно требованиям действующего законодательства Республики Казахстан.
5. Архивирование ключевой информации с HSM возможно только в зашифрованном виде и только с разделением ключа шифрования по схеме М из N (не менее 3 из 5). Ключи шифрования по схеме М из N хранятся на защищенных токенах. Для государственных УЦ N токенов постоянно хранится в уполномоченном органе в сфере информатизации, в органах национальной безопасности и у УЦ. Защищенные токены используются только при восстановлении архива на резервном HSM.
6. Перед созданием закрытого ключа ЭЦП и выпуском регистрационного свидетельства ЭЦП владелец дает согласие на сбор и обработку персональных данных.
Владелец проходит аутентификацию:
1) удаленно, с использованием многофакторной аутентификации, одним из методов является биометрическая аутентификация;
2) в центре регистрации УЦ с использованием биометрической аутентификации, при необходимости пройдя процедуру сбора биометрических данных, УЦ обеспечивает хранение биометрических данных.
Владелец дает согласие на хранение закрытого ключа ЭЦП в облачной ЭЦП УЦ.
7. После создания, закрытый ключ ЭЦП сохраняется в HSM в зашифрованном виде с использованием стандарта ГОСТ 28147-89. В качестве секретных значений участвуют пароль, заданный владельцем который в УЦ не хранится. УЦ, для проверки пароля от закрытого ключа владельца, хранит хэш пароля в HSM.
Глава 3. Порядок использования закрытых ключей ЭЦП, хранящихся в удостоверяющем центре
8. При использовании закрытых ключей ЭЦП, хранящихся в УЦ, владелец проходит многофакторную аутентификацию, одним из методов является биометрическая аутентификация.
9. Подписание электронных документов осуществляется в памяти HSM путем передачи подписываемого файла или его хэш в HSM.
10. При аутентификации владельца в УЦ, передача пароля от владельца (браузер, мобильное приложение) в HSM производится в зашифрованном виде, при этом шифрование пароля производится на стороне владельца, в персональном компьютере или смартфоне.
11. Восстановление пароля от закрытого ключа ЭЦП в облачной ЭЦП не осуществляется.
12. УЦ предоставляет владельцу закрытого ключа облачной ЭЦП доступ к информации о всех подписанных электронных документах через личный кабинет УЦ. Срок хранения информации обо всех подписанных электронных документах составляет не менее одного года после истечения срока действия регистрационного свидетельства владельца.
13. В случае выявления факта компрометации закрытых ключей электронной подписи владельцев регистрационных свидетельств, УЦ незамедлительно публикует на своем интернет-ресурсе информацию о данном факте и принятых мерах по минимизации нанесенного ущерба.
14. УЦ обеспечивает протоколирование следующих событий:
1) формирование закрытого ключа ЭЦП облачной ЭЦП;
2) использование закрытого ключа ЭЦП облачной ЭЦП;
3) удаление (стирание) закрытого ключа ЭЦП облачной ЭЦП.
Срок хранения протоколов работы составляет один год с даты истечения срока действия регистрационного свидетельства.
При протоколировании действий записывается следующая информация:
1) идентификатор владельца;
15. Протоколы событий ежедневно преобразуется в хэш, и данные хэш хранятся в цепочке событий блокчейн. Применяемая для этого блокчейн доступна в Интернет.
Глава 4. Порядок хранения закрытых ключей ЭЦП в удостоверяющем центре
16. УЦ обеспечивает защиту закрытых ключей ЭЦП в УЦ.
17. Срок хранения закрытых ключей ЭЦП в облачной ЭЦП описывается в правилах применения регистрационных свидетельств УЦ утверждаемых УЦ в соответствии подпункта 2-1) пункта 1 статьи 21 Закона.
18. Согласно пункта 92 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее - ЕТ), программно-аппаратное обеспечение облачной ЭЦП размещается на территории Республики Казахстан.
19. Защита закрытых ключей обеспечивается комплексом организационных, программных и технических мероприятий в соответствии с требованиями описанные в ЕТ.
20. УЦ обеспечивает отсутствие возможности подписания электронных документов с использованием закрытых ключей ЭЦП облачной ЭЦП без ведома (аутентификации) владельца.
УЦ, выдавший регистрационное свидетельство, отзывает его на основании соответствующего уведомления в следующих случаях:
1) по требованию владельца регистрационного свидетельства либо его представителя;
2) при установлении факта представления недостоверных сведений либо неполного пакета документов при получении регистрационного свидетельства;
3) смерти владельца регистрационного свидетельства;
4) изменения фамилии, имени или отчества (если оно указано в документе, удостоверяющем личность) владельца регистрационного свидетельства;
5) смены наименования, реорганизации, ликвидации юридического лица – владельца регистрационного свидетельства, смены руководителя юридического лица;
6) предусмотренных соглашением между УЦ и владельцем регистрационного свидетельства;
7) по вступившему в законную силу решению суда.
.jpg)
Вас перебросит в личный кабинет, где нужно проверить свои данные. Если всё хорошо, поставьте галочку в самом низу и выпустите сертификат.
(1).jpg)
Если компьтер ещё не настраивали, сделайте это сейчас. По кнопке вы установите программы и расширения, которые подготовят компьютер к работе с электронной подписью автоматически.
.jpg)
После того как пройдёт проверка системы, установите компоненты программы.
Подождите пока они установятся.
И перезагрузите компьютер. Лучше сразу, не откладывая.
После перезагрузки автоматически начнётся повторная проверка системы. Если не начнётся, просто зайдите в Эльбу и перейдите в личный кабинет по кнопке из задачи по выпуску подписи.
Важный шаг: выбрать носитель для вашей подписи. Если работаете на нескольких компьютерах, удобнее будет с флешкой. Если на одном — с реестром.
Дальше интересно: нужно водить мышкой по экарну или нажимать стрелочки на клавиатуре, чтобы создать закрытый ключ для своей подписи.
Пароль не устанавливайте: просто оставьте поля пустыми и нажмите ОК.
.jpg)
Подождите, пока проверится запрос. Не уходите с этой страницы, чтобы всё прошло гладко. На деле это занимает 5-7 минут.
.jpg)
.jpg)
Ура, теперь ваша подпись на токене или в реестре на компьютере и вы можете с ней работать. На всякий случай сделайте резервную копию. Это подстрахует вас на случай потери токена. А если выбрали реестр на компьютере — копия позволит работать с подписью на другом устройстве.
.jpg)
Статья актуальна на 01.02.2021
ЭЦП записывается на какой-либо носитель, на котором ее можно хранить и использовать. Самым популярным таким носителем является рутокен. Именно на нём в большинстве случаев выдется ЭП. Однако, подпись можно записать и на другой носитель. Рассмотрим подробнее, как пользоваться электронной подписью с флешки.
Какие есть варианты флешек для ЭЦП
Практика показывает, что записать ЭЦП можно на следующие носители:
- Стандартный USB-накопитель (обычная флешка) . Этот носитель не рекомендуется к использованию по самой очевидной причине – сертификат ЭЦП на нем можно легко украсть. Поэтому, удостоверяющие центры не записывают на него эцп.
- USB-накопитель с защищенным хранилищем . Данный носитель аналогичен стандартному. Но его память разбивается на части, и где храниться ЭЦП, сектор защищается паролем. Поэтому доступ к эцп защищается, но степень защиты недостаточная, умеренная. Для опытных мошенников, вскрыть такой пароль не представляет сложности, а значит и украсть подпись они легко смогут.
- USB-токены с криптопроцессором . Второе их наименование – рутокен 1.0. Когда происходит установка ключа, на жесткий диск компьютера копируется закрытый ключ, поэтому специалисты легко смогут его найти и украсть с компьютера.
- USB-токены с генерацией ЭЦП . Второе наименование – рутокен 2.0. В настоящее время он является одним из самых защищенных носителей для хранения ЭЦП. Данный носитель имеет все преимущества предыдущего токена. Но ещё способен автоматически генерировать открытый ключ, который и сохраняется на компьютере. Украсть такую ЭЦП в настоящее время практически невозможно, так как с самой подписью работает криптопроцессор, а подпись защищена секретным кодом.
Сегодня удостоверяющие центры в 95 % применяют именно USB-токены с генерацией ключа.
Принцип работы USB-токенов
Рассмотрим подробнее технологию работы с ЭЦП.
Владельцу подписи выдают рутокен, на котором записана ЭЦП, защищенная хранящимся у него секретным кодом.
С помощью программного обеспечения происходит генерация открытого ключа, который и копируется на компьютер.
При этом копия данного ключа также остается в удостоверяющем центре для того, чтобы при необходимости решать спорные ситуации. В качестве ПО часто используется КриптоПро CSP.
Когда происходит подписание документа, то в отдельной строке или в файле указывается часть информации открытого ключа. При копировании открытый ключ создается специальной программой (КриптоПро CSP).
Установка сертификата на компьютер
Для того, чтобы пользоваться сертификатом ключа, необходимо добавить его в систему Windows. Подробнее смотрите в видео ниже.
Рассмотрим по шагам, что нужно для этого сделать:
Использование сертификата с накопителя
Также, если необходимо подписать простой текстовый документ либо таблицу, то также на компьютере необходимо установить дополнение КриптоПро Office Signature.
Чтобы подписать документ, нужно выполнить следующий перечень действий:
Дополнение КриптоПро Office Signature является платным программным продуктом с небольшим бесплатным периодом использования. Лицензия на него приобретается бессрочная.
Как скопировать ЭЦП с флешки на компьютер
Копирование проходит в несколько действий:
- На следующем шаге будет предложено установить пароль на новый ключ. Если это не предполагается делать, то можно оставить поля пустыми, после чего нужно нажать ОК.
Теперь нужно установить сертификат на компьютере:
Все, сертификат скопировался. Теперь для подписи документов нет необходимости вставлять флэшку.
Как скопировать ЭЦП с компьютера на флешку
Рассмотрим как перенести ЭЦП с компьютера на флешку в несколько действий:
Как записать ЭЦП на рутокен
Для копирования необходимо произвести следующие действия:
Почему может не работать ЭП
На практике может сложиться ситуация, что компьютер не реагирует на подключение рутокена с электронной подписью, не видит ЭЦП с флешки и выполнить с ней какие-либо действия становится невозможным.
Читайте также: