Справочная
Подготовка ПК к подписанию на USB-Токене Печать
Создано: Мила Ольховая
Изменено: Ср, 2 Мар, 2022 на 3:15 PM
Чтобы начать работу с Токеном нужно скачать и установить:
После установки приложений нужно произвести настройку:
- Вставить носитель Рутокен или флешку в компьютер.
- Запустить криптографическое ПО — КриптоПро CSP(через Пуск.
- Активировать вкладку «Сервис».
- Нажать на кнопку «Посмотреть сертификаты в контейнере».
- Выбрать электронную подпись и кликнуть «ОК».
- Нажать кнопку «Установить».
- После завершения процесса нажать «Готово» и «ОК».
Популярные криптопровайдеры:
Работать с электронной подписью можно при помощи плагина. Это программа, которую нужно установить на компьютер, если хотите подписывать заявления дистанционно.
Чтобы плагин работал, он должен быть совместим с криптопровайдером или токеном. Вот список криптопровайдеров и токенов, с которыми умеет работать плагин.
Для Windows
Для Linux и MacOS
Криптопровайдеры: КриптоПро CSP,
ViPNet CSP, Signal-COM CSP, ЛИССИ-CSP.
Токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0,
JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ
Только токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0,
JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ
Токеном называют носитель, куда сотрудники удостоверяющего центра записывают сертификат электронной подписи. Поддерживаемый токен может работать самостоятельно, если сертификат был выпущен специально для него. Если нет, то только с помощью криптопровайдера.
Плагин может работать и с токенами не из списка. В этом случае важно, чтобы токен и сертификат были совместимы с криптопровайдером.
Криптопровайдером называют программу, с помощью которой человек может работать с сертификатом подписи на компьютере.
С криптопровайдером для работы с подписью необязательно использовать токен: подойдет обычная флешка или жесткий диск компьютера, куда можно поместить сертификат.
Совет
Электронную подпись выпускают в удостоверяющем центре. Чтобы центр выпустил сертификат на нужный носитель, сообщите, как вы будете пользоваться подписью. Сотрудник запишет сертификат на поддерживаемый носитель, который будет совместим с вашей операционной системой.
*** Для того чтобы Google Chrome смог работать с электронной подписью необходимо установить расширение. Для этого откройте ссылку на расширение и установите его
Мила — автор этой статьи.
Была ли эта статья полезной? Да Нет
К сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.
Работа с токеном в Assistant SDK Android
Для аутентификации пользователей на поверхности используется токен авторизации. Ниже описано, как использовать его с SDK.
Передача токена в SDK
При интеграции Assistant SDK хост-приложение должно реализовать у себя несколько интерфейсов. Один из них — VPSTokenProvider . В этом интерфейсе необходимо возвращать токен авторизации: по запросу хост-приложение отдаст ассистенту VPSTokenProvider.requestToken .
При запросе токена будут указаны следующий причины отсутствия токена в SDK:
- AUTHORIZATION_ERROR — получили ошибку авторизации от VPS;
- REFRESH — токена нет в SDK, или он был сброшен.
Кеширование токена есть внутри Assistant SDK. Если токен необходимо принудительно сбросить, реализуйте на своей стороне VpsTokenInvalidator — он будет отправлять события в моменты, когда надо сбрасывать.
VPSTokenProvider, а также все интерфейсы, которые нужно реализовать, описаны в примере реализации SdkClientExtApp — мы поставляем его вместе с SDK.
Поведение токена можно настроить с помощью TokenConfig :
@Keep data class TokenConfig( /** * Суммарный таймаут ожидания на все запроса токена */ val tokenWaitTimeout: Long = 10L, /** * Единица измерения для таймаута ожидания запроса токена */ val tokenWaitTimeoutTimeUnit: TimeUnit = TimeUnit.SECONDS, /** * Количество попыток заново запросить токен в случае неудачи */ val tokenWaitRetryCount: Int = 3, /** * Период обновления токена в штатном режиме (его необходимо обновлять раз в N минут) */ val tokenRefreshRate: Long = 2, /** * Единица измерения для периода обновления токена */ val tokenRefreshRateTimeUnit: TimeUnit = TimeUnit.MINUTES )
От времени жизни токена зависит, нужно ли реализовать кеширование на стороне хоста.
Если время жизни токена менее суток
Кешировать токен на стороне хоста необязательно. При каждом вызове VPSTokenProvider.requestToken запрашивать токен из бэкенда.
Если время жизни токена несколько суток
Рекомендуем на стороне хост-приложения реализовать свой кеш токена — за счет кеширования можно сэкономить время.
При запросе VPSTokenProvider.requestToken :
- с причиной AUTHORIZATION_ERROR запросить из бэкенда новый токен;
- с причиной REFRESH вернуть токен из кеша.
Если вы используете такой сценарий, обязательно сбросьте кеш в хосте при сбросе токена через VpsTokenInvalidator .
ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей.
Вы можете запретить сохранение cookie в настройках своего браузера.
Инструкция по работе с токенами SecureToken-337 производства ТОВ «АВТОР»
Токены ТОВ «АВТОР» 337 серии представляют собой смарт-карты с пластиковым или металлическим разъемом:
- SecureToken 337M — с пластиковым USB разъемом.
- SecureToken 337К – с металлическим.
- Crypto Cart 337 – она отличается только форм-фактором, для работы с ней нужен дополнительно контактный считыватель.
Модели отличаются только разъемом и форм-фактором, технические характеристики и функционал полностью идентичны.
SecureToken 337 серии поддерживают работу с такими ОС: Windows, Linux, MacOS, Android.
Для работы с операционными системами начиная с Windows 7 (Windows 8, 10, Server 2008) и выше не требуются никакие дополнительные драйвера, они уже добавлены в систему по умолчанию.
Для работы в Windows XP необходимо дополнительно скачать CCID драйвер с нашего сайта – скачать
Обратите внимание! Токен — это не флешка, он не определяется, как съемный носитель, его не видно в «Мой Компютер» как устройство. Единственное место, где пользователь может его обнаружить, чтобы убедится, что компьютер определил токен – это перечень Устройств и принтеров. Для этого нажмите кнопку «Пуск» – «Устройства и принтеры». В списке наряду с принтерами вы увидите устройство «Смарткарта» (рис. 1).
Этого достаточно, что бы убедиться, что ваш ПК правильно определил и установил токен. Также токен можно увидеть в перечне оборудования в консоли управления под именем «Смарт-карта», если вы обладаете правами администратора. Если при подключении токена вы не обнаружили устройства ни в списке «Устройства и принтеры» ни в перечне оборудования, то проверьте запущена ли «Служба смарт-карт» в консоли управления. Если это не помогло, обновите драйвера USB портов и проверьте их работоспособность.
Перед началом работы с токеном необходимо изменить его пароль по умолчанию на свой. Для этого необходимо воспользоваться утилитой AVpinTool — скачать
Как пользоваться утилитой AvPinTool
1. Запустив утилиту
2. В выпадающем списке выберите токен, который подключен в данный момент. В окне ниже вы увидите основную информацию о нем и о его состоянии (рис. 2).
3. Нажмите кнопку «Изменить ПИН-код»
4. Введите пароль по умолчанию 12345678 , а так же свой новый пароль, подтверждение нового пароля, и нажмите «Изменить». Введенный ПИН-код должен содержать от 4 до 8 символов. Можно использовать цифры или латинские буквы, но нельзя использовать ПИН-код по умолчанию (Рис. 3).
5. Хорошо запомните свой новый пароль. При 7 неправильных попытках ввода пароля токен блокируется , и все ключи, хранящиеся на нем, уничтожаются. Количество оставшихся попыток ввода пароля можно увидеть в окне состояния токена в утилите AVpinTool.
В случае блокировки, разблокировать токен можно в утилите AVpinTool при помощи кода разблокировки, только если он был заранее задан при форматировании. По умолчанию код разблокировки не устанавливается (в утилите AVpinTool показывается «Код разблокировки: не активен»). Если код разблокировки не установлен, или количество попыток ввода превышено, токен необходимо отформатировать и привести к заводским настройкам. Это приведет к полной потере данных на нем.
Для форматирования токена используется утилита Init337 — скачать
Использование утилиты Init337 (рис. 4)
1. Запустите программу.
2. Укажите устройство, которое нужно инициализировать — ридер или токен.
3. Укажите желаемое название носителя (не обязательно).
4. Укажите новое значение ПИН-кода. Введенный ПИН-код должен содержать от 4 до 8 символов. Можно использовать цифры или латинские буквы, но нельзя использовать ПИН-код по умолчанию.
5. Если требуется использовать Код разблокировки — установите соответствующий флажок. Код разблокировки должен содержать от 4 до 8 цифр или латинских букв.
6. Сохраните Код разблокировки в надежном месте.
7. Нажмите кнопку “Инициализировать”. Токен или карта должны быть подключены. При успешном завершении индикатор процесса дойдет до 100% и появится сообщение об успешном завершении операции (Рис. 5).
Внимание! Инициализация полностью и безвозвратно уничтожает рабочие ключи пользователя. Пользуйтесь программой только для указания начального значения ПИН-кода или в случае полной блокировки карты или токена. Не используйте программу для изменения ПИН-кода — все ключи будут потеряны. Для изменения ПИН-кода без потери данных используйте утилиту AVpinTool. |
Для форматирования токенов новой серии 338 используется утилита Init338UE (предоставляется по запросу, если вы приобрели токен SecureToken 338)
Дополнительно напоминаем! Токен — это не носитель и не флешка в привычном понимании пользователя. Это криптографический процессор, который выполняет операции подписи документов в своей защищенной памяти. На него нельзя записать ключи ЭЦП как на обычную флешку. Для того что бы получить полноценную КЭП на защищенном носителе, необходимо текущую подпись переиздать, и новую подпись сгенерировать на токене. Только сгенерированная на токене подпись считается квалифицированной, и соответствует всем нормам Украинского законодательства.
К сожалению, просто записать электронную подпись на токен или смарткарту не получится. Точнее получится – при помощи специального ПО можно экспортировать закрытый ключ из файла key6.dat или *.PSK, *.jks, но в этом случае подпись не будет считаться Квалифицированной, и подписать нею на различных площадках или в специальном ПО ничего не получится. Квалифицированной подписью считается только та подпись, закрытый и открытый ключ которой был сгенерирован на самом токене. А это значит, что для того, чтобы у вас на токене появилась подпись, её нужно издать на токене.
Самый надежный способ – это обратиться в ближайший Аккредитованный центр сертификации ключей (АЦСК) с документами. Кроме АЦСК ПриватБанка, поскольку ПриватБанк на сегодня (13.01.2021) не поддерживает работу с токенами.
Если у вас есть действительные ключи в виде файла, то не обязательно идти в АЦСК, можно перевыдать ключи со своего рабочего места.
Это зависит от вашего АЦСК. Как уже говорили, ПриватБанк не поддерживает работу с токенами, но если у вас ЭЦП от Налоговой, то вам нужно просто зайти на их сайт https://acskidd.gov.ua/manage-certificates. В разделе «Повторное формирование сертификатов по электронному запросу» вы можете загрузить текущие ключи из файла, подписать новый договор в электронном виде, и сгенерировать новые ключи, но уже указав в качестве места хранения не файловую систему, а ваш токен (Рис. 6).
Это возможно только в том случае, если:
- Срок действия текущего ключа не закончился
- Не было изменения данных, вносимых в сертификат (Адрес, название, ФИО и т.п.)
- У вас есть действительный секретный ключ в виде файлов и вы знаете правильный пароль от него
Такую же операцию можно провести, если вы пользуетесь программой MeDoc или АЦСК «Украина», «MasterKey» и другие. Для этого обратитесь в ваш АЦСК и следуйте их инструкциям.
Как работать с «определенными» токенами
В состав нашей крупной организации входит более пятидесяти различных юридических лиц, управляемых из единого центра. Бухгалтерия, соответственно, тоже централизованная. И вот уже два с лишним года это создаёт немалые проблемы.
Проблема «некопируемых» токенов
Каждому юридическому лицу соответствующий орган выдаёт один токен для подписи документов. Копировать его нельзя, что в принципе соответствует линейной логике государственного органа. Токен постоянно находится у ответственного сотрудника, который занимается всевозможной отчётностью. Другим он попросту не нужен.
Но реальность часто бывает сложнее умозрительных построений. С чем мы и столкнулись.
Эпидемия привела к удалённой работе, а дистанционная схема — к децентрализации. Сотрудники разошлись по филиалам, разбросанным по всей области. Если раньше все бухгалтеры занимали три соседние комнаты в одном здании, то сейчас между ними десятки километров по пробкам.
Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. Сейчас это стало малореальным. Не гонять же курьера за тридевять земель и обратно — дорого и совершенно неэффективно.
Вернуться к сверхцентрализации? Вряд ли это разумно. Сотрудники уже привыкли работать поближе к дому, да и цены на московскую аренду кусаются.
Выход только один. Надо сделать «некопируемые» токены доступными для всех филиалов.
Решение проблемы — USB over IP
Суть технологии USB over IP заключается в предоставлении дистанционного доступа к USB-устройствам, подключенным к специальному концентратору. Разумеется, при условии, что сам концентратор «виден» пользователю.
Таким образом, теоретически решение проблемы выглядит так. В головном офисе устанавливается концентратор, к которому подключаются все токены. При необходимости подписать какой-либо отчёт сотрудник филиала пользуется соответствующим токеном так, как будто бы ключ физически воткнут в локальный порт его машины.
Выбор концентратора
Предварительно анализировались три решения: программа FabulaTech, концентратор Digi AnywhereUSB и концентратор DistKontrolUSB. Прежде всего интересовала стоимость одного порта при использовании ста портов. Тут картина получилась такая.
Самым дорогим оказался Digi AnywhereUSB. Стоимость одного порта — более 16 тыс. рублей. Получается, нам придётся выложить больше миллиона. Сумма, честно говоря, не особенно приятная.
FabulaTech подешевле — около 13 тыс. рублей за порт. Но это без учёта расходов на сам компьютер и хабы. За миллион вряд ли перевалим, но получится что-то близкое к этому. Тоже недёшево.
К тому же, что греха таить, импорт — это санкционные риски. А мы политикой не занимаемся — мы деньги зарабатываем.
Стоимость одного порта, при использовании старшей модели DistKontrolUSB-64, начинается от 2.5 тыс. рублей. Нам необходимо решение 16-ти портовой модели, стоимость одного порта составит около 6 тыс.руб. Таким образом, всё решение обойдётся нам примерно в 100 тыс. рублей. Разница с предыдущими вариантами слишком заметная. А поскольку устройство разрабатывается и производится в России, то политических рисков вовсе нет.
DistKontrolUSB — первое знакомство
Существенное достоинство DistKontrolUSB — гарантия совместимости с токенами, так как концентратор «пробрасывает» сам порт, а не эмуляцию USB-устройства, следовательно, ему не особо важно, что находится в пробрасываемом порту. Если есть какие-то сомнения, то можно приехать в офис разработчика и лично убедиться, что всё работает. И вообще потрогать товар руками и посмотреть глазами, что часто бывает очень важно.
Например, мы планируем устанавливать концентратор на стол, расположенный в кабинете главного бухгалтера. По ряду причин размещение в стойку нам не подходит.
Для настольной установки DistKontrolUSB комплектуется специальными резиновыми «ножками», а его корпус выполнен из металла. Для физической защиты токенов, как дополнительная опция, предназначены металлические кожухи глубиной 10 см. Благодаря этому нет необходимости обращаться с концентратором, как с хрустальной вазой. Хотя, безусловно, ронять на пол его не стоит.
Важно и то, что корпус универсален. Если мы решим переместить устройство в стойку, то никаких переделок или дополнительных покупок не потребуется. Крепления для стойки 19” идут в комплекте с концентратором, что, в свою очередь, очень приятно.
Что касается скорости монтажа, то мы решили заранее проверить, сколько времени у нас займёт перенос концентратора со стола в стойку. Оказалось — примерно 10 минут. И это с первой попытки без помощи специалистов компании-разработчика.
Практика — критерий истины
Сразу после установки и подключения к сети DistKontrolUSB работает в режиме «всё доступно всем». По умолчанию все порты находятся в одной группе без каких-либо ограничений прав. Понятно, что главбуха этот не устроило, поскольку в финансовых делах порядок должен быть.
С другой стороны, ему не нравилась старая схема, когда каждый токен приходилось выдавать под роспись. Это отнимает слишком много времени, а главбуху и так есть, чем заняться. Методом проб и ошибок пришли к следующей схеме.
Из всех сотрудников, которым должны быть доступны токены, были сформированы группы, причём некоторые работники вошли сразу в несколько групп. Соответственно для каждой группы был разрешён доступ только к тем ключам, которые могут понадобиться. Но доступ к портам по группам, не совсем то, что нужно, поэтому можно, и мы это сделали, «разграничить» права между портами и пользователями в этой самой группе. А чтобы не возникло путаницы назвали каждый ключ по имени его обладателя, а «лишние» порты были убраны в отдельную группу и сделаны невидимыми всем пользователям.
Вопреки нашим опасениям со стороны сотрудников бухгалтерии никаких проблем не возникло. Переход от физического доступа к дистанционному прошёл практически незаметно. Рост количества обращений в техническую поддержку был примерно такой же, как и при прочих новшествах, причём все они были обусловлены не отказами оборудования, а обычным страхом пользователей перед чем-либо непривычным. Через неделю всё пришло в норму.
Спустя некоторое время выяснилось, что некоторые сотрудники не могут получить доступ к ключам. Оказалось, что главбух выключал концентратор, когда был вынужден отлучиться куда-либо по делам и не планировал вернуться в тот же день. Оставлять работающие устройства на ночь он категорически отказывался, поскольку мало ли что.
Проблема была решена при помощи настроек. Сформировали задание, согласно которому отключение всегда производилось в одно и то же время в конце рабочего дня. Главбуха это вполне устроило, тем более, что он ежедневно получал уведомление об отключении концентратора.
Итоги и планы
Благодаря концентратору DistKontrolUSB мы благополучно справились с проблемой «некопируемых» токенов. При этом каких-либо принципиальных сложностей у нас не возникло — все возникающие вопросы решались в рабочем порядке.
В настоящее время обсуждается идея полного отказа от выдачи на руки любых токенов, включая внутренние. Потому что так удобней.