Сертификат открытого ключа ЭЦП используется для
Асимметричное шифрование данных предусматривает применение закрытого и открытого ключей одновременно. Сама технология реализована на базе связки компонентов ЭЦП. Ключи связаны за счет математического соотношения.
Подобная технология обеспечивает безопасность шифрования данных. Даже в случае перехвата информации ее становится практически невозможно расшифровать.
Электронная подпись исключает возможность перенаправления на сторонний веб-ресурс.
Что такое открытый ключ
Открытый ключ ЭЦП доступен для всех пользователей информационной системы. По своей сути это цифровой код. С его помощью осуществляется идентификация владельца и удостоверяется факт отсутствия изменений в документе после подписания. В состав сертификата входят данные:
уникальный номер, присваиваемый в ходе
регистрации;
личные сведения о держателе, включая реквизиты эмитента — удостоверяющего центра и
Ф. И. О. владельца
срок действия выданного сертификата
Проверить соответствие ЭЦП сертификату предлагается с помощью реестра Единого удостоверяющего центра. В библиотеке хранится информация обо всех выданных криптосистемах, что позволяет легко проверить достоверность ЭЦП по ее общедоступному компоненту. Подобная технология обеспечивает надлежащий уровень защищенности электронного документооборота.
Гарантируется безопасность компонента криптосистемы от создания подделок, а проводимой сделки — от злоумышленников. Доступ к открытому элементу цифровой подписи публичный — воспользоваться им может кто угодно. Выдача этой части ключевой пары ЭЦП осуществляется уполномоченным государственным органом — удостоверяющим центром.
В его функции входит формирование секретного компонента криптосистемы и собственного сертификата, сертификата конечного пользователя, заверение их аутентичности. Для учета выданных сертификатов УЦ ведет специальный реестр.
Спектр выполняемых органом задач охватывает также отзыв истекших либо скомпрометированных сертификатов с последующим обновлением существующей базы.
Понятие закрытого ключа
Для дешифровки хранящихся в ЭЦП данных понадобится вторая составляющая в виде закрытого компонента сертификата. Закрытый ключ ЭЦП именуется также секретным. Этот компонент криптосистемы считается более уязвимым и подверженным взлому.
Его получение злоумышленником позволяет создать действительную электронную подпись от имени автора. Поэтому особую важность приобретает хранение криптографической составляющей в надежном месте. Персональный компьютер не может обеспечить надлежащую защиту ключевой пары.
Закрытый ключ ЭЦП — это уникальное сочетание символов, для хранения которых используется цифровой носитель. Им могут служить:
смарт-карта
токен
USB-носитель
дискета
Похищение либо потеря устройства хранения данных может быть сразу обнаружена пользователем — можно успеть своевременно отозвать сертификат. Самым безопасным вариантом из всех представленных считается смарт-карта.
Ее использование предполагает двухфакторную аутентификацию — введение PIN-кода. Скопировать информацию со смарт-карты представляется довольно сложной задачей.
Однако токены более универсальны в связи с возможностью их использования на любом устройстве, оснащенном USB-портом. Хранение закрытого ключа осуществляется только у владельца электронной цифровой подписи. Дубликаты этого компонента криптосистемы отсутствуют.
Хранение составляющей ключевой пары с истекшим сроком действия целесообразно с целью возможности в дальнейшем расшифровать документы из давнего электронного архива.
Электронный компонент ключевой пары является конфиденциальным. Ответственность за его сохранность в полной мере возлагается на владельца ЭЦП, что прописано на законодательном уровне.
Зачем нужны открытый и закрытый ключ ЭЦП
Открытый и закрытый ключ электронной подписи решают разные задачи. Открытый ключ ЭЦП предназначен для зашифровки информации, в то время как закрытый призван обеспечить ее расшифровку.
При этом первый элемент можно без опасений передавать, не рискуя при этом сохранностью данных. Работа ключевой пары осуществляется только при взаимодействии двух составляющих. Надежная криптосистема успешно используется для заверения электронных документов.
Удобный инструмент обеспечивает надлежащую конфиденциальность данных и защиту от фальсификации.
Сертификат ключа проверки электронной подписи
В дополнение к традиционной электронной подписи удостоверяющие центры также выдают сертификат ключа проверки, с помощью которого можно установить подлинность выданной ЭЦП. В каком виде выдается сертификат ключа проверки ЭП, какая информация на нем содержится? Можно ли полноценно пользоваться электронной подписью при его отсутствии?
Читайте в статье
Что представляет собой такой сертификат?
Сертификат ключа проверки электронной подписи является цифровым или бумажным документом, содержащем в себе следующий набор данных:
- открытый ключ ЭЦП;
- краткие сведения о владельце электронного ключа(персональные данные, за которым и закрепляется набор мета-данных);
- сведения об удостоверяющем центре, который и выдал ключ;
- дата регистрации ЭЦП и срок её действия (конечная дата, до которой подпись признается как действующая);
- СНИЛС;
- общедоступные данные компании (если электронный ключ оформлялся именно на юридическое лицо).
Также в него могут добавлять дополнительные данные о юридическом лице. В документе, выданном в бумажном виде, указывается та же информация, но также ставится подпись и печать центра, выдавшего ключ.
Для чего необходим сертификат?
Мнение эксперта Александра Степанова Консультант по подбору ЭЦП
Полноценно пользоваться электронной подписью можно и без сертификата проверки ключа.
Он может потребоваться разве что для проверки ЭЦП (подтверждение того, что она является легитимной, то есть, зарегистрированной в Минкомсвязи, как того и требуют законодательные нормы).
Реже он используется для шифрования файлов, которые впоследствии сможет открыть только владелец ЭЦП (для обеспечения конфиденциальности пересылаемых данных).
Естественно, это работает только при наличии цифровой, а не бумажной копии документа.
Существует ещё понятие децентрализованного сертификата проверки ключа. Его создают в дополнение к ЭЦП, которое не регистрируется в Минокомсвязи.
Ведь создать электронный ключ можно и средствами Windows – её будет достаточно для шифрования данных текстовых файлов и обеспечения той же конфиденциальности.
Но такой сертификат не имеет юридической силы, чаще всего его используют только во внутреннем электронном документообороте компании, когда доступ ко внутренней юриспруденции открывается далеко не всем сотрудникам.
Квалифицированный сертификат проверки подписи
Квалифицированный сертификат ключа проверки электронной подписи выдается в дополнение к усиленной квалифицированной ЭЦП.
Он содержит аналогичную информацию за исключением сведений об открытом ключе (так как в квалифицированной подписи он вовсе не предусмотрен).
Его также можно использовать для проверки валидности ЭЦП или использовать для расшифровки подписанных и зашифрованных документов, созданных в среде Microsoft Office.
Квалифицированный сертификат ключа проверки ЭП также имеет свой срок действия – 12 месяцев. По истечению данного периода он аннулируется, то есть, теряет свою юридическую силу. Эти условия актуальный и к неквалифицированным вариациям ключа.
Установка сертификата
Как установить сертификат ключа проверки электронной подписи? Для этого обязательно потребуется установленная и активированная копия программного обеспечения «КриптоПро CSP».
Скачать инсталлятор, приобрести лицензию, а также получить детальную инструкцию по работе с данным приложением можно на сайте cryptopro.ru (это официальный сайт разработчиков ПО).
На текущий момент только данная программа сертифицирована для работы с российскими электронными подписями.
Итак, после установки программы необходимо:
- зайти в «Панель управления»;
- из списка выбрать «КриптоПро CSP» и двойным кликом мышки запустить программу;
- в появившемся окне – кликнуть «Сервис»;
- кликнуть на «Установить личный сертификат»;
- выбрать необходимый файл, который и нужно установить в операционную систему Windows (выбранный документ должен иметь расширение X.509 или BASE64);
- выбрать «Далее», затем – отметить пункт «Найти контейнер автоматически»;
- на этом этапе в USB-порт необходимо вставить рутокен, на который и записан ЭЦП;
- из списка в нижней части окна выбрать устройство, где записан ЭЦП (если нужно – предварительно устанавливается драйвер);
- выбрать «Далее», отметить пункт «Установить сертификат в контейнер»;
- выбрать «Далее», после чего будет выполнена установка, по заключению которой появится сервисное сообщение с указанием деталей установленного файла.
Остается только дождаться пока будет установлен квалифицированный сертификат проверки электронной подписи. После – рекомендуется перезагрузить компьютер.
По окончанию установки на экран будет выведено сервисное сообщение с указанием данных установленного файла. Следует тщательно проверить, чтобы они соответствовали действительной информации из ЭП.
В противном случае – подписывать документы не получится (при попытке это сделать будет выдана ошибка).
В «КриптоПро CSP 5» уже предусмотрена функция автоматического обнаружения сертификата и его последующей интеграции в среду операционной системы. Правда, работает она только при использовании рутокена версии 2.0, с усиленной квалифицированной подписью.
Для корректной работы с ЭЦП в Windows также может потребоваться установка коренных сертификатов. Это файлы, которые подтверждают аккредитацию удостоверяющего центра, который и зарегистрировал электронную подпись.
Их установка производится через свойства установленного сертификата проверки ЭП.
Загрузить их же можно в большинстве случаев на официальном сайте удостоверяющего центра (или их выдают на CD-носителе вместе с USB-токеном).
Вышеуказанная инструкция не подходит для Linux-дистрибутивов и MacOS.
Хоть на них КриптоПро также работает, но официально данные операционные системы не поддерживают полноценную работу с ЭЦП ввиду наличия определенных программных ограничений.
Подпись документов в них рекомендуется выполнять через специальный плагин для браузера (доступен для Chrome и производных от него). Сам плагин можно скачать на сайте разработчиков «КриптоПро».
Проверка ключа
Как проверить сертификат ключа электронной подписи? Это можно сделать на портале Госуслуг (предварительно на сайте нужно зарегистрироваться) по ссылке https://www.gosuslugi.ru/fms/eds. Это официальный инструмент, данные из таких ключей вносятся в общедоступную базу реестра, информация из него доступна всем желающим. Единственный нюанс – с помощью данного инструмента получить детальную информацию о владельце электронной подписи не получится (это касается ИНН, СНИЛС, выписки из ЕГРЮЛ и прочих данных, которые расцениваются как персональные и защищены от разглашения законом).
Для проведения проверки необходимо:
- перейти по вышеуказанной ссылке;
- загрузить сертификат проверки подписи в специальной форме (для загрузки доступны файлы с расширением X.509 или BASE64, графические и простые текстовые документы не поддерживаются);
- ввести сгенерированный код (для подтверждения того, что запрос – не автоматический);
- дождаться генерации отчета (можно загрузить в формате текстового файла или PDF-документа).
В полученном отчете будет указано до какого периода действует ЭЦП, а также наименование организации, которая его выдала, но только если это был аккредитованный удостоверяющий центр.
Данный инструментарий не подойдет для тех документов, которые были выданы не зарегистрированными в Минкомсвязи организациями. К таковым чаще всего относятся региональные центры, занимающиеся проверкой данных участников электронных торгов.
Итого, зачем нужен сертификат проверки электронной подписи? Для использования ЭП в условиях программной среды Windows. А установив его в операционную систему можно будет буквально в пару кликов мыши подписывать любые документы или файлы (при наличии установленной КриптоПро CSP). Также его наличие позволяет проводить проверку валидности ключа ЭП на портале Госуслуг.
Настройка ЛК ФНС для Крипто-Про CSP
1. Установка программного обеспечения
1.1. Сведения о технических и программных средствах, обеспечивающих работу
Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица или индивидуального предпринимателя необходимо установить следующее программное обеспечение (ПО):
- ОС Windows XP SP3 или выше, либо Mac OS X9 или выше (например, Windows 7). Необходимо установить все официальные обновления, касающиеся информационной безопасности, для выбранной операционной системы;
- Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89:
- КриптоПро версии 3.6.7777 и выше
- Vipnet CSP версии 4.2 (Windows 10 не поддерживается)
Правила получения сертификата открытого ключа электронной цифровой подписи
Электронная цифровая подпись является неотъемлемой частью электронного документооборота при размещении заказа путем проведения открытого аукциона в электронной форме. В настоящее время получить сертификат открытого ключа электронной цифровой подписи не составит труда — государственному заказчику нужно лишь обратиться в Федеральное казначейство с соответствующим запросом.
В соответствии с требованиями гл. 3.1 Федерального закона от 21.07.
2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» при проведении открытых аукционов в электронной форме требуется обязательное применение электронной цифровой подписи (ЭЦП), подтверждающей достоверность документов и сообщений, направляемых по электронным каналам связи.
Федеральное казначейство с 15 октября 2009 г. на безвозмездной основе выдает государственным заказчикам сертификаты открытых ключей ЭЦП, изданных уполномоченным удостоверяющим центром Федерального казначейства, для работы на электронных торговых площадках. Федеральным казначейством устанавливаются правила выдачи сертификатов заказчикам и обеспечивается безопасность данного процесса.
Уполномоченный удостоверяющий центр Федерального казначейства и его подчиненные региональные центры регистрации образуют ведомственную территориально-распределенную организационно-техническую структуру (ведомственную инфраструктуру открытых ключей — ВИОК), функционирующую как единая централизованная система в соответствии с принципами организации PKI-систем и обеспечивающую условия использования ЭЦП в электронных документах, при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Уполномоченный удостоверяющий центр Федерального казначейства — организационно- техническая система, обеспечивающая функционирование системы защищенного юридически значимого электронного документооборота Федерального казначейства и реализующая функции удостоверяющего центра (центра сертификации и центра регистрации) в соответствии с Федеральным законом от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
Уполномоченный удостоверяющий центр обеспечивает правовые условия использования ЭЦП в электронных документах Федерального казначейства при взаимодействии с федеральными органами государственной власти, органами государственной власти субъектов РФ, органами местного самоуправления, а также организациями, участвующими в документообороте с Федеральным казначейством и его территориальными органами.
Сертификаты открытых ключей ЭЦП выдаются заказчикам, являющимся участниками системы электронного документооборота Федерального казначейства, в порядке, установленном управлением Федерального казначейства по субъекту РФ по месту нахождения заказчика и публикуемом в сети Интернет на сайте соответствующего управления. Ссылки на сайты управлений по субъектам РФ можно найти на официальном сайте www.roskazna.ru.
Для заказчиков, заключивших с Федеральным казначейством договор об обмене электронными документами, подключение к системе электронного документооборота осуществляется бесплатно.
Для подключения к системе электронного документооборота заказчикам следует обратиться в орган Федерального казначейства по месту открытия лицевого счета участника бюджетного процесса, а при отсутствии лицевого счета, открытого в органах Федерального казначейства, — в орган Федерального казначейства по месту нахождения заказчика.
Порядок подключения к системе электронного документооборота публикуется на сайтах управлений Федерального казначейства по субъектам РФ.
Формирование запроса
Для формирования запроса на издание сертификата открытого ключа ЭЦП через web- интерфейс уполномоченного удостоверяющего центра (Web handler) заполняется следующая форма: фамилия, имя, отчество; наименование подразделения организации; наименование организации пользователя; название города; название региона; название страны; адрес электронной почты; назначение сертификата.
Издание сертификата
Издание сертификата осуществляется в следующих случаях:
- при первичной регистрации пользователя уполномоченного удостоверяющего центра;
- при плановой смене ключей;
- при внеплановой смене ключей.
Все ЭЦП, созданные до момента истечения срока действия сертификата, при условии его отсутствия в списке отозванных сертификатов, будут являться действительными.
Отзыв сертификата
Сертификат должен быть отозван по следующим причинам:
- при несоблюдении владельцем сертификата требований регламента;
- при смене ключей центра сертификации;
- по истечении срока действия сертификата;
- при компрометации закрытого ключа. К случаям компрометации закрытого ключа относятся:
- потеря носителя ключевой информации;
- потеря носителя ключевой информации с их последующим обнаружением;
- носители ключевой информации стали на время доступными постороннему лицу без контроля со стороны владельца или ответственного за хранение ключевой информации;
- увольнение сотрудников Федерального казначейства, имевших доступ к ключевой информации, или их перевод на другой участок работ;
- при подозрении на компрометацию закрытого ключа. К случаям подозрения на компрометацию закрытого ключа относятся:
- возникновение подозрения на утечку информации или ее искажение в уполномоченном удостоверяющем центре;
- нарушение печати на хранилище (пенале) с носителями ключевой информации;
- по письменному заявлению владельца сертификата или на основании служебной записки начальника соответствующего подразделения Федерального казначейства (если сертификат принадлежит сотруднику органов Федерального казначейства) или письма руководителя организации—участника электронного обмена (если сертификат принадлежит сотруднику данной организации).
Сразу после отзыва сертификата формируется список отозванных сертификатов, который помещается в сетевой справочник. Список отозванных сертификатов содержит номера сертификатов и соответствующее время их отзыва с указанием причины отзыва.
Дата и время, с которых отозванный сертификат считается недействительным в уполномоченном удостоверяющем центре, устанавливаются равными дате и времени публикации списка отозванных сертификатов, в который был включен отзываемый сертификат.
ЭЦП, созданная с помощью закрытого ключа, соответствующего открытому ключу в отозванном сертификате, будет признана недействительной, если время создания ЭЦП позже времени отзыва соответствующего сертификата, указанного в списке отозванных сертификатов.
Список отозванных сертификатов должен публиковаться: ежедневно в случае, если в течение дня не был произведен отзыв сертификата; немедленно после отзыва сертификата. Список отозванных сертификатов публикуется в сетевом справочнике, который должен быть доступен всем владельцам сертификатов в любое время при проверке ЭЦП.
Приостановление действия сертификата
Если пользователь уполномоченного удостоверяющего центра не планирует использовать свой сертификат в течение более чем 28 календарных дней, предлагается применять процедуру приостановления/возобновления действия сертификата.
Проверка подлинности ЭЦП
Любой владелец сертификата может обратиться с требованием провести проверку подлинности ЭЦП. Проверка ЭЦП выполняется с использованием программного обеспечения и соответствующих встроенных средств ЭЦП.
Порядок проведения проверки подлинности ЭЦП в электронном документе определен в «Регламенте по применению средств ЭЦП в Федеральном казначействе».
Что такое сертификат ключа проверки электронной подписи
В настоящее время наблюдается развитие и внедрение во все сферы деятельности человека электронного документооборота. Для установления принадлежности определенного документа конкретному человеку или юридическому лицу используется ЭЦП. Чтобы определить подлинная ли ЭЦП или нет, применяется сертификат ключа проверки электронной подписи. Он существует у каждой подписи.
Рассмотрим подробнее СКПЭП что это, и какие у него задачи. Сертификат ЭЦП – это бумажное или электронное подтверждение подлинности ЭЦП, которое устанавливает принадлежность ее конкретному лицу.
Сертификат ключа проверки выпускает удостоверяющий центр, который осуществляет создание электронной подписи и обслуживание сертификата.
Понятие открытый ключ или сертификат проверки используется из-за того, что он представляет собой информацию о владельце закрытого ключа и сведения об удостоверяющем центре.
При этом центр, которым произведена выдача сертификата электронной подписи, отвечает за подлинность сведений, отраженных в данном сертификате.
В нем отражается следующая информация:
- Ключ, позволяющий проверить подлинность ЭЦП.
- Название средства ЭЦП.
- Название удостоверяющего центра, ответственного за выпуск данной ЭЦП.
- Информация о существующих ограничениях применения данной подписи.
- Срок действия этого сертификата (начальная и конечная даты)
- Информация о человеке, которому принадлежит данная подпись – ФИО и СНИЛС, ИНН физлица или организации, название и местонахождение компании (если ЭЦП для юрлица), а также иные сведения.
- Данные о точке распространения перечня отозванных сертификатов.
Для чего он необходим
- При определении для чего необходим сертификат проверки подписи, важно понимать, что ЭЦП можно пользоваться как с ним, так и без него.
- Основная его функция подтверждения подлинности эцп, то есть информации о том, что ее выпуск был осуществлен специализированным удостоверяющим центром, который включен в список Минкомсвязи.
- Если сертификат является электронным документом, то его можно использовать для шифрования файлов с целью обеспечения конфиденциальности содержащихся в бланке данных.
Существует также децентрализованный сертификат проверки ЭЦП, который выпускается дополнительно к ЭЦП и не регистрируется в Минкомсвязи.
Его используют во внутреннем документообороте, когда хотят, что определенные сведения были достояние строго установленного круга лиц.
Виды сертификатов
Принято подразделять сертификаты на следующие виды:
- Квалифицированный сертификат это выпущенный дополнительно к усиленной квалифицированной ЭЦП. Он содержит всю необходимую информацию, так как она не фиксируется в самой ЭЦП. Данный сертификат используется для подтверждения подлинности эцп, а также для шифрования и расшифрования данных документов, сформированных в среде Microsoft Office.
- Децентрализованный сертификат — это выпущенный дополнительно к квалифицированному сертификат, который не проходит процедуру регистрации в Минкомсвязи. Он применяется для построения конфиденциальной системы документооборота между определенными лицами.
Как установить сертификат
- Для того, чтобы использовать сертификат ключа для подписания документов либо входа на какой-либо портал, требуется установить его в Windows.
- Рассмотрим пошаговую инструкцию, что для этого необходимо сделать:
- Перейти в меню «Пуск» > «Панель управления» > «КриптоПро CSP»
- В запустившейся программе «Крипто Про CSP» нужно перейти на вкладку «Сервис», а там щелкнуть по кнопке «Посмотреть сертификаты в контейнере».
- В следующем окне щелкнуть по кнопке «Обзор», указать ключевой контейнер, какой необходимо внести в систему, и после этого нажать ОК.
- Дальше откроется окно, где нужно щелкнуть по кнопке «Далее», в следующем окне щелкнуть по кнопке «Установить».
- На следующем шаге может открыться «Мастер импорта сертификатов». В нем необходимо просто щелкать по кнопке «Далее», соглашаясь с указанными настройками. Заканчивается добавление нажатием кнопки «Готово».
- Если добавление сертификата в систему прошло успешно, то будет продемонстрировано сообщение «Импорт успешно выполнен».
Часто задаваемые вопросы:
Проверка ключа
Проверку электронной подписи можно произвести при помощи сторонних программ либо сервисов:
- Для проверки электронной подписи в документах Word и Excel необходимо использовать платный плагин КриптоПро Office Signature. При этом для его нормального функционирования необходимо, чтобы на компьютере был установлен комплекс «Крипто Про».
Кроме этого необходимо помнить, что не всегда проверка подписи проходит успешно. Особенно если документ был создан в более новой версии программы, чем та, что используется для проверки.
Чтобы проверить подпись в документе необходимо нажать на значок подписи. Затем щелкнуть правой кнопкой на строке с подписью и выбрать «Состав подписи».
При успешной проверке будет выведена информация о сертификате. Если вносились изменения, то будет указано, что подпись недействительна.
- Для проверки подписи в документе PDF существует бесплатный плагин КриптоПро PDF. Но для своего функционирования он также требует наличия установленного «Крипто про». Для проверки подписи необходимо открыть документ, выбрать в левом меню кнопку Signatures. Затем нужно щелкнуть правой кнопкой по подписи, которую требуется проверить и выбрать Validate Signature.
- На портале Госуслуги есть специальный раздел для проверки электронной подписи https://gosuslugi.ru/pgu/eds . Чтобы им воспользоваться, нужно загрузить файл, указать проверочный код и нажать кнопку «Проверить». Если проверка пройдет успешно, то будет выведена информация:
- О владельце ЭЦП;
- Удостоверяющем центре;
- Сроке действия подписи.
Как посмотреть серийный номер сертификата ключа подписи
Для того, чтобы узнать серийный номер сертификата, нужно воспользоваться программой «Крипто Про»:
- Зайти в меню «Пуск» > «Панель управления» > «КриптоПро CSP»
- В открывшемся приложении «Крипто Про CSP» нужно выбрать вкладку «Сервис». На ней нажать кнопку ««Просмотреть сертификаты в контейнере».
- После этого откроется окно «Сертификаты в контейнере закрытого ключа». Там нужно нажать на кнопку «Обзор», выбрать в списке ключ, который необходимо просмотреть и нажать «ОК», после чего «Далее».
- В открывшемся окне будет строка «Серийный номер», в котором будет указано требуемое значение.
Если сертификат экспортирован в виде файла, то необходимо щелкнуть по нему два раза. В открывшемся окне перейти на вкладку «Состав», и там будет в таблице строка «Серийный номер» с требуемым значением.
Как узнать пароль сертификата электронной подписи
В данной ситуации может возникнуть две ситуации — сертификат не был установлен на компьютер и нужно узнать пароль от рутокена либо сертификат был установлен и на него был поставлен пароль.
В первом случае, если пароль не менялся, нужно попробовать стандартный пароль — 12345678. Если же была произведена смена пароля, то восстановить его уже никак не получится.
В целях защиты сертификата и данных пользователя от вмешательства третьих лиц у рутокена нет никакого механизма сброса забытого пароля. Поэтому, в данной ситуации остается только приобрести новый носитель с новым ключом.
Если при установке сертификата с систему был установлен пароль, который в дальнейшем был потерян, необходимо выполнить следующие действия:
- На компьютере должна быть установлена «Крипто Про» версии не ниже 3.6. Необходимо перейти в каталог с программой, который находится в папке «Program Files».
- В папке найти файл-программу с именем «csptest» и запустить его.
- В открывшемся окне с клавиатуры ввести команду cd «C:/Program Files/Crypto ProCSP» соблюдая регистр и все знаки.
- На следующем шаге ввести команду csptest -keyset -enum_cont -fqcn –verifycontext Она выведет все контейнеры, которые установлены на компьютер. Необходимо найти требуемый и записать его имя в точности с учетом регистра.
- Ввести в окно команду csptest -passwd -showsaved -container «имя». Где «имя» – это записанное на предыдущем шаге имя контейнера. В ответ будет выведена сервисная информация, в том числе и пароль.
Поделиться0
Основные понятия
- Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом.
- Уполномоченное лицо Удостоверяющего центра – физическое лицо, являющееся сотрудником удостоверяющего центра и наделенное полномочиями по заверению от имени удостоверяющего центра сертификатов открытых ключей.
- Оператор Удостоверяющего центра – физическое лицо, являющееся работником Удостоверяющего центра, занимающееся рассмотрением и обработкой заявлений на регистрацию пользователей, изготовление и аннулирование (отзыв) сертификатов ключей подписи.
- Пользователь Удостоверяющего центра – уполномоченный представитель (физическое лицо) стороны, присоединившейся к Регламенту Удостоверяющего центра и зарегистрированный в Удостоверяющем центре.
- Централизованная cхема обслуживания в Удостоверяющем центре ХМАО – Югры:
- Централизованная схема регистрации и управления ключами пользователей обеспечивает наиболее строгую политику идентификации пользователей, являющихся владельцами сертификатов открытых ключей.
При использовании централизованной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется при личном прибытии пользователя (либо его уполномоченного представителя, действующего на основании соответствующей доверенности) в Удостоверяющий центр. Генерация ключей подписей осуществляется в Удостоверяющем центре на предоставляемый пользователем ключевой носитель.
- Электронный документ – форма подготовки, отправления, получения или хранения информации с помощью электронных технических средств, зафиксированная на магнитном диске, магнитной ленте, лазерном диске и/или ином электронном материальном носителе.
- Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
- Квалифицированный сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
- Владелец сертификата ключа проверки электронной подписи – лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;
- Ключ проверки электронной подписи – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи).
- Средства электронной подписи – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
- Средства удостоверяющего центра — программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.
- Участники электронного взаимодействия – осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.
Закрытый ключ – последовательность символов, известная владельцу сертификата и не подлежащая разглашению. Закрыты ключ используется для формирования электронной подписи и/или расшифрования данных.
Открытый ключ – последовательность символов, свободно распространяемая в виде открытой информации всем участникам информационного взаимодействия (физическим лицам), связанная с закрытым (секретным) ключом с помощью особого математического соотношения. Открытый ключ используется для проверки электронной подписи в электронных документах и их зашифрования, при этом открытый ключ не позволяет вычислить значение закрытого (секретного) ключа.
Сертификат открытого ключа – документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица Удостоверяющего центра, содержащий открытый ключ электронной подписи и шифрования, который выдается Удостоверяющим центром пользователю для подтверждения подлинности электронной подписи, идентификации владельца сертификата и шифрования информации.
Сертификат открытого ключа действует на определенный момент времени (действующий сертификат) если:
- наступил момент времени начала действия сертификата открытого ключа;
- срок действия сертификата открытого ключа не истек;
- сертификат открытого ключа не аннулирован (отозван).
Рабочий день Удостоверяющего центра – промежуток времени с 9.00 до 12.30 и с 14.00 до 18.00 (время Ханты-Мансийское) каждого дня недели, за исключением выходных и праздничных дней.
Компрометация закрытого ключа – результат действий физического лица, повлекший за собой разглашение закрытого (секретного) ключа.
Ключевой носитель – внешнее (съемное) устройство, используемое для хранения ключевых контейнеров с закрытыми (секретными) ключами. Один ключевой носитель может содержать один или несколько ключевых контейнеров с различными ключами.
Список отозванных сертификатов – электронный документ с электронной цифровой подписью уполномоченного лица Удостоверяющего центра, включающий в себя список серийных номеров сертификатов открытых ключей, которые на определенный момент времени были аннулированы (отозваны). Сертификаты, чьи номера присутствуют в списке файла CRL, являются отозванными из обращения Удостоверяющим центром.
Public Key Cryptography Standarts (PKCS) – стандарты криптографии с открытым ключом, разработанные компанией RSA Security. PKCS#7 – стандарт, определяющий формат и синтаксис криптографических сообщений.
Центр регистрации Удостоверяющего центра – обеспечивает принятие, предварительную обработку внешних запросов на создание сертификатов или на изменение статуса уже действующих сертификатов, доступен по адресу: https://ra.uriit.ru/ui
Назначение, принцип формирования и характеристика сертификата открытого ключа
Сертификат открытого ключа (сертификат ЭП, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.
2011 «Об электронной подписи» № 63-ФЗ)) — электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.
- Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:
- — для проверки подписи владельца (аутентификация)
- — для шифрования посылаемых ему данных (конфиденциальность)
Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.
Принцип работы
Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам.
Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом.
Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть.
Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.
Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.
Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как: сам открытый ключ владельца сертификата, срок действия, имя эмитента (центра сертификации), имя владельца сертификата и, самой важной части, цифровой подписи.
Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации.
Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши.
Если хеши совпадают — значит сертификат действительный и можно не сомневаться, что открытый ключ принадлежит именнотому с кем мы собираемся устанавливать соединение.
Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы.
В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр.
В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.
В SSL используется целая цепочка доверия: сертификат подписывается открытым ключом владельца сертификата, находящегося выше в цепи.
Формальное описание