Token
1. Що таке захищений носій ключової інформації?
Захищений носій ключової інформації являє собою пристрій, призначений для безпечного зберігання ключів ЕЦП. По суті це апаратно-програмний засіб ЕЦП, виконане у вигляді токена - USB-пристрою (зовні схожого на флешку) або смарт-карти (пластикової картки з чіпом). Особливості захищених носіїв:- Забезпечують невилучення секретного (особистого) ключа ЕЦП. Секретний ключ ніколи не залишає носій. Таким чином, ключ існує в єдиному екземплярі і копіювання ключа неможливе.
- Генерація ключа і всі операції з ним виконуються всередині носія. При підписанні документ передається в носій, обчислення ЕЦП проводиться всередині носія.
- Носій захищений паролем доступу. Обмеження на кількість спроб підбору пароля: 7 разів.
Це захищає ключ від несанкціонованого використання в разі втрати носія.
2. У чому відмінність між захищеним носієм і флешкою, на яку встановлено пароль?
Захищений носій (токен) має головну і принципову відмінність: ключ ЕЦП генерується в пам'яті токена і ніколи його не покидає. Підписання документа відбувається всередині токена.На зашифрованій флешці після введення пароля дані доступні, як і на звичайному диску. Ніяких операцій з ключем вона не виконує, тому що не розрахована на це.
На жаль, деякі державні підприємства використовують для зберігання ключів флешки з можливістю створення шифрованого розділу і аргументують це тим, що в законодавстві (постанові №1452) не прописано, яким саме має бути захищений носій.
Ця інформація не відповідає дійсності. У статті 1 закону про ЕЦП є такі визначення:
Захищений носій особистих ключів - надійний засіб електронного цифрового підпису, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.
Надійний засіб електронного цифрового підпису - засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Отже, законом явно передбачено, що носій повинен мати експертний висновок і не повинен давати можливості безпосереднього доступу до ключів. І в постанові №1452 також сказано, що засіб ЕЦП повинен мати експертний висновок.
Флешка, на яку встановлено пароль не відповідає цим вимогам, а, отже, не може бути використана для зберігання ключів ЕЦП замість захищеного носія.
3. Для кого обов'язково використання захищених носіїв?
Використання захищених носіїв обов'язково:- для нотаріусів та державних реєстраторів - вже зараз (з 02.11.2016 відповідно до закону про ЕЦП);
- для органів державної влади, місцевого самоврядування, підприємств державної форми власності - з 17.08.2017 (відповідно до постанови КМУ №1452).
Використання захищених носіїв набагато безпечніше, ніж зберігання ключів в файлах. Тому з введенням обов'язкової вимоги використання захищених носіїв для органів державної влади, місцевого самоврядування, підприємств державної форми власності одночасно скасовується обмеження на використання ЕЦП для укладення договорів на суму понад 1 млн. грн.
Комерційні організації, які турбуються про свою безпеку, також можуть купувати і використовувати захищені носії.
4. Чи можна працювати з захищеним носієм як з флешкою?
Ні, захищений носій не визначається операційною системою як диск і працювати з ним як з флешкою неможливо. Винятком є носії з додатковою флеш-пам'яттю, наприклад, Автор Secure Token 337F (посилання на паспорт).5. Чим відрізняються різні види захищених носіїв Автор?
Носії Автор Secure Token 337M і Автор Secure Token 337K не мають функціональних відмінностей і розрізняються тільки корпусом. Secure Token 337M має маленький корпус і пластиковий роз'єм USB, який є частиною корпусу. Secure Token 337K має більший і міцний корпус з металевим роз'ємом USB.Носії Автор Secure Token 337F по зовнішньому вигляду аналогічні Secure Token 337K, проте мають додаткову флеш-пам'ять і можуть бути використані як флешка. Обсяг флеш-пам'яті становить від 8 до 32 ГБ. За допомогою спеціальної утиліти від виробника можна створити на носії зашифрований диск, доступ до даних на якому можливий тільки після введення пароля доступу.
6. Як згенерувати секретний ключ на захищений носій в програмі M.E.Doc?
1. Для початку, сформуйте заявку на посилений сертифікат. Для цього увійдіть в розділ Адміністрування – Сертифікати – Заявка на сертифікати та оберіть Файл – Сформувати заявку.2. Після заповнення заявки перевірте її на помилки, обравши Наступні дії – Перевірте заявку.
3. Згенеруйте секретний ключ обравши Наступні дії – Згенеруйте заявку і секретний ключ
4. У вікні, що відкрилося оберіть Зберігати секретний ключ на захищений носій, далі натиснувши кнопку оберіть захищений носій, який має бути під’єднаний до вашого ПК, та у полі Пароль носія ведіть пароль до вашого захищеного носія.
УВАГА!
За замовчуванням пароль для захищених носіїв від виробника «АВТОР» стандартний 12345678. При генерації секретного ключа на новий носій необхідно вводити саме його. Стандартний пароль ви можете змінити або після генерації секретних ключів, або до генерації.
5. Програма повідомить про успішне збереження секретного ключа на захищений носій та заявки на отримання сертифікату за вказаним шляхом.
7. Як підписати звіт, в програмі M.E.Doc, секретним ключем, що знаходиться на захищеному носії?
У відкритому звіті оберіть Наступні дії – Передати звіт на підпис.У вас відкриється стандартне вікно підписання документу, в якому необхідно поставити позначку у полі Використовувати захищений носій
Якщо Ваш захищений носій не підключений до вашого ПК або носій не відповідає обраному сертифікату з’явиться наступне повідомлення:
Якщо захищений носій відповідає обраному сертифікату відобразиться назва носія, після чого вам необхідно вести пароль до носія та натиснути кнопку ОК.
При підписанні вводиться один пароль
УВАГА!
Обмеження на кількість спроб підбору пароля: 7 разів.
Після такої кількості невдалого введення пароля захищений носій блокується.
Відновлення роботи із ним передбачає генерацію секретного ключа та отримання нового сертифіката відкритого ключа в АЦСК. Перевидача нового сертифікату до закінчення терміну дії платна. Потребує блокування старих сертифікатів і отримання нових згідно процедури АЦСК «Україна».
Повторіть процедуру підписання згідно з ваших налаштувань, після чого відправте звіт через Наступні дії – Відправити звіт до контролюючого органу.
8. Прийом пошти із захищеним носієм.
Для прийому повідомлень від контролюючих органів та ваших контрагентів натисніть на панелі інструментів на кнопку - (отримати повідомлення). У вас відкриється стандартне вікно прийому вхідних повідомлень, в якому необхідно поставити позначку у полі Використовувати захищений носій, після чого вам необхідно вести пароль до носія та натиснути кнопку ОК.9. Як змінити пароль до захищеного носія в програмі M.E.Doc?
Увійдіть у розділ Адміністрування – Сертифікати – Встановлені сертифікати та оберіть Файл – Захищений носій (Token) – Зміна пароляУ вас відкриється вікно Зміна пароля, в якому необхідно обрати ваш захищений носій у полі - Пристрій для збереження секретних ключів, після чого ввести старий пароль, а потім новий.
Якщо старий пароль введено невірно – програма повідомить про це наступним вікном:
УВАГА!
Обмеження на кількість спроб підбору пароля: 7 разів.
Після такої кількості невдалого введення пароля захищений носій блокується.
Відновлення роботи із ним передбачає генерацію секретного ключа та отримання нового сертифіката відкритого ключа в АЦСК.
Якщо старий пароль введено вірно – з’явиться наступне вікно про успішну зміну пароля до захищеного носія.
10. Захищений носій заблоковано, як відновити його роботу в програмі M.E.Doc?
Будьте пильними! Після 7 разів неправильного вводу пароля ваш носій буде заблоковано та з’явиться вікно із попередженням:Для відновлення вашої роботи виконайте наступне:
1. Увійдіть у Адміністрування – Сертифікати – Встановлені сертифікати та оберіть меню Файл – Захищений носій (Token) – Цілковите очищення
2. У відкритому вікні Цілковите очищення*, оберіть ваш захищений носій у полі - Пристрій для збереження секретних ключів, після чого введіть новий пароль до нього.
Цілковите очищення передбачає видалення інформації із захищеного носія.
3. Після очищення носія необхідно згенерувати новий секретний ключ, використовуючи новий пароль до носія та отримати новий сертифікат в АЦСК.
11. Забули пароль до захищеного носія, що робити?
Якщо ви забули пароль до секретного ключа, вам необхідно виконати очищення носія. Для цього введіть новий пароль, але при цьому вся ваша інформація буде видалена з носія.Для очищення увійдіть у Адміністрування – Сертифікати – Встановлені сертифікати та оберіть меню Файл – Захищений носій (Token) – Цілковите очищення
У відкритому вікні Цілковите очищення, оберіть ваш захищений носій у полі - Пристрій для збереження секретних ключів, після чого введіть новий пароль до нього.
Після очищення носія необхідно згенерувати новий секретний ключ, використовуючи новий пароль до носія та отримати новий сертифікат в АЦСК.
Отримання нового сертифікату до закінчення терміну дії платна. Потребує блокування старих сертифікатів і отримання нових згідно процедури АЦСК «»країна».
12. Скільки секретних ключів можна зберігати на захищеному носієві?
Один захищений носії = один секретний ключ, тобто сертифікат директора, бухгалтера та печатки повинні зберігатися на окремих носіях. Наприклад, один носій може зберігати секретний ключ директора підписання та шифрування одночасно.13. Скільки паролів потрібно вводити при підписання документа?
На захищеному носії ключ генерується всередині пристрою і зберігається в захищеній області пам'яті, при цьому він не зашифровується. Тому пароль доступу до ключа в даному випадку відсутній. Для виконання операцій з ключем необхідний тільки пароль доступу до носія. Тобто при підписані е-документів необхідно вводити тільки один пароль.14. Який пароль доступу спочатку встановлений на захищеному носії?
Стандартний пароль доступу до захищеного носія заданий виробником. Для носіїв «Автор» його значення - 12345678. Користувач в подальшому може (і повинен) змінити пароль за допомогою програмного забезпечення M.E.Doc. Кількість спроб введення пароля обмежена з метою захисту від підбору пароля. Для носіїв виробництва Автор кількість спроб - 7. При перевищенні кількості неуспішних спроб введення пароля токен блокується. Подальше його використання можливо тільки після переініціалізація, при якій всі ключові дані на токені знищуються.15. Як дізнатися, який захищений носій відповідає обраному сертифікату?
1. Під’єднайте захищені носії до вашого ПК.2. Увійдіть у Адміністрування – Сертифікати – Встановлені сертифікати та оберіть необхідний сертифікат. Далі оберіть меню Файл - Захищений носій (Token) – Пошук секретного ключа.
Якщо обраний сертифікат відповідає під’єднаному носієві у вас з’явиться наступне вікно:
Якщо під’єднаний носій не відповідає обраному сертифікату програма попередить про це.
16. Чи можна записати кілька ключів на один носій?
Технічно на носій можна записати до 7 пар ключів. Однак програмне забезпечення розробки ЗАТ "ІІТ" розраховане на те, щоб на одному носії знаходився 1 ключ ЕЦП і (при необхідності) 1 ключ шифрування. Тому, щоб забезпечити сумісність з іншими програмами і сервісами, на один носій ми пишемо один ключ ЕЦП або ключ підписання + ключ шифрування.При генерації нових ключів за допомогою програми M.E.Doc старі ключі не знищуються, а перейменовуються. Це зроблено, для того, щоб була можливість використовувати старі ключі:
- для розшифрування раніше зашифрованих документів і повідомлень;
- для підписання заявки на продовження / перевидачу сертифіката;
- для підписання повідомлення в ДФС після перевидачі сертифіката.
При наявності декількох ключів на носії програмне забезпечення розробки ЗАТ "ІІТ" читає останній згенерований ключ.
При генерації нових ключів за допомогою програмного забезпечення розробки ЗАТ "ІІТ", наприклад, "ІІТ Користувач ЦСК", старі ключі затираються.
17. Як відбуватиметься автопродовження сертифікатів на захищений носій?
Починаючи з оновлення 10.01.199 автопродовження сертифікатів у програмі M.E.Doc доступне в будь-який час та банер для клієнта з’являтиметься за 45 днів до закінчення сертифікатів.Для автопродовження в будь-який час увійдіть у розділ Адміністрування – Сертифікати – Заявка на сертифікати та у меню Файл оберіть Сформувати заявки.
1. У відкритому вікні оберіть Продовжити сертифікати.
2. Далі заповнюєте всю необхідно інформацію про контактну особу та обираєте, які саме сертифікати необхідно продовжити.
3. Наступне вікно, що відкриється – це вікно генерації секретних ключів.
У ньому, оберіть Зберігати секретний ключ на захищений носій, далі натиснувши кнопку оберіть захищений носій, який має бути під’єднаний до вашого ПК, та у полі Пароль носія ведіть пароль до вашого захищеного носія.
УВАГА!
За замовчуванням пароль для захищених носіїв від виробника «АВТОР» стандартний 12345678. При генерації секретного ключа на новий носій необхідно вводити саме його. Стандартний пароль ви можете змінити або після генерації секретних ключів, або до генерації.
4. Далі необхідно підписати заявку діючим сертифікатом ЕЦП.
Операції, що описані у пунктах 3 та 4, будуть автоматично повторені для всіх обраних сертифікатів.
5. Після чого відкриється вікно із вибором адреси, на яку будуть відправлені заявки.
Програма повідомить про успішне відправлення заявок
6. Відкриється вікно Форма оплати, де можна обрати зручний спосіб оплати.
7. Обов’язково дочекайтеся квитанції №1 та квитанції №2 із результатом обробки ваших заявок.
8. Завантажте нові сертифікати.
9. Відправте повідомлення про реєстрацію електронно-цифрового підпису до контролюючого органу.
18. Як відбуватиметься автоперевидача сертифікатів на захищений носій?
Автоперевидача сертифікатів відбувається так само як і автопродовження в програмі, при виконані усіх тих умов ,що і при автопродовжені.Єдина різниця між ними в тому, що автоперевидача сертифікатів коштує 62 грн за кожен сертифікат та перевиданий сертифікат діє до закінчення дії попереднього сертифікату.
Автопродоження – це новий сертифікат на новий термін дії, оплата згідно прайсу за кожен сертифікат для юридичної особи або ФОП.
Для автоперевидачі в будь-який час увійдіть у розділ Адміністрування – Сертифікати – Заявка на сертифікати та у меню Файл оберіть Сформувати заявки.
1. У відкритому вікні оберіть Перевидати сертифікати.
2. Далі заповнюєте всю необхідно інформацію про контактну особу та обираєте, які саме сертифікати необхідно продовжити.
3. Наступне вікно, що відкриється – це вікно генерації секретних ключів.
У ньому, оберіть Зберігати секретний ключ на захищений носій, далі натиснувши кнопку оберіть захищений носій, який має бути під’єднаний до вашого ПК, та у полі Пароль носія ведіть пароль до вашого захищеного носія.
За замовчуванням пароль для захищених носіїв від виробника «АВТОР» стандартний 12345678. При генерації секретного ключа на новий носій необхідно вводити саме його. Стандартний пароль ви можете змінити або після генерації секретних ключів, або до генерації.
13105