Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.
Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.
Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код - это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.
Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.
1. Какой PIN-код используется по умолчанию?
В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.
| Владелец | Пользователь | Администратор |
| Рутокен | 12345678 | 87654321 |
|
eToken
|
1234567890 | По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP. |
| JaCarta PKI | 11111111 | 00000000 |
| JaCarta ГОСТ | Не задан | 1234567890 |
| JaCarta PKI/ГОСТ |
Для PKI-функционала:
11111111
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код - 1234567890 Для ГОСТ-функционала: PIN-код не задан |
Для PKI-функционала:
00000000
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код не установлен Для ГОСТ-функционала: 1234567890 |
| JaCarta PKI/ГОСТ/SE |
Для PKI-функционала:
11111111
Для ГОСТ-функционала: 0987654321 |
Для PKI-функционала:
00000000
Для ГОСТ-функционала: 1234567890 |
| JaCarta PKI/BIO | 11111111 | 00000000 |
| JaCarta PKI/Flash | 11111111 | 00000000 |
| ESMART Token | 12345678 | 12345678 |
| карта IDPrime | 0000 | 48 нулей |
| JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?
3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?
Единственный выход - полностью очистить (отформатировать) токен.
4. Что делать, если PIN-код пользователя заблокирован?
Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.
5. Что делать, если PIN-код администратора заблокирован?
Разблокировать PIN-код администратора невозможно. Единственный выход - полностью очистить (отформатировать) токен.
6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?
Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.
| Параметр | eToken | Рутокен |
| Минимальная длина PIN-кода | 4 | 1 |
|
Состав PIN-кода |
Буквы, цифры, специальные символы | Цифры, буквы латинского алфавита |
| Больше или равно 7 | До 16 | |
|
Администрирование безопасности PIN-кода |
Есть | Есть |
| Есть | Есть |
Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.
Программные продукты Рутокен и eToken представлены в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то
Описание проблемы. Для ЕГАИС используются два сертификата: ГОСТ сертификат для юридической значимости ТТН; RSA сертификат для идентификации контрагента.
Каждый сертификат действует один год с момента его формирования.
ГОСТ сертификат формирует удостоверяющий центр, поэтому для его продления обратитесь в удостоверяющий центр.
RSA сертификат формируется на портале ЕГАИС, поэтому вы можете самостоятельно заменить его.
Чтобы решить проблему , нужно очистить раздел PKI от старого RSA сертификата и записать туда новый.
Пошаговая инструкция как продлить RSA сертификат
Шаг 1. Переключение в режим администрирования
В меню «Пуск» найдите приложение «Единый клиент JaCarta» и откройте его.
Рис. 1. Единый клиент JaCarta
Откроется рабочая область программы.
Рис. 2. Переключение в режим администрирования
Вновь откроется рабочая область программы. Перейдите на вкладку PKI.
Рис. 3. Информация о токене
ПРИМЕЧАНИЕ: Перед тем как продолжить, убедитесь, что раздел PKI не заблокирован.
Заказать консультацию специалиста по работе с ЕГАИС
Шаг 2. Очистка PKI раздела
На вкладке PKI в панели «Операции с приложением» нажмите на ссылку «Инициализировать…».
Рис. 4. Операции с приложением
Для инициализации получите разрешение и укажите данные для пользователя:
1. PIN-код администратора – по умолчанию 00000000
2. PIN-код пользователя – по умолчанию 11111111
Рис. 5. Инициализация приложения
После ввода данных нажмите «Выполнить».
Появится уведомление о том, что при инициализации будет удален старый PKI сертификат. Нажмите «Продолжить» для завершения.
Рис. 6. Предупреждение об удалении
После того как Вы очистили PKI раздел, он готов к записи нового сертификата.
Шаг 3. Запись нового сертификата
Рис. 11. Ввод ПИН код аппаратного ключа
Система покажет ваш сертификат. Нажмите на него для входа на портал.
Рис. 12. Сертификат для входа на портал
В левом вертикальном меню выберите пункт «Получить ключ».
Рис. 13. Получение ключа
В центре страницы появятся точки с адресами, которые зарегистрированы в системе ЕГАИС. Найдите нужную и нажмите кнопку «Сформировать ключ».
Запустится процесс создания сертификата.
Для формирования сертификата введите PIN-код пользователя – по умолчанию 11111111. Нажмите на кнопку «Сформировать ключ».
Рис. 14. Формирование сертификата RSA
В некоторых случаях операционная система дополнительно запросит ввести PIN-код пользователя PKI раздела– по умолчанию 11111111.
Рис. 15. Дополнительный ввод ПИН-кода
Дождитесь завершения формирования RSA сертификата.
После успешного завершения появится надпись: «Сертификат успешно записан на токен».
Рис. 16. Формирование сертификата
На этом замена RSA сертификата завершена, продолжайте работать с ЕГАИС.
Носитель Jacarta PKI/ГОСТ блокируется при многочисленных попытках ввести неверный пин-код. При этом теряется связь с сервером ФСРАР, и данные о фактурах не поступают в вашу учетную систему. Как быстро разблокировать ключ и восстановить работу с ЕГАИС?
По умолчанию на всех новых носителях установлены следующие пароли:
| PKI | 11 11 11 11 |
| Администратор PKI | 00 00 00 00 |
| ГОСТ | 0987654321 |
| Администратор ГОСТ | 1234567890 |
Для снятия блокировки на компьютере должна быть установлена программа Единый клиент Jacarta. Если настройка и установка ЕГАИС производилась нашими специалистами, то эта программа у вас уже есть.
Запустите программу и дождитесь, когда в окне Единого клиента появится информация о носителе Jacarta PKI/ГОСТ.
Снятие блокировки ГОСТ
В разделе ГОСТ записан сертификат КЭП, выданный в удостоверяющем центре. Будьте внимательны - нельзя удалять из этого раздела какие-либо компоненты. После удаления придется повторно обращаться в удостоверяющий центр для выпуска ключа.
Чтобы разблокировать пин-код ГОСТ, в верхнем меню “Операции с приложением” выберите первый пункт “Разблокировать PIN-код пользователя”. На экране появится уведомление, что снятие блокировки обнулит счетчик ошибочных попыток ввода.
Нажмите “ОК” и во вновь открывшемся окне введите пин-код администратора Jacarta ГОСТ 1234567890. После обнуления счетчика ошибок введите стандартный пин-код пользователя ГОСТ 0987654321.
Важно: эта процедура поможет только скинуть счетчик, но не изменить забытый пароль на новый. Если вы изменили пароль ГОСТ, установленный по умолчанию, и забыли его, придется проводить инициализацию и вновь записывать ключ в удостоверяющем центре.
Снятие блокировки PKI
В контейнере PKI записан RSA-ключ, который генерируется в личном кабинете на сайте egais.ru. В случае утери пин-кода этот раздел может быть инициализирован (полностью очищен), так как вы можете повторно записать ключ самостоятельно и бесплатно, без обращения в удостоверяющий центр.
Ваш носитель JaCarta
мог быть заблокирован, если несколько раз был введен неправильный пин-код.
Для разблокировки JaCarta
выполните действия по данной инструкции:
1. Вставьте носитель Jacartа
в компьютер и запустите Единый Клиент JaCarta.
Для этого нажмите Пуск→ Все программы → Единый клиент JaCarta.
2. В открывшемся окне программы нажмите кнопку, в нижнем левом углу Переключиться в режим администрирования.
3. Перейдите в нужную вкладку, PKI
или ГОСТ
соответственно: 
4. Нажмите на кнопку Разблокировать PIN-код пользователя
.png)
5.В открывшемся окне укажите Пароль администратора.
Пароль администратора по умолчанию:
Для PKI-части:
Администратора 00000000;
Для ГОСТ части:
Администратора 1234567890;
.png)
Внимание! Ни в коем случае не допускайте блокировку под администратором. В этом случае произойдет полная блокировка устройства без возможности восстановления ключа! Если не знаете пароль, обратитесь за консультацией в техническую поддержку.
6. Если пин-код был указан правильно, то появится окно с надписью Разблокировка прошла успешно..png)
Jacarta успешно разблокирована.
USB-токен (или USB-ключ) – это не только средство для аутентификации в компьютерной ОС, а так же и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений.
В настоящий момент токены получили очень широкое распространение. USB-ключи куда более надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной аутентификации, так как владелец ключа должен иметь сам ключ (токен), но и знать PIN-код (пароль) от него.
Самые популярные модели USB-токенов используемых в России – Рутокен, eToken от компании “Аладдин”, а так же JaCarta. Давайте рассмотрим наиболее часто задаваемые вопросы и ситуации касательно PIN-кодов для токенов используемых в России.
Вопрос: Какой PIN-код используется по умолчанию?
Ответ: Информацию о PIN-кодах по умолчанию для токенов Рутокен и eToken и JaCarta вы можете найти в специально подготовленной мною таблице ниже:
Модель токенов |
PIN- коды Пользователя |
PIN- коды Администратора |
|
Рутокен |
12345678 |
87654321 |
|
eToken |
1234567890 |
По умолчанию пароль администратора не установлен. Пароль может быть установлен через панель управления |
|
JaCarta PKI |
11111111 |
00000000 При использовании JaCarta PKI с опцией |
|
JaCarta ГОСТ |
Не задан |
1234567890 |
|
JaCarta PKI/ГОСТ |
Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией Для ГОСТ-функционала: PIN-код не задан |
Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией Для ГОСТ-функционала: 1234567890 |
|
JaCarta PKI/ГОСТ/SE (Обычно |
Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321 |
Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890 |
|
JaCarta PKI/BIO |
11111111 |
00000000 |
|
JaCarta PKI/Flash Вопрос: Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен? Ответ: Единственный выход - полностью отформатировать токен (это приведет к уничтожению информации на нем). Вопрос: Что делать, если PIN-код пользователя заблокирован? Ответ: Разблокировать PIN-код пользователя можно через оснастку управления токеном. Для разблокировки необходимо знать PIN-код администратора. Вопрос: Что делать, если PIN-код администратора заблокирован? Ответ: Разблокировать PIN-код администратора невозможно. Единственный выход - полностью отформатировать токен (это приведет к уничтожению информации на нем). Надеюсь этой статьей я помог ответить на интересующие вопросы по USB-токенам, а так же сформировал отличную онлайн-шпаргалку по всем самым популярным токенам, которые используются в России. На сегодня это всё о чем я хотел рассказать. Всем удачи и до новых встреч! Вконтакте Одноклассники |
