admin / 10.03.2020

Как восстановить доступ к сертификату ЭЦП при потере пароля

Поскольку ЭЦП является ключевым моментом при подписании документов в рамках ЭДО и имеет большое правовое и финансовое значение, для нее необходима надежная защита. При внедрении ЭЦП в делопроизводство было решено применять защиту паролем и пин-кодом, аналогичным тому, которые используются для защиты банковских кредитных и дебетовых карт. Проверенный годами способ помогает с желаемой степенью надежности обеспечить защиту ЭЦП от посягательств мошенников. Но есть и обратная сторона медали. Пользователь может забыть свой пин-код. И если он не найдет у себя соответствующую запись, то не сможет воспользоваться ЭЦП в нужный момент. Как можно восстановить забытый пароль?

Стандартная ситуация

На самом деле забыть пин-код от ЭЦП гораздо проще, чем пароль от кредитной карты. Дело в том, что карточкой мы пользуемся ежедневно, а пин-код ЭЦП применяем гораздо реже. К примеру, мы вводим пин-код при установке ЭЦП на ПЭВМ, а в следующий раз он может нам понадобиться через несколько месяцев, если мы будем работать на другом компьютере. Мало кто может запомнить код, который использовал один раз полгода назад. Далеко не все надежно хранят записанные пароли. Поэтому потеря пин-кода является стандартной проблемой, и путь ее решения также для всех одинаковый.

Подробнее о пароле

Сразу отметим, что у ЭЦП могут быть два вида защиты: пин-код (как у банковской карты) и пароль (как у учетной записи на сайте того же банка, который выдал кредитную или дебетовую карту).

Продолжая аналогию с банковскими продуктами, рассмотрим особенности пароля. Пароль используется владельцем ЭЦП для внесения сертификата подписи на свой персональный компьютер или на любой обычный переносной диск памяти (флешку, например). Пароль пользователь придумывает сам, стараясь задать достаточно сложный набор из цифр, знаков и букв (как латинского, так и русского алфавита). Тот же пароль пользователь будет вводить при каждом сеансе работы с ЭЦП. Кажется, забыть его будет сложно. Но у браузеров компьютера имеется удобная опция – запоминание паролей. Если ею воспользоваться однажды, то во все последующие сеансы работы с ЭЦП ее владельцу можно будет не вводить пароль, что может спровоцировать его забывание.

Пин-код

Пин-код защищает не только ЦП, но и ее основной физический носитель – токен, выполненный в виде ЮСБ-флешки. Посторонние лица, даже завладев токеном, не смогут воспользоваться ЭЦП, также как не смогли бы снять деньги с чужой банковской карты, не зная ее пин-кода.

Пин-код применяется владельцем ЭЦП сразу после ее выпуска в процессе записи на токен. Токен – стандартное электронной устройство, которое изначально имеет заводской восьмизначный пин-код в виде ряда чисел от 1 до 8 по порядку. Понятно, что такой пин-код использовать небезопасно, поэтому после получения нового токена код нужно сменить.

Далее, как и при использовании пароля, пин-код будет необходим при каждой операции с ЭЦП. И так же, как и в случае с паролем, браузер предложить запомнить код. Чтобы не забыть его, нужно хранить резервную запись на электронном или бумажном носителе (но не держать ее вместе с токеном!).

Если пароль забыт и потерян

Если держатель ЭЦП воспользовался опцией запоминания пароля (пин-кода) и благополучно забыл его, а запись на бумажном носителе потерял или не делал вовсе, то при смене компьютера или при его ремонте после неисправности он уже не сможет использовать ЭЦП. При этом проще восстановить доступ к банковской карте, чем сменить или восстановить забытый код сертификата электронной подписи. Дело в том, что пин-код или пароль не сможет восстановить даже выпустивший ЭЦП удостоверяющий центр. Хорошей новостью будет старинной изречение о том, что безвыходных ситуаций не бывает. Ведь пароль можно вспомнить или подобрать.

Восстанавливаем пароль подписи

Начнем с того, что ограничений на количество неправильных попыток ввода пароля нет, поэтому пароль можно будет подобрать. Проще подбирать пароли, в которых содержится какая-либо значимая для владельца информация (памятные даты, пароли от других сервисов, номера автомобилей, телефонов, кабинетов и т. п.). Можно также поднять СМС переписку с УЦ, который изначально присылает код активации, который также мог быть использован в качестве пароля.

Если пользователь задал пароль по всем правилам безопасности, использовав сложную и бессмысленную комбинацию букв, цифр и знаков, то подобрать забытый пароль, как правило, практически невозможно. В этом случае можно попытаться перенести со старого компьютера на новый всю папку контейнера, которая помимо сертификата ЭЦП может содержать и запомненный пароль. Иногда такой трюк срабатывает и ЭЦП продолжает применяться на новом компьютере без ввода забытого пароля.

Последнее, что можно сделать, если пароль вспомнить не получилось, а фокус с переносом папки не удался, это обратиться в УЦ за новым сертификатом, предварительно отозвав старый. Данный процесс аналогичен получению ЭЦП впервые и занимает определенное время. Поэтому при получении нового сертификата, помня о неприятном опыте, стоит сохранить пароль в надежном месте, а также принять решение о целесообразности его запоминания браузером компьютера. При этом не стоит забывать о безопасности и задавать слишком простой пароль, ведь его сможет подобрать не только пользователь, но и мошенник.

Что делать с забытым пин-кодом токена

Невозможность восстановления пин-кода токена является гарантией его надежности. Очень важно, чтобы, даже завладев устройством, злоумышленники не могли бы использовать ЭЦП. Так что при потере заветной комбинации УЦ не сможет оказать помощь забывчивому владельцу ЭЦП. Остается полагаться только на свои силы и знания и попытаться решить вопрос одним из двух предлагаемых ниже способом.

1. Используем заводские настройки

Можно использовать то обстоятельство, что изначально на новые токены устанавливают стандартные заводские коды, которые, в зависимости от производителя, могут быть следующими:

Следует отметить, что использовать заводские настройки получается далеко не всегда. Поэтому целесообразно заранее вооружиться еще одним способом.

2. Метод подбора

В отличие от пароля, пин-код нельзя подбирать больше чем за 10 попыток. На десятой неверной попытке доступ к токену будет заблокирован. Но при этом есть способ получить возможность дополнительных попыток. Для этого пользователю понадобятся права администратора компьютера. Алгоритм действий будет следующим:

Шаг 1

Открыть панель управления устройством (токеном). Для большинства моделей это можно сделать через меню «Пуск», в котором выбираем кнопку панели управления токеном и открываем раздел администрирования. Важно учесть, что если при создании подписи не применялся пароль администратора, тогда его восстановить невозможно.

Панель eToken

Панель Рутокен

Шаг 2

В открывшейся ячейке вводим код администратора. В зависимости от производителя устройства эти коды будут следующими:

  • «00000000»(РКI) + «1234567890» (ГОСТ) — Jacarta SE;
  • «87654321» — Рутокен.

Возможно, что пользователь заменил эти стандартные коды на другие. В этом случае их можно ввести, использовав при этом не более десяти попыток. При десятикратном неверном вводе доступ к токену будет заблокирован.

Шаг 3

Если код администратора подошел, то остается только нажать на клавишу разблокировки пин-кода токена и продолжить подбор пин-кода.

КриптоПро в помощь!

Если пользователю известен код администратора, то «обнулить» количество ввода пробных попыток пин-кода токена можно другим способом, использовав КриптоПроCSP, после входа в который в опции «Оборудование» выбираем команду «Настройка типов носителей». Из предложенных вариантов выбираем тип своего токена и открываем его свойства. После этого входим в раздел информации, где успешно снимаем блокировку пин-кода. Далее продолжаем подбор пин-кода токена.

В обоих случаях мы получаем лишь возможность продолжить подбор пин-кода. И если подобрать его не удается, то, как и в случае с навечно забытым паролем, придется обращаться в УЦ за новым сертификатом ЭЦП. Старый сертификат также потребуется отозвать, но при том можно повторно использовать токен, предварительно отформатировав его.

Если ЭЦП записывается на новое устройство, то не стоит забывать о том, что по умолчанию на нем будут стоять заводские настройки. Несмотря на возможность повторной потери пин-кода, заводской код все же лучше сменить на собственный, более надежный. При этом настоятельно рекомендуется сохранить пин-код, чтобы вновь не сталкиваться проблемой его восстановления.

А у меня сегодня непонятное дело произошло…
Мною заранее был сформирован криптоконтейнер на носителе JaCarta, и под этот контейнер сегодня был выпущен сертификат.
Казалось, дело в шляпе.. привязать посредством КриптоПРО сертификат к контейнеру .. но что то пошло не так! )))
А именно, после автоматически успешно определённого контейнера для сертификата, КриптоПРО запросил пин код и после его ввода, зависнув секунд на 20 выдал сообщение «внутренняя ошибка»!!
после чего я покрылся липким потом обнаружив что нужный криптоконтейнер попросту исчез!! остался только старый, и разумеется неподходящий для выпущенного сертификата!
Как это возможно??
разумеется я позвонил в техподдержку, там запросили удалённое подключение, час ковырялись. ничего не получилось и не нашли ничего другого как перевыпустить контейнер с сертификатом… разумеется уже бесплатно и в этот же день!
Но вопрос остался!.. что это за глюк и как этого избежать в дальнейшем?
есть ли метод восстановления файлов на JaCarta, или как всё же скопировать неперемещаемый контейнер на архивнй случай?

Средства криптографической защиты используются в течение 12 месяцев для обеспечения целостности данных и формирования ключей шифрования и ЭЦП. Перед применением новой версии программы надо знать, как удалить сертификат из реестра «КриптоПро» и проверить отсутствие следов предыдущих установок приложения.

Утилита certmgr — диспетчер сертификатов, позволяет просматривать сведения о ваших сертификатах.

Основные способы удаления сертификата электронной цифровой подписи из реестра «Криптопро»

Сертификаты ЭЦП удаляются такими способами:

  • средствами ОС (утилита certmgr.exe);
  • с помощью шифрующей программы;
  • специальной утилитой Ccleaner;
  • непосредственной правкой реестра Windows.

Последний вариант не рекомендуется применять, поскольку он удаляет только упоминание о файлах криптографии, физические оставляя их на диске.

Удаление средствами программы «КриптоПро»

Приложение «КриптоПро CSP» предоставляет все возможности для работы с ЭЦП. Оно устанавливает, стирает, копирует и скрывает файлы сертификатов и ключей. Удаление просроченных и ненужных файлов с расширением «.key» требует выполнения следующих действий:

  • запустить приложение «КриптоПро»;
  • перейти на вкладку «Сервис» в окне программы;
  • развернуть список ключей ЭЦП;
  • отметить нужную запись;
  • нажать на «Удалить» либо «Удалить контейнер» (определяется версией ПО);
  • подтвердить действие.

Удалить сертификат можно в программе «КриптоПро».

Преимуществом этого способа является то, что «КриптоПро» удаляет каждую запись по отдельности либо сразу все вместе с корневым сертификатом УЦ.

Удаление сертификата ЭЦП в ОС Linux

Деактивация ключей ЭЦП в ОС Linux может выполняться в графической среде или в режиме командной строки. Порядок действий похож для всех дистрибутивов «Линукс»:

  • открывается окно командного интерпретатора;
  • вводится «certmgr -list»;
  • в появившемся списке выбирается требуемая запись;
  • вводится команда «certmgr -del -c -mxxxxx.cer», где вместо «xxxxx.cer» указывается номер сертификата.

В ОС Linux можно удалить сертификат с помощью командной строки.

При внесении данных следует быть внимательными, т.к. в окне отображаются сведения обо всех сертификатах, а не только ЭЦП.

Удаление «КриптоПро» с очисткой следов установки

Устранение всех следов пребывания программы на компьютере осуществляется в 3 этапа:

  • удаление приложения;
  • очистка реестра утилитой Ccleaner;
  • устранение остаточных следов установки «КриптоПро».

Порядок действий:

  • клавишами Win+R вызывается командный интерпретатор;
  • запускается appwiz.cpl;
  • отмечается галочкой отказ от повторного вывода этого окна;
  • находится нужная версия «КриптоПро CSP» и дается команда удалить ее;
  • производится перезагрузка компьютера, система выдаст сообщение о необходимости этой операции;
  • далее из командной строки вызывается утилита Ccleaner и галочкой отмечается пункт «Очистка»;
  • после выполнения задания выделяются галочкой «Реестр» и «Поиск проблем»;
  • на экран будет выведен список параметров, оставшихся в реестре;
  • они удаляются нажатием кнопки «Исправить выбранное»;
  • последние 2 действия Ccleaner повторяются до полной деинсталляции файлов;
  • в завершение очищается кеш установки, для этого делаются видимыми скрытые каталоги и удаляется папка «C:\ProgramData\CryptoPRO».

Удалять приложение «КриптоПро» нужно с очисткой следов установки.

По завершении всех действий в компьютере не остается следов пребывания криптографического пакета в реестре и на диске.

Прерванное удаление «КриптоПро»

Удаление файлов через оснастку Windows «Программы» или установочный диск может быть прервано вследствие аппаратного или программного сбоя. В такой ситуации возможно сохранение на компьютере части секретной информации. Для ее полного удаления следует воспользоваться специальной утилитой cspclean.exe:

  • запустить файл cspclean.exe;
  • перезагрузить компьютер;
  • выполнить повторный запуск.

Утилита CSPClean предназначена для полного удаления «КриптоПро».

Если на компьютере остаются работающие компоненты программ «КриптоПро» или «КриптоАРМ» — тогда следует отказаться от использования этого сервиса и выбрать другой метод очистки.

Подлежит ли сертификат в дальнейшем восстановлению

Информация об удаленных сертификатах нигде не кешируется и не сохраняется в корзине, что делает невозможным их последующее восстановление даже при использовании специальной программы cpfixit.exe, возвращающей настройки безопасности реестра Windows. При ошибочном удалении ключа ЭЦП доступна только повторная установка либо добавление при помощи USB-рутокен КриптоПро.

Следует обратить внимание на получение соответствующих прав при работе с ЭЦП — для удаления достаточно иметь статус «Пользователя», а для установки потребуются полномочия «Администратора».

В каких случаях не рекомендуется удалять сертификат ЭЦП

Уничтожение сертификата делает невозможным открытие документов, созданных и зашифрованных с его помощью. Доступ к старой документации не будет предоставлен даже при установке нового ЭЦП для этого же пользователя. При большом объеме зашифрованных файлов правильным решением станет не удаление сертификата, а его скрытие. Такой способ предпочтителен для документов бухгалтерской отчетности и материально ответственных лиц.

Пользователь получает электронную цифровую подпись на съемном носителе. Его подключают к любому компьютеру или ноутбуку. Вероятность заражения устройства вирусами отсутствует, накопитель отвечает параметрам безопасности. Иногда требуется перенести информацию на другое средство хранения, поэтому нужно знать, как скопировать сертификат из «КриптоПро» на флешку.

Установка ключа на Криптопро.

Для чего нужна копия сертификата электронной цифровой подписи

Перемещение скопированных файлов ЭЦП требуется в следующих случаях:

  1. Использование цифровой подписи на нескольких устройствах. Подключать флеш-карту с ключом к разным ПК не всегда удобно, поэтому пользователи желают иметь несколько экземпляров.
  2. Резервное копирование. Дает возможность восстановления в случае утери или повреждения USB-накопителя. Копирование требуется людям, часто отправляющимся в командировки, работающим из разных мест.
  3. Организация виртуального сервера. Доступ к такому источнику имеет несколько предприятий.

Какие существуют варианты копирования

Применяют несколько методов переноса сертификатов цифровой подписи на рабочий стол, а затем флеш-карту.

Для этого потребуется проводник, командная строка или приложение «КриптоПро». Первый вариант — извлечение ключа из контейнера. Чтобы выгрузить данные одного сертификата, выполняют следующие действия:

  1. Открывают программу «КриптоПро». Переходят в раздел «Сервис». Выбирают вариант «Просмотреть сертификаты». Нажимают клавишу «Обзор». Откроется окно со списком секретных ключей. Выделяют нужное название, используют кнопку OK, затем «Продолжить».
  2. Вводят пин-код для рутокена пользователя, подтверждают действие.
  3. В новом окне применяют клавишу «Свойства». Открывают раздел «Состав», активируют действие «Копировать».
  4. Кликают на «Продолжить», выбирают ссылку «Не извлекать закодированный ключ». В новом окне программы применяют первый способ кодирования.
  5. Нажимают клавишу «Обзор», прописывают путь выгрузки сертификата, задают имя файла. Сохраняют выбранные настройки. Нажатием клавиш «Продолжить» и «Готово» завершают работу.

Скопировать на флешку ЭЦП можно, предварительно поместив сертификат в реестр. В этом случае выполняют такие действия:

Копирование ЭЦП.

  1. Запускают «КриптоПро». Переходят во вкладку «Сервис», используют элемент управления «Копировать».
  2. В открывшемся окне выбирают место хранения закодированных ключей. Нажимают «Продолжить», начинается процесс копирования. В «Название контейнера» вписывают «ЭЦП».
  3. Выбирают вариант «Реестр». Для установки извлеченных элементов повторно открывают программу. В разделе «Сервис» нажимают на ссылку «Посмотреть сертификаты».
  4. С помощью кнопки «Обзор» выбирают нужное название. Проверяют информацию о сертификате: Ф. И. О. владельца, период действия.
  5. Поочередно нажимают клавиши «Установить», «Сохранить», OK.

Создать и перенести дубликат цифровой подписи на новый носитель можно, применяя мастер экспорта. В этом случае осуществляют такие действия:

  1. Открывают пусковое меню, входят в «Панель управления». Для дальнейшей работы потребуется вариант «Свойства «КриптоПро».
  2. В разделе «Содержимое» нажимают клавишу «Сертификаты». Открывают пункт «Личные». В появившемся перечне выбирают нужное название. Нажимают кнопку «Экспорт». Откроется мастер переноса, в котором используют управляющий элемент «Продолжить».
  3. Выставляют галочку возле первого пункта. Через меню «Обзор» выбирают, на какой диск выгрузить закодированный ключ. Поочередно нажимают «Далее», «Готово». После выполнения всех действий ЭЦП можно будет применять без подключения флеш-карты.

Иногда требуется перенести все сохраненные на USB-устройстве сертификаты.

Для этого используют командную строку и SID пользователя. Для переноса контейнеров в папку выполняют такие действия:

Привязка ЭЦП.

  1. Запускают редактор реестра от имени администратора. Вводят команду \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto\ProKeys.
  2. Находят и переносят папку «Ключи». Сохраняют раздел новым файлом. Поочередно копируют сертификаты. В новых версиях Windows они расположены в разделе C:\Users\zerox\AppData\Microsoft\SystemCertificates\My.
  3. Копируют выбранную часть, открывают ее в программе WordPad, заменяют SID для другого пользователя.
  4. Запускают файл формата .reg, переносят информацию в реестр. Папка становится доступной для перемещения на другой компьютер или флеш-карту.

Инструкция по привязке сертификата ЭЦП к контейнеру

Для синхронизации ключа цифровой подписи с контейнером выполняют следующие действия:

  1. Запускают «Панель управления», в списке программ выбирают «КриптоПро». В меню «Свойства» открывают сервисную вкладку. Нажимают клавишу «Установить».
  2. В загрузившемся меню используют кнопку «Обзор», задавая название нужного элемента. Нажимают «Продолжить». В новом окне применяют ту же клавишу.
  3. Выбирают контейнер, к которому будет привязан электронный ключ. При желании папку с файлами можно скачать на жесткий диск или записать на USB-накопитель.
  4. Нажимают клавишу «Продолжить», завершают процедуру привязки.

Какие могут возникнуть проблемы при копировании

Если создаваемая ЭЦП не имеет пометки «Доступна для экспорта», то сделать копирование на ПК не удастся. Система выдает сообщение об ошибке. Для переноса подписи с токена в таком случае применяют иной метод:

  1. Открывают раздел «Содержимое» через IE. Задают название сертификата, нажимают клавишу «Экспорт».
  2. В диалогом окне задают вариант выгрузки закодированного ключа. Выставляют галочки возле нужных пунктов.
  3. Вводят пин-код, продолжать работу без которого не получится. Задают название файла и место сохранения закодированной ЭЦП.
  4. Копируют сертификат, выбирая его название из перечня. Применяют кнопку «Экспорт». Запускают файл .CER. При правильном выполнении всех действий в папке появится 2 новых объекта формата .pfx и .cer.

Для окончания процедуры переносят скопированные файлы на съемный носитель, делают установку с помощью программы-мастера.

FILED UNDER : Статьи

Submit a Comment

Must be required * marked fields.

:*
:*