Ошибка авторизации пин код администратора еще не был установлен

 Версия ПО: Единый Клиент JaCarta 2.12.2.2260 — 2.13.x

Если у вас Единый Клиент версии 3.х — перейдите по ссылке.

Токены: JaCarta LT

Проблема: 

Заблокирован или забыт PIN-код пользователя на JaCarta LT, доступ к памяти заблокирован. Разблокировка PIN-кода пользователя невозможна.

     

Причина:

При производстве ключевого носителя JaCarta LT не устанавливается PIN-код администратора.

Решение:

Так как на JaCarta LT на производстве не устанавливается PIN-код администратора, то такой токен нельзя разблокировать. Можно выполнить форматирование.

• Запустите ПО «Единый Клиент JaCarta» 2.12 и выше.

• Переключитесь в режим администратора.

           

• Нажмите на кнопку «Storage». 
• Нажмите «Форматировать».
• Заполните запрашиваемые строки. В строке запроса PIN-код администратора введите любое значение. После выполнения операции «форматирование» данное значение установится как новый PIN-код администратора.
• Нажмите «Выполнить».

Обращаем Ваше внимание на то, что при выполнении операции «форматирование» всё содержимое токена удаляется!

После форматирования ключевого носителя с установленным PIN-кодом администратора доступна возможность разблокировки PIN-кода пользователя без форматирования.

Если на JaCarta LT был установлен PIN-код администратора и далее был заблокирован или забыт, то выполнить форматирование такого токена в ПО «Единый Клиент JaCarta» нельзя.

         

В таком случае необходимо выполнить следующее:

• скачайте и установите ПО JC-PROClient. Доступен для скачивания по ссылке — JaCarta PKI для Windows (с обратной совместимостью) 1 или JaCarta PKI для Windows (с обратной совместимостью) 2;
• запустите ПО JC-PROClient, подключите токен JaCarta LT и далее нажмите на кнопку «Инициализация»;

       

• заполните необходимые строки и нажмите на кнопку «Запуск».

Обращаем Ваше внимание на то, что при выполнении операции «инициализация» всё содержимое токена удаляется!

• После успешного выполнения операции «Инициализация» рекомендуем Вам удалить ПО JC-PROClient с ПК.

Если вы забыли пин-код администратора JaCarta для RSA-ключа, появится окно с ошибкой «Ошибка авторизации. PIN-код заблокирован и не может быть использован«.

Внимание! Процесс инициализации не только сбросит пин-код администратора, но и удалит RSA-ключ с носителя JaCarta!

Содержание

• 1 Что делать, если при введении пин гост рутокен появляется ошибка
• 2 Основные понятия
• 3 Pin код и безопасность данных приложения android. как правильно реализовать?
• 4 Как настроить параметры для нового пин-кода рутокен
• 5 Как придумать надежный пин для рутокен и сменить пароль
• 6 Как снять блокировку пин-кода rutoken
• 7 Настройка с pin-кодом с помощью wps (wi-fi protected setup)
• 8 Носители esmart/jacarta/jacarta lt:
• 9 Носители rutoken s/lite/эцп 2.0:
• 10 Носитель etoken:
• 11 Пин-коды рутокен для егаис (гост и rki)
• 12 Пин-коды рутокен для пользователя и администратора
• 13 Разблокировать
• 14 Стандартный пин-код для токена. особенности работы. –
• 15 Управление пин-кодами пользователя и администратора рутокен
  • 15.1 Узнайте больше о Huawei

Что делать, если при введении пин гост рутокен появляется ошибка

Вы вводите пин ГОСТ Рутокен 12345678, но система выдает ошибку? Существует несколько причин подобного сбоя. Наиболее вероятная — изменение пароля. Если PIN не менялся вами, возможно, в УЦ было установлено другое значение, например, 123456789. Еще один вариант — блокировка (автоматическая или администратором), о снятии которой мы рассказали выше.

Основные понятия

Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

USB-флеш-накопитель (сленг. флешка, флэшка , флеш-драйв) — запоминающее устройство, использующее в качестве носителя флеш-память, и подключаемое к компьютеру или иному считывающему устройству по интерфейсу USB.

ПИН (англ. Personal Identification Number — персональный идентификационный номер) — аналог пароля

Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи.

Если в качестве ключевого носителя используется защищенный носитель, то следует указать стандартный pin-код ознакомившись со списком ниже в зависимости от того какой носитель используется:

Pin код и безопасность данных приложения android. как правильно реализовать?

Добрый день. Разбираюсь с безопасным хранением информации в своем приложении для Android, и столкнулся с интересным моментом: можно ли считать PIN код для входа в приложение (самопальный) достаточной защитой?

Допустим, у злоумышленника есть физических доступ к устройству (ну украл он его, почему нет? чем не сценарий атаки?). В самом простом случае, если разработчик не задумался о безопасности хранения данных, можно или банально открыть приложение и получить доступ ко всей интересной злоумышленнику информации, или же слить файл Бд (sqlite, например) и расковыряв его вытянуть все данные. отсюда напрашиваются следующие выводы:

1. Необходима защита для входа в приложение (PIN код или пароль)

2. Необходимо хранить все данные в зашифрованном виде.

Идея проста – у пользователя есть некий, заданный им, мастер-ключ, которым шифруется вся информация (БД). Ключ большой и длинный, и чтобы при каждом входе в приложение пользователю не надо было его вводить, вводим новую сущность – PIN код для входа в приложение (код из 4 цифр). Сам мастер-ключ хранится на этом же устройстве в зашифрованном виде, и ключом является PIN код (точнее, производная от него. Например, MD5 хеш). В данном случае все выглядит очень безопасно, не так ли? Но если подумать, смоделировать ситуацию. то все становится гораздо печальнее.

Допустим, злоумышленник выкрал девайс жертвы, и слил зашифрованную БД приложения. Далее, злоумышленник может банальным брутфорсом (10^4 комбинаций – мелочь) перебрать все возможные варианты PIN кода, пока не найдет нужный. Для этого необходимо знать алгоритм работы приложения, что не является существенной проблемой. Одно из правил защиты информации гласит: нельзя считать защищенной систему, вся защита которой заключается в секрете механизма защиты (перефразировал своими словами для подходящего случая). Узнать методику защиты не составляет большого труда. Далее, если процедура дешифровки БД выдает даже полную белиберду, злоумышленнику достаточно расковырять копию БД с известным PIN кодом (поставить приложение на свой девайс, установить PIN, заполнить данные, расковырять БД) и найти структуру хранения данных, а точнее сигнатуры данных (Например JSON – {_id: x, name: “xxxx”} и прогнать все варианты дешифровки через простой сигнатурный поиск (даже простой regex справится с задачей). А далее мы получаем:
1. Всю “защищенную” и “приватную” информацию пользователя
2. Заведомо корректный PIN для входа в приложение.

И неизвестно ,что хуже. Допустим, что приложение для банк-клиента защищено именно так. В таком случае, зная PIN для входа в приложение и имея физический доступ к девайсу перевести все средства пользователя себе (PIN известен, СМС придет на это самое устройство) для злоумышленника не составляет труда.

Отсюда возникает вывод: если вся защита построена на PIN коде (уязвим для перебора) и имеется возможность провести брутфорс – защита не стоит ничего. Но при этом все банковские приложения используют этот (или похожий) механизм защиты.
Отсюда вопрос:
1. Действительно ли все так плохо и нельзя доверять подобным приложениям?
2. Реально ли разработать нормальную, устойчивую к взлому систему с использованием PIN кода для входа (не графический ключ и отпечаток пальца, а именно коротккий и легко перебираемый код)? Если да – то как?

З.Ы. Уверен, что чего-то важного я не знаю, и это мешает разобраться в вопросе.

UPD:

В общем и целом задачка выглядит неразрешимой. Т.к. есть “черный ящик” – наше приложение, установленное на девайсе. Для получения всех данных нужно знать только четырехзначный пин, а он брутфорсится на раз. Считается., что имея на руках девайс, злоумышленник может выковырять любые данные оттуда. А отсюда вопрос – верно ли последнее утверждение? Может, есть какое-то супер защищенное хранилище Android? Локально хранящееся на устройстве, и которое достаточно сложно взломать? Если приложение будет иметь доступ туда – писать туда ключик, и задача решена. Но что это за загадочное место?

UPD2:

Итак, нашел эту статью. Все достаточно понятно расписано. Вывод простой – хранить ключи надо в KeyStore, но это не спасение, если девайс рутован. Нужно проверять, рутован ли девайс, и предупреждать пользователя. НО! Насколько я понял, есть возможность рутировать девайс без потери данных, а это означает, что злоумышленник может рутировать девайс, сохранив все данные, и расковырять KeyStore. Беда.

Но если не вдаваться в проблему рутования, то решение выглядит следующим образом: по PIN коду происходит вход в приложение, а приложение вытягивает ключ, сгенерированный при первом запуске приложения, из KeyStore и им расшифровывает БД. При этом не сохраняет расшифрованные данные в незащищенном месте (часто это используют для увеличения скорости работы приложения, этакое кеширование данных), т.к. эти данные можно вытянуть без проблем.

Теперь понятно, почему многие банковские приложения не запускаются на рутированных девайсах. Но это не решает проблемы рутирования без потери данных. Т.е. допустим, что злоумышленник умыкнул мой НЕ рутованный девайс, рутанул его, вытянул из KeyStore ключик для приложения банк-клиента, и вытянул мои данные. При этом, для проверки корректности PIN, необходимо где-то хранить его хэш (зашифрованный, соленый – и что? И соль и пароль шифрования лежит в уже доступном для злоумышленника KeyStore). Таким образом полным перебором можно подобрать PIN для входа в приложение, зайти в приложение и перевести все средства. Снести все банковские приложения, что-ли?))

Как настроить параметры для нового пин-кода рутокен

В разделе «Политики качества …» («Настройки») можно задать базовые критерии оценки надежности пин-кода Рутокен. Изначально «слабым» считается вариант, который состоит из одного повторяющегося символа. Администратор может запретить выбор простых комбинаций, а также ограничить их минимальную длину. Для изменения политик необходимо проставить «галочки» напротив нужных пунктов, а затем кликнуть «ОК» и «Применить».

При наличии администраторского доступа к ПК можно изменять политики качества через «Групповые политики». Для этого необходимо зайти через «Пуск» в раздел «Выполнить» и ввести команду gpedit.msc в поле «Открыть». Далее следует ввести команду, в которой указать путь к файлу rt.Drivers.exe, определенный ключ инсталлятора и его значение. Полный список ключей можно найти в инструкции на странице 14.

Как придумать надежный пин для рутокен и сменить пароль

Для каждого устройства Рутокен необходимо придумывать уникальную пару надежных пин-кодов. Комбинируйте буквы, цифры и символы, стараясь избегать распространенных «клише» вроде qwerty или 0000. Не используйте имена, фамилии, даты и названия, которые имеют к вам какое-либо отношение (например, имя жены или день рождения дочери).

1. Подключите USB-носитель к ПК и запустите панель управления.
2. Выберите название токена, укажите роль (Пользователь или Администратор) и введите соответствующий ПИН.
3. В разделе «Администрирование» найдите секцию «Изменить ПИН-коды…» и кликните «Изменить».

В открывшемся окне выберите роль, а затем введите и подтвердите новый вариант. Нажмите «ОК».

Как снять блокировку пин-кода rutoken

После 10 ошибочных попыток пин-код Rutoken блокируется. Администратор может снять блокировку с пользовательского пароля, нажав кнопку «Разблокировать» напротив соответствующей секции («вкладка «Администрирование»).

Блокировка администраторского PIN-кода снимается только путем сброса всех настроек при возврате к заводскому состоянию. Кликните «Форматировать» напротив секции «Инициализировать файловую систему…» («Администрирование»). Укажите имя носителя и новый пароль.

Настройка с pin-кодом с помощью wps (wi-fi protected setup)

Если точка беспроводного доступа/маршрутизатор поддерживает WPS (способ с использованием PIN-кода), настройка устройства не составит труда. Подключение с использованием PIN-кода (личного идентификационного номера) — это один из способов подключения, разработанный Wi-Fi Alliance^®. Введя PIN-код, созданный заявителем (используемое устройство), в регистратор (устройство, управляющее беспроводной локальной сетью), можно настроить параметры беспроводной сети и безопасности. Инструкции по доступу к режиму WPS см. в руководстве пользователя, прилагаемом к беспроводной точке доступа/маршрутизатору.

Носители esmart/jacarta/jacarta lt:

• Стандартный пин-код на таких токенах: 12345678

Носители rutoken s/lite/эцп 2.0:

• 12345678 – пользователь
• 87654321 – администратор

Носитель etoken:

• Стандартный пин-код пользователя: 1234567890

Пин-коды рутокен для егаис (гост и rki)

Процедура настройки рабочего места для ЕГАИС состоит из нескольких этапов, на трех из которых вводится PIN ключевого идентификатора. Сначала пин-код Рутокен (ГОСТ) 12345678 запрашивается системой при первом переходе в Личный кабинет (после проверки компьютера на наличие требуемого ПО).

Далее организация направляет запрос в ФНС, а после подтверждения (занимает около 5 дней) получает RSA(RKI)-ключ. На этом этапе стандартная комбинация 12345678 вводится дважды — сначала при создании запроса на сертификат для передачи в удостоверяющий центр, а затем при формировании транспортного RSA-ключа в Личном кабинете.

Важно: для упрощения процедуры настройки рекомендуем использовать заводской пароль по умолчанию, который в дальнейшем можно изменить.

Пин-коды рутокен для пользователя и администратора

Владелец устройства вводит пароль для подтверждения каждого значимого действия. Например, для смены криптопровайдера через панель управления, входа в ЕГАИС или на портал Росреестра, регистрации онлайн-кассы в ИФНС или подачи заявки на участие в аукционе. Форма запроса появляется на разных этапах — от регистрации на интернет-площадках до смены настроек доступа.

Первый раз PIN-код используется еще на «старте» работы с носителем — после установки драйверов и запуска панели управления. Для выполнения дальнейших операций требуется выбрать сертификат из списка (если их несколько) и ввести пользовательский пин Рутокен по умолчанию.

Разблокировать

Если вы несколько (как правило, 10) раз ввели неверный PIN-код пользователя, носитель блокируется. Для того чтобы разблокировать:

JaCarta SE

1. Запустите «Единый клиент JaCarta» и переключитесь в режим администрирования.
2. Перейдите на вкладку приложения, PIN-код к которому заблокирован (PKI или ГОСТ), и нажмите «Разблокировать PIN-код пользователя».
3. В окне разблокировки введите:

• Если заблокирован PIN-код приложения ГОСТ — только PIN администратора.

При разблокировке PIN-кода приложения ГОСТ восстанавливается количество попыток ввода пароля, при этом смены пользовательского PIN-кода не происходит.

Чтобы изменить пользовательский PIN-код ГОСТ или PIN-код администратора (если он был забыт, но не заблокирован), необходимо выполнить инициализацию. При этом все ключи будут удалены.

Если PIN-код администратора был заблокирован, доступ к JaCarta SE не восстановить. Приобретите ЭП на новом носителе.

JaCarta LT

1. Запустите «Единый клиент JaCarta» и переключитесь в режим администрирования.
2. Перейдите на вкладку «STORAGE», и нажмите «Разблокировать PIN-код пользователя» — в окне с предупреждением нажмите «ОК».

1. В окне разблокировки введите PIN-код администратора. Если пароль верный, будет восстановлено количество попыток ввода PIN-кода пользователя. 

Если перед генерацией ЭП при инициализации был указан только PIN-код пользователя и носитель заблокирован, при разблокировке будет ошибка: «Ошибка авторизации. Pin-код пользователя еще не был проинициализирован».

Стандартный пин-код для токена. особенности работы. –

Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код – это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

Владелец	Пользователь	Администратор
Рутокен	12345678	87654321
eToken	1234567890	По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP.
JaCarta PKI	11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890	00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен
JaCarta-2 ГОСТ	1234567890	PUK-код для разблокирования – 0987654321
JaCarta PKI/2ГОСТ	Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890 Для ГОСТ-функционала: PIN-код не задан	Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен Для ГОСТ-функционала: 1234567890
JaCarta PKI/ГОСТ/SE	Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321	Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890
JaCarta PKI/BIO	11111111	00000000
JaCarta PKI/Flash	11111111	00000000
ESMART Token	12345678	12345678
карта IDPrime	0000	48 нулей
JaCarta PRO/JaCarta LT	1234567890	1234567890

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход — полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Параметр	eToken	Рутокен
Минимальная длина PIN-кода	4	1
Состав PIN-кода	Буквы, цифры, специальные символы	Цифры, буквы латинского алфавита
Рекомендуемая длина PIN-кода	Больше или равно 7	До 16
Администрирование безопасности PIN-кода	Есть	Есть
Защита от атак с использованием методов полного перебора и подбора по словарю	Есть	Есть
Значение по умолчанию счетчика неправильного ввода	15	15
Возможность менять значение счетчика неправильного ввода	Есть	Есть
Автоматическая блокировка при превышении количества попыток неправильного ввода	Есть	Есть
Обнуление счетчика при первой успешной попытке ввода PIN-кода	Есть	Есть

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены

в интернет-магазине Cryptostore.ru

в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то

токен в виде USB-брелока

или

электронный ключ, дополненный флэш-картой для хранения ваших данных

.

Управление пин-кодами пользователя и администратора рутокен

Стандартные комбинации цифр — 12345678 и 87654321 — можно найти в большинстве статей и инструкций по работе с Рутокен. «Заводские» пароли не обеспечивают защиты данных, поэтому их стоит использовать только на начальном этапе — для настройки и тестирования устройства. Для дальнейшей безопасной работы замените стандартные цифровые комбинации на более сложные буквенно-цифровые сочетания.

Права на смену пользовательского ПИН-кода имеет либо Пользователь, либо Администратор, либо Пользователь с Администратором. По умолчанию установлен первый вариант, но при форматировании можно выбрать любую политику.

Администратор Рутокен может не только сменить свой пин-код, но и установить определенные ограничения по выбору нового пользовательского пароля. С этой целью настраиваются политики качества, в числе которых:

• минимальное количество символов (1-16);
• запрет на использование комбинации по умолчанию;
• запрет на использование комбинации из одинаковых символов (например, 1111);
• разрешение на использование кириллицы и латиницы;
• запрет на выбор ПИН-кода только из цифр или только из букв;
• указание минимального количества попыток ввода;
• определение «слабых», «средних» и «сильных» паролей.

Для смены изначальных политик качества перейдите в раздел «Настройки».

«Рутокен»

Чтобы разблокировать ruToken/ruToken ЭЦП, необходимо:

1. Открыть «Панель управления Рутокен» («Пуск» — «Панель управления» — «Панель управления Рутокен»);

Если «Панель управления Рутокен» отсутствует, нужно обновить драйверы для токена. Их можно загрузить:

• из «Личного кабинета» («Управление услугами» — «АРМ» — «Дистрибутивы программ» — Rutoken);
• с сайта производителя в разделе «Центр загрузки».

2. Перейти на вкладку «Администрирование» и нажать «Ввести PIN-код…»;

3. Выбрать «Администратор» и ввести pin-код. Стандартный pin-код администратора для ruToken/ruToken ЭЦП: 87654321;

4. Нажать «Разблокировать»;

Важно!

1. Если был изменен и утерян pin-код администратора, разблокировать токен можно только при .

2. Pin-код на ruToken/ruToken ЭЦП не может быть пустым.

JaCarta

Чтобы разблокировать пин-код на вкладке PKI, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
   
2. Нажать «Переключиться в режим администрирования»;
   
3. Перейти на вкладку PKI;
   
4. Нажать «Разблокировать PIN-код пользователя»;
5. Ввести пароль администратора по умолчанию «00000000» и новый пароль пользователя;
   
   

Важно! Если количество попыток ввода PIN-кода для PKI области исчерпано, необходимо:

1. Нажать «Инициализировать», чтобы отформатировать PKI-часть (удалить все данные),

2. Получить в «Личном кабинете ЕГАИС» новый ключ RSA.

Чтобы разблокировать ГОСТ вкладку токена, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
2. Нажать «Переключиться в режим администрирования»;
3. Перейти на вкладку «ГОСТ»;
4. Нажать «Разблокировать PIN-код пользователя».
   

Разблокировка PIN-кода ГОСТ-2 области

Чтобы разблокировать ГОСТ-2 вкладку токена, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
2. Нажать «Переключиться в режим администрирования»;
3. Перейти на вкладку «ГОСТ»;
4. Нажать «Разблокировать»;
5. Ввести PUK-код для разблокировки «0987654321»;
   
6. Ввести пароль администратора по умолчанию «1234567890».
   
   

Если пароль пользователя:

• неизвестен, то даже с помощью пароля администратора отсутствует возможность получить доступ к ключу;
• неизвестен и токен заблокирован, необходимо инициализировать (форматировать) токен, чтобы установить новый пароль пользователя.

Esmart

Для разблокировки необходимо:

1. Перейти в меню «Пуск» — «Панель управления» — eSmartPKIClient (можно загрузить из «Личного кабинета»);

2. В разделе «Токен» нажать «Разблокировать PIN-код»;

3. Ввести пароль администратора в поле SO PIN (PIN по умолчанию 12345678);

4. Дважды указать новый пароль пользователя в поле User PIN;

5. Нажать «ОК».

eToken

Необходимо:

1. Открыть программу eTokenPKIClient;

Если программа отсутствует, вам необходимо приобрести новый токен, т.к. производитель eToken прекратил реализацию этого носителя и сопутствующего ПО.

2. Выбрать нужный eToken;

Количество попыток ввода pin-кода можно увидеть с правой стороны в списке свойств в поле «Попыток пароля пользователя». Если в поле указана цифра «0», токен заблокирован.

Для разблокировки необходимо:

1. Нажать «Вход с правами администратора» (четвертая кнопка справа, в отдельной группе из 4-х кнопок);

Если кнопка «Вход с правами администратора» затемнена, пароль администратора отсутствует и возможность разблокировать токен отсутствует.

2. Ввести пароль администратора (по умолчанию 0987654321);

Важно! После 15 попыток ввода неправильного pin-кода eToken будет заблокирован.

3. Нажать «Установить пароль пользователя» (первая кнопка справа, в отдельной группе из 4-х кнопок);

3. Ввести новый pin-код пользователя;

4. Повторить его в поле «Подтверждение».

Носитель Jacarta PKI/ГОСТ блокируется при многочисленных попытках ввести неверный пин-код. При этом теряется связь с сервером ФСРАР, и данные о фактурах не поступают в вашу учетную систему. Как быстро разблокировать ключ и восстановить работу с ЕГАИС?

По умолчанию на всех новых носителях установлены следующие пароли:

PKI	11 11 11 11
Администратор PKI	00 00 00 00
ГОСТ	0987654321
Администратор ГОСТ	1234567890

Для снятия блокировки на компьютере должна быть установлена программа Единый клиент Jacarta. Если настройка и установка ЕГАИС производилась нашими специалистами, то эта программа у вас уже есть.

Запустите программу и дождитесь, когда в окне Единого клиента появится информация о носителе Jacarta PKI/ГОСТ.

Снятие блокировки ГОСТ

В разделе ГОСТ записан сертификат КЭП, выданный в удостоверяющем центре. Будьте внимательны
— нельзя удалять из этого раздела какие-либо компоненты. После удаления придется повторно обращаться в удостоверяющий центр для выпуска ключа.

Чтобы разблокировать пин-код ГОСТ, в верхнем меню “Операции с приложением” выберите первый пункт “Разблокировать PIN-код пользователя”. На экране появится уведомление, что снятие блокировки обнулит счетчик ошибочных попыток ввода.

Нажмите “ОК” и во вновь открывшемся окне введите пин-код администратора Jacarta ГОСТ
1234567890. После обнуления счетчика ошибок введите стандартный пин-код пользователя ГОСТ 0987654321.

Важно: эта процедура поможет только скинуть счетчик, но не изменить забытый пароль на новый. Если вы изменили пароль ГОСТ, установленный по умолчанию, и забыли его, придется проводить инициализацию и вновь записывать ключ в удостоверяющем центре.

Снятие блокировки PKI

В контейнере PKI записан RSA-ключ, который генерируется в личном кабинете на сайте egais.ru. В случае утери пин-кода этот раздел может быть инициализирован (полностью очищен), так как вы можете повторно записать ключ самостоятельно и бесплатно, без обращения в удостоверяющий центр.

Добрый день!. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен , который используется для подписи документов для ВТБ24 ДБО
. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta
. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2 . На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip , подключен ключ JaCarta. Ключ в системе видится
, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО
отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta
— это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) — это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки «Не возможно подключиться к службе управления смарт-картами».
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь
.

Причина:

При производстве ключевого носителя JaCarta LT не устанавливается PIN-код администратора.

Решение:

Так как на JaCarta LT на производстве не устанавливается PIN-код администратора, то такой токен нельзя разблокировать. Можно выполнить форматирование.

• Запустите ПО «Единый Клиент JaCarta» 2.12 и выше.

• Переключитесь в режим администратора.

           

• Нажмите на кнопку «Storage». 
• Нажмите «Форматировать».
• Заполните запрашиваемые строки. В строке запроса PIN-код администратора введите любое значение. После выполнения операции «форматирование» данное значение установится как новый PIN-код администратора.
• Нажмите «Выполнить».

Обращаем Ваше внимание на то, что при выполнении операции «форматирование» всё содержимое токена удаляется!

После форматирования ключевого носителя с установленным PIN-кодом администратора доступна возможность разблокировки PIN-кода пользователя без форматирования.

Если на JaCarta LT был установлен PIN-код администратора и далее был заблокирован или забыт, то выполнить форматирование такого токена в ПО «Единый Клиент JaCarta» нельзя.

         

В таком случае необходимо выполнить следующее:

• скачайте и установите ПО JC-PROClient. Доступен для скачивания по ссылке — JaCarta PKI для Windows (с обратной совместимостью) 1 или JaCarta PKI для Windows (с обратной совместимостью) 2;
• запустите ПО JC-PROClient, подключите токен JaCarta LT и далее нажмите на кнопку «Инициализация»;

       

• заполните необходимые строки и нажмите на кнопку «Запуск».

Обращаем Ваше внимание на то, что при выполнении операции «инициализация» всё содержимое токена удаляется!

• После успешного выполнения операции «Инициализация» рекомендуем Вам удалить ПО JC-PROClient с ПК.

Если вы забыли пин-код администратора JaCarta для RSA-ключа, появится окно с ошибкой «Ошибка авторизации. PIN-код заблокирован и не может быть использован«.

Внимание! Процесс инициализации не только сбросит пин-код администратора, но и удалит RSA-ключ с носителя JaCarta!

Содержание

• 1 Что делать, если при введении пин гост рутокен появляется ошибка
• 2 Основные понятия
• 3 Pin код и безопасность данных приложения android. как правильно реализовать?
• 4 Как настроить параметры для нового пин-кода рутокен
• 5 Как придумать надежный пин для рутокен и сменить пароль
• 6 Как снять блокировку пин-кода rutoken
• 7 Настройка с pin-кодом с помощью wps (wi-fi protected setup)
• 8 Носители esmart/jacarta/jacarta lt:
• 9 Носители rutoken s/lite/эцп 2.0:
• 10 Носитель etoken:
• 11 Пин-коды рутокен для егаис (гост и rki)
• 12 Пин-коды рутокен для пользователя и администратора
• 13 Разблокировать
• 14 Стандартный пин-код для токена. особенности работы. –
• 15 Управление пин-кодами пользователя и администратора рутокен
  • 15.1 Узнайте больше о Huawei

Что делать, если при введении пин гост рутокен появляется ошибка

Вы вводите пин ГОСТ Рутокен 12345678, но система выдает ошибку? Существует несколько причин подобного сбоя. Наиболее вероятная — изменение пароля. Если PIN не менялся вами, возможно, в УЦ было установлено другое значение, например, 123456789. Еще один вариант — блокировка (автоматическая или администратором), о снятии которой мы рассказали выше.

Основные понятия

Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

USB-флеш-накопитель (сленг. флешка, флэшка , флеш-драйв) — запоминающее устройство, использующее в качестве носителя флеш-память, и подключаемое к компьютеру или иному считывающему устройству по интерфейсу USB.

ПИН (англ. Personal Identification Number — персональный идентификационный номер) — аналог пароля

Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи.

Если в качестве ключевого носителя используется защищенный носитель, то следует указать стандартный pin-код ознакомившись со списком ниже в зависимости от того какой носитель используется:

Pin код и безопасность данных приложения android. как правильно реализовать?

Добрый день. Разбираюсь с безопасным хранением информации в своем приложении для Android, и столкнулся с интересным моментом: можно ли считать PIN код для входа в приложение (самопальный) достаточной защитой?

Допустим, у злоумышленника есть физических доступ к устройству (ну украл он его, почему нет? чем не сценарий атаки?). В самом простом случае, если разработчик не задумался о безопасности хранения данных, можно или банально открыть приложение и получить доступ ко всей интересной злоумышленнику информации, или же слить файл Бд (sqlite, например) и расковыряв его вытянуть все данные. отсюда напрашиваются следующие выводы:

1. Необходима защита для входа в приложение (PIN код или пароль)

2. Необходимо хранить все данные в зашифрованном виде.

Идея проста – у пользователя есть некий, заданный им, мастер-ключ, которым шифруется вся информация (БД). Ключ большой и длинный, и чтобы при каждом входе в приложение пользователю не надо было его вводить, вводим новую сущность – PIN код для входа в приложение (код из 4 цифр). Сам мастер-ключ хранится на этом же устройстве в зашифрованном виде, и ключом является PIN код (точнее, производная от него. Например, MD5 хеш). В данном случае все выглядит очень безопасно, не так ли? Но если подумать, смоделировать ситуацию. то все становится гораздо печальнее.

Допустим, злоумышленник выкрал девайс жертвы, и слил зашифрованную БД приложения. Далее, злоумышленник может банальным брутфорсом (10^4 комбинаций – мелочь) перебрать все возможные варианты PIN кода, пока не найдет нужный. Для этого необходимо знать алгоритм работы приложения, что не является существенной проблемой. Одно из правил защиты информации гласит: нельзя считать защищенной систему, вся защита которой заключается в секрете механизма защиты (перефразировал своими словами для подходящего случая). Узнать методику защиты не составляет большого труда. Далее, если процедура дешифровки БД выдает даже полную белиберду, злоумышленнику достаточно расковырять копию БД с известным PIN кодом (поставить приложение на свой девайс, установить PIN, заполнить данные, расковырять БД) и найти структуру хранения данных, а точнее сигнатуры данных (Например JSON – {_id: x, name: “xxxx”} и прогнать все варианты дешифровки через простой сигнатурный поиск (даже простой regex справится с задачей). А далее мы получаем:
1. Всю “защищенную” и “приватную” информацию пользователя
2. Заведомо корректный PIN для входа в приложение.

И неизвестно ,что хуже. Допустим, что приложение для банк-клиента защищено именно так. В таком случае, зная PIN для входа в приложение и имея физический доступ к девайсу перевести все средства пользователя себе (PIN известен, СМС придет на это самое устройство) для злоумышленника не составляет труда.

Отсюда возникает вывод: если вся защита построена на PIN коде (уязвим для перебора) и имеется возможность провести брутфорс – защита не стоит ничего. Но при этом все банковские приложения используют этот (или похожий) механизм защиты.
Отсюда вопрос:
1. Действительно ли все так плохо и нельзя доверять подобным приложениям?
2. Реально ли разработать нормальную, устойчивую к взлому систему с использованием PIN кода для входа (не графический ключ и отпечаток пальца, а именно коротккий и легко перебираемый код)? Если да – то как?

З.Ы. Уверен, что чего-то важного я не знаю, и это мешает разобраться в вопросе.

UPD:

В общем и целом задачка выглядит неразрешимой. Т.к. есть “черный ящик” – наше приложение, установленное на девайсе. Для получения всех данных нужно знать только четырехзначный пин, а он брутфорсится на раз. Считается., что имея на руках девайс, злоумышленник может выковырять любые данные оттуда. А отсюда вопрос – верно ли последнее утверждение? Может, есть какое-то супер защищенное хранилище Android? Локально хранящееся на устройстве, и которое достаточно сложно взломать? Если приложение будет иметь доступ туда – писать туда ключик, и задача решена. Но что это за загадочное место?

UPD2:

Итак, нашел эту статью. Все достаточно понятно расписано. Вывод простой – хранить ключи надо в KeyStore, но это не спасение, если девайс рутован. Нужно проверять, рутован ли девайс, и предупреждать пользователя. НО! Насколько я понял, есть возможность рутировать девайс без потери данных, а это означает, что злоумышленник может рутировать девайс, сохранив все данные, и расковырять KeyStore. Беда.

Но если не вдаваться в проблему рутования, то решение выглядит следующим образом: по PIN коду происходит вход в приложение, а приложение вытягивает ключ, сгенерированный при первом запуске приложения, из KeyStore и им расшифровывает БД. При этом не сохраняет расшифрованные данные в незащищенном месте (часто это используют для увеличения скорости работы приложения, этакое кеширование данных), т.к. эти данные можно вытянуть без проблем.

Теперь понятно, почему многие банковские приложения не запускаются на рутированных девайсах. Но это не решает проблемы рутирования без потери данных. Т.е. допустим, что злоумышленник умыкнул мой НЕ рутованный девайс, рутанул его, вытянул из KeyStore ключик для приложения банк-клиента, и вытянул мои данные. При этом, для проверки корректности PIN, необходимо где-то хранить его хэш (зашифрованный, соленый – и что? И соль и пароль шифрования лежит в уже доступном для злоумышленника KeyStore). Таким образом полным перебором можно подобрать PIN для входа в приложение, зайти в приложение и перевести все средства. Снести все банковские приложения, что-ли?))

Как настроить параметры для нового пин-кода рутокен

В разделе «Политики качества …» («Настройки») можно задать базовые критерии оценки надежности пин-кода Рутокен. Изначально «слабым» считается вариант, который состоит из одного повторяющегося символа. Администратор может запретить выбор простых комбинаций, а также ограничить их минимальную длину. Для изменения политик необходимо проставить «галочки» напротив нужных пунктов, а затем кликнуть «ОК» и «Применить».

При наличии администраторского доступа к ПК можно изменять политики качества через «Групповые политики». Для этого необходимо зайти через «Пуск» в раздел «Выполнить» и ввести команду gpedit.msc в поле «Открыть». Далее следует ввести команду, в которой указать путь к файлу rt.Drivers.exe, определенный ключ инсталлятора и его значение. Полный список ключей можно найти в инструкции на странице 14.

Как придумать надежный пин для рутокен и сменить пароль

Для каждого устройства Рутокен необходимо придумывать уникальную пару надежных пин-кодов. Комбинируйте буквы, цифры и символы, стараясь избегать распространенных «клише» вроде qwerty или 0000. Не используйте имена, фамилии, даты и названия, которые имеют к вам какое-либо отношение (например, имя жены или день рождения дочери).

1. Подключите USB-носитель к ПК и запустите панель управления.
2. Выберите название токена, укажите роль (Пользователь или Администратор) и введите соответствующий ПИН.
3. В разделе «Администрирование» найдите секцию «Изменить ПИН-коды…» и кликните «Изменить».

В открывшемся окне выберите роль, а затем введите и подтвердите новый вариант. Нажмите «ОК».

Как снять блокировку пин-кода rutoken

После 10 ошибочных попыток пин-код Rutoken блокируется. Администратор может снять блокировку с пользовательского пароля, нажав кнопку «Разблокировать» напротив соответствующей секции («вкладка «Администрирование»).

Блокировка администраторского PIN-кода снимается только путем сброса всех настроек при возврате к заводскому состоянию. Кликните «Форматировать» напротив секции «Инициализировать файловую систему…» («Администрирование»). Укажите имя носителя и новый пароль.

Настройка с pin-кодом с помощью wps (wi-fi protected setup)

Если точка беспроводного доступа/маршрутизатор поддерживает WPS (способ с использованием PIN-кода), настройка устройства не составит труда. Подключение с использованием PIN-кода (личного идентификационного номера) — это один из способов подключения, разработанный Wi-Fi Alliance^®. Введя PIN-код, созданный заявителем (используемое устройство), в регистратор (устройство, управляющее беспроводной локальной сетью), можно настроить параметры беспроводной сети и безопасности. Инструкции по доступу к режиму WPS см. в руководстве пользователя, прилагаемом к беспроводной точке доступа/маршрутизатору.

Носители esmart/jacarta/jacarta lt:

• Стандартный пин-код на таких токенах: 12345678

Носители rutoken s/lite/эцп 2.0:

• 12345678 – пользователь
• 87654321 – администратор

Носитель etoken:

• Стандартный пин-код пользователя: 1234567890

Пин-коды рутокен для егаис (гост и rki)

Процедура настройки рабочего места для ЕГАИС состоит из нескольких этапов, на трех из которых вводится PIN ключевого идентификатора. Сначала пин-код Рутокен (ГОСТ) 12345678 запрашивается системой при первом переходе в Личный кабинет (после проверки компьютера на наличие требуемого ПО).

Далее организация направляет запрос в ФНС, а после подтверждения (занимает около 5 дней) получает RSA(RKI)-ключ. На этом этапе стандартная комбинация 12345678 вводится дважды — сначала при создании запроса на сертификат для передачи в удостоверяющий центр, а затем при формировании транспортного RSA-ключа в Личном кабинете.

Важно: для упрощения процедуры настройки рекомендуем использовать заводской пароль по умолчанию, который в дальнейшем можно изменить.

Пин-коды рутокен для пользователя и администратора

Владелец устройства вводит пароль для подтверждения каждого значимого действия. Например, для смены криптопровайдера через панель управления, входа в ЕГАИС или на портал Росреестра, регистрации онлайн-кассы в ИФНС или подачи заявки на участие в аукционе. Форма запроса появляется на разных этапах — от регистрации на интернет-площадках до смены настроек доступа.

Первый раз PIN-код используется еще на «старте» работы с носителем — после установки драйверов и запуска панели управления. Для выполнения дальнейших операций требуется выбрать сертификат из списка (если их несколько) и ввести пользовательский пин Рутокен по умолчанию.

Разблокировать

Если вы несколько (как правило, 10) раз ввели неверный PIN-код пользователя, носитель блокируется. Для того чтобы разблокировать:

JaCarta SE

1. Запустите «Единый клиент JaCarta» и переключитесь в режим администрирования.
2. Перейдите на вкладку приложения, PIN-код к которому заблокирован (PKI или ГОСТ), и нажмите «Разблокировать PIN-код пользователя».
3. В окне разблокировки введите:

• Если заблокирован PIN-код приложения ГОСТ — только PIN администратора.

При разблокировке PIN-кода приложения ГОСТ восстанавливается количество попыток ввода пароля, при этом смены пользовательского PIN-кода не происходит.

Чтобы изменить пользовательский PIN-код ГОСТ или PIN-код администратора (если он был забыт, но не заблокирован), необходимо выполнить инициализацию. При этом все ключи будут удалены.

Если PIN-код администратора был заблокирован, доступ к JaCarta SE не восстановить. Приобретите ЭП на новом носителе.

JaCarta LT

1. Запустите «Единый клиент JaCarta» и переключитесь в режим администрирования.
2. Перейдите на вкладку «STORAGE», и нажмите «Разблокировать PIN-код пользователя» — в окне с предупреждением нажмите «ОК».

1. В окне разблокировки введите PIN-код администратора. Если пароль верный, будет восстановлено количество попыток ввода PIN-кода пользователя. 

Если перед генерацией ЭП при инициализации был указан только PIN-код пользователя и носитель заблокирован, при разблокировке будет ошибка: «Ошибка авторизации. Pin-код пользователя еще не был проинициализирован».

Стандартный пин-код для токена. особенности работы. –

Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код – это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

Владелец	Пользователь	Администратор
Рутокен	12345678	87654321
eToken	1234567890	По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP.
JaCarta PKI	11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890	00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен
JaCarta-2 ГОСТ	1234567890	PUK-код для разблокирования – 0987654321
JaCarta PKI/2ГОСТ	Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код – 1234567890 Для ГОСТ-функционала: PIN-код не задан	Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией “Обратная совместимость” – PIN-код не установлен Для ГОСТ-функционала: 1234567890
JaCarta PKI/ГОСТ/SE	Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321	Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890
JaCarta PKI/BIO	11111111	00000000
JaCarta PKI/Flash	11111111	00000000
ESMART Token	12345678	12345678
карта IDPrime	0000	48 нулей
JaCarta PRO/JaCarta LT	1234567890	1234567890

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход — полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Параметр	eToken	Рутокен
Минимальная длина PIN-кода	4	1
Состав PIN-кода	Буквы, цифры, специальные символы	Цифры, буквы латинского алфавита
Рекомендуемая длина PIN-кода	Больше или равно 7	До 16
Администрирование безопасности PIN-кода	Есть	Есть
Защита от атак с использованием методов полного перебора и подбора по словарю	Есть	Есть
Значение по умолчанию счетчика неправильного ввода	15	15
Возможность менять значение счетчика неправильного ввода	Есть	Есть
Автоматическая блокировка при превышении количества попыток неправильного ввода	Есть	Есть
Обнуление счетчика при первой успешной попытке ввода PIN-кода	Есть	Есть

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены

в интернет-магазине Cryptostore.ru

в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то

токен в виде USB-брелока

или

электронный ключ, дополненный флэш-картой для хранения ваших данных

.

Управление пин-кодами пользователя и администратора рутокен

Стандартные комбинации цифр — 12345678 и 87654321 — можно найти в большинстве статей и инструкций по работе с Рутокен. «Заводские» пароли не обеспечивают защиты данных, поэтому их стоит использовать только на начальном этапе — для настройки и тестирования устройства. Для дальнейшей безопасной работы замените стандартные цифровые комбинации на более сложные буквенно-цифровые сочетания.

Права на смену пользовательского ПИН-кода имеет либо Пользователь, либо Администратор, либо Пользователь с Администратором. По умолчанию установлен первый вариант, но при форматировании можно выбрать любую политику.

Администратор Рутокен может не только сменить свой пин-код, но и установить определенные ограничения по выбору нового пользовательского пароля. С этой целью настраиваются политики качества, в числе которых:

• минимальное количество символов (1-16);
• запрет на использование комбинации по умолчанию;
• запрет на использование комбинации из одинаковых символов (например, 1111);
• разрешение на использование кириллицы и латиницы;
• запрет на выбор ПИН-кода только из цифр или только из букв;
• указание минимального количества попыток ввода;
• определение «слабых», «средних» и «сильных» паролей.

Для смены изначальных политик качества перейдите в раздел «Настройки».

«Рутокен»

Чтобы разблокировать ruToken/ruToken ЭЦП, необходимо:

1. Открыть «Панель управления Рутокен» («Пуск» — «Панель управления» — «Панель управления Рутокен»);

Если «Панель управления Рутокен» отсутствует, нужно обновить драйверы для токена. Их можно загрузить:

• из «Личного кабинета» («Управление услугами» — «АРМ» — «Дистрибутивы программ» — Rutoken);
• с сайта производителя в разделе «Центр загрузки».

2. Перейти на вкладку «Администрирование» и нажать «Ввести PIN-код…»;

3. Выбрать «Администратор» и ввести pin-код. Стандартный pin-код администратора для ruToken/ruToken ЭЦП: 87654321;

4. Нажать «Разблокировать»;

Важно!

1. Если был изменен и утерян pin-код администратора, разблокировать токен можно только при .

2. Pin-код на ruToken/ruToken ЭЦП не может быть пустым.

JaCarta

Чтобы разблокировать пин-код на вкладке PKI, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
   
2. Нажать «Переключиться в режим администрирования»;
   
3. Перейти на вкладку PKI;
   
4. Нажать «Разблокировать PIN-код пользователя»;
5. Ввести пароль администратора по умолчанию «00000000» и новый пароль пользователя;
   
   

Важно! Если количество попыток ввода PIN-кода для PKI области исчерпано, необходимо:

1. Нажать «Инициализировать», чтобы отформатировать PKI-часть (удалить все данные),

2. Получить в «Личном кабинете ЕГАИС» новый ключ RSA.

Чтобы разблокировать ГОСТ вкладку токена, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
2. Нажать «Переключиться в режим администрирования»;
3. Перейти на вкладку «ГОСТ»;
4. Нажать «Разблокировать PIN-код пользователя».
   

Разблокировка PIN-кода ГОСТ-2 области

Чтобы разблокировать ГОСТ-2 вкладку токена, необходимо:

1. Перейти в меню «Пуск» – «Все программы» – «Аладдин Р.Д.» – «Единый клиент JaCarta»;
2. Нажать «Переключиться в режим администрирования»;
3. Перейти на вкладку «ГОСТ»;
4. Нажать «Разблокировать»;
5. Ввести PUK-код для разблокировки «0987654321»;
   
6. Ввести пароль администратора по умолчанию «1234567890».
   
   

Если пароль пользователя:

• неизвестен, то даже с помощью пароля администратора отсутствует возможность получить доступ к ключу;
• неизвестен и токен заблокирован, необходимо инициализировать (форматировать) токен, чтобы установить новый пароль пользователя.

Esmart

Для разблокировки необходимо:

1. Перейти в меню «Пуск» — «Панель управления» — eSmartPKIClient (можно загрузить из «Личного кабинета»);

2. В разделе «Токен» нажать «Разблокировать PIN-код»;

3. Ввести пароль администратора в поле SO PIN (PIN по умолчанию 12345678);

4. Дважды указать новый пароль пользователя в поле User PIN;

5. Нажать «ОК».

eToken

Необходимо:

1. Открыть программу eTokenPKIClient;

Если программа отсутствует, вам необходимо приобрести новый токен, т.к. производитель eToken прекратил реализацию этого носителя и сопутствующего ПО.

2. Выбрать нужный eToken;

Количество попыток ввода pin-кода можно увидеть с правой стороны в списке свойств в поле «Попыток пароля пользователя». Если в поле указана цифра «0», токен заблокирован.

Для разблокировки необходимо:

1. Нажать «Вход с правами администратора» (четвертая кнопка справа, в отдельной группе из 4-х кнопок);

Если кнопка «Вход с правами администратора» затемнена, пароль администратора отсутствует и возможность разблокировать токен отсутствует.

2. Ввести пароль администратора (по умолчанию 0987654321);

Важно! После 15 попыток ввода неправильного pin-кода eToken будет заблокирован.

3. Нажать «Установить пароль пользователя» (первая кнопка справа, в отдельной группе из 4-х кнопок);

3. Ввести новый pin-код пользователя;

4. Повторить его в поле «Подтверждение».

Носитель Jacarta PKI/ГОСТ блокируется при многочисленных попытках ввести неверный пин-код. При этом теряется связь с сервером ФСРАР, и данные о фактурах не поступают в вашу учетную систему. Как быстро разблокировать ключ и восстановить работу с ЕГАИС?

По умолчанию на всех новых носителях установлены следующие пароли:

PKI	11 11 11 11
Администратор PKI	00 00 00 00
ГОСТ	0987654321
Администратор ГОСТ	1234567890

Для снятия блокировки на компьютере должна быть установлена программа Единый клиент Jacarta. Если настройка и установка ЕГАИС производилась нашими специалистами, то эта программа у вас уже есть.

Запустите программу и дождитесь, когда в окне Единого клиента появится информация о носителе Jacarta PKI/ГОСТ.

Снятие блокировки ГОСТ

В разделе ГОСТ записан сертификат КЭП, выданный в удостоверяющем центре. Будьте внимательны
— нельзя удалять из этого раздела какие-либо компоненты. После удаления придется повторно обращаться в удостоверяющий центр для выпуска ключа.

Чтобы разблокировать пин-код ГОСТ, в верхнем меню “Операции с приложением” выберите первый пункт “Разблокировать PIN-код пользователя”. На экране появится уведомление, что снятие блокировки обнулит счетчик ошибочных попыток ввода.

Нажмите “ОК” и во вновь открывшемся окне введите пин-код администратора Jacarta ГОСТ
1234567890. После обнуления счетчика ошибок введите стандартный пин-код пользователя ГОСТ 0987654321.

Важно: эта процедура поможет только скинуть счетчик, но не изменить забытый пароль на новый. Если вы изменили пароль ГОСТ, установленный по умолчанию, и забыли его, придется проводить инициализацию и вновь записывать ключ в удостоверяющем центре.

Снятие блокировки PKI

В контейнере PKI записан RSA-ключ, который генерируется в личном кабинете на сайте egais.ru. В случае утери пин-кода этот раздел может быть инициализирован (полностью очищен), так как вы можете повторно записать ключ самостоятельно и бесплатно, без обращения в удостоверяющий центр.

Добрый день!. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен , который используется для подписи документов для ВТБ24 ДБО
. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta
. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2 . На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip , подключен ключ JaCarta. Ключ в системе видится
, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО
отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta
— это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) — это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки «Не возможно подключиться к службе управления смарт-картами».
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь
.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге «Подключение к удалённому рабочему столу» в параметрах выберите вкладку «Локальные ресурсы», далее в группе «Локальные устройства и ресурсы» нажмите кнопку «Подробнее…», а в открывшемся диалоге выберите пункт «Смарт-карты» и нажмите «ОК», затем «Подключить».

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге «Мои Документы» Проследите, чтобы в данном файле присутствовала строчка «redirectsmartcards:i:1».
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  -[Конфигурация компьютераадминистративные шаблоныкомпоненты windowsслужбы удалённых рабочих столовузел сеансов удалённых рабочих столовперенаправление устройств и ресурсовНе разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Описание проблемы.
Для работы с ЕГАИС используется носитель JaCarta PKI/ГОСТ/SE. Часто один из разделов блокируется (раздел PKI). В этом случае дальнейшая работа с ЕГАИС невозможна.

Причина блокировки
– частое обращение универсального транспортного модуля к носителю JaCarta. При десяти неудачных попытках авторизации, носитель блокирует раздел и исключает дальнейшую работу.

Решить проблему можно двумя способами:

1. Обратиться в удостоверяющий центр, который выдал носитель.
2. Самостоятельно разблокировать носитель JaCarta по инструкции.

Инструкция на примере Microsoft Windows 10.

Пошаговая инструкция как разблокировать PKI раздел

Шаг 1. Переключение в режим администрирования

В меню «Пуск» найдите приложение «Единый клиент JaCarta» и откройте его.

Рис. 1. Единый клиент JaCarta

Откроется рабочая область программы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге «Подключение к удалённому рабочему столу» в параметрах выберите вкладку «Локальные ресурсы», далее в группе «Локальные устройства и ресурсы» нажмите кнопку «Подробнее…», а в открывшемся диалоге выберите пункт «Смарт-карты» и нажмите «ОК», затем «Подключить».

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге «Мои Документы» Проследите, чтобы в данном файле присутствовала строчка «redirectsmartcards:i:1».
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  -[Конфигурация компьютераадминистративные шаблоныкомпоненты windowsслужбы удалённых рабочих столовузел сеансов удалённых рабочих столовперенаправление устройств и ресурсовНе разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Описание проблемы.
Для работы с ЕГАИС используется носитель JaCarta PKI/ГОСТ/SE. Часто один из разделов блокируется (раздел PKI). В этом случае дальнейшая работа с ЕГАИС невозможна.

Причина блокировки
– частое обращение универсального транспортного модуля к носителю JaCarta. При десяти неудачных попытках авторизации, носитель блокирует раздел и исключает дальнейшую работу.

Решить проблему можно двумя способами:

1. Обратиться в удостоверяющий центр, который выдал носитель.
2. Самостоятельно разблокировать носитель JaCarta по инструкции.

Инструкция на примере Microsoft Windows 10.

Пошаговая инструкция как разблокировать PKI раздел

Шаг 1. Переключение в режим администрирования

В меню «Пуск» найдите приложение «Единый клиент JaCarta» и откройте его.

Рис. 1. Единый клиент JaCarta

Откроется рабочая область программы.

Рис. 2. Переключение в режим администрирования

Откроется рабочая область программы. Если раздел PKI заблокирован, вкладка PKI будет красной.

Рис. 3. Информация о токене

Шаг 2. Проверка блокировки PKI раздела

Чтобы понять, что раздел PKI действительно заблокирован, нажмите во вкладке «Информация о токене» на ссылку «Полная информация…».

Откроется «Подробная информация о токене». В новом окне найдите раздел «Информация о приложении PKI». Если статус в строке «PIN-код» — «Заблокирован», то закройте окно и перейдите к следующему пункту инструкции.

Рис. 4. Подробная информация о токене

Шаг 3. Разблокировка PKI раздела

Перейдите на вкладку «PKI». В панели «Операции с приложением» выберите пункт «Разблокировать PIN-код пользователя…».

Откроется окно «Разблокировка PIN-кода пользователя», в котором укажите:

1. Текущий PIN-код администратора – по умолчанию 00000000;
2. Новый PIN-код пользователя – по умолчанию 11111111;
3. Подтверждение кода (имеется ввиду PIN-кода пользователя).

Рис. 3. Информация о токене

Шаг 2. Проверка блокировки PKI раздела

Чтобы понять, что раздел PKI действительно заблокирован, нажмите во вкладке «Информация о токене» на ссылку «Полная информация…».

Откроется «Подробная информация о токене». В новом окне найдите раздел «Информация о приложении PKI». Если статус в строке «PIN-код» — «Заблокирован», то закройте окно и перейдите к следующему пункту инструкции.

Рис. 4. Подробная информация о токене

Шаг 3. Разблокировка PKI раздела

Перейдите на вкладку «PKI». В панели «Операции с приложением» выберите пункт «Разблокировать PIN-код пользователя…».

Откроется окно «Разблокировка PIN-кода пользователя», в котором укажите:

1. Текущий PIN-код администратора – по умолчанию 00000000;
2. Новый PIN-код пользователя – по умолчанию 11111111;
3. Подтверждение кода (имеется ввиду PIN-кода пользователя).

Рис. 6. Разблокировка PIN-кода пользователя

После указания PIN-кодов, нажмите «Выполнить».

Если все введено корректно, появится уведомление. Нажмите «ОК» для завершения.

Рис. 7. Уведомление об успешной разблокировке

Перейдите на вкладку «Информация о токене» и нажмите на ссылку «Полная информация» для проверки текущего статуса приложения PKI. Статус должен быть «Установлен».

Рис. 8. Проверка статуса

Если статус изменился, разблокировка завершена.

Приветствую, читатель!

По общению с некоторыми активно интересующимися читателями, я решил повторить свой «поисковой» эксперимент, который я делал, когда писал первые обзорные материалы на темы токенов. На этот раз я решил собрать в кучу неудачные опыты использования токенов, собрать ошибки Jacarta. Пишу сразу с конкретикой, так как думаю сделать разные подборки для каждой из марки. Начнем с лидера рынка, компания Аладдин Р.Д. и их продукт Jacarta, токен, который используется именно для ЕГАИС.

Чего не будет в этом посте:

1. я не буду давать решения для ошибок Jacarta, потому что каждая ситуация индивидуальна.

2.Может быть и так, что Джакарта-токен не причина ошибки. Это может быть УТМ и т.д. Поэтому каждый случай надо разбирать в отдельность

3.Умножение ошибок, дабы очернить продукт. Моя задача дать предельно стороннюю сводку того, с чем чаще всего стакиваются пользователи Jacarta токена в ЕГАИСе.

Подборка и систематизация отзывов о Джакарте

В прошлый раз мое исследование было ограниченно официальным форумом ЕГАИС (http://egais2016.ru/), сейчас я расширил спектр изучения форумов, чтобы сделать материал более обширным.

Итак, Джакарта-токен для ЕГАИС будет анализироваться по отзывам со следующих источников:

Естественно, боле всего результатов обнаружилось на форуме ЕГАС

Итого, по запросу вышло у нас 630 сообщений

Нашлось 3 толстых ветки

Например, вот случай, когда полетело подряд 8 JaCarta-токенов
из-за, цитирую:

«Ошибка 0х00000006 в разделе PKI при попытке форматирования. Либо джакарта просто не определяется как устройство. Обновляли клиент до версии 2,9. Пробовали через jacarta format. Ни один способ ни разу не помог»

Проблема, когда не система просто не видит Jacarta, действительно серьезная и самая, пожалуй, распространенная. Другой вопрос в том, что причин появления этой ошибки могут быть различные нарушения.

Еще одна обнаруженная ошибка, когда опять-таки Джакарта не определяется, устройства не видят Jacarta. Забавно отметить, что Аладдин дает ответные письма по негодованиям пользователей, но по другой проблеме =)))) Но дают же! Это важно.

Частенько ошибки при обнаружении и инсталляции, но там могут быть и проблемы дистрибутивов УТМ, что тоже очень часто происходит. Я внимательно читаю все ветки и поэтому будьте уверены, не буду указывать тут не существующих ошибок для Jacarta. Хотя тут вопрос весьма сложный, так как когда система не видит Jacarta, это может быть обоюдная пролема.

В одной из уже указанных веток есть вот такой интересный коммент

А что теперь делать пользователям Jacarta токена, когда связи между Жемальто и Аладдином расторгнуты?

На форуме egaisa.net

Нашлось 5 веток обсуждений

В основном типовые ошибки при инициализации работы, а также когда уже все настройки сделаны, непостоянная работа Джакарты. Также часты ошибки после обновлений, когда система не находит или не видит Jacarta

Если почитать форумы более внимательно, то выйдет, что на начальном этапе всем впаривали Jacarta токен для ЕГАИСА, не вникая в подробности и вообще не просвещая клиентов, что не только Джакарта может быть… Но об этом мы уже не раз говорили, а вы можете убедиться.

Давайте вернемся к ЕГАИС форуму.

Всего у нас ответов по поисковику 630 за все время работы. Естественно проблемы более чем годичной давности рассматривать нет смысла.

Например, из самых частых ошибок

1. Ошибки при попытке формирования сертификата RSA
2. Ошибки синхронизации с УТМ
3. Ошибка при обновлении
4. Ошибка 610
5. Ошибка обнаружения Jacarta

Почему у Джакарта плохие отзывы?

Подытожим, что Джакарта токен много кем используется, однако стабильность работы хромает. Я также нашел такое мнение, что это м.б. зависеть от «партии поставки», наверное это очень странно, так как ПО-шки для всех одни и те же должны быть. Возможно это результат того, что в итоге Джакарта собирается из множества разноразрозненных деталей, что приводит к нестабильной работе и умиранию всего организма в целом.

В следующей серии поговорим о Рутокене, смарт-картах и других продуктах СКЗИ.

Спасибо, что остаетесь на связи.