что такое устройство казтокен
Kaztoken
Содержание
Технические характеристики
Аппаратная платформа
Устройство Kaztoken построено на 32-разрядном микроконтроллере архитектуры ARM7.
Объем памяти
В устройстве Kaztoken доступно 64 КБ для хранения защищенной информации.
Программная реализация
Весь функционал устройства Kaztoken реализован в операционной системе в точном соответствии с ISO/IEC 7816.
Реализованные криптографические алгоритмы
В устройстве Kaztoken реализованы следующие криптографические алгоритмы:
Следующие алгоритмы не были реализованы в устройстве Kaztoken так как считаются устаревшими:
Работа с закрытыми ключами
Устройство Kaztoken спроектировано таким образом, что закрытые ключи никогда не покидают устройства. Генерация ключей, а также все необходимые криптографические операции производятся самим устройством.
Поддерживаемые операционные системы
Устройство Kaztoken работает в следующих операционных системах без установки дополнительных драйверов (поддерживается стандартным драйвером CCID):
Так же доступны CCID драйвера от компании Microsoft для других операционных систем семейства Microsoft Windows.
Применение
Устройство Kaztoken представляет собой аппаратную реализацию Казахстанского стандарта электронной цифровой подписи. Оно предназначено для использования в качестве защищенного ключевого носителя в Казахстанских системах, использующих инфраструктуру открытых ключей, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной цифровой подписи.
Совместимость с продуктами третьих лиц
Сертификация
Устройство Kaztoken сертифицировано по стандарту СТ РК 1073—2007 «Средства криптографической защиты информации. Общие технические требования» на третий уровень безопасности.
Что такое устройство казтокен
Общая информация
В устройстве KAZTOKEN предусмотрено два ПИН кода: ПИН код пользователя и ПИН код администратора. На оба этих ПИН кода установлена защита, которая блокиует ПИН код после 15 попыток ввода не правильного ПИН кода.
ПИН код пользователя используется в большинстве случаев (вход на порталы, подписание документов, получение регистрационных свидетельств и т.п.). ПИН код администратора используется для разблокировки заблокированного ПИН кода пользователя и для форматирования устройства.
ПИН коды по умолчанию
ВАЖНО! Мы настоятельно рекомендуем вам сменить ПИН коды по умолчанию для того, чтобы предотвратить корыстное использование вашего регистрационного свидетельства в чужих интересах в случае утери или хищения вашего устройства KAZTOKEN.
Для форматирования и разблокировки ПИН кодов, а так же для получения информации о вашем устройстве, используйте Панель управления KAZTOKEN. Этот инструмент поставляется в составе полнофункционального драйвера, доступного для скачивания в разделе Загрузки.
Как получить ключи НУЦ для работы в системах СОНО и Кабинет налогоплательщика?
Налоговый комитет уведомил, что с 1 января 2020 года обмен электронными документами с органами государственных доходов будет осуществляться с использованием электронной цифровой подписи, выданной Национальным удостоверяющим центром (ЭЦП НУЦ).
Теперь для взаимодействия с органами государственных доходов и обмена электронными документами, необходимо получить средства ЭЦП НУЦ, а также пройти регистрацию на портале «Электронное правительство» для открытия «Личного кабинета».
Получить ключи ЭЦП СОНО и ключи ЭЦП Кабинета налогоплательщика для физических и юридических лиц можно здесь:
ВАЖНО: ключи для ЭЦП НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе. Поэтому во всех инструкциях на получение регистрационных свидетельств НУЦ РК указано: Внимание! Хранилище «Персональный компьютер» является небезопасным. Рекомендуем использовать защищенный носитель ключевой информации для снижения риска компрометации ключей ЭЦП.
KAZTOKEN является защищенным носителем, так как ключи генерируются внутри него и никогда его не покидают, соответственно, не могут быть скопированы.
НУЦ РК рекомендует использовать KAZTOKEN для безопасного хранения ЭЦП, предотвращения возможности его копирования и защищенного использования при помощи пин-кода.
Срок действия регистрационных свидетельств НУЦ РК, выпущенных на KAZTOKEN составляет 3 года.
Можно ли выпустить на KAZTOKEN две и более пар ключей?
Технически KAZTOKEN позволяет выпустить несколько пар ключей, однако, могут быть ограничения по количеству ключей на устройстве со стороны информационной системы, в которой вы предполагаете использовать выпущенные на KAZTOKEN ключи.
Нужен ли KAZTOKEN физическому лицу?
Так как ключи НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе, то любой владелец заинтересован в защите своих ключей. Кроме того, наличие ЭЦП сделанной вашими ключами обеспечит неотказуемость, то есть однозначность вашего авторства, а также целостность документа – покажет, что вы подписывали именно этот документ.
Подписание документов ключами ЭЦП – это действие в правовом поле, которое несет правовые последствия. Если вы хотите защитить себя от неправомерного использования ваших ключей как для подписания документов, подачи заявлений от вашего имени, получения информации о вас (как в личном кабинете на сайте электронного правительства, так и в других информационных системах) и других неправомерных действий – используйте KAZTOKEN и меняйте на нем пин-код по умолчанию.
Нужен ли KAZTOKEN юридическому лицу?
Так как ключи НУЦ позволяют удостоверить любой электронный документ посредством электронной цифровой подписи лица, имеющего полномочия на его подписание и этот документ будет равнозначен подписанному документу на бумажном носителе, руководитель юридического лица прямо заинтересован в безопасности работы с ключевой информацией. Безопасность работы с ключами обеспечивает KAZTOKEN, а установка собственного пин-кода на устройство, защитит его от несанкционированного использования.
Можно ли использовать один KAZTOKEN для работы с ключами разных лиц?
В соответствии с Законом «Об электронном документе и электронной цифровой подписи»
Статья 10. Использование электронной цифровой подписи
2. Закрытые ключи электронной цифровой подписи являются собственностью лиц, владеющих ими на законных основаниях.
Лицо может иметь закрытые ключи электронной цифровой подписи для различных информационных систем. Закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам.
Какой ПИН код «Пользователя»?
По умолчанию ПИН код Пользователя – 12345678
Настоятельно рекомендуется сменить ПИН код сразу после приобретения устройства.
Какой ПИН код «Администратора»?
По умолчанию ПИН код Администратора – 87654321
Настоятельно рекомендуется сменить ПИН код сразу после приобретения устройства.
Как отформатировать KAZTOKEN?
Подключаете устройство Kaztoken к компьютеру
Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код»
Проблема ИС «Казначейство-клиент»: Ошибка формирования запроса
В случае отображения уведомления “Ошибка формирования запроса” при попытке входа в ИС «Казначейство-клиент» следует попробовать выполнить следующую последовательность действий:
Отображение уведомления “Ошибка формирования запроса” может быть вызвано тем, что в одном из обновлений программного обеспечения NCALayer изменился алгоритм хранения и перечисления ключей на аппаратных хранилищах, что стало приводить к отображению тех ключей, которые, судя по всему, ранее были удалены. Приведенная выше последовательность действий позволяет удалить те самые не релевантные ключи.
Где взять программу «Панель управления KAZTOKEN»
Программа устанавливается вместе с Драйвером KAZTOKEN для Windows.
Загрузить его можно в разделе Загрузки.
Как сменить ПИН коды?
Подключаете устройство Kaztoken к компьютеру.
Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код».
Подключаете устройство Kaztoken к компьютеру.
Дождитесь определения устройства в программе, потом нажмите кнопку «Ввести ПИН код».
Где можно найти руководство пользователя KAZTOKEN?
Руководство пользователя на русском и казахском языках доступно в разделе Загрузки.
KAZTOKEN и Национальный Удостоверяющий Центр (НУЦ)
Национальный Удостоверяющий Центр (НУЦ) поддерживает использование устройства KAZTOKEN в качестве защищенного хранилища ключевой информации.
Руководство по настройке рабочей станции для работы с порталами НУЦ доступно в Руководстве пользователя NCALayer.
Процедура получения регистрационного свидетельства (ЭЦП) в общем виде:
ВАЖНО! Для того, чтобы получить регистрационное свидетельство на устройство KAZTOKEN, вы должны подключить устройство KAZTOKEN к вашей рабочей станции до подачи заявки на получение регистрационного свидетельства.
ПРИМЕЧАНИЕ. Вы можете получить новое регистрационное свидетельство на KAZTOKEN без обращения в ЦОН в том случае, если у вас уже есть действительное (не простроченное) регистрационное свидетельство на любом носителе (удостоверение личности, файловая система и т.д.). Для этого достаточно пройти в Личный Кабинет НУЦ и подать онлайн заявку. Во время подачи онлайн заявки вам нужно будет выбрать устройство KAZTOKEN в качестве хранилища для нового регистрационного свидетельства.
KAZTOKEN на предприятии
Устройство KAZTOKEN возможно использовать для строгой двухфактроной аутентификации в операционные системы и приложения.
Для получения дополнительных возможностей, таких как учет устройств, автоматизация процессов, связанных с жизненным циклом сертификатов, аудит и построение отчетности, мы предлагаем дополнительное программное обеспечение по запросу.
ПРИМЕЧАНИЕ. Устройство KAZTOKEN возможно дополнить RFID меткой для интеграции со СКУД.
Что такое устройство казтокен
# Возможности
# Как пользоваться
I Установка и запуск
1 Установить
из официального магазина приложений.
2 Открыть
3 Запустить
сервис нажав на переключатель.
4 Добавить
сертификат УЦ в список доверенных нажав на уведомление (детали в разделе FAQ).
Либо можно воспользоваться кнопкой.
II Подключение устройства
| Устройства с Type-C | Устройства с OTG (mirco/mini USB) | Bluetooth | |
|---|---|---|---|
| KAZTOKEN | Переходник (либо хаб) USB A Type-C | OTG переходник | |
| KAZTOKEN micro | Переходник (либо хаб) USB A Type-C | OTG переходник | |
| KAZTOKEN Flash | Переходник (либо хаб) USB A Type-C | OTG переходник | |
| KAZTOKEN Type-C | Можно подключать без переходника | ||
| Смарт-карта KAZTOKEN | Type-C кардридер, либо обычный кардридер с переходником на Type-C | Type-C кардридер, либо обычный кардридер с переходником на Type-C | Считыватель ACS ACR3901 |
III Настройка сертификата по умолчанию (опционально)
1 Настроить
сертификат по умолчанию возможно с помощью галочки.
Это позволит в дальнейшем пользоваться кнопкой «По умолчанию» на уведомлениях вместо того, чтобы выбирать сертификат и вводить ПИН код.
IV Использование
1 Уведомление
отображается всякий раз когда появляется необходимость что-то подписать.
2 Кнопка
быстрого подписания доступна в том случае, если выбран сертификат по умолчанию.
3 Нажатие
на уведомление приведет к открытию окна приложения и перечислению подключенных устройств.
4 Устройства
будут отображены в выпадающем списке в верхней части экрана.
5 Сертификаты
находящиеся на выбранном устройстве будут доступны для выбора.
6 Детали
выбранного сертификата будут приведены в информационном окне.
7 ПИН код
должен быть введен для использования выбранного сертификата.
# Частые вопросы
Приложение установлено и запущено, но подписывать не получается. Что мне делать?
В первую очередь удостовериться в том, что в списке уведомлений Android присутствует уведомление о том что сервис запущен. В том случае, если оно отсутствует, попробовать перезапустить сервис. Если перезапуск не помог, то лучше всего связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).
Далее следует попробовать открыть страницу https://127.0.0.1:13579.
В том случае, если браузер не открывает страницу и отображает уведомление о том, что страница не доступна, стоит проверить настройки прокси сервера в браузере.
Если же браузер отображает уведомление о том, что соединение не защищено (либо какое-то другое уведомление связанное с проблемами с установкой HTTP соединения), то стоит повторно выполнить настройку так, как это описано в резделе Как пользоваться.
Связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).
Что такое сертификат УЦ и зачем добавлять его в список доверенных?
Для взаимодействия с приложением KAZTOKEN mobile, так же, как и с NCALayer, браузеру необходимо установить с ним сетевое соединение. Так как большенство современных браузеров придерживаются определенных правил безопасности, то они не позволяют устанавливать не защищенные соединения со страниц, соединение с которыми защищещено.
Обычно для организации защищенных соединений используются сертификаты выпущенные доверенными удостоверяющими центрами для серверов с фиксированным в сети интернет именем. Для использования нашего приложения необходимо установить защищенное соединение с самим устройством (телефоном, планшетом). Для этого браузер пытается установить защищенное соединение с https://localhost либо https://127.0.0.1. К сожалению, доверенные удостоверяющие центры не выдают сертификаты для указанных имен (адресов), так как они идентифицируют именно локальное устройство, а не сервер в сети интернет. Ни один УЦ таких сертификатов не выдает, так как эти URL не идентифицирую какой-то один определенный хост в сети интернет.
Общепринятым решением данной проблемы является генерация своего собственного сертификата и добавление его в список доверенных сертификатов. Именно это мы и делаем.
Ослабляет ли защиту мобильного устройства добавление сертификата внутреннего УЦ в список доверенных?
Мы постарались сделать все, что в наших силах для того, чтобы минимизировать возможные риски:
В том случае, если у вас остались какие-либо вопросы, обязательно свяжитесь с нами.
Я использую Firefox(Fennec) на своем мобильном устройстве, как мне настроить его для работы с KAZTOKEN mobile?
Браузер Firefox(Fennec) не использует системного списка доверенных сертификатов, у него свои списки. До середины 2020 года в браузере присутствовала возможность добавлять произвольные сертификаты в спиок доверенных, указав ссылку на сертификат, но позднее ее отключили.
В данный момент существует два способа работать в Firefox(Fennec):
Важно: к сожалению в текущих реализациях браузера добавлять исключения приходится после каждого перезапуска.
2 Настроить браузер на использование системных список доверенных сертификатов. Для этого нужно открыть расширенные настройки браузера (ввести «about:config» в строке поиска), и включить опцию security.enterprise_roots.enabled.
Важно: к сожалению, пока что это можно сделать только в Nightly сборках браузера: https://www.mozilla.org/ru/firefox/channel/android/. Разработчики обещают добавить эту возможность в основную сборку в 2021 году.
# Контакты
По вопросам технической поддержки как пользователей, так и разработчиков, обращайтесь в ТОО «Цифровой поток – Инновации»
Что такое устройство казтокен
Базовая модель, с аппаратной реализацией казахстанских алгоритмов ЭЦП, шифрования и хеширования. Предназначена для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования и электронной подписи, выполнения шифрования и электронной подписи «на борту» устройства, хранения цифровых сертификатов и иных данных.
Базовая модель KAZTOKEN может быть дополнена интегрированной в ее корпус RFID-меткой. Одно устройство позволяет решить 2 задачи: доступ пользователя к информационным ресурсам и физический доступ в охраняемые помещения. Представлено несколько вариантов RFID-меток, отличающихся поддержкой разных стандартов RFID-считывателей: EM-Marine, Mifare, HID и т.д.
Интеграция с удостоверяющими центрами:
KAZTOKEN в миниатюрном исполнении. Эта модель USB-токена идеально подходит для использования в компактных устройствах: ноутбуках, нетбуках, планшетах. Функционально идентична базовой модели KAZTOKEN.
Интеграция с удостоверяющими центрами:
Полный функциональный аналог базовой модели KAZTOKEN, который может быть подключен к без переходников или USB-хабов к компьютерам, планшетам и смартфонам, оснащенным разъемом USB Type-C или Thunderbolt 3.
Для работы с KAZTOKEN Type C на мобильных устройствах возможно использовать приложение KAZTOKEN mobile, доступное к скачиванию в Google Play.
Интеграция с удостоверяющими центрами:
Устройство KAZTOKEN, выполненное в форм-факторе смарт-карты, с аппаратной реализацией казахстанских алгоритмов ЭЦП, шифрования и хеширования. Предназначено для безопасной двухфакторной аутентификации пользователей, генерации и защищенного хранения ключей шифрования и электронной подписи, выполнения шифрования и электронной подписи «на борту» устройства, хранения цифровых сертификатов и иных данных.
Смарт-карты могут поставляться как в белом пластике, так и с графическим дизайном по макету заказчика, оснащаться RFID-метками.
Смарт-карта наиболее удобное решение для применения в корпоративной среде, так как может быть использована как многофункциональное устройство для работы с ЭЦП, двухфакторной аутентификации, СКУД и даже как удостоверение сотрудника.
Интеграция с удостоверяющими центрами:
Приложение KAZTOKEN mobile позволит Вам пользоваться Вашими устройствами KAZTOKEN (USB или смарт-картами) на Ваших мобильных устройствах.
Kaztoken
Аппаратная платформа
Устройства KAZTOKEN построены на базе ARM микроконтроллеров и специализированных микроконтроллеров для смарт-карт.
Объем памяти
Во всех моделях KAZTOKEN доступно не менее 64 КБ защищенной памяти для хранения пользовательской информации.
Программная реализация
Весь функционал устройств KAZTOKEN реализована в соответствующих микропрограммах в соответствии с ISO/IEC 7816.
Реализованные криптографические алгоритмы
В устройствах KAZTOKEN реализованы следующие криптографические алгоритмы (не все алгоритмы доступны во всех моделях):
Работа с закрытыми ключами
Все модели KAZTOKEN спроектированы таким образом, что закрытые ключи никогда не покидают устройства. Генерация ключей, а также все необходимые криптографические операции производятся самим устройством.
Поддерживаемые операционные системы
Устройства KAZTOKEN представляют собой аппаратную реализацию казахстанского стандарта электронной цифровой подписи. Они предназначены для использования в качестве защищенного ключевого носителя в казахстанских системах, использующих инфраструктуру открытых ключей, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной цифровой подписи.
Устройства KAZTOKEN совместимы с программным обеспечением НИЛ «Гамма Технологии», в том числе с ПО «ТУМАР-CSP» и «CryptoSocket», а так же с ПО NCALayer, предоставляемым НУЦ РК.
Разные модели устройств KAZTOKEN сертифицированы по стандарту СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» на третий и четвертый уровни безопасности.