Опыт получения токена закрытого ключа для Единого Портала Госуслуг

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Содержание

Как использовать персональный пароль

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):

• для рутокенов — это 12345678;
• для eToken — 1234567890;
• для смарт-карт (JaCarta) — 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.

Внимание! Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Мнение экспертаМихаил ЖитняковВедущий специалист по программному обеспечениюВажное замечание: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.

Как узнать ранее введенный пароль

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

1. Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
2. В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
3. Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
4. Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).
5. Ввести команду csptest -passwd -showsaved -container «». Вместо xxxxxxxx необходимо указать наименование контейнера, по которому пароль и нужно получить (с соблюдением синтаксиса и регистра). После нажатия клавиши Enter будет выведена информация о введенном при установке ключе пароля и иная сервисная информация.

Важно! Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.

Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).

Что делать, если забыл пароль и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?

Мнение экспертаМихаил ЖитняковВедущий специалист по программному обеспечениюНет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Как получит новый сертификат

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Справка: для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Как изменить пароль по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне — «Разблокировать».

После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно – КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Правила использования персонального пароля

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически).

• для рутокенов – это 12345678;
• для eToken – 1234567890;
• для смарт-карт (JaCarta) – 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена. Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Важное замечание: В некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже – стали применять стандартные.

Как узнать ранее введенный пароль?

Мнение экспертаАлексей БорисовичСпециалист по программному обеспечениюЗадать вопрос эксперту

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

1. Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
2. В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
3. Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
4. Ввести команду csptest -keyset -enum_cont -fqcn –verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).

Если пароль забыт и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?Нет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Получение нового сертификата

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее – все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 – 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Смена пароля по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне – «Разблокировать».

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях – токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

Всё нижеописанное относится к физлицам Российской Федерации.

Зачем это надо?

Как вы, возможно, знаете — авторизация на портале госуслуг возможна тремя способами — при помощи логина и пароля (где роль логина играет номер СНИЛС), при помощи USB-ключа ЭЦП (криптографического токена), и при помощи CSP. Мне проще помнить небольшой ПИН к токену, чем каждый раз держать перед глазами карточку СНИЛС с цифрами номера, и вспоминать пароль (а требования к паролю у ЕПГУ серьезные).Поэтому я решил получить аппаратный токен с ключом ЭЦП. До кучи — квалифицированую подпись токеном можно использовать и помимо портала госуслуг.

Что это?

По существу — это устройство eToken ГОСТ, объединяющее в одном корпусе функционал JavaCard/PKCS11-смарткарты и USB HID ридера, так что драйверы ему не нужны. При выдаче токена сертификат открытого ключа привязывается к вашим регистрационным данным: СНИЛС, ФИО, E-Mail. Действует год. Стоит 660 рублей. Позволяет формировать квалифицированную (т.е. удостоверенную аккредитованным УЦ) электронную подпись, являющуюся юридически значимым аналогом собственноручной.

Как это?

На момент принятия решения я уже был зарегистрирован на портале госуслуг, и имел активированную учетную запись. Это делает процедуру получения тривиальной. Итак, идете в офис обслуживания клентов Ростелекома, уполномоченный выдавать токены и активировать учетные записи к порталу госуслуг. Список доступен для скачивания на самом портале. Предполагается, что у вас уже есть активированная учетная запись на портале, либо, по крайней мере вы там зарегистрированы, и выбрали способ активации «В офисе Ростелекома». То есть дома регистрируетесь на портале, потом идете в офис Ростелекома. Если учетная запись не активирована — там же, в офисе активируете её, предъявив СНИЛС и паспорт. После активации оплачиваете 660 рублей в кассу, и подписываете четыре или пять листиков — согласие на обработку персональных данных, заявление на выдачу ключа, акт приемки-сдачи, и что-то еще. Вам выдают памятку по использованию ЭП, копию акта, и бланк сертификата открытого ключа. Последнее — по сути дамп сертификата, загруженного в токен. Да, и конечно же выдают сам токен — маленькую фиолетовую «флэшечку». Всё, поздравляю. Теперь вы можете подписывать юридически значимые документы направо и налево.

Осторожно, грабли!

Не обошлось без недоразумений. Токен выпускается с умолчательным пин-кодом «1234567890», который настоятельно рекомендуется сменить. И это понятно. Так вот, из памятки никак не следовало, как это можно делать. Пришлось потревожить милых девочек из контактного центра Ростелекома. Вкратце — надо зайти в личный кабинет на портале госуслуг, и зайти в раздел «Мои данные», который доступен сразу на главной странице. Там и есть виджет «смена пин-кода». Другие грабли заключаются, в том, что eToken PKI client версий 5.1 и 4.55 упорно отказываются показывать содержимое токена, считая его неинициализированным. Мальчик из аладдиновской поддержки сказал, что токеном предлагается рулить через КриптоПро CSP/JCP. Коий стоит примерно 2000 рублей. Вместе с АРМом для работы с PKCS#7 документами (trusted.ru) — аж 3500. При выдаче меня предупредили, что ключ — только для подписи (Закрытые ключи ГОСТ действительно бывают двух типов — ключ подписи, и ключ обмена (согласования) — для выработки общего ключа шифрования на сертификате). Но в бланке сертификата недвусмысленно написано — «[Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных]». Так что посмотрим.

Использование с порталом госуслуг

Когда вы первый раз пробуете авторизоваться на портале госуслуг при помощи токена, вам будет предложено поставить плагин к браузеру. На Хроме в 32- и 64-разрядной Windows 7 работает без проблем. Утверждается, что есть для Linux и Mac OS X. Не проверял. После того, как плагин установится — вы можете войти на портал. Прав администратора для установки, кстати, не требует. Ставится под конкретного пользователя.Используемые источники:

• https://mfoc.ru/information/chto-delat-esli-zabyl-pin-kod-etsp/
• https://pro-ecp.ru/etsp/instruktsii/chto-delat-esli-zabyl-parol-ot-etsp.html
• https://habr.com/ru/post/151462/