Публикации

Второй шаг. установить криптопро cloud csp.

Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.

Где и как получить облачную электронную подпись?

Как создать облачную электронную подпись? Пока что всего несколько удостоверяющих центров предоставляют такую возможность. Среди них самыми популярными являются Sign Me . Кстати, работают они как раз на базе КриптоПро myDSS, то есть, на программном уровне у них идентичный функционал.

Как изменить номер телефона, на который высылается пароль

Иногда требуется сменить номер телефона, на который высылаются SMS-сообщения с паролями для использования электронной подписи. Например, это необходимо, если телефон утерян или если сотрудник, которому принадлежит телефон, ушел в отпуск, уволился или переведен на другую работу.

О том, как сменить номер телефона, на который высылаются пароли для использования хранящейся в сервисе электронной подписи, рассказано в статье по ссылке.

О других изменениях настроек подключения к «1С-Отчетности» рассказано в статье по ссылке.

Общие понятия об облачных эцп

Первый программный комплекс по работе с облачными ЭЦП был представлен ещё в 2021 году компанией КриптоПро. Но вплоть до 2021 года использовать их не представлялось возможным, так как на законодательном уровне мелись юридические ограничения, не дававшие возможности реализовать подобный проект.

В 2021 – 2021 годах в ФЗ 63, которым и регулируется использование ЭЦП, были внесены изменения, благодаря которым удостоверяющие центры получили возможность регистрировать облачные электронные подписи. Однако контроль за их использованием, а также защита данных, сертификатов от компрометации – все это УЦ обязан был брать на себя, разрабатывая специальные программные комплексы для работы с ЭЦП.

На текущий момент полноценное готовое решение по работе с облачными сертификатами электронных подписей представлено компанией «КриптоПРО» — речь идет про программный комплекс КриптоПро myDSS. По сути – это специальное приложение, с помощью которого владелец ЭЦП и может работать со своей подписью через мобильный телефон (заявлена поддержка платформ Android и iOS).

Что такое облачная электронная подпись простым языком?

Это тот же цифровой сертификат, но который хранится не на физическом носителе у владельца подписи, а на удаленном сервере, то есть, в интернете. Взаимодействие с ЭЦП в облаке возможно без так называемого RU-токена, что делает невозможным случайную потерю или повреждение электронной подписи.

Отправка отчетности

При хранении ключа электронной подписи в сервисе отправка регламентированной отчетности выполняется следующим образом:

1. Сформируйте регламентированный отчет (налоговую декларацию, отчет в пенсионный фонд и т. п.).
2. При просмотре отчета выберите команду отправки отчетности. Например, для налоговых деклараций это будет кнопка Отправить.
3. В ответ на выведенный запрос подтвердите, что отчет заполнен полностью и корректно, и вы хотите его отправить.
4. На номер мобильного телефона вам будет отправлено SMS-сообщение с паролем.
5. Введите полученный пароль в поле для ввода пароля и нажмите кнопку OK.
6. При правильном вводе пароля отчетность будет подписана хранящейся в сервисе электронной подписью и отправлена по назначению. Будет выведено сообщение Отчет отправлен.

Более подробно процесс формирования и отправки отчетности описан в статье по ссылке.

Первый шаг. авторизоваться в криптопро dss.

Для этого нужно пройти регистрацию или войти с уже имеющимися учетными данными.

После авторизации становится доступен раздел «Сертификаты». Если нет действующих сертификатов, то можно создать запрос на новый сертификат. Для этого нужно выбрать УЦ и заполнить необходимые поля. При создании запроса в сервисе будет создан контейнер с ключами, и получен сертификат электронной подписи. В реальном обстоятельствах, ключ электронной подписи выдает Удостоверяющий центр.

Преимущества

Хранение ключа электронной подписи в сервисе обеспечивает следующие преимущества:

• мобильность: можно подписывать документы и отправлять регламентированную отчетность с любого компьютера, подключенного к Интернету;
• легкое начало работы: не требуется установка криптосредства на компьютере пользователя и дополнительная настройка;
• гибкость: можно работать через любой браузер, поддерживаемый платформой «1С:Предприятие», под управлением любой операционной системы (Windows, Linux, Mac OS);
• безопасность: отсутствует риск компрометации ключа электронной подписи в случае потери носителя.

Преимущества и недостатки облачных электронных подписей

Главное преимущество облачных цифровых подписей – для их использования не нужен USB-носитель (рутокен). А если нет физического носителя, то и сломать его, потерять, украсть – не получится.

При этом доступ к своей электронной подписи у владельца все равно остается – для этого нужно лишь установить специальное мобильное или десктопное приложение (которое и предоставляет удостоверяющий центр). С помощью же него можно подписывать документы, проходить авторизацию на сайтах (где имеется возможность такой верификации пользователя), выполнять заверение файлов.

Стоит заметить, что подобные технологии уже активно используются во многих европейских странах. И многие граждане или предприниматели постепенно переходят на использование только облачных ЭЦП, отказываясь от традиционных.

Из преимуществ облачной ЭЦП можно выделить:

• нет необходимости покупать физический носитель для хранения закрытого ключа;
• нет нужды в обязательной установке открытого сертификата на ПК (можно не переживать, что доступ к подписи получит тот, кто имеет возможность воспользоваться компьютером владельца ЭЦП);
• получать ЭЦП можно будет быстрее – обращаться лично в удостоверяющий центр уже не потребуется, ждать изготовления рутокена – тоже;
• закрытый ключ нигде не публикуется, при подписи документов или при любом другом алгоритме использования ЭЦП будет применяться открытый ключ.

Что касательно недостатков облачных электронных подписей, то ключевых – всего три:

1. Риск взлома удаленного сервера и последующей кражи закрытых ключей ЭЦП – вполне возможен. Никто не сможет предоставить 100%-гарантии того, что программная платформа не имеет уязвимостей. Удостоверяющие же центры утверждают, что при выявлении подобного факта действие всех хранимых ЭЦП будет прекращено (их попросту удалят из реестра, после чего ими не удастся воспользоваться злоумышленникам).
2. Удаленный сервер, на котором будут храниться ЭЦП, может оказаться недоступным по техническим причинам. Владелец электронной подписи воспользоваться ею при этом никак не сможет. А это может привести, к примеру, к потере выгодного контракта или к штрафу за несвоевременную подачу финансовой отчетности (со стороны ФНС). Что делать в таких случаях – не ясно.
3. С юридической точки зрения владельцем закрытого ключа ЭЦП будет являться удостоверяющий центр, а не сам получатель сертификата.

Ещё одна особенность – не получится оформить неквалифицированную облачную подпись, так как в предложенной платформе КриптоПро myDSS обязательно используется криптошифрование (на стороне сервера). Но, в принципе, неквалифицированные ЭЦП постепенно уходят из обихода, в будущем от их использования планируется отказаться на законодательном уровне.

Проверка эцп на соответствие предъявляемым требованиям

1. Убедитесь, что в системе установлен и используется криптопровайдер «КриптоПро» (значок «КриптоПро CSP» в панели управления Windows™: «Пуск» – «Панель управления» – «КриптоПро CSP»).

   Внимание: Перенос в сервис контейнера закрытого ключа ЭЦП возможен только в формате КриптоПро.

2. Для отображения свойств контейнера закрытого ключа, откройте Панель управления средства защиты криптографической информации (СКЗИ) «КриптоПро CSP» и перейдите на вкладку «Сервис» (Рисунок 1) и нажмите кнопку «Протестировать».

   

   Рисунок 1 – Контрольная панель. Вкладка «Сервис»

   

   Рисунок 2 – Окно «Тестирование контейнера закрытого ключа»

Откроется окно «Тестирование контейнера закрытого ключа» (Рисунок 2).

3. На форме заполните поле «Имя ключевого контейнера». Оно может быть введено вручную или найдено в списках контейнеров (кнопка «Обзор») или сертификатов (кнопка «По сертификату»).

4. После того, как все поля заполнены, нажмите кнопку «Далее». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.

5. Введите пароль и нажмите кнопку «ОК». После этого откроется форма с результатом тестирования (Рисунок 3), в котором будет выведена информация о данном контейнере закрытого ключа ЭЦП.

   

   Рисунок 3 – Итоговое окно «Тестирование контейнера закрытого ключа»

6. В итоговом окне (Рисунок 3) обязательно проверьте требование, предъявляемое к закрытому ключу ЭЦП: «Экспорт ключа разрешен».

7. Нажмите кнопку «Назад».

8. В окне «Тестирование контейнера закрытого ключа» (Рисунок 2) нажмите кнопку «По сертификату».

9. В открывшемся окне «Выбор сертификата» выберете связанный с экспортируемым закрытым ключом ЭЦП сертификат и нажмите на ссылку «Просмотреть свойства сертификата» (Рисунок 4).

   

   Рисунок 4 – Окно выбора сертификата

10. В окне «Детали сертификата» перейдите на вкладку «Состав» и проверьте следующие свойства (Рисунок 5):

    

    Рисунок 5 – Свойства сертификата

    Алгоритм хеширования подписи: ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2021.

    Алгоритм подписи: ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2021.

    Внимание: Действующие алгоритмы вычисления хеш-функции: ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2021, действующие алгоритмы формирования и проверки ЭЦП: ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2021.
    

    Инструкция по экспорту эцп с локального пк на съемный диск (usb флеш-накопитель)

1. Откройте панель управления средства криптографической защиты информации (СКЗИ) КриптоПро CSP («Пуск» – «Панель управления» – «КриптоПро CSP») от имени администратора (Вкладка «Общие» – «Запустить от имени администратора») и перейдите на вкладку «Оборудование» (Рисунок 1).

   

   Рисунок 1 – Настройка считывателей

2. Нажмите кнопку «Настроить считыватели…». Считыватель USB флеш-накопителя и дискет устанавливается по умолчанию при установке КриптоПро CSP. Проверьте, что на закладке «Считыватели» присутствует пункт «Все съемные диски». В случае, если пункт «Все съемные диски» отсутствует, его необходимо добавить через кнопку «Добавить…» (Рисунок 2).

   

   Рисунок 2 – Управление считывателями

3. Убедитесь, что чистый USB флеш-накопитель подключен и доступен.

4. Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать».  

   

    Рисунок 3 – Вкладка «Сервис» кнопка «Скопировать» 

   Откроется окно «Копирование контейнера закрытого ключа».

5. В окне «Копирование контейнера закрытого ключа» (Рисунок 3) заполните поле «Имя ключевого контейнера». Оно может быть найдено в списках контейнеров (кнопка «Обзор») или сертификатов (кнопка «По сертификату»).

6. После того, как ключевой контейнер будет найден, нажмите кнопку «Далее». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.

7. Введите пароль и нажмите кнопку «ОК». Откроется окно ввода параметров нового контейнера закрытого ключа (Рисунок 4).

   

   Рисунок 4 – Окно ввода параметров нового контейнера закрытого ключа

    Откроется окно «Копирование контейнера закрытого ключа» (Рисунок 5).

   

   Рисунок 5 – Окно «Копирование контейнера закрытого ключа»

8. Введите имя нового ключевого контейнера и установите переключатель «Введенное имя задает ключевой контейнер» в положение «Пользователь».

9. Нажмите кнопку «Готово». Откроется окно, в котором необходимо выбрать USB флеш-накопитель для размещения скопированного контейнера (Рисунок 6).

   

   Рисунок 6 – Окно выбора носителя

10. Нажмите кнопку «ОК». Откроется окно создания пароля на доступ к контейнеру закрытого ключа (Рисунок 7).

    

    Рисунок 7 – Окно ввода пароля

11. На данном шаге следует создать пароль для нового контейнера закрытого ключа и подтвердите его. Этим паролем будет защищена цифровая подпись, его понадобится вводить при каждом обращении к ней. После ввода необходимых данных нажмите кнопку «ОК». Средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» осуществит копирование контейнера закрытого ключа на USB флеш-накопитель.

12. Для копирования открытого ключа ЭЦП запустите панель настройки Internet Explorer™ («Пуск» – «Панель управления»  – «Свойства браузера» (Рисунок 8)) и перейдите на вкладку «Содержание» (Рисунок 9).

    

    Рисунок 8 – «Панель управления»  – «Свойства браузера»

    

    Рисунок 9 – «Свойства браузера» – «Содержание» – «Сертификаты»;

13. На вкладке «Содержание» нажмите на кнопку «Сертификаты». В окне «Сертификаты» выберете связанный с закрытым ключом сертификат ЭЦП и нажмите кнопку «Экспорт…» (Рисунок 10).

    

    Рисунок 10 – Оснастка «Сертификаты»

14. Откроется окно «Мастер экспорта сертификатов» (Рисунок 11).

    

    Рисунок 11 – Мастер экспорта сертификатов

15. В открывшемся окне мастера экспорта сертификатов нажмите кнопку «Далее». На следующем шаге откажитесь от экспорта закрытого ключа, установив флажок «Нет, не экспортировать закрытый ключ» (Рисунок 12) и нажмите кнопку «Далее».

    

    Рисунок 12 – Выбор типа ключей для экспорта

16. На следующем шаге выберете формат файла сертификата ЭЦП, установив переключатель в поле «Файлы X.509 (.CER) в кодировке DER», и нажмите кнопку «Далее» (Рисунок 13).

    

    Рисунок 13 – Выбор формата файла сертификата ЭЦП

17. На завершающем этапе укажите имя и расположение файла и нажмите кнопку «Далее». На последнем шаге мастера проверьте выбранные параметры и нажмите кнопку «Готово» (Рисунки 14 и 15).

    

    Рисунок 14 – Указание пути сохранения и наименования сертификата

    

    Рисунок 15 – Сохранение сертификата ЭЦП

18. Файлы полученные в результате вышеописанных манипуляций следует поместить в папку и скопировать в облако по пути  «W:ЭЦП». Данная папка доступна только основному пользователю.

    В результате должно получиться примерно следующее «W:ЭЦПООО Тест» (рисунок 16).

    

    Рисунок 16 – ЭЦП скопирован в облако.

19. Далее следует составить обращение в техническую поддержку с просьбой установить ЭЦП.

    Установка производится специалистами по информационной безопасности, они работают по будням с 9 до 18 по Мск. В заявке следует указать название папки, в которую вы сохранили ЭЦП.

    Если Ваши ключи выпущены с помощью СКЗИ VipNet, то работать на терминальной ферме (через удаленный рабочий стол или RemoteApp) они не будут. В таком случае работа может производиться на локальном ПК с использованием тонкого клиента, подробнее об установке и работе в тонком клиенте .

    Если вариант работы в тонком клиенте Вам не подходит, то ЭЦП следует перевыпустить через КриптоПро, по вопросу одобрения заявки на переиздание сертификата следует обращаться в свою обслуживающую организацию.

Третий шаг. установить сертификат из dss в локальное хранилище.

Найти в папке Tools утилиту cptools и запустить ее. входящую в дистрибутив КриптоПро Cloud CSP.