"Client RBS BS. Client privé" v.2.2

version du 01/01/2001

1. Résumé

Ce document est destiné aux administrateurs système.

Le document contient des informations sur les principes de travail avec un analogue de la signature manuscrite du client – ​​eToken.

1. Résumé. 2

2. Principes de travail avec eToken PASS. 4

3. Importez les clés eToken dans le système. 4

4. Le client travaille avec eToken. 5

6. La procédure de résolution des litiges concernant les transactions effectuées à l'aide d'eToken. 7

2. Principes de travail avec eToken PASS

eToken PASS implémente un algorithme pour générer des mots de passe à usage unique à l'aide de l'algorithme HMAC et de la fonction de hachage SHA-1. Pour le client, eToken PASS ressemble à un trousseau (Fig. 1), sur l'écran duquel est affiché le mot de passe généré. Ce mot de passe est utilisé pour confirmer les transactions financières du client dans le système « Client Privé ».

Cette utilisation d'eToken est basée sur l'article 160 du Code civil de la Fédération de Russie, qui stipule qu'avec le consentement des parties, l'utilisation d'analogues de la signature manuscrite du client est autorisée. Cependant, il ne s’agit pas d’une signature électronique et ne relève donc pas de la loi « sur la signature numérique électronique ».

Riz. 1 PASS eToken

3. Importation des clés eToken dans le système

Chaque trousseau eToken possède son propre numéro de série et sa propre valeur secrète. Ces données sont fournies par Alladin.

Il n'est pas possible de générer ces données à l'aide du système Private Client. Le système Private Client reçoit des informations sur les clés eToken PASS en important des informations à partir de fichiers reçus par la banque avec les porte-clés eToken. Sur le serveur, ces données sont stockées sous forme cryptée.

F Pour importer des clés eToken dans le système CHK, vous devez :

· Sélectionnez l'élément de menu « Sécurité -> Sécurité -> Liste des clés eToken ».

ð Cela ouvrira la boîte de dialogue « Liste des clés eToken » (Fig. 2).

Riz. 2 Boîte de dialogue Liste des clés eToken

· Pour télécharger de nouvelles clés, vous devez cliquer sur le bouton « Télécharger » situé dans la barre d'outils de la boîte de dialogue.

ð Cela ouvrira la boîte de dialogue « Importer des clés eToken » (Fig. 3).

Riz. 3 Boîte de dialogue Importer les clés eToken

· Dans la fenêtre qui s'ouvre, vous devez préciser le chemin d'accès au fichier XML contenant les clés.

4. Travail du client avec eToken

Pour associer une nouvelle clé, le client doit se présenter à la banque et recevoir un nouveau porte-clés. La liaison d'une nouvelle clé au client est effectuée par une personne autorisée de la banque moyens standards Tchéka.

Lors de la signature d'un document, un champ de saisie d'un code apparaît sur l'écran du système bancaire par Internet. Le client appuie sur le bouton du porte-clés pour générer une nouvelle valeur de mot de passe et saisit le code reçu dans le champ. Lorsqu'un mot de passe est généré, le compteur de mots de passe est augmenté de un.

Les informations sur le compteur actuel sont stockées dans le porte-clés lui-même et sont synchronisées avec le système CHK. Dès réception d'un document signé, l'exactitude du code saisi est vérifiée à l'aide du jeu de pilotes eToken PKI Client.

Attention! Pour un fonctionnement correct, l'ensemble de pilotes client eToken PKI doit être installé sur le même serveur que RTS.

Le nombre de fois où vous pouvez saisir un mot de passe incorrect est limité. Si le client a épuisé toutes les tentatives, la clé est bloquée dans le système CHK. Le client ne peut pas déverrouiller la clé lui-même. Le nombre de tentatives de saisie d'une clé incorrecte est défini dans le paramètre « InvalideTokenAttempt » (Paramètres -> Paramètres système -> Paramètres d'autorisation -> InvalideTokenAttempt).

Vous pouvez déverrouiller la clé dans l'application Builder. Pour ce faire, dans le tableau « eTokenKeys » (Structures de table -> eTokenKeys) pour l'entrée correspondant au porte-clés eToken bloqué (l'entrée requise est déterminée par l'ID), vous devez définir les valeurs suivantes pour les paramètres :

Nombre de tentatives = 0

eTokenBlockDate = " " (vide)

eTokenStatusID = 1

Lors de l'utilisation d'un porte-clés, il est possible que le client ait accidentellement appuyé à nouveau sur le bouton et que le compteur de mot de passe sur le porte-clés client ait augmenté de plus d'un. Dans ce cas, le compteur doit être synchronisé avec les données du système CHK. Dans ce cas, la vérification est effectuée non seulement pour la valeur actuelle du compteur, mais également pour un nombre défini de valeurs. Cela permettra au client de signer avec succès le document même s'il a accidentellement cliqué sur le bouton pour générer le mot de passe suivant. Pour définir le nombre de pressions « aléatoires » autorisées sur le bouton du porte-clés, utilisez le paramètre « TokenCounterForCheck » (Paramètres -> Paramètres système -> Paramètres d'autorisation -> TokenCounterForCheck).

https://pandia.ru/text/78/645/images/image006_65.gif" width="623" height="626 src=">

6. La procédure de résolution des litiges concernant les transactions effectuées à l'aide de « eToken »

1. Si une transaction controversée (document électronique) utilisant « eToken » est détectée, le Client a le droit de contacter la Banque pour protester. L'opération peut faire l'objet d'une protestation au plus tard 30 jours calendaires à compter de la date de son exécution.

2. La protestation spécifiée est formalisée dans une déclaration écrite adressée à la Banque, établie dans forme libre et comprenant les informations suivantes : Nom complet du Client ; Date d'exploitation ; type d'opération; Montant de la transaction; motif de protestation.

3. La Banque, dans un délai de 10 jours ouvrables, examine la demande du Client et satisfait à la réclamation du Client, ou adresse une réponse écrite au Client concernant le caractère infondé de sa réclamation.

4. En cas de désaccord avec la conclusion de la Banque, le Client adresse à la Banque une notification écrite de son désaccord et de l'obligation de constituer une commission de conflit pour résoudre les litiges. La commission des conflits est constituée pour une durée pouvant aller jusqu'à 10 jours ouvrables, pendant laquelle elle doit établir la légalité et le bien-fondé de la réclamation, ainsi que, le cas échéant, l'authenticité et la paternité de l'opération litigieuse.

5. La commission des conflits comprend un nombre égal de représentants de chacune des Parties, déterminés indépendamment par les Parties. Le droit de représenter la Partie concernée au sein de la commission doit être confirmé par une procuration délivrée à chaque représentant pour la durée des travaux de la commission.

6. La Commission détermine, notamment, ce qui suit :

· l'objet d'un désaccord fondé sur la réclamation du Client et les explications des Parties ;

· la légalité du dépôt d'une réclamation sur la base du texte de l'accord conclu et de ses annexes ;

· le fait que le Client s'est connecté au Système avant d'envoyer la transaction litigieuse ;

· correspondance numéro de série Porte-clés eToken PASS utilisé par le Client, le numéro de série du porte-clés lié au client dans la Banque et la légalité de son utilisation ;

· date et heure de réception de la transaction.

7. Les Parties conviennent que pour analyser les situations conflictuelles, la commission accepte pour examen un document électronique et est tenue d'utiliser les données de référence suivantes reconnues par les Parties :

· données d'archives électroniques des documents acceptés et envoyés ;

· données de base de données contenant des informations sur eToken PASS ;

· programme stocké par la Banque.

8. La Commission doit s'assurer que les actions des parties étaient conformes à l'accord en vigueur au moment de la création de la transaction litigieuse.

9. La confirmation de la bonne exécution par la Banque du document litigieux est exécution simultanée conditions suivantes :

· les informations contenues dans le document litigieux sont pleinement cohérentes avec les actions de la Banque pour son exécution ;

· le fait que le Client soit entré dans le Système avant d'envoyer le document litigieux à la Banque a été établi ;

· le fait que le système a vérifié la clé à usage unique saisie par le client a été établi ;

· la valeur du compteur de mot de passe sur le trousseau eToken du client est supérieure à la valeur du compteur utilisé lors de la signature du document ;

· au moment de l'envoi du document, l'eToken PASS utilisé était lié au client ;

· au moment de l'envoi du document, le PASS eToken utilisé était actif.

Dans ce cas, les réclamations du Client contre la Banque liées aux conséquences de l'exécution du document spécifié sont reconnues comme infondées. Le non-respect de l'une des conditions énumérées signifie que l'utilisation correcte de la clé à usage unique générée à l'aide du porte-clés eToken PASS et la bonne exécution du document n'ont pas été confirmées, c'est-à-dire que le document en cours de vérification est confirmé par une clé incorrecte. clé de temps, ou le document n'a pas été correctement exécuté par la Banque. Dans ce cas, les réclamations du Client contre la Banque liées aux conséquences de l'exécution du document spécifié sont reconnues comme justifiées.

10. Les résultats de l'examen sont formalisés sous la forme d'une conclusion écrite - un acte de la Commission des conflits, signé par tous les membres de la commission. Le procès-verbal est établi immédiatement après la fin de l'examen. Le Rapport contient les résultats de l'examen, ainsi que tous les détails essentiels du document électronique litigieux. L'acte est dressé en deux exemplaires - un pour chacun des représentants de la Banque et du Client. Le rapport de la commission est définitif et non sujet à révision.

11. Les Parties ont le droit de contester le résultat des travaux de la commission de la manière établie par la législation en vigueur de la Fédération de Russie. L'acte rédigé par la commission des conflits constitue la preuve dans la suite du litige devant les autorités judiciaires.

Un générateur de mot de passe autonome à usage unique qui ne nécessite pas de connexion à un ordinateur ni d'installation de logiciel supplémentaire et peut être utilisé dans n'importe quel systèmes d'exploitation, ainsi que lors de l'accès à des ressources protégées à partir de appareils mobiles et les terminaux ne disposant pas de connecteur USB ni de lecteur de carte à puce.

• Générateur de mot de passe autonome à usage unique ;
• Ne nécessite pas de connexion à un ordinateur ;
• Gestion centralisée des tokens grâce au système eToken TMS.

But

Générateur autonome jetable Mots de passe eToken PASS peut être utilisé pour l'authentification dans toutes les applications et services prenant en charge le protocole d'authentification RADIUS - VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access, etc.

Le SDK eToken OTP 2.0 facilite l'ajout de la prise en charge de l'authentification par mot de passe à usage unique à vos propres applications.

Avantages

• Ne nécessite pas l'installation de logiciel client supplémentaire.
• Ne nécessite pas l'installation du pilote.
• Fonctionne sans connexion à un ordinateur – pas besoin d'un port USB libre.
• Capacité à travailler sur n’importe quel système d’exploitation.
• Capacité à travailler à partir d'appareils mobiles.
• Un mot de passe à usage unique n'est valable que pour une seule session de communication - l'utilisateur n'a pas à s'inquiéter du fait que le mot de passe soit espionné ou intercepté.
• Bas prix.

Principe d'opération

eToken PASS implémente un algorithme de génération de mot de passe à usage unique (OTP) développé dans le cadre de l'initiative OATH. Cet algorithme est basé sur l'algorithme HMAC et la fonction de hachage SHA-1. Pour calculer la valeur OTP, deux paramètres d'entrée sont acceptés : la clé secrète (la valeur initiale du générateur) et la valeur actuelle du compteur (le nombre de cycles de génération requis). La valeur initiale est stockée à la fois dans l'appareil lui-même et sur le serveur du système eToken TMS. Le compteur dans l'appareil augmente à chaque génération d'OTP, et sur le serveur à chaque authentification OTP réussie.

Lorsqu'une demande d'authentification est effectuée, la vérification OTP est effectuée par un serveur RADIUS (Microsoft IAS, FreeRadius et autres), qui accède au système eToken TMS, qui génère OTP côté serveur. Si la valeur OTP saisie par l'utilisateur correspond à la valeur reçue sur le serveur, l'authentification est considérée comme réussie et le serveur RADIUS envoie une réponse appropriée.

Un lot d'appareils eToken PASS est livré avec un fichier crypté contenant les valeurs initiales de tous les appareils du lot. Ce fichier est importé par l'administrateur dans le système eToken TMS. Après cela, pour attribuer l'appareil, l'utilisateur doit saisir son numéro de série (imprimé sur le corps de l'appareil).

Si la synchronisation du compteur de générations dans l'appareil et sur le serveur est perturbée, le système eToken TMS vous permet de restaurer facilement la synchronisation - alignez la valeur sur le serveur avec la valeur stockée dans l'appareil. Pour ce faire, l'administrateur système ou l'utilisateur lui-même (s'il dispose des autorisations appropriées) doit générer deux valeurs OTP consécutives et les envoyer au serveur via l'interface Web eToken TMS.

Pour améliorer la sécurité, le système eToken TMS permet l'utilisation d'une valeur PIN OTP supplémentaire - dans ce cas, pour l'authentification, l'utilisateur saisit une valeur PIN OTP secrète supplémentaire en plus du nom d'utilisateur et de l'OTP. Cette valeur est définie lors de l'attribution d'un appareil à un utilisateur.

• Générateur de mot de passe unique hors ligne.
• Ne nécessite pas de connexion à un ordinateur.
• En tant que générateur de mot de passe à usage unique, il est entièrement compatible avec eToken NG-OTP.
• Exécute eToken TMS 2.0.
• Durée de vie garantie - 7 ans ou 14 000 générations.

eToken PASS peut être utilisé pour l'authentification dans toutes les applications et services prenant en charge le protocole d'authentification RADIUS - VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access et bien d'autres.

Le SDK eToken OTP 2.0 facilite l'ajout de la prise en charge de l'authentification par mot de passe à usage unique à vos propres applications.

Avantages

• Ne nécessite pas l'installation de logiciel client supplémentaire.
• Ne nécessite pas l'installation du pilote.
• Fonctionne sans connexion à un ordinateur – pas besoin d'un port USB libre.
• Capacité à travailler sur n’importe quel système d’exploitation.
• Capacité à travailler à partir d'appareils mobiles.
• Un mot de passe à usage unique n'est valable que pour une seule session de communication - l'utilisateur n'a pas à craindre que le mot de passe soit reniflé ou intercepté.
• Bas prix.

Principe d'opération eToken PASS implémente un algorithme de génération de mot de passe à usage unique (OTP) développé dans le cadre de l'initiative OATH. Cet algorithme est basé sur l'algorithme HMAC et la fonction de hachage SHA-1. Pour calculer la valeur OTP, deux paramètres d'entrée sont acceptés : la clé secrète (la valeur initiale du générateur) et la valeur actuelle du compteur (le nombre de cycles de génération requis). La valeur initiale est stockée à la fois dans l'appareil lui-même et sur le serveur du système eToken TMS. Le compteur dans l'appareil augmente à chaque génération d'OTP, et sur le serveur à chaque authentification OTP réussie.

Lorsqu'une demande d'authentification est effectuée, la vérification OTP est effectuée par un serveur RADIUS (Microsoft IAS, FreeRadius et autres), qui accède au système eToken TMS, qui génère OTP côté serveur. Si la valeur OTP saisie par l'utilisateur correspond à la valeur reçue sur le serveur, l'authentification est considérée comme réussie et le serveur RADIUS envoie une réponse appropriée.

Un lot d'appareils eToken PASS est livré avec un fichier crypté contenant les valeurs initiales de tous les appareils du lot. Ce fichier est importé par l'administrateur dans le système eToken TMS. Après cela, pour attribuer l'appareil, l'utilisateur doit saisir son numéro de série (imprimé sur le corps de l'appareil).

Si la synchronisation du compteur de générations dans l'appareil et sur le serveur est perturbée, le système eToken TMS vous permet de restaurer facilement la synchronisation - alignez la valeur sur le serveur avec la valeur stockée dans l'appareil. Pour ce faire, l'administrateur système ou l'utilisateur lui-même (s'il dispose des autorisations appropriées) doit générer deux valeurs OTP consécutives et les envoyer au serveur via l'interface Web eToken TMS.

Pour améliorer la sécurité, le système eToken TMS permet l'utilisation d'une valeur PIN OTP supplémentaire - dans ce cas, pour l'authentification, l'utilisateur saisit une valeur PIN OTP secrète supplémentaire en plus du nom d'utilisateur et de l'OTP. Cette valeur est définie lors de l'attribution d'un appareil à un utilisateur.

2017 : Retrait des ventes des produits de la gamme eToken

Avis de projet visant à mettre fin à la vente, au support et à la maintenance des jetons USB et des cartes à puce de la famille eToken PRO (Java), eToken et CIPF "Cryptotoken" dans le cadre des produits eToken GOST.

Les produits de la gamme eToken sont arrêtés depuis début 2017. Les conditions de réalisation de la vente et du cycle de vie des produits de la gamme eToken PRO (Java), indiquées dans le tableau ci-dessous, s'appliquent à tous les facteurs de forme existants (token USB, carte à puce, etc.). La liste comprend des produits non certifiés et certifiés. Une liste détaillée des modèles pour tous les produits répertoriés est spécifiée dans la section « Articles et noms » de l'Avis.

Modèle

• date de dernière vente 31 mars 2017, date de fin du support 1er décembre 2020
• eToken PRO (Java), eToken NG-FLASH (Java), eToken NG-OTP (Java), eToken PRO Anywhere

• date de dernière vente 31 janvier 2017, date de fin du support 1er décembre 2020
• Carte à puce eToken 4100, eToken 5100/5105, eToken 5200/5205

• date de dernière vente 31 août 2017, date de fin du support 1er décembre 2018
• Produits contenant du CIPF « Cryptotoken » (eToken GOST)

L'assistance technique pour les produits achetés précédemment sera fournie jusqu'à la fin de la période d'assistance technique payante.

Au lieu des clés électroniques eToken PRO (Java) et eToken, la société "Aladdin R.D." propose de nouveaux jetons USB nationaux, cartes à puce, modules de sécurité intégrés (puces), jetons OTP JaCarta PRO, JaCarta PKI, JaCarta WebPass, développés et produits par lui en Fédération Russe.

Modèle remplacé

• eToken, eToken PRO (Java), SafeNet eToken
  • JaCarta PRO - Modèle compatible
  • JaCarta PKI - Analogue fonctionnel
• eToken PRO Anywhere - non
• eToken NG-FLASH (Java) - En 2018, il est prévu d'introduire un produit similaire dans la gamme JaCarta
• eToken NG-OTP (Java) - Analogue fonctionnel qui génère la valeur OTP et la transmet via le port USB

2016 : eToken PASS certifié par FSTEC

26 août 2016 Société Aladdin R.D. a annoncé le renouvellement du certificat du FSTEC de Russie pour le complexe logiciel et matériel d'authentification et de stockage des informations utilisateur « Clé électronique eToken 5 ».

Le certificat de conformité n° 1883 du FSTEC de Russie confirme la conformité du logiciel d'authentification et de stockage des informations utilisateur « Clé électronique eToken 5 » avec les exigences du document constitutif « Protection contre l'accès non autorisé aux informations ». Partie 1. Logiciel outils de sécurité de l’information. Classification selon le niveau de contrôle sur l'absence de capacités non déclarées » (Commission technique d'État de Russie, 1999), étant un moyen logiciel et matériel de protection des informations contre tout accès non autorisé, a un niveau de confiance estimé à OUD 2 au niveau de contrôle 4. .

Demander un certificat Installer un certificat

Dans le système « Client Internet pour personnes morales », vous pouvez configurer les paramètres d'exportation et d'importation de documents, modifier le mot de passe, mettre en place la numérotation automatique des documents, synchroniser eToken PASS, exécuter paramètres additionnels, et demandez, installez et affichez un certificat. Pour effectuer le réglage qui vous intéresse, accédez à l'élément de menu Paramètres et cliquez sur l'élément approprié.

Options d'importation/exportation

Pour modifier les paramètres d'exportation, qui déterminent le nom et le type de fichier d'exportation par défaut, sélectionnez Paramètres, puis cliquez sur l'élément Importer / Exporter. Un formulaire avec les paramètres d'importation et d'exportation sera affiché sur le côté droit de la fenêtre de travail du système. Vous pouvez définir les paramètres suivants :

• Échanger des paramètres avec 1C: version du format, nom du fichier d'export et remplacement ou non des documents modifiés.
• Options de sauvegarde des répertoires (.Csv). Sur le terrain Séparateur de champs sélectionnez quel caractère sera le séparateur de champ dans le fichier .Csv.
• Paramètres d'import des ordres de paiement en devise (.Csv): une indication du remplacement ou non des documents modifiés.

Une fois tous les paramètres spécifiés, cliquez sur le bouton Sauvegarder.

Changer le mot de passe

Pour changer votre mot de passe, accédez à l'élément de menu Paramètres - Changer le mot de passe. Dans la fenêtre qui s'ouvre, saisissez à nouveau l'ancien mot de passe, le nouveau mot de passe et le nouveau mot de passe. Pour enregistrer les modifications, cliquez sur le bouton Changement.

Pour effacer les champs remplis, cliquez sur le bouton Clair.

Pour revenir à la page précédente, cliquez sur le bouton Dos.

Lors de la création d'un identifiant et d'un mot de passe, vous devez suivre les recommandations :

• Après vous être connecté pour la première fois, modifiez votre mot de passe. Cela garantit que vous seul connaissez le nouveau mot de passe.
• Changez régulièrement votre mot de passe.
• Utilisez des mots de passe difficiles à deviner. Par exemple, ne définissez pas de mots de passe avec les noms d'autres membres de la famille.
• Utilisez des caractères majuscules et minuscules, des chiffres et d'autres caractères acceptables dans vos mots de passe.

Numérotation automatique des documents

Le mode de numérotation automatique des documents vous permet de placer automatiquement des numéros uniques et croissants séquentiellement sur les documents. Pour allumer ce mode, allez à l'élément de menu Paramètres - Numérotation automatique.

Synchronisation eToken PASS

Cet élément de menu s'affiche si un jeton vous a été attribué.

Le jeton doit être synchronisé si le bouton du porte-clés est enfoncé plusieurs fois. Pour synchroniser un jeton, sélectionnez l'élément dans le menu principal du programme Paramètres - Synchronisation eToken PASS. Une boîte de dialogue s'affichera à l'écran, dans les champs de laquelle saisir deux mots de passe générés séquentiellement par le dispositif eToken PASS. Pour terminer les actions, cliquez sur le bouton Synchroniser.

Paramètres additionnels

Pour définir d'autres paramètres, accédez à l'élément de menu Paramètres - Supplémentaire. Un formulaire s'affichera à l'écran contenant deux onglets avec des paramètres :

Pour enregistrer vos paramètres, cliquez sur le bouton Sauvegarder.

Composants de protection cryptographique

Dans l'élément de menu Paramètres - Composants de protection cryptographique Vous pouvez afficher des informations sur versions installées composant de protection cryptographique, ainsi que procéder à leur installation ou mise à jour. L'écran affiche des informations sur les composants suivants :

• Adaptateur.
• Client Web JC.
• Fichier HTTP ActiveX.
• MS CAPICOM.

Cette page affiche également l'identifiant de l'appareil à partir duquel vous vous êtes connecté au système Client Internet pour personnes morales (adresse MAC ou hachage de l'équipement). Si vous souhaitez lier cet appareil à votre compte, cliquez sur son identifiant. En conséquence, une lettre sera générée avec des informations sur cet appareil, que vous pouvez envoyer à la banque.