"ДБО BS-Client. Приватний Клієнт" v.2.2 Дізнатися початкові значення etoken pass

"ДБО BS-Client. Приватний Клієнт" v.2.2

версія від 01.01.2001

1. Анотація

Цей документ призначений для адміністраторів системи.

Документ містить інформацію про принципи роботи з аналогом підпису клієнта – eToken.

1. Анотація. 2

2. Принципи роботи з eToken PASS. 4

3. Імпорт у систему ключів eToken. 4

4. Робота клієнта з eToken. 5

6. Порядок вирішення спорів щодо операцій, здійснених за допомогою «eToken». 7

2. Принципи роботи з eToken PASS

У eToken PASS реалізовано алгоритм генерації одноразових паролів з використанням алгоритму HMAC та хеш-функції SHA-1. Для клієнта eToken PASS виглядає як брелок (Мал. 1), на екрані якого відображаються згенерований пароль. Цей пароль використовується для підтвердження фінансових операцій клієнтом у системі «Приватний Клієнт».

Таке використання eToken ґрунтується на статті 160 ЦК України, в якій йдеться про те, що за згодою сторін допускається використання аналогів власноручного підпису клієнта. При цьому він не є ЕЦП і тому не підпадає під дію закону «Про електронний цифровий підпис».

Мал. 1 eToken PASS

3. Імпорт у систему ключів eToken

Кожен брелок eToken має свій серійний номер та секретне значення. Ці дані надає компанія Alladin.

Засобами системи "Приватний Клієнт" генерація цих даних неможлива. Інформацію про ключі eToken PASS система «Приватний Клієнт» отримує за допомогою імпорту інформації з файлів, які банк отримує разом з брелками eToken. На сервері ці дані зберігаються у зашифрованому вигляді.

F Для імпорту в систему ПК ключів eToken необхідно:

· Вибрати пункт меню "Безпека -> Безпека -> Список ключів eToken".

ð Відкриється діалогове вікно «Список ключів eToken» (Мал. 2).

Мал. 2 Діалогове вікно «Список ключів eToken»

· Для завантаження нових ключів необхідно натиснути кнопку «Завантажити», розташовану в панелі інструментів діалогового вікна.

ð Відкриється діалогове вікно «Імпорт ключів eToken» (Мал. 3).

Мал. 3 Діалогове вікно «Імпорт ключів eToken»

· У вікні необхідно вказати шлях до файлу формату xml містить ключі.

4. Робота клієнта з eToken

Для прив'язки нового ключа клієнт повинен приїхати до банку та отримати новий брелок. Прив'язка нового ключа до клієнта здійснюється уповноваженою особою банку. стандартними засобамиЧК.

Під час підпису документа на екрані системи інтернет-банкінгу з'являється поле для введення коду. Клієнт натискає кнопку брелка для генерації нового значення пароля і вводить отриманий код у поле. При генерації пароля лічильник паролів зростає на одиницю.

Інформація про поточний лічильник зберігається у самому брелоку та синхронізована із системою ЧК. Під час отримання підписаного документа відбувається перевірка коректності введеного коду за допомогою комплекту драйверів eToken PKI Client.

Увага! Для коректної роботи комплект драйверів eToken PKI Client має бути встановлений на одному сервері із RTS.

Кількість спроб неправильного введення пароля обмежена. Якщо клієнт витратив всі спроби, ключ блокується в системі ЧК. Розблокувати ключ самостійно клієнт не може. Кількість спроб введення неправильного ключа задається в параметрі InvalideTokenAttempt (Налаштування -> Параметри системи -> Параметри авторизації -> InvalideTokenAttempt).

Розблокувати ключ можна у додатку Побудовник. Для цього в таблиці "eTokenKeys" (Структури таблиць -> eTokenKeys) для запису відповідної заблокованому брелоку eToken (потрібний запис визначається за ID) необхідно задати для параметрів наступні значення:

CountAttempt = 0

eTokenBlockDate = « » (порожньо)

eTokenStatusID = 1

При використанні брелка є ймовірність, що клієнт випадково натиснув на кнопку і лічильник паролів на брелоку клієнта збільшився більше, ніж на одиницю. І тут лічильник потрібно синхронізувати з даними у системі ЧК. При цьому перевірка виконується не тільки для поточного значення лічильника, а пробігатиме вперед на встановлену кількість значень. Це дозволить клієнту успішно підписати документ навіть у разі, якщо він випадково натиснув кнопку генерації наступного пароля. Для завдання кількості допустимих "випадкових" натискань кнопки на брелоку служить налаштування "TokenCounterForCheck" (Налаштування -> Параметри системи -> Параметри авторизації -> TokenCounterForCheck).

https://pandia.ru/text/78/645/images/image006_65.gif" width="623" height="626 src=">

6. Порядок вирішення спорів щодо операцій, здійснених за допомогою «eToken»

1. При виявленні спірної операції (електронного документа) з використанням eToken Клієнт має право звернутися до Банку з метою її опротестування. Опротестування операції можливе пізніше 30 календарних днів із моменту її проведення.

2. Зазначене опротестування оформляється письмовою заявою на адресу Банку, складеною у довільній форміі що включає в себе таку інформацію: ПІБ Клієнта; дата операції; вид операції; сума операції; причина опротестування.

3. Банк протягом 10 робочих днів розглядає заяву Клієнта та задовольняє претензію Клієнта, або надсилає письмову відповідь Клієнту про необґрунтованість його претензії.

4. У разі незгоди з укладанням Банку Клієнт надсилає до Банку письмове повідомлення про свою незгоду та вимогу формування конфліктної комісії для вирішення спорів. Конфліктна комісія формується на строк до 10 робочих днів, протягом якого вона має встановити правомірність та обґрунтованість претензії, а також, якщо необхідно, справжність та авторство спірної операції.

5. До складу конфліктної комісії входить рівна кількість представників від кожної із Сторін, що визначаються Сторонами самостійно. Право представляти відповідну Сторону до комісії має підтверджуватись довіреністю, виданою кожному представнику на строк роботи комісії.

6. Комісія визначає, включаючи, але, не обмежуючись, таке:

· предмет розбіжностей на підставі претензії Клієнта та роз'яснень Сторін;

· правомірність пред'явлення претензії на підставі тексту укладеного Договору та Додатків до нього;

· факт входу Клієнта до Системи перед відправкою спірної операції;

· Відповідність серійного номерабрелока eToken PASS, використаного Клієнтом, серійного номера брелока прив'язаного до клієнта в Банку, та правомірність його використання;

· Дату та час надходження операції.

7. Сторони домовляються, що для аналізу конфліктних ситуацій комісія приймає на розгляд електронний документ і зобов'язана використовувати такі, що визнаються Сторонами, еталонні дані:

· Дані електронного архіву прийнятих, відправлених документів;

· Дані бази з інформацією про eToken PASS;

· Зберігається у Банку програму.

8. Комісія має переконатися, що дії Сторін відповідали Договору, який діє на момент створення спірної операції.

9. Підтвердженням правильності виконання Банком спірного документа є одночасне виконаннянаступних умов:

· інформація, що міститься у спірному документі, повністю відповідає діям Банку щодо його виконання;

· Встановлено факт входу Клієнта в Систему, що передує відправленню спірного документа до Банку;

· Встановлено факт перевірки системою одноразового ключа, введеного клієнтом;

· Значення лічильника паролів на брелоку eToken клієнта більше значення лічильника використаного при підписі документа;

· на момент відправки документа використовуваний eToken PASS був прив'язаний до клієнта;

· на момент відправки документа eToken PASS, що використовується, був активний.

У цьому випадку претензії Клієнта до Банку, пов'язані із наслідками виконання зазначеного документа, визнаються необґрунтованими. Невиконання будь-якої з перерахованих умов означає, що коректність використання одноразового ключа, згенерованого за допомогою брелока eToken PASS і правильність виконання документа не підтверджена, тобто документ, що перевіряється, підтверджений некоректним одноразовим ключем, або документ не був правильно виконаний Банком. У цьому випадку претензії Клієнта до Банку, пов'язані із наслідками виконання зазначеного документа, визнаються обґрунтованими.

10. Результати експертизи оформляються у вигляді письмового висновку – Акту конфліктної комісії, який підписується всіма членами комісії. Акт складається негайно після завершення експертизи. В Акті результати проведеної експертизи, а також усі суттєві реквізити спірного електронного документа. Акт складається у двох примірниках – по одному для представників Банку та Клієнта. Акт комісії є остаточним та перегляду не підлягає.

11. Результат роботи комісії Сторони вправі оскаржити у порядку, встановленому чинним законодавством України. Акт, складений конфліктною комісією, є доказом при подальшому розгляді спору у судових органах.

Автономний генератор одноразових паролів, що не вимагає підключення до комп'ютера та встановлення додаткового програмного забезпечення і може використовуватись у будь-яких операційні системи, а також при доступі до захищених ресурсів з мобільних пристроївта терміналів, що не мають USB-роз'єму або пристрою читання смарт-карток.

  • Автономний генератор одноразових паролів;
  • Не потребує підключення до комп'ютера;
  • Централізоване керування токенами за допомогою системи eToken TMS.

Призначення

Автономний генератор одноразових паролів eToken PASS можна використовувати для аутентифікації в будь-яких додатках та службах, що підтримують протокол автентифікації RADIUS - VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access та ін.

Комплект розробника eToken OTP SDK 2.0 дозволяє легко додати підтримку автентифікації за одноразовими паролями у власні програми.

Переваги

  • Не потребує встановлення додаткового клієнтського програмного забезпечення.
  • Не потребує встановлення драйверів.
  • Працює без підключення до комп'ютера - немає необхідності вільного USB-порту.
  • Можливість роботи у будь-якій операційній системі.
  • Можливість роботи з мобільних пристроїв.
  • Одноразовий пароль діє лише протягом одного сеансу зв'язку - користувач може не турбуватися про те, що пароль може бути підглянутий або перехоплений.
  • Низька ціна.

Принцип роботи

У eToken PASS реалізований алгоритм генерації одноразових паролів (One-Time Password – OTP), розроблений у рамках ініціативи OATH. Цей алгоритм заснований на алгоритмі HMAC та хеш-функції SHA-1. Для розрахунку значення OTP приймаються два вхідні параметри - секретний ключ (початкове значення для генератора) та поточне значення лічильника (кількість необхідних циклів генерації). Початкове значення зберігається як у пристрої, так і на сервері в системі eToken TMS. Лічильник у пристрої збільшується при кожній генерації OTP, на сервері - при кожній вдалій автентифікації OTP.

При запиті на аутентифікацію перевірка OTP здійснюється сервером RADIUS (Microsoft IAS, FreeRadius та інші), який звертається до системи eToken TMS, яка здійснює генерацію OTP на стороні сервера. Якщо введене користувачем значення OTP, збігається зі значенням, отриманим на сервері, автентифікація вважається успішною, і сервер RADIUS відправляє відповідну відповідь.

Партія пристроїв eToken PASS постачається із зашифрованим файлом, що містить початкові значення для всіх пристроїв партії. Цей файл імпортується адміністратором до системи eToken TMS. Після цього для призначення пристрою користувачеві необхідно ввести його серійний номер (друкується на корпусі пристрою).

У разі порушення синхронізації лічильника генерації у пристрої та на сервері, система eToken TMS дозволяє легко відновити синхронізацію - привести значення на сервері у відповідність до значення, що зберігається у пристрої. Для цього адміністратор системи або сам користувач (за наявності відповідних дозволів) повинен згенерувати два послідовні значення OTP та відправити їх на сервер через Web-інтерфейс eToken TMS.

Для посилення безпеки система eToken TMS дозволяє використовувати додаткове значення OTP PIN - у цьому випадку для аутентифікації користувач крім імені користувача і OTP вводить додаткове секретне значення OTP PIN. Це значення визначається при призначенні пристрою користувачеві.

  • Автономний генератор одноразових паролів.
  • Не потребує підключення до комп'ютера.
  • Як генератор одноразових паролів повністю сумісний із eToken NG-OTP.
  • Працює під керуванням eToken TMS 2.0.
  • Гарантований термін служби – 7 років чи 14 000 генерацій.

eToken PASS можна використовувати для аутентифікації в будь-яких програмах і службах, які підтримують протокол автентифікації RADIUS – VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access та багато інших.

Комплект розробника eToken OTP SDK 2.0 дозволяє легко додати підтримку автентифікації за одноразовими паролями у власні програми.

Переваги

  • Не потребує встановлення додаткового клієнтського програмного забезпечення.
  • Не потребує встановлення драйверів.
  • Працює без підключення до комп'ютера – немає потреби у наявності вільного порту USB.
  • Можливість роботи у будь-якій операційній системі.
  • Можливість роботи з мобільних пристроїв.
  • Одноразовий пароль діє лише протягом одного сеансу зв'язку – користувач може не турбуватися про те, що пароль може бути підглянутий перехоплений.
  • Низька ціна.

Принцип роботиУ eToken PASS реалізовано алгоритм генерації одноразових паролів (One-Time Password – OTP), розроблений у рамках ініціативи OATH. Цей алгоритм заснований на алгоритмі HMAC та хеш-функції SHA-1. Для розрахунку значення OTP приймаються два вхідні параметри – секретний ключ (початкове значення для генератора) та поточне значення лічильника (кількість необхідних циклів генерації). Початкове значення зберігається як у пристрої, так і на сервері в системі eToken TMS. Лічильник у пристрої збільшується при кожній генерації OTP, на сервері – при кожній вдалій автентифікації OTP.

При запиті на аутентифікацію перевірка OTP здійснюється сервером RADIUS (Microsoft IAS, FreeRadius та інші), який звертається до системи eToken TMS, яка здійснює генерацію OTP на стороні сервера. Якщо введене користувачем значення OTP, збігається зі значенням, отриманим на сервері, автентифікація вважається успішною, і сервер RADIUS відправляє відповідну відповідь.

Партія пристроїв eToken PASS постачається із зашифрованим файлом, що містить початкові значення для всіх пристроїв партії. Цей файл імпортується адміністратором до системи eToken TMS. Після цього для призначення пристрою користувачеві необхідно ввести його серійний номер (друкується на корпусі пристрою).

У разі порушення синхронізації лічильника генерації у пристрої та на сервері, система eToken TMS дозволяє легко відновити синхронізацію – привести значення на сервері у відповідність до значення, що зберігається у пристрої. Для цього адміністратор системи або сам користувач (за наявності відповідних дозволів) повинен згенерувати два послідовні значення OTP та відправити їх на сервер через Web-інтерфейс eToken TMS.

Для посилення безпеки система eToken TMS дозволяє використовувати додаткове значення OTP PIN – у цьому випадку для аутентифікації користувач крім імені користувача та OTP вводить додаткове секретне значення OTP PIN. Це значення визначається при призначенні пристрою користувачеві.

2017: Зняття з продажу продуктів лінійки eToken

Повідомлення про плани припинення продажу, підтримки та супроводу USB-токенів та смарт-карток сімейства eToken PRO (Java), eToken та СКЗІ "Криптотокен" у складі виробів eToken ГОСТ .

Продукти лінійки eToken знято з продажу з початку 2017 року. Умови завершення продажів та життєвого циклу виробів лінійки eToken PRO (Java), вказані в наведеній нижче таблиці, поширюються на всі існуючі форм-фактори (USB-токен, смарт-карта тощо). Список містить як несертифіковані, так і сертифіковані вироби. Детальний перелік моделей для всіх перелічених виробів наведено в розділі "Артикули та найменування" Повідомлення.

Модель

  • остання дата продажу 31 березня 2017 р., дата закінчення підтримки 1 грудня 2020 р.
  • eToken PRO (Java) , eToken NG-FLASH (Java), eToken NG-OTP (Java), eToken PRO Anywhere
  • остання дата продажу 31 січня 2017 р., дата закінчення підтримки 1 грудня 2020 р.
  • eToken 4100 Smartcard, eToken 5100/5105, eToken 5200/5205
  • остання дата продажу 31 серпня 2017 р., дата закінчення підтримки 1 грудня 2018 р.
  • Вироби, що містять СКЗІ "Кріптотокен" (eToken ГОСТ)

Технічна підтримка придбаних раніше продуктів здійснюватиметься до завершення оплаченого періоду технічної підтримки.

Замість електронних ключів eToken PRO (Java) та eToken компанія "Аладдін Р.Д." пропонує нові вітчизняні USB-токени, смарт-карти, вбудовані модулі безпеки (чіпи), ОТР-токени JaCarta PRO, JaCarta PKI, JaCarta WebPass, розроблені та вироблені нею Російської Федерації.

Модель, що заміщується

  • eToken, eToken PRO (Java), SafeNet eToken
    • JaCarta PRO - Сумісна модель
    • JaCarta PKI - Функціональний аналог
  • eToken PRO Anywhere - ні
  • eToken NG-FLASH (Java) - У 2018 році планується представити аналогічний виріб у лінійці JaCarta
  • eToken NG-OTP (Java) - Функціональний аналог, що формує значення ОТР і передає його USB-портом

2016: eToken PASS сертифікований ФСТЕК

26 серпня 2016 року компанія «Аладдін Р.Д.» заявила про продовження сертифіката ФСТЕК Росії програмно-апаратного комплексу аутентифікації та зберігання інформації користувачів "Електронний ключ eToken 5".

Сертифікат відповідності №1883 ФСТЕК Росії підтверджує відповідність ПАК аутентифікації та зберігання інформації користувачів «Електронний ключ eToken 5» вимогам керівного документа «Захист від несанкціонованого доступу до інформації». Частина 1. Програмне забезпеченнязасобів захисту інформації. Класифікація за рівнем контролю відсутності недекларованих можливостей» (Держкомісія Росії, 1999) будучи програмно-технічним засобом захисту від несанкціонованого доступу, має оцінний рівень довіри ОУД 2 по 4 рівню контролю.

Запросити сертифікат Встановити сертифікат

У системі «Інтернет-клієнт для юридичних осіб» Ви можете налаштувати параметри експорту та імпорту документів, змінити пароль, налаштувати автоматичну нумерацію документів, синхронізувати eToken PASS, виконати додаткові налаштування, а також запросити, встановити та переглянути сертифікат. Для того щоб виконати налаштування, що Вас цікавить, перейдіть в пункт меню Налаштуваннята клацніть на відповідному пункті.

Параметри імпорту/експорту

Щоб змінити параметри експорту, які визначають за промовчанням ім'я файлу експорту та його тип, необхідно в головному меню вибрати пункт Налаштування, далі клацнути по пункту Імпорт експорт. У правій частині робочого вікна системи буде виведено форму з параметрами імпорту та експорту. Ви можете задати такі параметри:

  • Параметри обміну з 1С: версія формату, ім'я файлу експорту та ознака замінювати чи ні документи, що змінилися.
  • Параметри збереження довідників (Csv). В полі Роздільник поліввиберіть, який символ буде розділювачем полів у файлі. CSv.
  • Параметри імпорту валютних платіжних доручень (Csv): ознака замінювати чи ні змінилися документи.

Після того, як всі параметри задані, клацніть по кнопці Зберегти.

Зміна пароля

Щоб змінити пароль, перейдіть до меню Налаштування - Зміна пароля. У вікні, введіть старий пароль, новий пароль і повторно новий пароль. Щоб зберегти зміни, натисніть кнопку Змінити.

Щоб очистити заповнені поля, натисніть на кнопку Очистити.

Щоб повернутися до попередньої сторінки, натисніть кнопку назад.

При створенні логіну і пароля слід дотримуватися рекомендацій:

  • Після першого входу до системи змініть пароль. Це гарантує, що новий пароль знатимете лише Ви.
  • Регулярно змінюйте пароль.
  • Використовуйте паролі, які важко вгадати. Наприклад, не встановлюйте паролі з іменами інших членів сім'ї.
  • Використовуйте у паролях символи як верхнього, так і нижнього регістру, цифри та інші допустимі символи.

Автоматична нумерація документів

Режим автоматичної нумерації документів дозволяє автоматично проставляти на документах унікальні номери, що послідовно збільшуються. Щоб увімкнути цей режим, перейдіть до пункту меню Налаштування - Автонумерація.

Синхронізація eToken PASS

Даний пункт меню відображається у випадку, якщо Вам призначений токен.

Синхронізацію токена необхідно виконати, якщо відбувалося багаторазове натискання кнопки брелока. Щоб провести синхронізацію токена, виберіть у головному меню програми пункт Установки - Синхронізація eToken PASS. На екрані буде виведено діалогове вікно, в полях якого введіть два паролі послідовно згенерованих пристроєм eToken PASS. Для завершення дій натисніть кнопку Синхронізувати.

Додаткові налаштування

Щоб задати інші налаштування, перейдіть до пункту меню Налаштування - Додаткові. На екрані буде виведена форма, що містить дві вкладки з налаштуваннями:

Щоб зберегти виконані установки, натисніть кнопку Зберегти.

Компоненти криптозахисту

У пункті меню Налаштування - Компоненти криптозахистуВи можете переглянути інформацію про встановлених версіяхкомпонент криптозахисту, а також перейти до їх встановлення чи оновлення. На екрані відображається інформація про наступні компоненти:

  • Адаптер.
  • JC Web Client.
  • HTTPFile ActiveX.
  • MS CAPICOM.

Також на цій сторінці відображається ідентифікатор пристрою, з якого виконано вхід до системи "Інтернет-клієнт для юридичних осіб" (MAC-адреса або хеш обладнання). Якщо Ви хочете прив'язати цей пристрій до своєї облікового запису, натисніть на його ідентифікатор. В результаті буде сформовано лист з інформацією про даному пристрої, яку Ви можете надіслати до банку.

mob_info