Какие бывают корневые сертификаты и для чего нужны
Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.
Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:
1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).
Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.
Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».
2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».
Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).
В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».
3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.
Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.
В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».
Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.
«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.
Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).
Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»
Контакты
1.1. Сведения о технических и программных средствах, обеспечивающих работу
Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица или индивидуального предпринимателя необходимо установить следующее программное обеспечение (ПО):
- ОС Windows XP SP3 или выше, либо Mac OS X9 или выше (например, Windows 7). Необходимо установить все официальные обновления, касающиеся информационной безопасности, для выбранной операционной системы;
- Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89:
- КриптоПро версии 3.6.7777 и выше
- Vipnet CSP версии 4.2 (Windows 10 не поддерживается)
- Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89 («Internet Explorer» версии 8.0.6001+ или выше;
- Набор драйверов и дополнительных утилит для работы с электронными ключами eToken PKI Client1 SP1;
- Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in версия 2.0
Необходимо установить сертификаты:
- Сертификат «Головного Удостоверяющего Центра» (скачать с сайта Головного Удостоверяющего Центра) — в хранилище сертификатов «Доверенные корневые центры»;
- Цепочку КСКПЭП, начиная от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов, установить в соответствующие хранилища:
- Самоподписанный (поле «Кому выдан» совпадает с полем «Кем выдан») квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП) удостоверяющего центра, — в хранилище сертификатов «Доверенные корневые центры»;
- Остальные сертификаты цепочки — в хранилище сертификатов «Промежуточные центры сертификации».
- КСКПЭП, выданный юридическому лицу удостоверяющим центром, аккредитованным в соответствии с требованиями Федерального закона № 63-ФЗ, — в хранилище сертификатов «Личные».
1.2. Установка «Помощник 1.0»
Скачиваем и запускаем приложение «Помощник 1.0»
На вопрос «Разрешить этому приложению вносить изменения на вашем устройстве?
» отвечаем «Да
»
Нажимаем «Далее
»
Отмечаем третью по счету галочку «ФНС – Личный кабинет налогоплательщика (www.
nalog.
ru)»
и нажимаем«Далее».
Нажимаем «Далее
»
Нажимаем «Установить
».
Начнется установка. На все запросы необходимо отвечать «Да
»
Нажимаем «Далее
»
Проверяем чтобы последние 3 пункта были как на фото и нажимаем «Завершить
» в противном случае повторить все операции с пункта «1»
Установка «Помощник 1.0» завершена
Вариант 1. Устанавливаем корневой сертификат УЦ, выдавшего ЭЦП
Как установить сертификат ЭЦП — вопрос, волнующий многих пользователей, оплативших ключ ЭЦП. Перед тем как непосредственно перейти к делу, необходимо скачать программу «КриптоПро» с официального сайта.
Установка сертификата ЭЦП допустима двумя путями:
- используя раздел «Установить личный сертификат»;
- используя раздел «Просмотреть сертификаты в контейнере».
Рассмотрим первый случай более подробно.
- В строке управления находим программу «КриптоПро CSP» и открываем ее.
- Переходим на закладку «Сервис» и находим клавишу «Установить личный сертификат».
- В ответ откроется окошко «Мастер установки сертификатов» — жмем «Далее».
- Кнопкой «Обзор» прокладываем путь к сертификату
и переходим к клавише «Открыть».
- Кликаем «Обзор» и в новом окне подбираем соответствующий сертификату контейнер — жмем «ОК».
- В открывшемся окошке выбираем «Обзор» и папку «Личное», далее — «Ок» и в последующем окошке выбираем «Готово».
Применение
Aladdin LiveOffice может использоваться
- Для организации удалённого и/или смешанного режима работы, когда сотрудник часть времени работает на “удалёнке” (с использованием личного компьютера), а часть — в офисе (с использованием служебного компьютера).
- Для юридически значимого электронного документооборота в качестве средства формирования и проверки электронной подписи (УКЭП).
- Для строгой или усиленной двухфакторной аутентификации пользователей.
- При реализации требований по защите информации от несанкционированного доступа для автоматизированных систем (АС) классов защищённости 1Г, 1Д, 2Б, 3Б.
- При обработке служебной информации ограниченного распространения, включая:
- налоговую, банковскую, врачебную, нотариальную, аудиторскую, адвокатскую тайну;
- тайну страхования, связи, следствия и др.;
- секреты производства (ноу-хау);
- информацию о новых решениях и технических знаниях, экспертизах, кредитных историях, таможенных профилях и индикаторах рисков, пенсионных счетах и др.
Aladdin LiveOffice не позволяет
- Использовать устройство на чужом (неавторизованном) компьютере — все его функции, а также служебные и пользовательские данные будут недоступны, даже при вводе правильного пароля доступа.
- Скопировать или сохранить обрабатываемую служебную информацию на локальные, съёмные диски, флешнакопители и другие устройства с функцией хранения информации.
- Распечатать обрабатываемую служебную информацию на локальном или сетевом принтере.
- Загрузить на свой компьютер какой-либо файл (возможно, заражённый) с внешнего носителя или из сети Интернет и передать его в ИС организации.
- Выйти в сеть Интернет при дистанционной работе напрямую со своего личного компьютера (сеть будет доступна только через служебный компьютер, а работа в сети защищена используемыми в организации средствами защиты).
- Получить доступ к сохранённым в памяти устройства служебным или пользовательским данным, а также использовать его для удалённого доступа в ИС организации в случае утери или кражи устройства.
Aladdin LiveOffice может администрироваться дистанционно с использованием системы централизованного управления JMS, которая автоматизирует большинство рутинных операций и позволяет обновлять пользовательские настройки, профили, цифровые сертификаты, ключи.
Средство обеспечения безопасной дистанционной работы Aladdin LiveOffice сертифицировано ФСТЭК России
01.03.2021
Распечатать новость
Компании «Аладдин Р.Д.», ГК Astra Linux и «ИнфоТеКС» сообщают о получении сертификата соответствия ФСТЭК России на средство обеспечения безопасной дистанционной работы Aladdin LiveOffice для сотрудников органов исполнительной власти, государственных структур, предприятий КИИ, банков, коммерческих организаций.
Сертификат соответствия № 4355, выданный ФСТЭК России, удостоверяет, что средство обеспечения безопасной дистанционной работы Aladdin LiveOffice, разработанное и производимое АО «Аладдин Р.Д.», является программным обеспечением со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, реализующим функции идентификации и аутентификации, управления доступом и регистрации событий безопасности, и соответствует требованиям по безопасности информации, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 4 уровню доверия и технических условиях.
Сертифицированное средство обеспечения безопасной дистанционной работы Aladdin LiveOffice представляет собой специализированное защищённое USB-устройство, обеспечивающее загрузку компьютера с внешнего USB-носителя, на котором находится сертифицированная операционная система Astra Linux Special Edition версии 1.6 SE «Смоленск» с набором предустановленного программного обеспечения для подключения к сети Интернет (Ethernet или WiFi), автоматическую настройку и подключение к шлюзу организации с использованием сертифицированного на соответствие требованиям ФСБ России к средствам криптографической защиты информации (СКЗИ) класса КС1 VPN-клиента производства компании «ИнфоТеКС». За счёт этого, Aladdin LiveOffice обеспечивает возможность безопасного удалённого подключения к своему служебному компьютеру или виртуальному рабочему столу (VDI), а также обеспечивает безопасную дистанционную работу в ГИС до 1 класса защищённости включительно, в значимых объектах КИИ до 1 категории включительно, в АСУ ТП до 1 класса защищённости включительно, в ИСПДН до 1 уровня защищённости включительно, в медицинских (МИС), банковских (ИБС) и других ИСОП до II класса.
Aladdin LiveOffice может использоваться для организации удалённого и/или смешанного режима работы, когда сотрудник часть времени работает на «удалёнке» (с использованием личного компьютера), а часть в офисе (с использованием служебного компьютера). Aladdin LiveOffice можно использовать как для работы в режиме удалённого подключения, так и в автономном режиме, например, при плохом канале связи. Для этого достаточно загрузить требуемые документы из ИС организации, сохранить их на защищённый раздел USB-носителя и использовать для работы предустановленный набор приложений, включающий стандартный офисный пакет. При организации дистанционной работы сотрудников Aladdin LiveOffice является полноценной, но гораздо более дешёвой альтернативой служебному ноутбуку с установленным на нём набором необходимых средств защиты, обеспечивающих выполнение требований регламентирующих документов ФСТЭК России.
Если у вас возникли вопросы, напишите нам: Aladdin@mont.com
Защита персональных данных и конфиденциальной информации
Продукты линейки Secret Disk
Защита данных от несанкционированного доступа
Доступ к данным по USB-токену или смарт-карте JaCarta или eToken
Сертифицировано ФСТЭК России
Сертифицированные продукты
Возможность применения в ?СПДн до 1 класса и АС до класса защищённости 1Г
Соответствие требованиям ФСТЭК и ФСБ России по защите персональных данных
Наложенное средство защиты информации
Российская криптография
Сертифицировано ФСБ России
Двухфакторная аутентификация
Контроль целостности
Шифрование данных
Встраиваемый модуль безопасности TSM
Контроль доступа к ресурсам компьютера
Контроль неизменности программной среды
Упрощение требований по безопасности эксплуатации
BI.ZONE WAF. Защита web-приложений и API
Cisco остановила свою работу в России, AWS прекратило регистрацию новых клиентов, а Arbor (Netscout) отозвала лицензии на системы защиты.
Альтернативой может стать BI.ZONE WAF. Сервис защищает веб-приложения от угроз OWASP Топ-10, безопасности API, компроментации учетных записей и DDOS.
Команда сервиса сама отслеживает инциденты и реагирует на них. Второй плюс — установить к себе его можно за несколько дней вместе с настройкой конфигурации и управлением политиками защиты.
Журнал событий BI.ZONE может фильтровать и группировать атаки по их типам, странам и другим критериям
Стоимость: по запросу компании
2. Пассворк. Менеджер паролей для бизнеса
Если менеджер паролей вдруг перестанет работать и потеряет данные — бизнес встанет на несколько дней. Если прекратит обновляться и закрывать уязвимости — то под угрозой окажется вся корпоративная информация.
Главный плюс Пассворк — он устанавливается на сервер компании и пароли хранятся в зашифрованном хранилище. Доступ к ним имеют только сотрудники компании. Отключение облаков, уход сервисов и проблемы с оплатой в валюте не влияют на работоспособность приложения.
При этом Пассворк включен в Единый реестр Российского ПО, поддерживает шифрование ГОСТ и доступен для закупок по 44 и 228 ФЗ.
Стоимость: зависит от необходимого количества пользователей и функциональности. Приобретается бессрочно с возможностью продлить подписку на техническую поддержку и обновления.
Aladdin LiveOffice. Удаленный доступ к рабочему столу
TeamViewer, самый популярный сервис для удаленного доступа с 5 марта прекратил продажу новых лицензий в России. Альтернативы AnyDesk и Ammyy Admin уже нельзя оплатить и руководство компаний может отключить их в любой момент.
Aladdin LiveOffice разрабатывался для государственных служащих. Он не только предоставляет удаленный доступ, но и работает как система защиты от утечек данных DLP. Сотрудник не сможет скачать корпоративные файлы на свой компьютер, распечатать документы на домашнем принтере или сохранить их через буфер обмена.
Есть минусы — на сайте компании и в открытых источниках нет демонстрации продукта, основных возможностей и скриншотов интерфейса.
Стоимость: по запросу
Преимущества Aladdin LiveOffice
-
Существенная (в 5-10 раз) экономия бюджета на организацию дистанционной работы за счёт возможности использования личных средств вычислительной техники сотрудников организации по сравнению с закупкой служебных ноутбуков и оснащением их набором средств защиты, необходимых для выполнения требований ФСТЭК России по реализации мер защиты при удалённом доступе.
-
Возможность быстрого встраивания в существующую инфраструктуру с минимальными её изменениями, а также возможность кастомизации решения с учётом используемых платформ и средств.
-
Сохранение всех привычек и навыков работы — при дистанционной работе пользователи работают в привычной им среде, с набором привычных приложений, все документы находятся в привычных местах — всё как при работе в офисе.
Дополнительное ПО
Внимание! Соблюдайте порядок установки!Сначала устанавливается Браузер Спутник, потом Крипто Про ЭЦП Browser plugin.Если порядок нарушен и ЭЦП в Спутнике не работает переустановить Крипто Про ЭЦП Browser plugin заново!
Плагин для работы с ЭЦП в браузерах Internet Explorer, Mozilla Firefox, Opera, Google Chrome, Яндекс.Браузер
Инструкция по установке расширений для работы с ЭЦП в браузерах Google Chrome, Chromium GOST и других браузерах на основе Chromium
-
Будет ли работать память 1600 на 1333 материнке
-
Как сохранить файл корел в более ранней версии
-
Как восстановить компьютерный номер фаберлик
-
Как восстановить удаленные куки файлы
- Как записывать на ssd с fujifilm xt4
Строгая аутентификация и электронная подпись
JaCarta – новое поколение смарт-карт, USB-, MicroUSB- и Secure MicroSD-токенов
Строгая аутентификация пользователей
Биометрическая идентификация
Аппаратная реализация российской и зарубежной криптографии
Формирование усиленной квалифицированной ЭП
Безопасное хранение ключевой информации
Сертификаты ФСТЭК России и ФСБ России
JaCarta SecurLogon
Безопасный доступ к ПК и сетевым ресурсам по токену
Решение проблемы «слабых» паролей
Автоматизация соблюдения пользователями требований политик ?Б
Смарт-карт ридеры
С поддержкой стандарта ISO 7816
Для ПК и ноутбуков
Для мобильных устройств
С биометрическими сканерами
Встроенные в клавиатуры
«Антифрод-терминал» – защита от новейших атак
Защита от перехвата PIN-кода смарт-карты
Защита от подмены и навязывания серверу поддельных документов
Усиленная аутентификация на защищённых ресурсах
Защита от мошеннических действий легальных пользователей
USB-ключи и смарт-карты
Замена парольной аутентификации на строгую аутентификацию
Безопасное хранение цифровых сертификатов
Аппаратная электронная подпись
Сертифицировано ФСТЭК России
eToken Network Logon
Централизованная настройка методов аутентификации на рабочих станциях
Аутентентификация по цифровым сертификатам
Блокировка компьютера при отсоединении eToken
Сертифицировано ФСТЭК России
Установка контейнера ключей
-
Файл вида sgn-xxxx-xxxx-xxxx-xxxx обязательно
должен находиться на \
Infotecs
\
Containers
\
Infotecs
\
Containers
!!!
Рекомендуется копию файла хранить на диске (дискете) в сейфе.Указываете файл .cer и запускается «Мастер установки сертификатов». Нажимаете «Далее»:
В следующем окне ставите галочки «Установить сертификаты издателей» и «Установить СОС» и нажимаете кнопку «Далее»:
Отмечаете «Указать контейнер с закрытым ключом» и нажимаете кнопку «Далее»:
Откроется окно «ViPNet CSP – инициализация контейнера ключа», нажимаете кнопку «Обзор» и указываете путь к контейнеру ключей \Infotecs\Containers, нажимате «ОК»
В следующем окне необходимо подтвердить установку сертификата (нажать «Да»):
Установка завершена, нажимаем «Готово»:
Какая информация содержится в корневом сертификате
Корневой сертификат представляет собой файл, который содержит свойства и данные:
- серийный номер,
- сведения об УЦ,
- сведения о владельце сертификата,
- сроки его действия,
- используемые алгоритмы
- открытый ключ электронной подписи,
- используемые средства УЦ и средства электронной подписи,
- класс средств ЭП,
- ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
- ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
- электронную подпись УЦ, выдавшего сертификат.
Какой срок действия корневого сертификата удостоверяющего центра
Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.
УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.