КАК ОТФОРМАТИРОВАТЬ JA CARTA

Электронная подпись

Из нашей статьи вы узнаете:

Форматирование (инициализация) JaCarta — это освобождение памяти носителя со сбросом настроек к заводским установкам. Обычно сброс делают, когда нужно сгенерировать новую электронную подпись.

Рассказываем, как отформатировать JaCarta без пароля администратора.

Рутокен нужно форматировать, например, когда пользователь забыл ПИН-код, а права на восстановление есть только у него. При форматировании все объекты на носителе удаляются, освобождается память, сбрасываются пароли. Это позволяет администратору инициализировать рутокен в соответствии со спецификой организации или режимом безопасности.

Если вы получили электронную подпись в офисе удостоверяющего центра, форматировать носитель нельзя — ЭП будет уничтожена.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

Вы можете очистить (форматировать) носитель, чтобы освободить память устройства. При этом вся информация, которая хранится на нем, будет удалена.

Рекомендуем форматировать новый носитель перед генерацией ЭП на JaCarta-2 SE, JaCarta LT или JaCarta SE (PKI/ГОСТ), чтобы проверить его исправность и установить стандартные пин-коды.

Не форматируйте разделы носителя, в которых хранятся действующие ЭП.

Электронную цифровую подпись выдают на срок 12—15 месяцев для предотвращения компрометации или кражи данных. Ее оформляют на сотрудников, которые могут со временем уволиться, получить ЭЦП иного типа.

Итогом становится образование на носителе довольно большого массива устаревших сертификатов, которые занимают место и путают пользователя при необходимости совершить подпись документа. Выходом станет удаление устаревших из них с Рутокена, что можно сделать с помощью форматирования либо выборочно.

Удаление сертификатов с Рутокена методом форматирования

Это самый радикальный способ действия, предусматривающий полное форматирование устройства. В его рамках происходит удаление объектов, которые были внесены на Рутокен с момента его выпуска, что потребует повторной инициализации. Для совершения процедуры выполните следующие действия:

После завершения успешной авторизации в режиме администратора станет доступна кнопка «Отформатировать». После нажатия на нее будет открыто диалоговое новое окно для указания конкретных параметров. Внеся последние, достаточно нажать кнопку «Начать» и подтвердить действие в дополнительном окне. Мы специализируемся на внедрении IT-решений по автоматизации документооборота, предлагая клиентам выгодные условия и индивидуальный подбор ПО с учетом специфики бизнеса.

Обратим внимание, что нельзя форматировать Рутокен, который был выдан сотрудниками удостоверяющего центра (УЦ) одновременно с электронной подписью. Если вы это сделаете, то полученная ЭЦП будет уничтожена, что потребует повторного обращения за ее оформлением.

Выборочное удаление сертификатов без форматирования

Этот способ подойдет для случаев, когда необходимо удалить действующий сертификат уже уволенного сотрудника компании, очистив реестр от лишних записей. Для операции выполните следующие действия:

Как удалить ЭЦП с компьютера

Удалять электронную подпись с компьютера нужно, если, например, владелец меняет устройство. В этом случае ЭЦП обязательно должно быть удалено со старого компьютера, чтобы никто не смог получить доступ к подписи.

Удалять сертификат при его устаревании не обязательно, — с его помощью можно расшифровывать старые документы. При этом новым сертификатом расшифровать старые документы не получится.

Как удалить ЭЦП с помощью Windows

Чтобы удалить электронную подпись при помощи системных средств Windows, проделайте следующие действия:

Как удалить ЭЦП в Linux

Так как в Linux отсутствуют системные средства, позволяющие удалять сертификаты пользователя, нужно использовать дополнительную программу. В данном случае мы будем использовать одну из самых популярных программ — Mono.

После скачивания и установки программы (инструкция находится на сайте), выполните следующие действия:

Как удалить ЭЦП при помощи «Инструменты КриптоПро»

Для тех, у кого установлен «КриптоПро CSP» версии 5.0, могут воспользоваться «Инструментами КриптоПро» — графическим приложением для Windows, Linux и MacOS. С его помощью можно удалить сертификат электронной подписи.

В программе можно удалять только один сертификат за раз, так что описанные действия придётся выполнять для каждого из сертификатов, которые нужно удалить.

Как удалить закрытый ключ ЭЦП с помощью «КриптоПро CSP»

Обычно удаляют только сертификаты электронной подписи, но если требуется удалить и контейнеры закрытых ключей, это можно сделать с помощью программы «КриптоПро CSP».

Предварительно вытащив носитель с электронной подписи из устройства, выполните следующие действия:

Можно ли восстановить сертификат ЭЦП после удаления

Электронная подпись содержит конфиденциальные данные конкретного пользователя. Для предотвращения их хищения и дополнительной защиты сертификаты удаляются, минуя «Корзину», поэтому восстановить их невозможно.

Доступно только восстановление открытой части сертификата, которая находилась в контейнере вместе с закрытым ключом. Если в нем был только закрытый ключ, то сертификат можно повторно запросить в удостоверяющем центре (УЦ), где была оформлена ЭЦП. При случайном или намеренном удалении сертификата из интернет-браузера можно его восстановить программой «КриптоПро».

При случайном удалении закрытого ключа восстановить его можно только при наличии копии на токене либо USB-накопителе. Если последнего нет, то придется повторно обращаться в удостоверяющий центр для перевыпуска сертификата (отдельные тарифные планы предлагают подобную возможность на платной основе).

Стоит ли удалять старые ЭЦП

При удалении устаревших электронных цифровых подписей необходимо понимать, что затем не удастся открывать зашифрованные с их помощью документы. Произойдет это даже в случае, если новая ЭЦП будет установлена на пользователя, чьи данные были в устаревших сертификатах. Подобное особенно актуально при работе с отчетными документами, которые могут понадобиться в будущем.

Для предотвращения описанной выше проблемы можно не удалять ненужные сертификаты цифровых подписей, а просто скрыть их из общего списка. Это упростит поиск нужной ЭЦП в окне выбора и одновременно сохранит доступ ко всему массиву зашифрованных на компьютере документов.

Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:

Разновидности кодов доступа на подписи Рутокен

Для подписи документов ЭЦП надо знать два типа подобных кодов:

PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.

PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.

Как сохранить и обезопасить данные

Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:

При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).

Как изменить ПИН

Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:

Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен

Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:

Как войти в Рутокен с помощью пин-кода

После подключения токена к ноутбуку либо компьютеру выполните следующие действия:

Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.

Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?

Выполните действия по следующему алгоритму:

Основные нюансы работы с PIN-кодами Администратора

Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.

Рутокен имеет счетчик неверных попыток для ввода PIN-кода «Администраторы» (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.

Как скорректировать ПИН Администратора

Для изменения действующих настроек придерживайтесь следующего алгоритма:

Как вернуться к заводским настройкам Рутокен

Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:

Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:

Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:

Изменение политики по смене пользовательского PIN-кода

Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:

Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:

При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.

Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.

Способы установки PIN-кода Администратора и Пользователя

Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.

Способы защиты от указания слабого PIN-кода

Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.

PINENCODING (параметр, установленный в рамках базовых настроек, — ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.

PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.

PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.

PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.

PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.

PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, — 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.

PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, — 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.

PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.

(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.

PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.

Как изменить политики

Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:

Как разблокировать PIN-код?

Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:

Работа с PIN-кодами через утилиту rtAdmin

В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).

По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).

Как изменить пароль смарт-карты Рутокен с помощью компьютера

При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:

Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).

Для изменения пароля выполните следующие действия:

Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.

Форматирование токенов

Обращаем ваше внимание, что при форматировании всё содержимое идентификатора Рутокен удаляется безвозвратно.

Если PIN-код модели Рутокен ЭЦП 2.0 Flash был заблокирован, то при форматировании удаляется и содержимое флеш-памяти.

Продукт Рутокен Диск после такого форматирования восстановлению не подлежит.

Форматирование заблокированного Рутокена первой аппаратной версии (маркировки на торце носителя 0B0Z или 0D3Z ) невозможно. Если такой Рутокен будет заблокирован, необходимо приобрести новый идентификатор.

Откройте «Пуск» — («Настройка») — «Панель управления» — «Панель управления Рутокен» — вкладка «Администрирование»

Выберите кнопку «Ввести PIN-код» — выберите учетную запись «Администратор» и введите PIN-код.

По умолчанию PIN-код Администратора — 87654321

Если PIN-код Администратора неизвестен — требуется заблокировать Рутокен — для этого необходимо превысить допустимое количество попыток ввода PIN-кода Администратора.

После ввода верного PIN-кода Администратора (или после блокировки идентификатора) кнопка «Форматировать» становится активной.

Перед форматированием ключевого идентификатора Рутокен вы можете задать новые PIN-коды для Пользователя и Администратора.

Если оставить флаг «Использовать PIN-код по умолчанию», то будут установлены PIN-коды по умолчанию.

Также в данном окне вы можете установить дополнительные настройки безопасности:

«Минимальная длина PIN-кода» — ограничение минимальной длины PIN-кода, которую впоследствии можно будет устанавливать для данного идентификатора.

«Попытки ввода PIN-кода» — устанавливает количество попыток ввода PIN-кода, если количество попыток ввода исчерпано — учетная запись блокируется.

«Смену PIN-кода Пользователь может производить» — по умолчанию только сам Пользователь может сменить себе PIN-код, предварительно введя текущий, данный раздел позволяет установить другие права на возможность смены PIN-кода Пользователя.

После нажатия на кнопку «Начать» возникает предупреждение о том, что все данные на электронном идентификаторе Рутокен будут уничтожены. Если вы согласны с этим — выберите кнопку «ОК».

Не отключайте Рутокен и не прерывайте операцию форматирования.

После окончания операции форматирования появится следующее сообщение: «Форматирование успешно завершено».

Поддерживаемые платформы

Чтобы форматировать токен:

Поддерживаемые модели

В двух предыдущих JaCarta как отформатировать раздел «ГОСТ», так и очистить «PKI» можно было по выбору. В JaCarta LT можно только полностью очистить носитель.

На вопрос, как отформатировать jacarta lt без пароля администратора, ответ — никак. Однако вы можете попробовать использовать пин-код по умолчанию — 87654321.

Примеры использования

При форматировании вся информация с токена будет безвозвратно удалена.

Для форматирования токена:

Применение

При работе с утилитой рекомендуется не подключать больше одного устройства Рутокен.

EToken

Помогла ли статья решить вопрос?

Благодарим за отзыв!

Спасибо, что сообщили нам!

Как инициализировать JaCarta

Очистить можно или только раздел PKI, или полностью отформатировать JaCarta — удалить все электронные подписи.

JaCarta SE

Параметры

Утилита запускается из командной строки, её параметры представлены в таблице.

При необходимости параметры командной строки могут быть переданы с помощью конфигурационного файла.

В случае отсутствия заданных PIN-кодов при форматировании устанавливаются PIN-коды по умолчанию.

Утилита является циклической и после выполнения заданных действий на подключенном токене ожидает подключения следующего.

JaСarta

JaCarta LT с установленным PIN-кодом администратора

Если вы установили на JaCarta LT PIN-код администратора и код был заблокирован или забыт, отформатировать такой токен в «Едином Клиенте JaCarta» нет возможности.

Для форматирования токена в этом случае:

После успешного форматирования удалите JC-PROClient, чтобы дальше корректно управлять токеном через «Единый Клиент JaCarta».

Утилита предоставляет пользователю возможность поточного форматирования токенов:

Пользователь может запустить форматирование токенов с автоматической генерацией PIN-кода заданной длины, для этого он устанавливает соответствующую опцию в конфигурационном файле.

Пользователь может задать дефолтные значения PIN-кодов, тогда все токены будут иметь одинаковые PIN-коды.

Пользователь может задавать PIN-коды или генерировать их автоматически в кодировке UTF-8, установив соответствующую опцию в конфигурационном файле.

Пользователь может использовать заранее сгенерированные сторонними утилитами PIN-коды. Для этого в настройках он указывает файл, в котором хранится список сгенерированных PIN-кодов с символом перевода строки в качестве разделителя. P IN-коды должны быть записаны парами, например:

Смена PIN-кода

В зависимости от политик смены PIN-кода, указанных при форматировании, PIN-код пользователя могут изменить пользователь и(или) администратор.

Результаты смены PIN-кодов пишутся в лог. Если авторизоваться не удается, в лог-файл пишется ошибка. Поточная смена PIN-кодов не прерывается.

Пользователь может запустить смену PIN-кодов с автоматической генерацией новых PIN-кодов заданной длины, для этого он устанавливает соответствующий параметр. Пользователь может задать дефолтные значения PIN-кодов, тогда все токены будут иметь одинаковые PIN-коды.

Протоколирование работы в лог-файл

Лог-файл представляет собой файл со строками следующего содержания:

1. В случае форматирования

2. В случае смены PIN-кода

3. В случае форматирования Flash-памяти

4. В случае изменения атрибутов разделов Flash-памяти

5. В случае получения информации об атрибутах разделов Flash-памяти

Если при повторном запуске утилиты пользователь не указал новое имя лог-файла, то старый файл дополняется.