Что такое ключ auth
Перейти к содержимому

Что такое ключ auth

  • автор:

Национальный удостоверяющий центр

Есть проект, на ASP.NET MVC (c#), в который нужно добавить регистрацию и авторизацию с помощью ЭЦП. Использую NCLayer.

Я почитал про PKI, посмотрел примеры в SDK, но у меня остался ряд вопросов:

1) В SDK, в папке «Keys And Serts», у большинства пользователей, имеются сертификаты двух типов, например:
1. AUTH_RSA256_ac13ae13f678ce59fb8cea3ddd0b974c8e597b24
2. GOSTKNCA_ea1ec86324cee37e9548e4ea6a834b5ce5fd15ab
Это один и тот же сертификат, только зашифрованный двумя разными типами? Если да, то почему у физ. и юр. лиц сертификат только один?

2) Насколько я понял, ключ с приставкой AUTH служит только для авторизации, но не способен подписывать документы. А ключ RSA должен использоваться для подписи/отправки запроса. Почему тогда в ключе, который под номером 1, в наименовании есть и AUTH и RSA? Он универсальный (подходит и для авторизации, и для подписи)?

3) Вопрос о реализации регистрации и входе на портал.
Я видел как это реализовано на сайте egov.kz: при регистрации пользователь вставляет сертификат ключа, затем появляются данные, которые в нём хранятся (ИИН, Email, Дата окончания действия сертификата, ФИО), вводится пароль и email для аккаунта.
При авторизации нужно лишь выбрать сертификат ключа.
Вопрос в следующем: как правильно реализовывать авторизацию? При регистрации сохранять данные из сертификата (например ИИН), а затем при входе на портал считывать данные из сертификата и сравнивать с тем, что было сохранено при регистрации?
Соответственно возникает вопрос, могу ли я сохранять ИИН, который получаю из сертификата при регистрации? безопасно ли при авторизации просто сравнивать ИИНы?

4) При получении данных из сертификата (даты окончания, ИИН, email, ФИО) нужен ли доступ к интернету? Обращается ли NCLayer к серверам НУЦ для получения данных из сертификата или самостоятельно расшифровывает сертификат?

5) Есть ли кардинальная разница в работе (безопасность, скорость) между NCLayer и KalkanCryptCOM? Имеют ли оба возможность реализовать регистрацию + вход на портал, а также подпись + расшифровку подписанных документов?

Заранее спасибо

Re: Авторизация и подпись файла с помощью сертификатов 1 год, 3 мес. назад #3959

1) Это разные ключи и соответственно сертификаты. Один — для авторизации, второй — для подписи.

2) Вы путаете, это разные вещи: AUTH в наименовании ключа указан для удобства. Означает — применение ключа для авторизации. А RSA256 означает, что ключ сформирован по алгоритму RSA (т.е. подписывает и шифрует по указанному алгоритму) с использованием алгоритма хэширования sha256. Но это лишь для удобства пользователя при выборе ключа. Указанные данные (алгоритм и использование ключа/key usage) Вы должны получать из расширений сертификата. Как это сделать есть в примерах в SDK НУЦ РК.

3) Просто сохранять ИИН/БИН и сравнивать его при входе небезопасно. Т.к. сертификат относится к открытым данным и любое лицо сможет залогиниться у Вас под чужим сертификатом. Необходимо каждый раз генерировать уникальную строку данных и отправлять (саму строку или упаковывая ее в XML) пользователю на подпись. Пользователь подписывает своим закрытым ключом* и отправляет Вам на сервер. Вы проверяете подпись, данные сертификата подписи, совпадают ли подписанные данные с отправленными сервером, на основе чего и принимаете решение логин прошел успешно или нет.
Есть также способ авторизации с использованием SSL сертификатов. Информацию можете найти в интернете.
*Каждый файл с ключами *.p12 содержит открытый ключ, закрытый ключ и сертификат.

4) Не обращается.

5) Таких сравнений не производилось да и некорректны будут они. NCALayer разработан для использования на клиенте, для обращения к функциям криптопровайдера из браузера. А библиотека KalkanCryptCOM позиционируется для использования на серверной стороне или в самостоятельно реализуемых клиентских приложениях.

Изменено: 1 год, 3 мес. назад от Murat Seisenov.

Re: Авторизация и подпись файла с помощью сертификатов 1 год, 3 мес. назад #3961

Спасибо большое Вам за ответ!

Возник ещё один вопрос:

Murat Seisenov написал:

Необходимо каждый раз генерировать уникальную строку данных и отправлять (саму строку или упаковывая ее в XML) пользователю на подпись. Пользователь подписывает своим закрытым ключом* и отправляет Вам на сервер. Вы проверяете подпись, данные сертификата подписи, совпадают ли подписанные данные с отправленными сервером, на основе чего и принимаете решение логин прошел успешно или нет.

Допустим я каждый раз буду генерировать случайную строку, а пользователь будет её подписывать.
Насколько я понял, чтобы считать данные в подписанной строке мне нужен открытый ключ.
Мне нужно вычленять открытый ключ из *.p12 файла пользователя при регистрации, а потом пользоваться им при авторизации? Получается сохранение всего сертификата, закрытого ключа лежит на моей совести?
Если да, то как открытый ключ хранить на сервере, по соображениям безопасности можно ли хранить их в БД, либо их нужно упаковывать в какой-то специальный контейнер?

Re: Авторизация и подпись файла с помощью сертификатов 1 год, 3 мес. назад #3962

Если подпись в формате CMS или XML, то сертификат включается в подпись. Т.е. Вам будет необходимо передать подпись в формате CMS или XML в соответствующий метод криптопровайдера. Открытый ключ содержится внутри сертификата. Что и как сохранять — это уже относится к архитектуре Вашей ИС. На усмотрение Вашего архитектора.
Закрытый ключ Вы никак не можете сохранить у себя. Это секретный ключ, который должен быть только у владельца ключа. Пользователь не должен никому передавать свой закрытый ключ.

Электронная цифровая подпись

Электронная цифровая подпись (далее по тексту – ЭЦП) – это аналог собственноручной подписи. ЭЦП используется для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью.

Для работы с ключами электронной цифровой подписи необходимо установить программу NCALayer . ПО NCALayer предоставляет возможность использовать средства ЭЦП НУЦ РК в веб-приложениях, обеспечивает работу Java в браузерах. Функционал NCALayer может быть расширен установкой дополнительных модулей, предоставляемых сторонними разработчиками.

Для обмена юридически-значимыми документами на портале E-DOC Вам необходимо иметь сертификат юридического лица или индивидуального предпринимателя.

ЭЦП – это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием Электронного регистрационного свидетельства (далее по тексту – Сертификата) и закрытого ключа ЭЦП. Сертификат и закрытый ключ ЭЦП выпускаются на SMART-карте, что исключает нарушение целостности этой информации и копирование закрытого ключа ЭЦП. SMART-карта защищена PIN-кодом, что гарантирует ее использование только владельцем Сертификата. Позволяя идентифицировать владельца Сертификата, ЭЦП помогает защитить электронный документ от подделки, а также определить отсутствие искажения информации в нём.

Чем отличаются ключи ЭЦП с названием AUTH_RSA от RSA/GOST​?

«RSA/GOST«предназначен для подписи документа/запроса, а » AUTH_RSA» для аутентификации пользователя, т.е. для входа/авторизации

Авторизация на Евразийском электронном портале

Для входа в систему необходимо на странице https://edoc.kz/ нажать на кнопу «Войти«.

Далее в открывшемся окне необходимо выбрать источник сертификата НУЦ на локальном компьютере, нажав на кнопку «КОМПЬЮТЕР» или внешнем носителе ключевой информации KAZTOKEN.

Авторизация осуществляется посредством сертификата с наименованием AUTH***

После указывается пароль на хранилище ключей. При правильности пароля отображаются данные выбранного ключа и подписывается.

Что такое ключ auth

Налоговый отчетный период стартовал.
Не забудьте сдать 913 и 200 формы до 15 ноября!

Онлайн бухгалтерия №1 в Казахстане!

  • МЗП 70 000 тг МРП 3 450 тг
  • Размер стандартного налогового вычета 14 МРП (48 300 тг)
  • Максимальный оборот по патенту за год 3 528 МРП (12 171 600 тг)
  • Максимальный оборот по упрощенной декларации за полугодие 24 038 МРП (82 931 100 тг)
  • Максимальный оборот по фиксированному вычету за год 144 184 МРП (497 434 800 тг)
  • Минимум оборота для постановки на учет по НДС за год 20 000 МРП (69 000 000 тг)
  • Данные актуальны: 2023 Подробнее

Открытый и закрытый ключ ЭЦП: основные различия

Электронная подпись предусматривает применение закрытого и открытого ключей одновременно. Сама технология реализована на базе связки компонентов ЭЦП. Ключи связаны за счёт математического соотношения. Подобная технология обеспечивает безопасность шифрования данных. Даже в случае перехвата информации её практически невозможно расшифровать.

Что такое открытый ключ

Открытый ключ ЭЦП доступен для всех пользователей информационной системы. По своей сути это цифровой код. Сертификат открытого ключа ЭЦП используется для идентификации владельца и в качестве исходных данных для шифрования. В состав сертификата входят данные:

Уникальный номер

уникальный номер,
присваиваемый в ходе
регистрации;

Личные сведения о держателе

личные сведения о держателе,
включая реквизиты эмитента —
удостоверяющего центра и
Ф. И. О. владельца

Срок действия сертификата

срок действия выданного
сертификата

Проверка электронной подписи

Проверить открытую часть электронной подписи можно с помощью СКЗИ — средств криптографической защиты информации. Это может быть, например, программа КриптоПро CSP. Но это же можно проделать и в сторонних программах, и на веб-сайтах.

Доступ к открытому элементу цифровой подписи публичный — воспользоваться им может кто угодно.

Открытая часть ключа ЭЦП: как сделать

Выдача этой части ключевой пары ЭЦП производится удостоверяющим центром, аккредитованным Минцифры, но это относится только к квалифицированным сертификатам. В его функции входит формирование собственного сертификата, сертификата конечного пользователя, заверение их аутентичности. Для учёта выданных сертификатов УЦ ведёт специальный реестр. Спектр выполняемых органом задач охватывает также аннулирование скомпрометированных сертификатов с последующим обновлением существующей базы.

Понятие закрытого ключа

Данные шифруются с помощью открытого ключа, а расшифровать их можно только тем закрытым ключом, который связан именно с этим открытым ключом.

Закрытый ключ ЭЦП именуется также секретным. Этот компонент криптосистемы считается более уязвимым и подверженным взлому. Его получение злоумышленником позволяет создать действительную электронную подпись от имени автора. Поэтому особую важность приобретает хранение криптографической составляющей в надёжном месте. Персональный компьютер не может обеспечить надлежащую защиту ключевой пары. Закрытый ключ ЭЦП — это уникальное сочетание символов, для хранения которых используется цифровой носитель. Им могут служить:

Смарт карта

Токен

USB-носитель

Дискета

Похищение либо потеря устройства хранения данных могут быть сразу обнаружены пользователем — можно успеть своевременно отозвать сертификат. Использование токена или смарт-карты предполагает двухфакторную аутентификацию — введение PIN-кода. Скопировать информацию с носителя, не зная PIN-кода, представляется довольно сложной задачей. Однако токены более универсальны в связи с возможностью их использования на любом устройстве, оснащённом USB-портом.

Подписаться на рассылку

Хранение закрытого ключа осуществляется только у владельца электронной цифровой подписи. Но при этом дубликаты могут создаваться самим владельцем ЭЦП. Хранение составляющей ключевой пары с истёкшим сроком действия целесообразно с целью возможности в дальнейшем расшифровать документы из давнего электронного архива.

Закрытый ключ является конфиденциальным. Ответственность за его сохранность в полной мере возлагается на владельца ЭЦП, что прописано на законодательном уровне.

Зачем нужны открытый и закрытый ключ ЭЦП

Открытый и закрытый ключ электронной подписи решают разные задачи. Открытый ключ ЭЦП предназначен для зашифровки информации, в то время как закрытый призван обеспечить её расшифровку. Открытый ключ можно без опасений передавать, не рискуя при этом сохранностью данных. Работа ключевой пары осуществляется только при взаимодействии двух составляющих. Надёжная криптосистема успешно используется для заверения электронных документов. Удобный инструмент обеспечивает надлежащую конфиденциальность данных и защиту от фальсификации.

Как вытащить сертификат ключа проверки ЭЦП

Осуществить экспорт сертификата ключа электронной подписи возможно через свойства обозревателя или криптопровайдер КриптоПро CSP. Для извлечения необходимо подключить к ПК носитель с ключом. Чтобы подробнее ознакомиться с процедурой экспорта, воспользуйтесь нашей инструкцией. Кроме того, в ней можно узнать, как сделать дубликат ЭЦП.

Для удобства подготовили для вас материалы о ЭЦП, из которых вы узнаете:

  • Как установить закрытый ключ ЭЦП в Криптопро
  • Как узнать пароль от закрытого ключа ЭЦП
  • Что делать, если компьютер не видит закрытый ключ ЭЦП

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *