A segédprogram lehetővé teszi a felhasználó számára a tokenek formátumának streamelését. A tokenek PIN kódja: jelszó speciális szabályokkal Mi a teendő, ha a rendszergazdai PIN blokkolva van
Alapértelmezés szerint az exportált kulcs tiltása a token létrehozásakor, a hitelesítésszolgáltatónál történik. Ha ezt ott nem tették meg, akkor mi csinálunk egy ilyen trükköt.
Illesztőprogramok és Rutoken vezérlőmodul telepítése
Először is telepítenie kell illesztőprogramokat és szoftvereket a rootken kezeléséhez és adminisztrálásához. Letöltheti a gyártó hivatalos webhelyéről.
https://www.rutoken.ru/support/download/drivers-for-windows/
A telepítéskor a RUTOKEN tokent le kell választani a számítógépről
Ez a hiba az esetek 99 százalékában a CryptoPro CSP licenc hiánya vagy lejárt miatt jelentkezik.
A CryptoPro telepítése után minden úgy néz ki, ahogy kell, és elérhető a privát kulcs exportáló gombja.
A tanúsítvány kivitelét megtiltjuk
Exportáljuk a tanúsítványt, ennek eredményeként kapsz egy pfx archívumot. Nyilvános és privát kulcsokat is tartalmaz majd. Most próbálja meg importálni a tanúsítványt. Kérjük, vegye figyelembe, hogy az importáláskor nem kell bejelölnie a "Privát kulcs exportálása" jelölőnégyzetet, nem adjuk meg a kirakáshoz.
Beírjuk a PIN-kódot (leggyakrabban ez a rutoken szabványa, ha nem változtatta meg)
Bizonyos esetekben hibaüzenet jelenhet meg: „csak az RSA-kulcsokhoz tartozó tanúsítványok importálhatók”
A megoldáshoz konvertálnunk kell a pfx tanúsítványt. Szükségünk van az OpenSSL segédprogramra. Exportálja a privát kulcsot a PFX fájlból OpenSSL használatával:
- pkcs12 -in newcert.pfx -nocerts -out encrypted.key
- Ugyanezeket a műveleteket hajtjuk végre a tanúsítvánnyal: pkcs12 -in newcert.pfx -nokeys -out cert.pem
- A kapott tanúsítványt és privát kulcsot DER formátumba konvertáljuk:
OpenSSL> x509 -in cert.pem -out cert.crt -outform DER
OpenSSL> rsa -in encrypted.key -out key.der -outform DER - A konvertált privát kulcs beírása a Rutokenbe
- A régi tanúsítványt az új ellenőrzése után töröljük.
Remélem, ez a módszer segít, tiltsa le a privát kulcs exportálását a rootkenből, ha van kiegészítője vagy egyéb módszere, írjon róluk a megjegyzésekben.
A cél
A PinChanger segédprogramot a Rutoken formázási és adminisztrációs folyamatainak automatizálására tervezték: a token címke, a PIN kódok és paramétereik megváltoztatása.
Támogatott modellek
- Rutoken S (csak Windows platformokon és csak az rtPKCS11.dll könyvtár használatával (alapértelmezés szerint beállítva))
- Rutoken Lite
- Rutoken EDS
Támogatott platformok
- MS Windows 8/2012/7/2008 / Vista / 2003 / XP / 2000
- GNU / Linux
- Mac OS X
Lehetőségek
A segédprogram a parancssorból indul el, és a következő paraméterekkel rendelkezik:
№ | Parancs leírása | Parancssori paraméter | Alapértelmezett érték |
---|---|---|---|
1 | Token formázás | -f | - |
2 | Jelenlegi rendszergazdai PIN-kód | -o | -o opció nélkül használjuk |
3 | Jelenlegi felhasználói PIN-kód | -val vel | A -c opció nélkül használjuk |
4 | Konfigurálható rendszergazdai PIN | ||
5 | Beállítható felhasználói PIN | -u | Paraméter hiányában használatos |
6 | Admin PIN generálása | G [PIN hossza (8-32)] | 8 |
7 | Felhasználói PIN generálása | -g [PIN hossza (8-32)] | 8 |
8 | -b [fájlnév] | - | |
9 | Felhasználói PIN-kód módosítási szabályzat | P [aki módosíthatja a PIN-kódot: | |
10 | Minimális Admin PIN hossza | -M [PIN-kód hossza (6-31 Rutoken EDS és Rutoken Lite esetén, 1 Rutoken S)] | |
11 | A felhasználói PIN minimális hossza | M [PIN-kód hossza (6-31 Rutoken EDS és Rutoken Lite esetén, 1 Rutoken S esetén)] | 6 |
12 | A rendszergazdai PIN-kód megadására irányuló kísérletek maximális száma | -R [kísérletek száma (1-10)] | 10 |
13 | A felhasználói PIN-kód megadására irányuló kísérletek maximális száma | -r [kísérletek száma (1-10)] | 10 |
14 | Token címke Windows-1251 kódolásban | -L [token címke] | - |
15 | Token token UTF-8 kódolásban | -D [token tag] | - |
16 | Konverzió UTF-8-ra (jelző a PIN-kódokhoz és karakterláncokhoz kapcsolódó paraméterekhez) | -U | Alapértelmezés szerint az összes karakterlánc és PIN-kód nem konvertálódik UTF-8 formátumba |
17 | Az elvégzett iterációk számának korlátozása egyre | -q | - |
18 | PKCS # 11 könyvtár használt | -z [könyvtár neve] | rtPKCS11.dll |
19 | Konfigurációs fájl elérési útja | -n [fájl elérési útja] | - |
20 | Fakitermelés | -l [naplófájl elérési útja] | Elérési út: az a könyvtár, ahol a segédprogram található |
A flash memória kezelésének paraméterei (Rutoken Flash) | |||
21 | Flash memória particionálása (formázás) | F [engedélyek: ro, rw, szia, cd] | 1 |
22 | Hozzáférési jogok megváltoztatása | C | határozatlan |
23 | Flash-méret és partíció attribútumok lekérése | én Válaszformátum - hasonló a 21. ponthoz. A Flash memória felosztása szakaszokra (formázás): [szakaszazonosító (1-8)] | sz |
Paraméterek a helyi Rutoken felhasználók kezeléséhez | |||
24 | Helyi felhasználó által beállítható PIN | B | - |
25 | Jelenlegi felhasználói PIN-kód | O | Ha ehhez a felhasználóhoz nincs megadva PIN, akkor az aktuális PIN-kód nem szükséges. |
26 | Helyi felhasználó eltávolítása | -d [helyi felhasználói azonosító (l1-l9)] | - |
Ha szükséges, a parancssori paraméterek átadhatók egy konfigurációs fájl segítségével.
Ha nincs beállítva PIN-kód, a formázás beállítja az alapértelmezett PIN-kódokat.
A segédprogram kör alakú, és miután végrehajtotta a megadott műveleteket a csatlakoztatott tokenen, megvárja a következő csatlakozást.
Formázás
A segédprogram lehetővé teszi a felhasználó számára a tokenek formátumának streamelését:
- A felhasználó a segédprogram futtatásához a konfigurációs fájlban megadja a szükséges beállításokat, vagy megadja a beállításokat a parancssorban.
A segédprogram formázza az észlelt tokeneket, az eredményeket egy naplófájlba írja, megvárja a következő token csatlakoztatását, vagy a munkát befejező parancsot (például az Enter billentyű megnyomásával).
A formázási eredmények a naplóba kerülnek.
A felhasználó egy adott hosszúságú PIN-kód automatikus generálásával kezdheti meg a tokenek formázását, ehhez beállítja a megfelelő opciót a konfigurációs fájlban.
PIN módosítása
A felhasználó a token formázása nélkül módosíthatja a felhasználói vagy rendszergazdai PIN-kódot, ha ismeri az aktuális felhasználói és rendszergazdai PIN-kódokat.
A felhasználó a konfigurációs fájlban vagy parancssorban beállítja az adminisztrátor és a felhasználó aktuális PIN-kódját, beállítja az új PIN-kódokat, a PIN-kód megváltoztatásának paramétereit és elindítja a segédprogramot.
A PIN-kód megváltoztatásának eredménye a naplóba kerül.
A felhasználó egy adott hosszúságú új PIN kód automatikus generálásával kezdheti meg a PIN-kódok módosítását, ehhez beállítja a megfelelő opciót a konfigurációs fájlban.
A felhasználó beállíthatja az alapértelmezett PIN-kódokat, ekkor minden tokennek ugyanaz a PIN-kódja lesz.
A felhasználó beállíthat PIN-kódokat vagy automatikusan generálhat UTF-8 kódolásban a konfigurációs fájl megfelelő beállításával.
A felhasználó használhatja a harmadik féltől származó segédprogramok által előre generált PIN-kódokat. Ehhez a beállításokban megad egy fájlt, amely a generált PIN kódok listáját tárolja soremelés karakterrel elválasztóként.
A munka naplózása naplófájlba
A napló a következő tartalmú sorokat tartalmazó fájl:
1. Formázás esetén
2. Ha megváltoztatja a PIN kódját
3. Flash memória formázása esetén
4. Flash-memória partíciók attribútumainak megváltoztatása esetén
5. A Flash-memória szekciók attribútumaira vonatkozó információk fogadása esetén
A felhasználó megadhatja a naplófájl nevét és helyét. Alapértelmezés szerint a fájl a segédprogram mappájában található, Pinchanger.exe.log néven.
Ha a segédprogram újraindításakor a felhasználó nem adott meg új nevet a naplófájlnak, akkor a rendszer hozzáfűzi a régi fájlt.
Példák a felhasználásra
Formázzon egy tokent az alapértelmezett paraméterekkel (a streameléshez távolítsa el a -q jelzőt)
PinChanger.exe -f -q
Formázza a tokent a RutokenLabel tokennév, a 123456789 felhasználói PIN-kód és a 987654321 rendszergazdai PIN-kód megadásával.
PinChanger.exe -f -L RutokenLabel -u 123456789 -a 987654321 -q
Formázza a tokent egy konfigurációs fájl segítségével a RutokenLabel tokennév, a 123456789 felhasználói PIN-kód és a 987654321 rendszergazda PIN-kód megadásával.
A Flash Token normál állapotba került, és a legjobb választ kapta
Válasz a DomMasterIT-től © [guru]
Figyelmedbe
- ChipGenius v2.72 (2009-02-25) - segédprogram az összes csatlakoztatott USB-eszköz információinak megszerzéséhez. A VID és PID értékeket mutatja. Van egy beépített alap, amely meghatározza a vezérlő típusát és gyártóját.
- CheckUDisk v5.0 - segédprogram az összes csatlakoztatott USB-eszköz információinak megszerzéséhez.
Megmutatja az idVendor és az idProduct értékeket az eszközvezérlő típusának azonosításához.
Megmutatja a flash meghajtó sebességét, verziószámát, sorozatszámát is.
- UsbIDCheck (USB Bench - Faraday USB Test Utility) - egy program az összes csatlakoztatott USB-eszköz információinak megszerzésére. Megmutatja az idVendor és az idProduct értékeket az eszközvezérlő típusának azonosításához. A lista, amely alapján meghatározhatja az eszköz gyártóját, a program mappájában található usb.ids.txt fájl.
- Flash Disk Utility v1.20 - program a flash meghajtó gyors és teljes formázásához, indítólemez létrehozásához, adattömörítéshez és jelszótitkosításhoz, angol nyelvű utasítások.
- FlashNull - segédprogram a Flash memória teljesítményének és karbantartásának ellenőrzésére (USB-Flash, IDE-Flash, SecureDigital, MMC, MemoryStick, SmartMedia, XD, CompactFlash stb.). Az elvégzett műveletek listája:
- Olvasási teszt - az adathordozó egyes szektorainak elérhetőségének ellenőrzése (megkettőzi a hagyományos HDD-tesztek funkcionalitását)
- Írási teszt - az adathordozó minden szektorának írási képességének ellenőrzése (megkettőzi a legtöbb HDD-teszt funkcionalitását)
- A rögzített információk sértetlenségének tesztelése - az írott és olvasott információk megfelelőségének ellenőrzése (hasonlóan a memtest funkcióhoz, de pendrive-ok tekintetében).
- Kép mentése az eszköz tartalmáról - szektoronként a tartalom egészének (vagy egy részének) mentése fájlba. (hasonlóan a UNIX dd funkciójához).
- Kép betöltése eszközre - kép szektoronkénti rögzítése egy eszközre (hasonlóan a UNIX dd funkciójához).
Az utasítás orosz nyelvű.
iCreate_iFormat_V1.32 – segédprogram iCreate i5122, i5128, i5129 vezérlőkhöz. A program telepítése után megjelenik és eltűnik a munkaablak, az USB flash meghajtó behelyezésével formázható ...
- MPTool V2.0 (MXT6208 + A MPTool V2.0) - segédprogram a flash meghajtók helyreállításához az MXTronics MXT6208A vezérlőn. Segítenek a kínai Kingstone flash meghajtókon és néhány Sony hamisítványon.
- UmpTool v1.6.3 - segédprogram a Chipsbank CBM2090 vezérlők flash-helyreállításához.
Valószínűleg más CBM209X sorozatú vezérlőkhöz is használható.
- USB Disk Storage (HP USB Disk Storage Format Tool v2.1.8) - segédprogram indítható USB Flash formázásához és létrehozásához (NTFS, FAT, FAT32 támogatja).
- Dr. UFD v1.0.2.17 (PQI Dr. UniFlashDisk 1.0.2.17) – szabadalmaztatott segédprogram alacsony szintű flash formázáshoz PQI vezérlőkön. Támogatott modellek:
- Card Drive sorozat
- Intelligens meghajtó sorozat
- Cool Drive sorozat
- Traveling Disk Series.
- EzRecover - USB Flash helyreállítási segédprogram, segít, ha a flash Biztonsági eszközként van definiálva, egyáltalán nem észlelhető, vagy 0 Mb hangerőt mutat. Ahhoz, hogy az EzRecovery lássa a flash meghajtót, a program elindítása és hibaüzenet megjelenése után távolítsa el az USB flash meghajtót és helyezze be újra, majd teljesen.
Figyelem! A program használata után a vaku összes adata nem kerül mentésre.
- FORMAT v30112 - szabadalmaztatott segédprogram PQI flash meghajtókhoz. Lehetővé teszi a partíciók formázását, kezelését, rejtett és jelszóval védett partíciók létrehozását.
- JetFlash RecoveryTool v1.0.5 - USB Flash Transcend helyreállítási (javítási) segédprogram.
A tokenek, a fontos információkhoz való hozzáférést biztosító elektronikus kulcsok egyre népszerűbbek Oroszországban. A token ma már nemcsak hitelesítési eszköz a számítógép operációs rendszerében, hanem kényelmes eszköz személyes adatok tárolására és bemutatására: titkosítási kulcsok, tanúsítványok, licencek és tanúsítványok. A tokenek a kéttényezős azonosítási mechanizmus miatt megbízhatóbbak, mint a szabványos „bejelentkezés/jelszó” pár: vagyis a felhasználónak nem csak adathordozóval (magával a tokennel) kell rendelkeznie, hanem ismernie kell a PIN kódot is.
A tokenek kiadásának három fő formai tényezője van: USB-token, intelligens kártya és kulcstartó. A PIN-védelem leggyakrabban az USB-tokenekben található, bár a legújabb USB-tokenek is elérhetők RFID-címkével és LCD-kijelzővel az egyszeri jelszavak generálására.
Foglalkozzunk a PIN kóddal ellátott tokenek működési elveivel. A PIN egy speciálisan hozzárendelt jelszó, amely a hitelesítési eljárást két szakaszra bontja: egy token számítógéphez csatolása és a tényleges PIN-kód megadása.
A legnépszerűbb token modellek Oroszország modern elektronikus piacán a Rutoken, az Aladdin eToken és az Aktiv elektronikus kulcsa. Tekintsük a token PIN-kódjaival kapcsolatos leggyakrabban feltett kérdéseket e gyártók tokenek példáján.
1. Mi az alapértelmezett PIN-kód?
Az alábbi táblázat a Rutoken és eToken tokenek alapértelmezett PIN-kódjairól nyújt információkat. Az alapértelmezett jelszó a különböző tulajdonosi szinteken eltérő.
Tulajdonos | Felhasználó | Adminisztrátor |
Rutoken | 12345678 | 87654321 |
eToken |
1234567890 | Alapértelmezés szerint nincs beállítva rendszergazdai jelszó. Csak eToken PRO, eToken NG-FLASH, eToken NG-OTP modellekhez telepíthető a vezérlőpulton keresztül. |
JaCarta PKI | 11111111 | 00000000 |
JaCarta GOST | Nincs beállítva | 1234567890 |
JaCarta PKI / GOST |
A PKI funkcióhoz: 11111111
Ha visszafelé kompatibilis JaCarta PKI-t használ - PIN - 1234567890 A GOST funkcióhoz: A PIN-kód nincs beállítva |
A PKI funkcióhoz: 00000000
Ha a JaCarta PKI-t visszafelé kompatibilis opcióval használja - a PIN nincs beállítva A GOST funkcióhoz: 1234567890 |
JaCarta PKI / GOST / SE |
A PKI funkcióhoz: 11111111
A GOST funkcióhoz: 0987654321 |
A PKI funkcióhoz: 00000000
A GOST funkcióhoz: 1234567890 |
JaCarta PKI / BIO | 11111111 | 00000000 |
JaCarta PKI / Flash | 11111111 | 00000000 |
ESMART token | 12345678 | 12345678 |
IDPrime kártya | 0000 | 48 nulla |
JaCarta PRO / JaCarta LT | 1234567890 | 1234567890 |
2. Meg kell változtatnom az alapértelmezett PIN-kódot? Ha igen, a tokennel való munka mely pontján?
3. Mi a teendő, ha a tokenen lévő PIN-kódok ismeretlenek, de az alapértelmezett PIN-kódot már visszaállították?
Az egyetlen kiút a token teljes törlése (formázása).
4. Mi a teendő, ha a felhasználó PIN-kódja blokkolva van?
A felhasználói PIN-kód blokkolását a token vezérlőpulton keresztül oldhatja fel. A művelet végrehajtásához ismernie kell a rendszergazdai PIN-kódot.
5. Mi a teendő, ha a rendszergazdai PIN-kód blokkolva van?
Nem tudja feloldani a rendszergazdai PIN-kódot. Az egyetlen kiút a token teljes törlése (formázása).
6. Milyen biztonsági intézkedéseket tettek a gyártók a jelszó durva kényszerítésének kockázatának csökkentése érdekében?
Az Aladdin és Aktiv cégek USB-tokenek PIN-kódjaira vonatkozó biztonsági szabályzat főbb pontjait az alábbi táblázat mutatja be. A táblázat adatait elemezve megállapíthatjuk, hogy az eTokennek feltehetően biztonságosabb PIN kódja lesz. A Rutoken, bár lehetővé teszi egy karakteres jelszó beállítását, ami nem biztonságos, más paraméterekben nem rosszabb, mint az Aladdin cég terméke.
Paraméter | eToken | Rutoken |
A PIN kód minimális hossza | 4 | 1 |
PIN-kód összetétele |
Betűk, számok, speciális karakterek | Számok, a latin ábécé betűi |
7-nél nagyobb vagy egyenlő | 16-ig | |
A PIN-kód biztonságának adminisztrálása |
Van | Van |
Van | Van |
A PIN-kód titokban tartásának fontosságát mindazok ismerik, akik személyes célokra használnak tokeneket, elektronikus aláírásukat tárolják rajta, nem csak személyes jellegű információkat bíznak meg az elektronikus kulcsban, hanem üzleti projektjeik részleteit is. Az "Aladdin" és az "Aktiv" cégek tokenjei előre meghatározott védelmi tulajdonságokkal rendelkeznek, és bizonyos fokú elővigyázatossággal együtt, amelyet a felhasználó megmutat, minimálisra csökkenti a jelszó kitalálásának kockázatát.
A Rutoken és az eToken szoftvertermékek különféle konfigurációkban és formátumban jelennek meg. A kínált választék lehetővé teszi, hogy pontosan az Ön igényeinek leginkább megfelelő token modellt válassza ki, legyen az