Утиліта надає користувачеві можливість поточного форматування токенов. PIN-код для токенов: пароль з особливими правилами Що робити, якщо PIN-код адміністратора заблокований
За замовчуванням заборона на експортований ключ ставиться ще при створенні токена, на центрі сертифікації. Якщо ж там цього не зробили, то ми зробимо ось такий фінт.
Установка драйверів і модуля управління Rutoken
Насамперед вам необхідно встановити драйвера і софт для управління і адміністрування рутокеном. Завантажити його можна на офіційному сайті виробника.
https://www.rutoken.ru/support/download/drivers-for-windows/
У момент установки РУТОКЕН токен повинен бути від'єднаний від комп'ютера
Дана помилка, в 99 відсотках випадків вискакує з-за відсутності або простроченої ліцензії КріптоПро CSP.
Після установки КріптоПро все виглядає як треба і доступна кнопка експорту закритого ключа.
Забороняємо експортування сертифіката
Виробляємо експорт сертифіката, в результаті у вас вийде архів pfx. Він буде містити як відкритий, так і закритий ключ. Тепер спробуйте зробити імпорт сертифіката. Зверніть увагу, що в момент імпорту, вам не потрібно ставити галку "Дозволити експорт закритого ключа" саме їй ми не дамо його вивантаження.
Вводимо пінкод (найчастіше він стандартний у рутокен, якщо ви його не змінювали)
У вас може з'явитися в деяких випадках помилка "імпортовані можуть бути тільки сертифікати для ключів RSA"
Для її вирішення нам потрібно перетворити сертифікат pfx. Нам буде потрібно утиліта OpenSSL. За допомогою OpenSSL експортуємо закритий ключ з PFX-файлу:
- pkcs12 -in newcert.pfx -nocerts -out encrypted.key
- Проводимо ті ж дії з сертифікатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem
- Конвертуємо отримані сертифікат і закритий ключ в формат DER:
OpenSSL> x509 -in cert.pem -out cert.crt -outform DER
OpenSSL> rsa -in encrypted.key -out key.der -outform DER - Записуємо сконвертовані закритий ключ на Рутокен
- Видаляємо старий сертифікат, після перевірки нового.
Сподіваюся вам допоможе даний метод, заборонити експортування приватного ключа з рутокен, якщо у вас є доповнення або інші методи, то напишіть про них в коментарях.
призначення
Утиліта PinChanger призначена для автоматизації процедур форматування і адміністрування Рутокен: зміни мітки токена, PIN-кодів і їх параметрів.
Підтримувані моделі
- Рутокен S (тільки на Windows-платформах і тільки з використанням бібліотеки rtPKCS11.dll (задана за замовчуванням))
- Рутокен Lite
- Рутокен ЕЦП
Підтримувані платформи
- MS Windows 8/2012/7/2008 / Vista / 2003 / XP / 2000
- GNU / Linux
- Mac OS X
параметри
Утиліта запускається з командного рядка і має наступні параметри:
№ | опис команди | Параметр командного рядка | Значення за замовчуванням |
---|---|---|---|
1 | форматування токена | -f | - |
2 | Поточний PIN-код адміністратора | -o | Використовується без параметра -o |
3 | Поточний PIN-код користувача | -з | Використовується без параметра -c |
4 | Встановлюваний PIN-код адміністратора | ||
5 | Встановлюваний PIN-код користувача | -u | Використовується в разі відсутності параметра |
6 | Генерація PIN-коду адміністратора | G [довжина PIN-коду (8-32)] | 8 |
7 | Генерація PIN-коду користувача | -g [довжина PIN-коду (8-32)] | 8 |
8 | -b [ім'я файлу] | - | |
9 | Політика зміни PIN-коду користувача | P [хто може змінювати PIN-код: | |
10 | Мінімальна довжина PIN-коду адміністратора | -M [довжина PIN-коду (6-31 для Рутокен ЕЦП і Рутокен Lite, 1 для Рутокен S)] | |
11 | Мінімальна довжина PIN-коду користувача | M [довжина PIN-коду (6-31 для Рутокен ЕЦП і Рутокен Lite, 1 для Рутокен S)] | 6 |
12 | Максимальна кількість спроб введення PIN-коду адміністратора | -R [число спроб (1-10)] | 10 |
13 | Максимальна кількість спроб введення PIN-коду користувача | -r [число спроб (1-10)] | 10 |
14 | Мітка токена в кодуванні Windows-1251 | -L [мітка токена] | - |
15 | Мітка токена в кодуванні UTF-8 | -D [мітка токена] | - |
16 | Конвертація в UTF-8 (прапор для параметрів, пов'язаних з PIN-кодами і рядками) | -U | За замовчуванням всі рядки і PIN-коди не були конвертуються в UTF-8 |
17 | Обмеження кількості виконуваних ітерацій до однієї | -q | - |
18 | Використовувана бібліотека PKCS # 11 | -z [ім'я бібліотеки] | rtPKCS11.dll |
19 | Шлях до конфігураційного файлу | -n [шлях до файлу] | - |
20 | протоколювання | -l [шлях до файлу лога] | Шлях: каталог, в якому лежить утиліта |
Параметри для управління флеш-пам'яттю (Рутокен Flash) | |||
21 | Розбиття Flash-пам'яті на розділи (форматування) | F [Права доступу: ro, rw, hi, cd] | 1 |
22 | Зміна прав доступу | C | не визначене |
23 | Отримання інформації про розмір Flash-пам'яті і атрибутах розділів | I Формат відповіді - аналогічно п.21 Розбиття Flash-пам'яті на розділи (форматування): [Ідентифікатор розділу (1-8)] | sz |
Параметри для управління локальними користувачами Рутокен | |||
24 | Встановлюваний PIN-код локального користувача | B | - |
25 | Поточний PIN-код користувача | O | Якщо PIN-код для даного користувача не визначено, поточний PIN-код вказувати не потрібно |
26 | Видалення локального користувача | -d [ідентифікатор локального користувача (l1-l9)] | - |
При необхідності параметри командного рядка можуть бути передані за допомогою конфігураційного файлу.
У разі відсутності заданих PIN-кодів при форматуванні встановлюються PIN-коди за замовчуванням.
Утиліта є циклічною і після виконання заданих дій на підключеному токені очікує підключення наступного.
форматування
Утиліта надає користувачеві можливість поточного форматування токенов:
- Користувач запускає утиліту, встановивши попередньо необхідні настройки в файлі конфігурації або задавши опції в командному рядку.
Утиліта форматує виявлені маркери, заносить результати в лог-файл, чекає підключення наступного токена або команди припинення роботи (наприклад після натискання на клавішу Enter).
Результати форматування пишуться в лог.
Користувач може запустити форматування токенов з автоматичною генерацією PIN-коду заданої довжини, для цього він встановлює відповідну опцію в файлі конфігурації.
Зміна PIN-коду
Користувач може змінити PIN-код користувача або адміністратора без форматування токена, якщо йому відомі поточні PIN-коди користувача та адміністратора.
Користувач задає поточний PIN-код адміністратора і користувача в файлі конфігурації або командному рядку, задає нові PIN-коди, параметри зміни PIN-коду і запускає утиліту.
Результати зміни PIN-кодів пишуться в лог.
Користувач може запустити зміну PIN-кодів з автоматичною генерацією нових PIN-кодів заданої довжини, для цього він встановлює відповідну опцію в файлі конфігурації.
Користувач може задати дефолтні значення PIN-кодів, тоді все токени матимуть однакові PIN-коди.
Користувач може задавати PIN-коди або генерувати їх автоматично в кодуванні UTF-8, встановивши відповідну опцію в файлі конфігурації.
Користувач може використовувати заздалегідь згенеровані сторонніми утилітами PIN-коди. Для цього в настройках він вказує файл, в якому зберігається список згенерованих PIN-кодів з символом переведення рядка як роздільник.
Протоколювання роботи в лог-файл
Лог є файл з рядками такого змісту:
1. У разі форматування
2. У разі зміни PIN-коду
3. У разі форматування Flash-пам'яті
4. У разі зміни атрибутів розділів Flash-пам'яті
5. У разі отримання інформації про атрибути розділів Flash-пам'яті
Користувач може задавати ім'я лог-файлу і його розташування. За замовчуванням файл лежить в папці з утилітою і називається Pinchanger.exe.log.
Якщо при повторному запуску утиліти користувач не вказав нове ім'я лог-файлу, то старий файл доповнюється.
приклади використання
Відформатувати один токен з параметрами за замовчуванням (для поточного виконання прибрати прапор -q)
PinChanger.exe -f -q
Відформатувати токен, задавши ім'я токена RutokenLabel, PIN-код користувача 123456789 і PIN-код адміністратора 987654321.
PinChanger.exe -f -L RutokenLabel -u 123456789 -a 987654321 -q
Відформатувати токен з використання конфігураційного файлу, задавши ім'я токена RutokenLabel, PIN-код користувача 123456789 і PIN-код адміністратора 987654321.
Флешка Token в звичайну і отримав найкращу відповідь
Відповідь від DomMasterIT © [гуру]
Для вашої уваги
- ChipGenius v2.72 (2009-02-25) - утиліта для отримання інформації про всі підключених USB пристроях. Показує значення VID & PID. Є вбудована база по якій визначається модель і виробник контролера.
- CheckUDisk v5.0 - утиліта для отримання інформації про всі підключених USB пристроїв.
Показує значення idVendor і idProduct для визначення типу контролера пристрою.
А також показує швидкість, ревізію, серійний номер флеш накопичувача.
- UsbIDCheck (USB Bench - Faraday USB Test Utility) - програма для отримання інформації про всі підключених USB пристроїв. Показує значення idVendor і idProduct для визначення типу контролера пристрою. Список, по якому можна визначити виробника пристрою - файл usb.ids.txt в папці програми.
- Flash Disk Utility v1.20 - програма для швидкого і повного форматування флешки, створення завантажувального диска, стиснення данн і шифрування паролем, інструкція англійською мовою.
- FlashNull - утиліта по перевірки працездатності і обслуговування Flash-пам'яті (USB-Flash, IDE-Flash, SecureDigital, MMC, MemoryStick, SmartMedia, XD, CompactFlash і т. Д.). Список виконуваних операцій:
- Тест читання - перевірка доступності кожного сектора носія (дублює функціональність звичайних HDD-тестів)
- Тест запису - перевірка можливості запису кожного сектора носія (дублює функціональність більшості HDD-тестів)
- Тест збереження записаної інформації - перевірка відповідності записаної і прочитаної інформації (аналогічно функціональності memtest, але відносно flash-накопичувачів).
- Збереження образу вмісту пристрою - посекторноє збереження всього (або частини) вмісту в файл. (Аналогічно функціональності dd з UNIX).
- Завантаження зображення в пристрій - посекторного запис образу в пристрій (аналогічно функціональності dd з UNIX).
Інструкція російською мовою.
iCreate_iFormat_V1.32 - утиліта для контролерів iCreate i5122, i5128, i5129. Після установки програми робоче вікно з'являється і зникає, вставивши флешку можна форматувати ...
- MPTool V2.0 (MXT6208 + A MPTool V2.0) - утиліта для відновлення флешок на контролері MXTronics MXT6208A. Допомагають китайським флешка Kingstone і деяким Sony підробкам.
- UmpTool v1.6.3 - утиліта для відновлення флеш на контролерах Chipsbank CBM2090.
Можливо підійде для інших контролерах серії CBM209Х.
- USB Disk Storage (HP USB Disk Storage Format Tool v2.1.8) - утиліта для форматування і створення завантажувального USB Flash (підтримується NTFS, FAT, FAT32).
- Dr. UFD v1.0.2.17 (PQI Dr.UniFlashDisk 1.0.2.17) - фірмова утиліта для низькорівневого форматування флеш на контролерах PQI. Підтримувані моделі:
- Card Drive Series
- Intelligent Drive Series
- Cool Drive Series
- Traveling Disk Series.
- EzRecover - утиліта відновлення USB Flash, допомагає, коли флеш визначається як Security Deviсe, взагалі не визначається або показує 0Mb обсяг. Для того щоб EzRecovery побачив флешку треба після запуску програми і видачі повідомлення про помилку вийняти флешку і знову вставити її і тоді все шляхом.
Увага! Після використання програми всі дані на флеш не будуть збережені.
- FORMAT v30112 - фірмова утиліта для флешок PQI. Дозволяє форматувати, керувати розділами, створювати приховані і запаролених розділи.
- JetFlash RecoveryTool v1.0.5 - утиліта для відновлення (ремонту) USB Flash Transcend.
Токени, електронні ключі для доступу до важливої інформації, набувають все більшої популярності в Росії. Токен зараз - не тільки засіб для аутентифікації в операційній системі комп'ютера, але і зручний пристрій для зберігання і пред'явлення персональної інформації: ключів шифрування, сертифікатів, ліцензій, посвідчень. Токени надійніше стандартної пари "логін / пароль" за рахунок механізму двухфакторной ідентифікації: тобто користувач не тільки повинен мати в наявності носій інформації (безпосередньо сам токен), але і знати PIN-код.
Основних форм-факторів, в яких випускаються токени, три: USB-токен, смарт-карта і брелок. Захист за допомогою PIN-коду найчастіше зустрічається в USB-токен, хоча останні моделі USB-токенів випускаються з можливістю установки RFID-мітки і з рідкокристалічним дисплеєм для генерації одноразових паролів.
Зупинимося докладніше на принципах функціонування токенов з PIN-кодом. PIN-код - це спеціально заданий пароль, який розбиває процедуру аутентифікації на два етапи: приєднання токена до комп'ютера і введення власне PIN-коду.
Найбільш популярні моделі токенов на сучасному електронному ринку Росії - Рутокен, eToken від компанії "Аладдін", і електронний ключ від компанії "Актив". Розглянемо найбільш поширені запитання щодо PIN-кодів для токена на прикладі токенов цих виробників.
1. Який PIN-код використовується за умовчанням?
У таблиці нижче представлені інформація про PIN-коди за замовчуванням для токенов Рутокен і eToken. Пароль за замовчуванням відрізняється для різних рівнів власників.
власник | Користувач | Адміністратор |
Рутокен | 12345678 | 87654321 |
eToken |
1234567890 | За замовчуванням пароль адміністратора не встановлюється. Може бути встановлений через панель управління тільки для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP. |
JaCarta PKI | 11111111 | 00000000 |
JaCarta ГОСТ | не заданий | 1234567890 |
JaCarta PKI / ГОСТ |
Для PKI-функціоналу: 11111111
При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код - 1234567890 Для ГОСТ-функціоналу: PIN-код не заданий |
Для PKI-функціоналу: 00000000
При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код не встановлено Для ГОСТ-функціоналу: 1234567890 |
JaCarta PKI / ГОСТ / SE |
Для PKI-функціоналу: 11111111
Для ГОСТ-функціоналу: 0987654321 |
Для PKI-функціоналу: 00000000
Для ГОСТ-функціоналу: 1234567890 |
JaCarta PKI / BIO | 11111111 | 00000000 |
JaCarta PKI / Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
карта IDPrime | 0000 | 48 нулів |
JaCarta PRO / JaCarta LT | 1234567890 | 1234567890 |
2. Чи треба змінювати PIN-код за замовчуванням? Якщо так, то в який момент роботи з токеном?
3. Що робити, якщо PIN-коди на токені невідомі, а PIN-код за замовчуванням вже скинутий?
Єдиний вихід - повністю очистити (відформатувати) токен.
4. Що робити, якщо PIN-код користувача заблоковано?
Розблокувати PIN-код користувача можна через панель управління токена. Для виконання цієї операції необхідно знати PIN-код адміністратора.
5. Що робити, якщо PIN-код адміністратора заблокований?
Розблокувати PIN-код адміністратора неможливо. Єдиний вихід - повністю очистити (відформатувати) токен.
6. Які заходи безпеки вжито виробниками для зниження ризику підбору пароля?
Основні пункти політики безпеки для PIN-кодів USB-токенів компаній "Аладдін" і "Актив" представлені в таблиці нижче. Проаналізувавши дані таблиці можна зробити висновок, що eToken імовірно матиме більш захищений пін код. Рутокен, хоч і дозволяє задавати пароль всього з одного символу, що небезпечно, за іншими параметрами не поступається продукту компанії "Аладдін".
параметр | eToken | Рутокен |
Мінімальна довжина PIN-коду | 4 | 1 |
Склад PIN-коду |
Букви, цифри, спеціальні символи | Цифри, букви латинського алфавіту |
Більше або дорівнює 7 | до 16 | |
Адміністрування безпеки PIN-коду |
є | є |
є | є |
Важливість збереження PIN-коду в секреті відома всім тим, хто використовує маркери в особистих цілях, зберігає на ньому свій електронний підпис, довіряє електронному ключу інформацію не тільки особистого характеру, але і деталі своїх бізнес-проектів. Токени компаній "Аладдін" і "Актив" мають попередньо встановленими захисними властивостями і разом з певною часткою обережності, яка буде проявлена користувачем, знижують ризик підбору пароля до мінімуму.
Програмні продукти Рутокен і eToken представлені в різних конфігураціях і форм-факторах. Пропонований асортимент дозволить вам вибрати саме ту модель токена, яка найбільш відповідає вашим вимогам, будь то