ВХОД В ЛИЧНЫЙ КАБИНЕТ
На главной странице сайта НУЦ РК необходимо пройти в раздел «Личный кабинет», далее произвести вход в личный кабинет.
Войдите в личный кабинет.
В поле «Путь к хранилищу ключей» необходимо указать путь, где расположены Ваши регистрационные свидетельства. Выберите ключ аутентификации (AUTH_RSA) и нажмите кнопку «Открыть».
Нажмите кнопку «Войти».
В появившемся диалоговом окне введите Ваш пароль на хранилище ключей.
Внимание: Пароль по умолчанию на Казтокен: 12345678, eToken PRO (Java, 72K), JaCarta, AKey: 1234567890.
Нажмите кнопку «Обновить список ключей». При корректном вводе пароля, будет отображен ключ аутентификации. Нажмите кнопку «Подписать».
Добро пожаловать в личный кабинет пользователя.
РАБОТА В ЛИЧНОМ КАБИНЕТЕ
Меню «Фамилия»
Меню «Фамилия» пользователя содержит информацию о профайле пользователя НУЦ РК.
Данные профайла содержат личную информацию пользователя. В настройках Вы можете выбрать язык интерфейса, а также возможность отключить рассылку уведомлений на электронную почту.
Меню «Мои ключи ЭЦП»
Для работы с ключами ЭЦП перейдите на вкладку «Мои ключи ЭЦП».
В выпадающем меню выберите один из подпунктов:
• Перевыпуск ключей ЭЦП – предоставляет возможность подать заявку в режиме онлайн (при условии наличия действующих ключей ЭЦП), без подтверждения заявки в Центре регистрации;
• Отзыв ключей ЭЦП – предоставляет возможность отзывать регистрационные свидетельства;
• Заявка на получения ключей ЭЦП – предоставляет возможность просмотреть поданные заявки;
• Список ключей ЭЦП – отображает имеющиеся регистрационные свидетельства;
• Проверка статуса заявки – предоставляет возможность проверить статус поданной заявки, и установить регистрационные свидетельства;
• Смена пароля на ключ ЭЦП – предоставляет возможность сменить пароль на ключи ЭЦП.
Заявки на получение ключей ЭЦП
Выберите из выпадающего списка меню, раздел «Заявки на получение ключей ЭЦП». В данном разделе Вы можете просмотреть все поданные заявки на выпуск ключей ЭЦП.
В новом окне отобразятся все заявки на выпуск ключей ЭЦП пользователя.
В случае если Вы подали заявку через сайт pki.gov.kz в разделе «Услуги» (данный раздел не является функционалом личного кабинета), то Вы можете подтвердить данную заявку, не обращаясь в Центр регистрации.
Для этого найдите необходимую заявку и нажмите на кнопку «Редактировать».
В открывшемся окне выберите статус заявки.
Проставьте галочку, о согласии на изменение статуса заявки, и нажмите кнопку «Подтвердить».
Процедура подтверждения заявки завершена.
Проверка статуса заявки
После подтверждения заявки, откройте меню «Мои ключи ЭЦП», перейдите в раздел «Проверка статуса заявки».
Введите номер заявки и нажмите кнопку «Искать».
Для установки регистрационных свидетельств, укажите папку, где были сохранены Ваши закрытые ключи, и нажмите на значок поиска. Укажите место хранения Ваших закрытых ключей, сформированных при подаче заявки. И нажмите кнопку «Открыть».
Внимание! В случае если генерация ключей была осуществлена на один из поддерживаемых защищенных носителей: eToken 72K, JaCarta, Kaztoken, AKey при установке регистрационных свидетельств, предварительно подключите устройство к компьютеру.
Внимание! Пароль должен содержать символы латинского алфавита и цифры. Длина пароля: от 6 до 32 символов. Дополнительно, пароль может включать в себя: латинские буквы верхнего регистра и специальные символы «#$^+=!*()@%&_?-.».
Обязательно запомните указанный пароль! Пароль восстановлению не подлежит! НУЦ РК не хранит Ваши пароли, и в случае утери пароля данные ключи ЭЦП необходимо отозвать.
Нажмите кнопку «Загрузить сертификаты». Появится окно, сообщающее об успешной установке регистрационных свидетельств.
Установка сертификатов завершена.
Перевыпуск ключей ЭЦП
В данном разделе можно подать заявку в режиме онлайн (при условии наличия действующих ключей ЭЦП), без подтверждения заявки в Центре регистрации.
Основные поля автоматически будут заполнены, согласно уже имеющемуся регистрационному свидетельству.
Укажите e-mail, населенный пункт, хранилище ключей и Путь к хранилищу.
И нажмите кнопку «Подать заявку».
Внимание! Хранилище «Персональный компьютер» является небезопасным. Рекомендуем использовать защищенный носитель ключевой информации для снижения риска компрометации ключей ЭЦП.
Поставьте галочку подтверждения корректности подаваемой заявки и нажмите кнопку «Подтвердить».
Введите пароль и нажмите кнопку «Подписать».
Запомните номер заявки.
По данному номеру установите регистрационные свидетельства через раздел «Статус поданной заявки».
Перевыпуск ключей ЭЦП успешно завершен.
Отзыв ключей ЭЦП
Выберите из выпадающего списка меню, раздел «Отзыв ключей ЭЦП».
В новом окне отобразятся все имеющиеся регистрационные свидетельства на физическое лицо, с указанием текущего статуса.
Для того чтобы отозвать регистрационное свидетельство, выберите из списка необходимое регистрационное свидетельства и нажмите кнопку «Редактировать».
Укажите хранилище ключей.
Укажите путь к ключу ЭЦП для подписи (RSA).
Для отзыва регистрационного свидетельства укажите причину отзыва из предоставленного списка.
Поставьте галочку о согласии предпринимаемых действий и нажмите кнопку «Отозвать».
Подпишите ключами ЭЦП (RSA).
Процедура отзыва регистрационного свидетельства завершена.
Список ключей ЭЦП
Выберите из выпадающего списка меню, раздел «Список ключей ЭЦП».
В новом окне отобразятся все имеющиеся регистрационные свидетельства на физическое лицо, с указанием текущего статуса. Также есть функция отдельного отображения списка ключей ЭЦП по следующим статусам: действующие, отозванные и срок действия которых истек.
Смена пароля на ключи ЭЦП
Для смены пароля на ключи ЭЦП, необходимо перейти в раздел «Смена пароля на ключ ЭЦП». В открывшемся окне укажите местоположение Ваших ключей ЭЦП в поле «Хранилище ключей».
Важно! При указании защищенного носителя в поле «Хранилище ключей», пароль устанавливается непосредственно на защищенный носитель. В случае указания персонального компьютера в поле «Хранилище ключей», пароль устанавливается непосредственно на ключи ЭЦП.
Укажите «Путь к хранилищу ключей». Заполните поле ввода пароля и нажмите кнопку «Изменить». В случае выбора хранилища – Персональный компьютер, укажите ключ ЭЦП для смены пароля. Процедуру смены пароля необходимо выполнять для каждого ключа ЭЦП отдельно.
Внимание! НУЦ РК не хранит Ваши пароли. В случае утери пароля, ключи ЭЦП восстановлению не подлежит.
Пароль успешно изменен.
Выпуск ЭЦП по шаблону «Информационная система (ФЛ)»
Далее необходимо подтвердить ключами для подписи «RSA».
После подписания необходимо заполнить необходимые поля: «выбрать ИС и указать путь для хранилища ключей».
После выбора информационной системы, подтвердите заявку, подписав ключами для подписи «RSA».
Установите пароль и загрузите сертификаты, тем самым завершив процедуру получения ключей ЭЦП для ИС.
После установки регистрационных свидетельств откроется окно с указанием статуса заявки «Сертификаты успешно установлены».
Получение регистрационных свидетельств успешно завершено.
Интеграция ЭЦП НУЦ РК в информационные системы на базе веб технологий
Я расскажу о тонкостях внедрения электронной цифровой подписи (ЭЦП) в информационные системы (ИС) на базе веб технологий в контексте Национального Удостоверяющего Центра Республики Казахстан (НУЦ РК).
В центре внимания будет формирование ЭЦП под электронными документами и, соответственно, NCALayer — предоставляемое НУЦ РК криптографическое программное обеспечение. В частности уделю внимание вопросам связанным с UX и объемом поддерживаемого функционала NCALayer.
Процесс разделю на следующие этапы:
Формирование неизменного представления подписываемого документа
Разработчикам важно понимать то, что любое изменение подписанного документа приведет к тому, что подпись под ним перестанет проходить проверку. При этом изменения могут быть вызваны не только редактированием самих данных документа, но и обновлением структуры документа или механизма его сериализации.
Рассмотрим простой пример — документы хранятся в виде записей в базе данных. Для подписания документа необходимо сформировать его представление в виде единого блока данных (конечно можно подписывать каждое поле записи поотдельности, но обычно так не делают), сделать это можно, к примеру, следующими способами:
Далее возможны два сценария каждый из которых имеет свои подводные камни:
В том случае, если ИС не хранит сформированного представления, разработчикам необходимо гарантировать что в будущем формируемые представления будут бинарно идентичны тем, которые были сформированы в первый раз не смотря на:
В том случае, если на каком-то этапе бинарная идентичность перестанет соблюдаться, то проверки цифровых подписей перестанут выполняться и юридическая значимость документов в ИС будет утеряна.
Подход с хранением сформированного представления в базе данных ИС надежнее с точки зрения обеспечения сохранности юридической значимости, но и тут есть нюанс — необходимо гарантировать эквивалентность данных в подписанном документе данным в записи в базе данных иначе может возникнуть такая ситуация когда ИС принимает решение (выполняет расчет) на основании информации не соответствующей тому, что было подписано. То есть нужно либо так же, как и в предыдущем случае, обеспечивать бинарную идентичность формируемого представления, тогда при проверках в первую очередь следует формировать представление из текущего содержимого записи в базе данных и бинарно сравнивать новое представление с сохраненным. Либо необходим механизм позволяющий разобрать сохраненное сформированное представление и сравнить данные из него с текущим содержимым записи в базе данных. Этот механизм так же придется дорабатывать постоянно параллельно с доработками основного функционала ИС.
Подписание документа в веб интерфейсе с помощью NCALayer
Описание API NCALayer доступно в составе комплекта разработчика. Для того, чтобы поэкспериментировать со взаимодействием с NCALayer по WebSocket можно воспользоваться страницей интерактивной документации KAZTOKEN mobile (KAZTOKEN mobile повторяет API NCALayer).
Взаимодействовать с NCALayer из браузера можно напрямую с помощью класса WebSocket, либо можно воспользоваться библиотекой ncalayer-js-client которая оборачивает отправку команд и получение ответов в современные async вызовы.
Модуль kz.gov.pki.knca.commonUtils берет на себя взаимодействие с пользователем связанное с выбором конкретного хранилища, которое нужно использовать для выполнения операции (так же он берет на себя выбор конкретного сертификата и соответствующего ключа, а так же ввод пароля или ПИН кода), но ему необходимо указать какой тип хранилищ нужно использовать. Типы хранилищ стоит разделить на два класса:
Таким образом для того, чтобы предоставить пользователю возможность работать с любым поддерживаемым NCALayer хранилищем, можно воспользоваться одним из следующих подходов:
Для подписания данных рекомендую использовать следующие запросы (опять же чтобы снизить вероятность выстрела в ногу):
В качестве параметров каждому из них нужно будет передать тип хранилища, тип сертификата, подписываемые данные и дополнительные модификаторы.
Модуль kz.gov.pki.knca.commonUtils поддерживает следующие типы сертификатов:
NCLayer предоставит пользователю выбирать только из тех сертификатов, которые соответствуют указанному типу.
Упрощенный пример подписания произвольного блока данных с использованием ncalayer-js-client:
Проверка подписи на стороне сервера
Тема проверки цифровых подписей обширна и я не планировал раскрывать ее в этот раз, но упомянуть о необходимости выполнения проверок как с технической, так и юридической точки зрения счел необходимым.
С технической точки зрения проверка цифровой подписи на стороне сервера в первую очередь гарантирует целостность полученного документа, во вторую — авторство, а так же неотказуемость. То есть даже в том случае, если ИС получает подписанный документ не напрямую от пользователя, а через какие-то дополнительные слои программного обеспечения, уверенность в том, что было получено именно то, что отправлял пользователь сохраняется. Поэтому в ситуации когда подписание на стороне клиента реализовано, а возможность проверки подписи на стороне сервера отсутствует, внедрение цифровой подписи теряет смысл.
С юридической точки зрения ориентироваться следует на Приказ Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”. В Приказе перечислены необходимые проверки которые должны выполнять информационные системы для обеспечения юридической значимости подписанных электронной цифровой подписью документов. Анализу этого документа, а так же некоторым техническим вопросам посвящена заметка Проверка цифровой подписи.
Выполнять проверки необходимо с применением сертифицированных средств, к примеру с помощью библиотек входящих в состав комплекта разработчика НУЦ РК, либо можно воспользоваться готовым решением SIGEX.
Подготовка подписи к долгосрочному хранению
Проверка подписи под электронным документом включает в себя проверку срока действия сертификата и проверку статуса отозванности сертификата. В том случае, когда необходимо обеспечить юридическую значимость подписанного документа по истечению срока действия сертификата или в том случае, когда сертификат был отозван через некоторое время после подписания, следует собирать дополнительный набор доказательств фиксирующий момент подписания и подтверждающий то, что на момент подписания сертификат не истек и не был отозван.
Для фиксации момента подписания принято использовать метки времени TSP. Метку времени на подпись можно получить либо на клиенте (запрос createCMSSignatureFromBase64 интегрирует метку времени в CMS), либо на сервере. Метка времени позволит удостовериться в том, что момент подписания попадает в срок действия сертификата.
Для того, чтобы удостовериться в том, что сертификат не был отозван в момент подписания, следует использовать CRL или OCSP ответ. Этот нюанс и рекомендации по реализации описаны в разделе APPENDIX B — Placing a Signature At a Particular Point in Time документа RFC 3161.
Описание
Программное обеспечение NCALayer предоставляет возможность использовать средства ЭЦП НУЦ РК в веб-приложениях. Функционал NCALayer может быть расширен установкой дополнительных модулей, предоставляемых сторонними разработчиками.
Понятия и сокращения
| НУЦ РК | Национальный удостоверяющий центр Республики Казахстан, обслуживающий участников «электронного правительства», государственных и негосударственных информационных систем |
| КУЦ РК | Корневой удостоверяющий центр Республики Казахстан, осуществляющий подтверждение принадлежности и действительности открытых ключей электронной цифровой подписи удостоверяющих центров |
| ЭЦП | Электронная цифровая подпись ‑ набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания |
| Регистрационное свидетельство (сертификат) | Документ на бумажном носителе или электронный документ, выдаваемый НУЦ РК для подтверждения соответствия электронной цифровой подписи требованиям, установленным нормативно-правовыми актами Республики Казахстан |
| Защищенный носитель | Устройство безопасного хранения информации, шифрование данных для которого выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль. |
| ОС | Операционная система ‑ комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем |
| ПК | Персональный компьютер |
| Веб-приложение | Клиент-серверное приложение, в котором клиент взаимодействует с сервером при помощи браузера, а за сервер отвечает — веб-сервер |
Cистемные требования
Системные требования исходят из среды выполнения для Java 8. Более подробные описания указаны по ссылкам:
Для ОС Windows, Linux и Mac OS X не требуется устанавливать Java, так как среда выполнения поставляется вместе с NCALayer.
Популярные услуги
для получения подписи
Доставка электронной подписи
Ускоренный выпуск ЭЦП
Настройка программного обеспечания и обучение
Национальный удостоверяющий центр является аккредитованным удостоверяющим центром
Мы оказываем комплекс услуг по обеспечению работы с квалифицированной электронной подписью.
Сертификаты нашего удостоверяющего центра принимаются практически во всех сферах:
Мы помогаем настраивать рабочие места, содействуем в ускоренной аккредитации и обучаем работе на электронных торговых площадках.
Мы разрабатываем собственное программное обеспечение для работы с электронной подписью как на стационарных компьютерах, так и на планшетах.
Наш удостоверяющий центр сотрудничает с ведущими зарубежными организациями в части обеспечения доверенного трансграничного электронного взаимодействия.
Мы рады видеть Вас нашим клиентом!
Москва, ул. Авиамоторная, д. 8 строение 1.
Рядом с префектурой Юго-Восточного округа города Москвы, на территории технопарка МТУСИ.
Получение ЭЦП для физических лиц Версия для печати
Руководство физического лица для получения регистрационных свидетельств НУЦ РК
Содержание
ПОНЯТИЯ И СОКРАЩЕНИЯ. 3 1.
Понятия и сокращения
Национальный удостоверяющий центр Республики Казахстан, обслуживающий участников «электронного правительства», государственных и негосударственных информационных систем
Электронная цифровая подпись – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания
Индивидуальный идентификационный номер формируемый для физического лица, в том числе индивидуального предпринимателя, осуществляющего деятельность в виде личного предпринимательства
Бизнес-идентификационный номер, формируемый для юридического лица (филиала и представительства) и индивидуального предпринимателя, осуществляющего
деятельность в виде совместного предпринимательства
Документ на бумажном носителе или электронный документ, выдаваемый НУЦ РК для подтверждения соответствия электронной цифровой подписи требованиям, установленным нормативно-правовыми актами Республики Казахстан
Последовательность электронных цифровых символов, известная подписчику НУЦ РК и предназначенная для создания
электронной цифровой подписи с использованием средств ЭЦП
Устройство безопасного хранения информации, шифрование данных для которого выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль.
Операционная система – комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем
1. Минимальные требования к компьютеру пользователя
2. Получение регистрационных свидетельств
2.1 Подача заявки на выпуск регистрационных свидетельств
Запустите браузер и наберите в адресной строке: www.pki.gov.kz. Появится главная страница Национального удостоверяющего центра Республики Казахстан (Рис. 1).
Нажмите на меню «Получить ключи ЭЦП». Выберите необходимый раздел: «Физические лица». В открывшемся окне, ознакомьтесь с информацией и нажмите на кнопку «Подать заявку» (Рис. 2).
В появившемся окне, Ознакомьтесь с соглашением, и в случае согласия нажмите кнопку подтвердить (Рис. 3).
В открывшемся окне введите код указанный на картинке и свой индивидуальный идентификационный номер (далее – ИИН) (Рис. 4).
Примечание: В удостоверениях личности нового образца ИИН находится на лицевой стороне в правом нижнем углу (Рис. 5)
В удостоверениях личности старого образца ИИН находится на обратной стороне в левом верхнем углу или на лицевой стороне под датой рождения. (Рис. 6)
Затем нажмите кнопку «Проверить ИИН». После успешной проверки с базой ГБД ФЛ, введенного ИИН, данные о Вашем ФИО заполнятся автоматически.
После чего, необходимо ввести свой адрес электронной почты в поле «E-mail» (данное поле является не обязательным). На данный адрес электронной почты Вам будет приходить информация о состоянии регистрационных свидетельств, а также по окончанию подачи заявки, Вам будет выслан номер заявки и заявление для предоставления в Центр регистрации (Рис. 7).
Внимание! При отсутствии Ваших данных в базе ГБД ФЛ, просим обратиться в Отдел документирования Департамента юстиции Вашего города!
Внимание! Внимательно заполняйте поле «E-mail», если Вы допустите ошибку, уведомление об успешной регистрации не придет на Ваш электронный адрес.
Ниже укажите последовательно область и город, где будет подтверждена поданная заявка (рис. 8).
После чего, необходимо выбрать тип «Хранилище ключей» из списка – Персональный компьютер, удостоверение личности, eToken PRO 72K, JaCarta, Kaztoken. Пароль по умолчанию на Казтокен: 12345678, eToken PRO (Java, 72K), JaCarta: 1234567890.
Далее выберите путь к хранилищу ключей. В случае использования защищенного носителя, подключите его к ПК, программа самостоятельно найдет подключенные к компьютеру устройства (рис. 9).
В случае выбора места хранения «Персональный компьютер», в поле «Путь к хранилищу ключей» укажите папку, в которой будут созданы ключевые контейнера (закрытые ключи), и нажмите кнопку «Открыть» (Рис. 10, 11).
После подтверждения заявки оператором Центра регистрации на закрытые ключи будут установлены регистрационные свидетельства.
Далее нажмите кнопку «Подать заявку» (Рис. 12).
В следующем окне появится номер заявки.
Внимание! Запомните номер заявки, он необходим для идентификации Вашей заявки в Центре Регистрации, а также для установки выпущенных регистрационных свидетельств.
Сохраните и распечатайте заявление в удобном для Вас формате (Рис.13).
После подачи заявки на Вашем компьютере были сформированы закрытые ключи, убедиться в их наличии Вы можете, открыв папку, путь до которой Вы указали во время подачи заявления (Рис. 14).
После успешной подачи заявления, на Ваш e-mail (в случае его указания при регистрации), придет письменное уведомление о том, что на сайте НУЦ РК была подана заявка на получение регистрационных свидетельств, в которой также будет указан номер Вашей заявки. Хотим отметить, что НУЦ РК не несет ответственность за доставку информационного письма. В случае его отсутствия, проверьте папку спама, проверьте правильность указанного адреса, либо убедитесь, что Ваш почтовый сервер надежен.
Внимание! После подачи запроса, Вам необходимо обратиться в Центр Регистрации с необходимым пакетом документов в течении 1 месяца с даты подачи заявки. В случае если Вы не подтвердили заявку в Центре регистрации в указанный период, заявка будет аннулирована. С необходимым списком документов Вы можете ознакомиться на официальном сайте.
2.2 Проверка статуса заявки и установка регистрационных свидетельств
После подтверждения заявки в Центре регистрации, воспользуйтесь функционалом проверки статуса Вашей заявки.
Для этого перейдите в раздел: «Статус поданной заявки» (Рис. 15).
В открывшемся окне, в поле «Номер заявки», введите полученный Вами уникальный номер заявки при подаче заявки Online и нажмите на кнопку «Искать» (Рис.16).
Вам представится информация о Вашей заявке, где Вы можете посмотреть текущий статус заявки, и в случае успешно выпущенных регистрационных свидетельств.
В поле «Статус заявки» будет указано, на какой стадии находиться поданная заявка.
Для установки регистрационных свидетельств, укажите папку, где были сохранены Ваши закрытые ключи, нажав на значок поиска. Укажите место хранения Ваших закрытых ключей, сформированных при подаче заявки. И нажмите кнопку «Открыть» (Рис. 18).
Внимание! В случае если генерация ключей была осуществлена на один из поддерживаемых защищенных носителей: удостоверении личности, eToken PRO 72K, JaCarta, Kaztoken, при установке регистрационных свидетельств, предварительно подключите устройство к компьютеру.
Внимание! Пароль должен содержать латинские буквы нижнего и верхнего регистров, а также цифры. Минимальная длина пароля: 8 символов.
Обязательно запомните указанный пароль!
Пароль восстановлению не подлежит! НУЦ РК не хранит Ваши пароли, и в случае утери пароля данные ключи ЭЦП необходимо отозвать.
После установки регистрационных свидетельств откроется окно с указанием статуса заявки «Сертификаты установлены» (Рис. 20).
Откройте папку, указанную при подаче заявления. При успешном прохождении всех этапов получения регистрационных свидетельств, в папке будут находиться два регистрационных свидетельства с закрытыми ключами, готовых к использованию (Рис. 21).
Получение регистрационных свидетельств успешно завершено.
