BANCS EXP

 

Руководство пользователя

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

НТЦ «Система»

- Москва 2015 -

 


 

 

 

 

Оглавление

Назначение BANCS EXP. 4

Установка АРМ участника BANCS EXP. 5

Работа с АРМ участника BANCS EXP. 8

Тестовый режим.. 8

Тестовые ресурсы.. 8

Тестовые наборы секретных ключей. 8

Тестовый набор сертификатов. 8

Тестовые ресурсы для алгоритма TELEX. 8

Тестовые ресурсы для алгоритма Волга. 8

Тестовые ресурсы для проверки шифрования и подписи файла. 9

Загрузка тестовых ключей. 9

Ключи для рабочего режима. 11

Подготовка носителя ключа. 11

Подготовка запроса и получение персонального сертификата. 13

Код сертификата. 21

Создание резервной копии персонального ключа. 21

Хранилища сертификатов участников BANCS EXP. 26

Глобальное хранилище сертификатов на LDAP сервере. 26

Локальные хранилища сертификатов. 27

Кодирование финансовых документов. 29

Ввод основного ПИН-кода. Действия по разблокировке носителя. 30

Проверка сертификата. 35

Кодирование по алгоритму TELEX. 36

Кодирование по алгоритму Волга. 39

Состав информационного блока. 39

Выбор сертификатов для кодирования по алгоритму Волга. 40

Ручной режим кодирования по алгоритму Волга. 41

Кодирование исходящих документов в ручном режиме. 42

Кодирование входящих документов в ручном режиме. 50

Пакетный режим кодирования по алгоритму Волга. 54

Требования к пакету на входе системы кодирования. 54

Кодирование документов в пакетном режиме. 57

Шифрование файлов. 65

Подпись и проверка подписи файлов. 69

Комплексная проверка подписи файла. 71

Структура цифровой подписи. 72

Защищенное время подписи. 73

Проверка доверия к сертификату подписи. 73

Список отозванных сертификатов. 73

Использование CRL для проверки доверия к сертификату. 77

Обновление АРМ участника BANCS EXP. 81

Сведения о разработчике BANCS EXP. 84

 


 

 

 

Назначение BANCS EXP

 

                Автоматизированная система BANCS EXP предназначена для защиты финансовых документов, циркулирующих в системе банковского документооборота. BANCS EXP может быть использована как для шифрования и подписи файлов с финансовыми документами, так и для выработки сравнительно короткого (не более 10 цифр) кода подтверждения финансового документа (КПФД), который затем может быть проставлен в документе на бумажном носителе.

                Для защиты финансовых документов в BANCS EXP используются криптографические методы, основанные на системе с открытым распределением ключей. Такая система предполагает наличие у каждого участника BANCS EXP персонального секретного ключа, а также набора сертификатов открытых ключей корреспондентов, которым будут направляться или от которых будут приниматься финансовые документы.

                BANCS EXP может использоваться как в режиме с наличием доступа в Интернет, так и автономно, когда такой доступ отсутствует. Эти режимы отличаются только способом выбора набора сертификатов открытых ключей: в первом случае возможен их выбор со специализированного LDAP-сервера, содержащего действующие сертификаты всех участников BANCS EXP, а во втором – только с локально доступного ресурса.

                Носителем персонального секретного ключа участника BANCS EXP является типовой носитель типа «флеш-память», подключаемый к компьютеру через USB-порт. Выработка персонального секретного ключа может быть осуществлена участником BANCS EXP самостоятельно, без привлечения посторонних лиц. Система BANCS EXP становится работоспособной только после получения на основе персонального секретного ключа специализированного электронного сертификата участника BANCS EXP. Получение сертификата возможно как в режиме On Line (при наличии подключения к Интернет), так и Off Line, без подключения к Интернет. В последнем случае запрос на сертификат пересылается в Удостоверяющий Центр каким-либо доступным способом (по e-mail, по обычной почте, курьером и т.п.), который определяется администратором, обслуживающим систему непосредственно на месте ее эксплуатации.

                Настоящее руководство предназначено для пользователей BANCS EXP, т.е. лиц, непосредственно работающих с программной реализацией автоматизированного рабочего места (АРМ) участника BANCS EXP. Предполагается, что каждый участник BANCS EXP имеет индивидуальный банковский идентификационный код (BICBank Identification Code). Это может быть BIC, используемый в системе SWIFT.


 

 

Установка АРМ участника BANCS EXP

 

                В настоящем руководстве предполагается, что АРМ участника BANCS EXP будет использоваться на компьютере с операционной системой Windows версии не ниже XP.

АРМ участника BANCS EXP состоит из двух отдельных пакетов прикладных программ:

                - Криптоядро для BANCS EXP;

                - Участник BANCS EXP.

                Оба пакета могут быть свободно скачаны с сайта компании-разработчика BANCS EXP. Ниже приводятся ссылки на имеющиеся в настоящее время пакеты для BANCS EXP:

- http://crypto.systema.ru/BancsExp/Install/setup_crypto_exp_xp.exe - криптоядро для Windows XP;

- http://crypto.systema.ru/BancsExp/Install/setup_crypto_exp_win7.exe - криптоядро для Windows выше XP;

- http://crypto.systema.ru/BancsExp/Install/Member_setup_v3_0.exe - участник, все версии Windows.

                Версии пакета участника могут быть и более высокими, чем v3_0.

Установка каждого пакета на компьютер должна быть осуществлена пользователем, имеющим права администратора.

После скачивания пакеты запускаются и происходит установка необходимого программного обеспечения на компьютер пользователя. В процессе установки необходимо следовать указаниям, появляющимся на экране. Это, в основном, типовые указания при инсталляции программного обеспечения. Отметим два отличия, возникающие при установке пакета участника.

 

1)

 

Это окно ввода персонального BIC участника системы финансовых расчетов. Если Вы собираетесь использовать BANCS EXP только для тестирования, то необходимо ввести одно из трех тестовых значений BIC:

 

SWIFTBIC1XX

SWIFTBIC2XX

SWIFTBIC3XX

Для проверки работоспособности всех тестов рекомендуется установить SWIFTBIC1XX.

В дальнейшем тестовое значение BIC может быть изменено или заменено на реальное. Если Вы хотите использовать BANCS EXP сразу же в рабочем режиме, то введите свой реальный BIC.

 

2)

 

В процессе установки инсталляционная программа пытается установить на Ваш компьютер корневой сертификат BANCS EXP, если только он не был установлен ранее. Необходимо разрешить установку этого сертификата, иначе АРМ участника будет неработоспособным.

 

После установки пакета участника на рабочем столе появляется иконка

 

Для запуска программы участника BANCS EXP достаточно кликнуть мышью по этой иконке.


 

Работа с АРМ участника BANCS EXP

 

Тестовый режим

 

Тестовый режим предназначен только для ознакомления с возможностями системы BANCS EXP без обработки реальных финансовых документов. Для установки тестового режима при установке пакета участника BANCS EXP в качестве BIC необходимо ввести одно из трех тестовых значений.

Тестовые ресурсы

 

                Для тестирования системы BANCS EXP с сервера разработчика могут быть скачаны следующие ресурсы:

Тестовые наборы секретных ключей

 

- http://crypto.systema.ru/BancsExp/Keys/test1.bkey – тестовый ключ для SWIFTBIC1XX;

- http://crypto.systema.ru/BancsExp/Keys/test2.bkey – тестовый ключ для SWIFTBIC2XX;

- http://crypto.systema.ru/BancsExp/Keys/test3.bkey – тестовый ключ для SWIFTBIC3XX.

Для всех тестовых ключей оба ПИН-кода, как основной, так и резервный, совпадают и равны «123456».

 

Тестовый набор сертификатов

 

- http://crypto.systema.ru/BancsExp/Keys/test.p7b - набор сертификатов ключей SWIFTBIC1XX, SWIFTBIC2XX, SWIFTBIC3XX.

 

Тестовые ресурсы для алгоритма TELEX

 

- http://crypto.systema.ru/BancsExp/Telex/TelexTestTable.pdf - тестовая таблица TELEX в открытом виде;

- http://crypto.systema.ru/BancsExp/Telex/0189.SWIFTBIC1XX - тестовая таблица TELEX, зашифрованная для участника SWIFTBIC1XX;

- http://crypto.systema.ru/BancsExp/Telex/0189.SWIFTBIC2XX - тестовая таблица TELEX, зашифрованная для участника SWIFTBIC2XX;

- http://crypto.systema.ru/BancsExp/Telex/0189.SWIFTBIC3XX - тестовая таблица TELEX, зашифрованная для участника SWIFTBIC3XX;

 

Тестовые ресурсы для алгоритма Волга

 

- http://crypto.systema.ru/BancsExp/Volga/TestFileOut.xml - тестовый открытый пакет исходящих финансовых документов;

- http://crypto.systema.ru/BancsExp/Volga/TestFileOut.xml.signed - тестовый подписанный пакет исходящих финансовых документов;

- http://crypto.systema.ru/BancsExp/Volga/TestFileOut.xml.signed.encrypted - тестовый подписанный и зашифрованный пакет исходящих финансовых документов;

- http://crypto.systema.ru/BancsExp/Volga/TestFileIn.xml - тестовый открытый пакет входящих финансовых документов.

- http://crypto.systema.ru/BancsExp/Volga/TestFileIn.xml.signed - тестовый подписанный пакет входящих финансовых документов;

- http://crypto.systema.ru/BancsExp/Volga/TestFileIn.xml.signed.encrypted  - тестовый подписанный и зашифрованный пакет входящих финансовых документов;

 

Тестовые ресурсы для проверки шифрования и подписи файла

 

- http://crypto.systema.ru/BancsExp/EncryptSign/test_sign.txt.signed - тестовый подписанный файл;

- http://crypto.systema.ru/BancsExp/EncryptSign/test_encrypt.txt.encrypted - тестовый зашифрованный файл;

- http://crypto.systema.ru/BancsExp/EncryptSign/test.txt.signed.encrypted - тестовый подписанный и зашифрованный файл;

 

Загрузка тестовых ключей

 

                Тестовые ключи могут выполнять все функции, реализованные в АРМ участника BANCS EXP.

                Для загрузки тестовых ключей нужно скачать с сайта разработчика один из  трех тестовых ключей в зависимости от тестового BIC, введенного при установке пакета участника.

                После этого запустите АРМ участника, подсоедините к USB-порту компьютера носитель типа «флеш-память» и в основном меню выберите «Ключ» - «Импортировать ключ участника финансовых расчетов».

 

В появившемся окне выберите скачанный файл test1.bkey. Импорт тестового ключа завершен.


 

 

 

Ключи для рабочего режима

 

                Рабочий режим отличается от тестового только тем, что в нем в качестве ключа используются уникальные ключи участника финансовых расчетов. Эти ключи состоят из пары «секретный ключ – открытый ключ». Секретный ключ записывается на флеш-память в защищенном виде, не позволяющем потенциальному злоумышленнику получить доступ к нему без персонального ПИН-кода, задаваемому пользователем при подготовке носителя. Открытый ключ включается в общедоступный сертификат пользователя и может быть известен всем участникам BANCS EXP.

 

Подготовка носителя ключа

 

                В качестве носителя ключа может использоваться произвольный накопитель типа «Флеш-память», подключаемый к компьютеру через USB-порт. Рекомендуется не использовать носитель с ключом для иных, не связанных с работой BANCS EXP, целей.

                В основном меню выберите «Носитель» - «Подготовить носитель ключа».

 

 

Появляется окно выработки уникального секретного ключа и ввода персональных ПИН-кодов. Под секретным ключом здесь понимается ключ защиты персонального секретного ключа. Сам персональный секретный ключ участника BANCS EXP вырабатывается при подготовке запроса на сертификат.

Нажмите «Выработать уникальный секретный ключ». Появляется окно выработки случайных чисел.

Поводите мышью в пределах окна до завершения процесса генерации.

 

                После выработки ключа необходимо задать два ПИН-кода: основной и резервный. Основной ПИН-код нужно будет вводить всякий раз при выполнении операций, требующих секретного ключа для криптографической защиты информации. Основной ПИН-код необходимо запомнить, его длина должна быть не менее 6 и не более 32 буквенно-цифровых символов. Резервный ПИН-код позволяет восстановить доступ к секретному ключу в случае, если пользователь забыл свой основной ПИН-код. Резервный ПИН-код рекомендуется или запомнить, или записать и хранить в надежном месте.

 

Подготовка носителя завершена.

 

Подготовка запроса и получение персонального сертификата

 

                Персональный сертификат обеспечивает работоспособность системы BANCS EXP. Без персонального сертификата выполнение криптографических операций, связанных с защитой финансовых документов, невозможно.

                Перед подготовкой запроса на персональный сертификат необходимо проверить установленный BIC. Если был установлен тестовый BIC, его необходимо сменить на реальный. Для этого в основном меню выберите «Сменить BIC» и введите реальный BIC.

 

                Для получения персонального сертификата необходимо подготовить запрос на сертификат, который затем может быть отослан для получения сертификата в уполномоченный Удостоверяющий Центр либо в режиме On Line (если компьютер подключен к Интернет), либо иным путем (по e-mail, по обычной почте, курьером и пр.). Способ отсылки запроса определяет администратор, обслуживающий систему непосредственно на месте ее эксплуатации.

                Запрос на сертификат должен включать в себя уникальный серийный номер запроса. Этот номер выдает уполномоченный Удостоверяющий Центр.

                Подготовка запроса на сертификат осуществляется в разделе «Ключ» - «Выработка нового ключа участника финансовых расчетов».

 

Появляется форма запроса, которую надо заполнить.

 

Поля, помеченные символом *, являются обязательными.

В поле «Серийный номер запроса» вводится полученный в Удостоверяющем Центре серийный номер. Следует иметь в виду, что этот номер привязан к значению BIC, поэтому использование серийного номера, полученного для иного значения BIC, недопустимо.

Поле BIC SWIFT недоступно для редактирования, в него автоматически прописывается значение установленного BIC.

В остальных полях данные могут быть произвольными, существуют только ограничения по длине – не более 64 символов.

Вводимые данные будут использованы в выдаваемом сертификате для визуального ознакомления других участников BANCS EXP с владельцем сертификата.

Следует внимательно проверить данные во введенных полях, ибо после подготовки запроса любые исправления будут невозможны.

После ввода и визуальной проверки всех полей нажмите «Создать запрос». Через несколько секунд созданный запрос должен появиться на экране.

 

Кликнув по запросу правой кнопкой мыши, можно увидеть всплывающее меню.

 

Запрос представляет из себя набор данных в формате ASN.1. Его можно посмотреть и проверить с помощью универсального модуля ASN_CONSTRUCTOR, для чего во всплывающем меню надо выбрать «Посмотреть запрос»

Визуально проконтролируйте, что значения в полях из заполненной формы вошли в запрос правильно.

                Также проконтролируйте, что серийный номер вошел в запрос правильно.

Запрос на сертификат готов. Он может быть сохранен в файле («Сохранить запрос»), который затем направляется доступным способом (по e-mail, по обычной почте, курьером и пр.) в Удостоверяющий Центр.

Если компьютер подключен к Интернет, то доставку запроса и получение сертификата можно выполнить в режиме On Line. Для этого в окне формы запроса необходимо нажать «Отослать запрос».

Появится окно отсылки запроса.

В окне отсылки запроса проверьте адрес Удостоверяющего Центра. По умолчанию там появляется адрес УЦ компании-разработчика системы BANCS EXP. Нажмите «Отослать запрос». Через некоторое время появляется ответ

 

Если подключение к Интернет отсутствует и файл с запросом направлялся в УЦ иным путем, то после получения от УЦ сертификата его необходимо установить на носитель. Для этого в основном меню выберите «Ключ – Установить полученный сертификат участника финансовых расчетов»

 

и в появившемся окне или скопируйте, или вставьте из файла полученный от УЦ сертификат.

                Выдаваемый УЦ сертификат действителен в течение 1 года. За месяц до истечения срока действия сертификата на экране появляется предупреждение о скором окончании срока действия сертификата.

 

Код сертификата

 

                Для избежания ошибок при работе в период смены сертификатов участников BANCS EXP (плановой смены по истечении срока действия или внеплановой при компрометации ключей) в BANCS EXP используется понятие короткого (5 цифр) кода сертификата. Это специальная проверочная комбинация, которая подтверждает правильность выбора сертификата при кодировании по алгоритму Волга.

 

Создание резервной копии персонального ключа

 

                После получения персонального сертификата рекомендуется создать резервную копию персонального ключа, которая будет включать в себя как секретный ключ, так и соответствующие ему открытый ключ и сертификат. Резервная копия создается в виде файла, который следует использовать в том случае, если носитель типа «флеш-память», содержащий персональный ключ, выйдет из строя или если пользователь забыл основной ПИН-код и заблокировал носитель. В этом случае файл с резервной копией позволит подготовить новый носитель с идентичным персональным ключом.

                Для записи файла с резервной копией персонального ключа рекомендуется использовать съемный носитель, который затем будет храниться в надежном месте. Для этого при создании резервной копии рекомендуется использовать компьютер, на котором имеются два USB-разъема: один для носителя с персональным ключом, другой – для носителя, где будет файл с его резервной копией.

Для создания резервной копии персонального ключа вставьте в первый USB-разъем носитель с персональным ключом, а во второй – носитель для резервной копии.

В приводимом ниже примере к компьютеру подсоединены два носителя типа «флеш-память».

Носитель F: содержит персональный секретный ключ участника VUNIRI32XXX, носитель H: - чистый, предназначен для хранения резервных копий.

                В основном меню выберите «Ключ – Экспортировать ключ участника финансовых расчетов»

 

 

Введите основной ПИН-код.

Подтвердите желание экспортировать ключ, затем выберите место на носителе H: для файла с резервной копией.

Экспорт выполнен успешно.

Проверьте, что файл с экспортированными ключами реально появился на носителе H:

 

 

                Восстановление носителя с персональным ключом из файла с резервной копией осуществляется аналогично, используя «Ключ – Импортировать ключ участника финансовых расчетов».


 

 

Хранилища сертификатов участников BANCS EXP

 

                Защита финансовых документов в BANCS EXP построена на криптографических методах, основанных на системе с открытым распределением ключей Диффи-Хеллмана, в которой во многих случаях необходим секретный ключ отправителя и открытый ключ получателя. Носителем секретного ключа является флеш-память, защищенная персональным ПИН-кодом, а носителем открытого ключа – сертификат участника BANCS EXP.

                Таким образом, для использования системы защиты BANCS EXP, помимо персонального секретного ключа необходимо иметь некоторое хранилище, в котором записаны сертификаты других участников, с которыми отправитель будет поддерживать защищенный документооборот. Такие хранилища могут быть глобальными, если компьютер подключен к Интернет, или локальными,  если такого подключения нет.

 

Глобальное хранилище сертификатов на LDAP сервере

               

                Глобальное хранилище сертификатов на LDAP сервере формируется автоматически Удостоверяющим Центром, осуществляющим выдачу персональных сертификатов. Посмотреть глобальное хранилище можно из основного меню, выбрав «LDAP»

 

                Сертификаты, высвечивающиеся в списке сертификатов на LDAP-сервере, автоматически проходят типовые проверки для сертификатов:

                - проверка на подлинность (проверка подписи УЦ);

                - проверка срока действия сертификата.

                Проверка на отзыв не осуществляется, поскольку при отзыве сертификаты автоматически удаляются с LDAP-сервера.

                Сертификаты, не прошедшие этих проверок, отображаются на экране красными иконками.

 

Это результат проверки сертификатов на LDAP-сервере при установке текущей даты 15.10.2016.

                Отметим, что на LDAP-сервере хранятся только текущие сертификаты. Старый сертификат автоматически заменяется на новый при выдаче участнику BANCS EXP нового сертификата.

 

Локальные хранилища сертификатов

 

                Локальные хранилища сертификатов формируются самими участниками BANCS EXP. В них могут включаться только те сертификаты, которые необходимы конкретному участнику BANCS EXP. Локальные хранилища представляют из себя типовые файлы типа *.p7b, содержащие один или несколько различных сертификатов.

Формирование локальных хранилищ возможно двумя путями:

1)      Выборкой требуемых сертификатов из глобального хранилища на LDAP сервере (установить флажок «Сохранить выбранные сертификаты в файле»);

2)       Добавлением своего персонального сертификата в файл-хранилище (раздел «Ключ – Добавить сертификат в файл-хранилище» основного меню).


 

 

Кодирование финансовых документов

 

                Под кодированием финансовых документов понимается выработка или проверка специального кода, подтверждающего подлинность документа. В выработке такого кода принимает участие информационный блок документа и некоторый ключ. В информационный блок включаются те параметры финансового документа, которые необходимо защитить от подделки: отправитель, получатель, его счет, сумма перевода, дата, номер документа и т.п. В качестве ключа используется некоторая секретная последовательность, которая предполагается неизвестной потенциальному злоумышленнику, но известна как отправителю, так и получателю.

                В BANCS EXP кодом подтверждения финансового документа является цифровая последовательность длиной не более 10 знаков. Она может проставляться в документе на бумажном носителе или записываться в специальном поле в электронных финансовых документах, например в файлах формата *.XML.

                Выработка различных кодов подтверждения финансового документа в BANCS EXP возможна с помощью двух различных алгоритмов: алгоритма TELEX и алгоритма Волга.


 

 

Ввод основного ПИН-кода. Действия по разблокировке носителя.

 

                Всякий раз для входа в режим кодирования необходимо ввести основной ПИН-код, установленный при подготовке носителя.

                Допускается не более 5 попыток подряд неудачного ввода, после чего носитель блокируется.

                Работа с заблокированным носителем невозможна, при попытке использовать заблокированный носитель появляется сообщение

                Для разблокирования носителя необходимо воспользоваться резервной копией персонального ключа. Вставьте в другой USB-порт носитель с резервной копией.

1)      В основном меню выберите «Ключ – Импортировать ключ участника финансовых расчетов»

 

 

При импорте осуществляется удаление всех имеющихся на носителе персональных ключей и иной служебной информации, включая проверочные файлы для ПИН-кодов.

 

Подтвердите очистку носителя.

 

 

 

 

Выберите на носителе с резервной копией файл с резервной копией персонального ключа

Персональные ключи импортированы успешно.

 

                Если основной ПИН-код забыт, то для восстановления основного ПИН-кода воспользуйтесь резервным ПИН-кодом. Для этого в основном меню выберите «Носитель – Восстановить ПИН-код пользователя»

 

 

 

                Введите резервный ПИН-код и нажмите «Ввести». Появляются поля для ввода нового основного ПИН-кода.

 

                Задайте и подтвердите новый основной ПИН-код пользователя. Нажмите «Установить».

                Устройство разблокировано, ключи восстановлены, основной ПИН-код сменен.


 

 

Проверка сертификата

 

Вход в любой из режимов кодирования возможен только при наличии персонального сертификата участника BANCS EXP, причем сертификат должен быть действующим, не изменен и не просрочен. В сертификате должен быть прописан тот же самый BIC, который установлен на рабочем месте. Попытка входа в режим кодирования с любым иным сертификатом приводит к появлению сообщения об ошибке типа

и входа режим кодирования не происходит.

                В обоих режимах кодирования носитель персонального секретного ключа участника BANCS EXP постоянно должен быть подключен к компьютеру. Отключение носителя от компьютера автоматически прерывает режим кодирования.


 

 

Кодирование по алгоритму TELEX

 

                Алгоритм TELEX является очень старым и широко распространенным алгоритмом кодирования финансовых документов. Его характерной особенностью являются наличие специальных таблиц кодирования, содержащих случайные числа, используемые для кодирования отдельных параметров финансового документа, таких как сумма, дата, валюта, номер перевода и, возможно, некоторых других. Кодовые значения складываются, результат является требуемым кодом подтверждения достоверности финансового документа.

                Алгоритм TELEX может использоваться в ручном режиме, когда необходимые кодовые значения определяются оператором по распечатанной кодовой таблице TELEX, а их сложение осуществляется либо вручную, либо с помощью простейших подсобных средств. Очевидно, что работа по кодированию финансовых документов по алгоритму TELEX в ручном режиме весьма трудоемка и неэффективна. Поэтому в автоматизированной системе BANCS EXP реализован метод «полуавтоматического» кодирования по алгоритму TELEX, когда оператор вводит с клавиатуры только необходимые параметры финансового документа и выбирает используемую таблицу для кодирования. Вычисление кода TELEX осуществляется программой участника BANCS EXP автоматически после ввода всех необходимых данных.

                Таблицы со значениями случайных чисел, необходимые для кодирования по алгоритму TELEX, хранятся на компьютере участника BANCS EXP в зашифрованном виде. Их расшифрование осуществляется только в оперативной памяти компьютера непосредственно перед вычислением кода TELEX. Для расшифрования используется персональный секретный ключ участника BANCS EXP. Подготовка и зашифрование таблиц осуществляются в специализированном Ключевом Центре, при зашифровании используется только открытый ключ участника, взятый из его сертификата.

                Имя файла с зашифрованной таблицей TELEX состоит из первых 4 значений набора случайных чисел таблицы. Это имя совпадает с номером таблицы, если первое значение набора случайных чисел отлично от 0. В имеющейся на сайте разработчика тестовой таблице TELEX первое случайное число равно 0, поэтому имя файла отлично от номера таблицы. Расширение в имени файла может совпадать с BIC участника, либо быть «XXX», что означает, что таблица была зашифрована для нескольких участников одновременно. Ниже приводится пример файлов с зашифрованной таблицей TELEX.

 

Файл 0189.XXX предназначен для нескольких участников. Посмотреть, кому именно предназначен этот файл, можно с помощью «Шифрование – Посмотреть получателей зашифрованного файла».

 

 

 

Примечание. При отсутствии подключения к Интернет при вызове функции «Посмотреть получателей зашифрованного файла» надо будет указать локальный файл-хранилище сертификатов.

                Для кодирования финансовых документов по алгоритму TELEX выберите «Кодирование – TELEX», введите основной ПИН-код, в окне кодирования выберите зашифрованный файл с таблицей TELEX, введите реквизиты финансового документа и нажмите «Кодировать».

Проверьте результат по открытой тестовой таблице TELEX.


 

 

Кодирование по алгоритму Волга

 

                Алгоритм Волга предназначен для выработки короткого (10 цифр) кода подтверждения финансового документа (КПФД) с использованием системы с открытым распределением ключей. В отличие от алгоритма TELEX, для алгоритма Волга не требуется дополнительных кодовых таблиц – выработка КПФД осуществляется с помощью пары «секретный ключ отправителя – открытый ключ получателя». Следовательно, для кодирования по алгоритму Волга необходим носитель с персональным секретным ключом и глобальное (при подключении к Интернет) или локальное хранилище сертификатов, в которых находятся требуемые открытые ключи.

                В настоящее время существует две версии пакета участника BANCS EXP:

                - версия 2.0, где ввод данных для кодирования по алгоритму Волга возможен только вручную;

                - версия 3.0, где ввод данных возможен как вручную, так и в пакетном режиме, где поступающий на вход пакет состоит из записей, объединенных в файл формата *.XML.

 

                В качестве КПФД в алгоритме Волга используется последовательность из 32 бит. При случайном и равновероятном выборе финансового документа эта последовательность будет случайной и равновероятной последовательностью из 32 бит, т. е. случайным и равновероятным числом от 0 до 232 – 1, т. е. от 00000 00000 до 42949 67295.

 

Состав информационного блока

 

                Информационный блок содержит информацию финансового документа, подлинность которой подтверждается с помощью КПФД.    Для алгоритма Волга в состав информационного блока входят:

Таблица 1. Информационный блок для алгоритма Волга.

 

Название поля

Обязательное

Min длина

Max длина

1

SWIFT BIC отправителя

*

8

11

2

Код сертификата отправителя

*

5

5

3

SWIFT BIC получателя

*

8

11

4

Код сертификата получателя

*

5

5

5

Дата подготовки отправителем

*

8

8

6

К/С получателя

 

0

20

7

Сумма перевода

*

1

10

8

Валюта перевода

 

0

64

9

Номер документа

*

1

3

 

Общие особенности заполнения некоторых полей информационного блока.

1.       Дата подготовки отправителем. Должна быть в формате yyyymmdd, где yyyy – год, mm – месяц, dd – день. Ошибкой считаются случаи, когда эта дата больше текущей или меньше текущей на 10 дней и более, за исключением случая использования тестовых ключей.

 

2.       В обоих версиях 2.0 и 3.0 зафиксирован следующий перечень допустимых валют перевода:

Азербайджанский манат
Армянский драм
Белорусский рубль
Казахстанский тенге
Кыргызский сом
Молдавский лей
Российский рубль
Таджикский сомони
Туркменский манат
Узбекский сум
Украинская гривна
Доллар США
Евро
Другое

                В поле «Валюта перевода» должно быть одно из перечисленных выше значений, любые другие значения воспринимаются как ошибка.

Выбор сертификатов для кодирования по алгоритму Волга

 

                Перед началом кодирования по алгоритму Волга необходимо выбрать набор сертификатов, которые будут использоваться для кодирования. Для этого можно использовать либо глобальное хранилище на LDAP сервере, либо локальный файл типа *.p7b, содержащий требуемые сертификаты. Выбор сертификатов осуществляется в окне кодирования по алгоритму Волга.

 

Ручной режим кодирования по алгоритму Волга

 

                В ручном режиме кодирования ввод данных возможен только вручную с клавиатуры оператором. Вывод результатов кодирования возможен как на экран, так и в XML-файл (в версии 3.0). Различаются режимы кодирования исходящих и входящих финансовых документов.


 

 
Кодирование исходящих документов в ручном режиме

 

                При кодировании исходящих документов в ручном режиме часть полей информационного блока заполняется автоматически.

Поле «SWIFT BIC отправителя» всегда проставляется по текущему значению BIC и недоступно для редактирования. Поле «Код сертификата отправителя» также недоступно для редактирования и проставляется автоматически по текущему сертификату пользователя.

Набор значений поля «SWIFT BIC получателя» совпадает с набором выбранных сертификатов.

При выборе получателя автоматически в поле «Код сертификата получателя» автоматически проставляется код его сертификата.

В поле «Дата подготовки отправителем» по умолчанию проставляется текущая дата. Если дату изменить неправильно, то сразу же появляется сообщение о неверно выбранной дате.

 

В полях «К/С получателя», «Сумма перевода» и «Номер документа» допускается появление только цифр. В иных случаях высвечивается сообщение об ошибке.

После правильного заполнения всех необходимых полей становится доступной кнопка «Кодировать».

Если результат кодирования нужно только высветить на экране, то достаточно нажать «Кодировать».

 

Если результаты кодирования необходимо сохранить в файле типа *.XML, то перед кодированием необходимо задать XML-файл на выходе (только для версии 3.0).

 

Файл на выходе задается один раз и в дальнейшем в него автоматически записываются все результаты кодирования. По умолчанию, имя файла кодирования определяется по текущим дате и времени.

При заданном файле на выходе после нажатия кнопки «Кодировать» результат высветится на экране и в файл на выходе добавится запись, соответствующая закодированному документу.

При записи документа в файл на выходе автоматически проверяется наличие в файле документа с точно таким же КПФД. Если такой документ найден, то записи не происходит. Это позволяет блокировать повторную запись финансового документа при случайном повторном нажатии кнопки «Кодировать».

В любой момент времени файл на выходе можно посмотреть

 

 


 

 

Кодирование входящих документов в ручном режиме

 

                Кодирование входящих документов в ручном режиме отличается от кодирования исходящих тем, что при вводе входящего документа обязательно вводится его КПФД, который затем проверяется.

 

После нажатия кнопки «Проверить КПФД» появляется результат проверки.

Результат проверки, аналогично обработке исходящих документов, может быть записан в XML-файл.

 

Как для исходящих, так и для входящих документов XML-файл с результатами их кодирования может быть подписан.


 

 

Пакетный режим кодирования по алгоритму Волга

 

                Пакетный режим кодирования по алгоритму Волга позволяет подавать на вход системы кодирования не один, а сразу несколько финансовых документов, подготовленных заранее и объединенных в один пакет в виде XML-файла. Пакетный режим кодирования реализован только в версии 3.0.               

Требования к пакету на входе системы кодирования

 

                Для того, чтобы система BANCS EXP воспринимала подготовленные некоторой внешней программой XML-файлы в качестве пакета входных финансовых документов, эти файлы должны удовлетворять определенным требованиям. Пример пакетов как исходящих, так и входящих документов можно скачать с сервера разработчика.

Пример пакета исходящих документов.

                Пример пакета входящих документов.

Ниже приводятся общие требования к таким пакетам, заданным в виде XML-файлов.

1)      Пакет финансовых документов распознается по тегу <VOLGA>;

2)      Каждый финансовый документ пакета распознается по тегу <ПлатежныйДокумент>;

3)      Внутри документа должны быть обязательные теги и могут быть необязательные теги;

4)      Перечень обязательных тегов для каждого исходящего документа:

<Получатель>
<Дата>
<Сумма>
<Валюта>
<Номер>

5)      Перечень обязательных тегов для каждого входящего документа:

<Отправитель>
<Дата>
<Сумма>
<Валюта>
<Номер>
<КПФД>


 

 

Кодирование документов в пакетном режиме

 

                Для перехода в пакетный режим кодирования исходящих документов необходимо задать режим ввода документов «Из XML-файла». Автоматически появляется запрос на ввод имени файла на входе. Имя файла на выходе автоматически устанавливается по текущим дате и времени.

После выбора открытых ключей появляется первый документ пакета.

В пакетном режиме внесение каких-либо исправлений в документы пакета не допускается.

                При кодировании результат автоматически заносится в файл на выходе аналогично тому, как это осуществлялось в ручном режиме.

Наряду с кнопкой «Кодировать», которая позволяет закодировать только текущий документ, появляется кнопка «Кодировать все документы», которая позволяет закодировать все финансовые документы, находящиеся в пакете.  При этом в файл на выходе записывается только результат кодировки документов без ошибок. Если же в документе, входящем в состав пакета, были какие-то ошибки, то он записывается в файл документов с ошибками.

В конце выдается результат

Файл, содержащий ошибки, можно посмотреть.

 

 

Отметим, что отсутствие получателя документа в выбранном перед началом кодирования списке получателей также считается ошибкой.

Кодирование входящих документов в пакетном режиме осуществляется аналогично. Отметим, что во входящих документах пакета могут отсутствовать такие теги, как

<КодОтправителя>
<Получатель>
<КодПолучателя>

                Эти теги являются вспомогательными, позволяющими получить более точную информацию о причинах возможной ошибки. Проиллюстрируем это на примерах.

Пример 1. Пользователь SWIFTBIC1XX по ошибке получил в пакете документ, подготовленный SWIFTBIC2XX и предназначенный для SWIFTBIC3XX.

<?xml version="1.0" encoding="UTF-8"?>
<
VOLGA>
          <ПлатежныйДокумент>
                         <Отправитель>SWIFTBIC2XX</Отправитель>
                         <Дата>20151022</Дата>
                         <СчетПолучателя>12345678901234567890</СчетПолучателя>
                         <Сумма>123456</Сумма>
                         <Валюта>Российский рубль</Валюта>
                         <Номер>001</Номер>
                         <Срочный>Да</Срочный>
                         <СтранаПолучателя>Россия</СтранаПолучателя>
                         <КПФД>0745889072</КПФД>
                         <ДатаВремяКодирования>22.10.2015 11:42:03</ДатаВремяКодирования>
         </ПлатежныйДокумент>
</VOLGA>

При проверке КПФД в пакетном режиме в файле ошибок появится запись

Отправитель: SWIFTBIC2XX
Дата: 20151022
СчетПолучателя: 12345678901234567890
Сумма: 123456
Валюта: Российский рубль
Номер: 001
Срочный: Да
СтранаПолучателя: Россия
КПФД: 0745889072
ДатаВремяКодирования: 22.10.2015 11:42:03
ERROR: Неверный КПФД

Если же в платежном документе указан получатель, то результат проверки будет иной.

<?xml version="1.0" encoding="UTF-8"?>
<
VOLGA>
          <ПлатежныйДокумент>
                <Отправитель>SWIFTBIC2XX</Отправитель>
              <Получатель>SWIFTBIC3XX</Получатель>
                <Дата>20151022</Дата>
                <СчетПолучателя>12345678901234567890</СчетПолучателя>
                <Сумма>123456</Сумма>
                <Валюта>Российский рубль</Валюта>
                <Номер>001</Номер>
                <Срочный>Да</Срочный>
                <СтранаПолучателя>Россия</СтранаПолучателя>
                <КПФД>0745889072</КПФД>
                <ДатаВремяКодирования>22.10.2015 11:42:03</ДатаВремяКодирования>
         </ПлатежныйДокумент>
</VOLGA>

Результат проверки:

Отправитель: SWIFTBIC2XX
Получатель: SWIFTBIC3XX
Дата: 20151022
СчетПолучателя: 12345678901234567890
Сумма: 123456
Валюта: Российский рубль
Номер: 001
Срочный: Да
СтранаПолучателя: Россия
КПФД: 0745889072
ДатаВремяКодирования: 22.10.2015 11:42:03
ERROR: Неверные данные в поле SWIFT BIC получателя

Пример 2. Пользователь SWIFTBIC2XX подготовил для SWIFTBIC1XX финансовый документ, отослал его, а затем сменил свой ключ. Пользователь SWIFTBIC1XX получил пакет с этим документом тогда, когда ключ SWIFTBIC2XX был сменен и на LDAP-сервере находился уже новый открытый ключ, который он попытался использовать для проверки КПФД.

Если документ в пакете не включал в себя тег <КодОтправителя>

<?xml version="1.0" encoding="UTF-8"?>
<
VOLGA>
           <ПлатежныйДокумент>
                        <Отправитель>SWIFTBIC2XX</Отправитель>
                        <Получатель>SWIFTBIC1XX</Получатель>
                        <Дата>20151022</Дата>
                        <СчетПолучателя>12345678901234567890</СчетПолучателя>
                        <Сумма>123456</Сумма>
                       <Валюта>Российский рубль</Валюта>
                       <Номер>001</Номер>
                       <Срочный>Да</Срочный>
                       <СтранаПолучателя>Россия</СтранаПолучателя>
                       <КПФД>3359217322</КПФД>
                      <ДатаВремяКодирования>22.10.2015 13:06:04</ДатаВремяКодирования>
         </ПлатежныйДокумент>
</VOLGA>

то результат проверки будет

Отправитель: SWIFTBIC2XX
Получатель: SWIFTBIC1XX
Дата: 20151022
СчетПолучателя: 12345678901234567890
Сумма: 123456
Валюта: Российский рубль
Номер: 001
Срочный: Да
СтранаПолучателя: Россия
КПФД: 3359217322
ДатаВремяКодирования: 22.10.2015 13:06:04
ERROR: Неверный КПФД

 

Если документ в пакете включает в себя тег <КодОтправителя>

<?xml version="1.0" encoding="UTF-8"?>
<
VOLGA>
           <ПлатежныйДокумент>
                        <Отправитель>SWIFTBIC2XX</Отправитель>
                       <КодОтправителя>65098</КодОтправителя>
                       <Получатель>SWIFTBIC1XX</Получатель>
                        <Дата>20151022</Дата>
                        <СчетПолучателя>12345678901234567890</СчетПолучателя>
                        <Сумма>123456</Сумма>
                       <Валюта>Российский рубль</Валюта>
                       <Номер>001</Номер>
                       <Срочный>Да</Срочный>
                       <СтранаПолучателя>Россия</СтранаПолучателя>
                       <КПФД>3359217322</КПФД>
                      <ДатаВремяКодирования>22.10.2015 13:06:04</ДатаВремяКодирования>
         </ПлатежныйДокумент>
</VOLGA>

то результат проверки будет

Отправитель: SWIFTBIC2XX
КодОтправителя: 65098
Получатель: SWIFTBIC1XX
Дата: 20151022
СчетПолучателя: 12345678901234567890
Сумма: 123456
Валюта: Российский рубль
Номер: 001
Срочный: Да
СтранаПолучателя: Россия
КПФД: 3359217322
ДатаВремяКодирования: 22.10.2015 13:06:04
ERROR: Неверный код сертификата 65098 в поле Код сертификата отправителя

В подобной ситуации можно воспользоваться локальным хранилищем сертификатов, содержащим старый сертификат отправителя.

Аналогичный пример можно привести и для поля «КодПолучателя». Это поле необходимо на тот случай, если получатель сменит свой ключ за время, пока к нему доходит входящий пакет, содержащий документы, закодированные с использованием его старого открытого ключа. Для предотвращения задержек с прохождением финансовых документов для такого случая рекомендуется:

1)      проводить смену персонального ключа заранее, не дожидаясь истечения срока его действия;

2)      для нового ключа использовать другой носитель, сохраняя старый ключ для подобных случаев.

 

Аналогично ручному режиму, файл на выходе после окончание кодирования может быть подписан.

Отметим, что BANCS EXP позволяет подавать на вход зашифрованные и подписанные XML-файлы. Примеры таких файлов можно скачать с сервера разработчика. Отметим, что загрузить зашифрованный файл может только тот пользователь, для которого он был зашифрован. Например, скачанный с сервера разработчика файл тестовый файл TestFileIn.xml.signed.encrypted зашифрован только для пользователя SWIFTBIC1XX. Это можно увидеть с помощью «Шифрование – Посмотреть получателей зашифрованного файла»

 

                При попытке загрузить этот файл, например, для пользователя SWIFTBIC2XX на экране появляется сообщение

 

                Замечание. При загрузке подписанного файла осуществляется проверка его подписи без проверки доверия к сертификату подписавшего.


 

 

 

Шифрование файлов

 

                Система BANCS EXP позволяет осуществлять шифрование произвольных файлов. Общие правила шифрования:

1)      Шифрование осуществляется только для конкретных получателей зашифрованного файла. Никто другой расшифровать зашифрованные файлы не сможет.

2)      Шифрование может осуществляться как для одного, так и для нескольких получателей сразу.

3)      Имя зашифрованного файла, по умолчанию, совпадает с именем файла-оригинала, к которому добавляется расширение .encrypted. Рекомендуется использовать для зашифрованного файла его имя по умолчанию.

4)      Получатели зашифрованного файла определяются по их сертификатам в системе BANCS EXP. Выбор сертификатов может осуществляться как из глобального (LDAP-сервер), так и различных локальных хранилищ.

5)      В зашифрованных файлах присутствуют серийные номера сертификатов получателей. Для того, чтобы посмотреть сами сертификаты получателей, необходимо указать хранилище сертификатов, где их можно было бы найти по серийным номерам.

6)      Для входа в режим расшифрования файлов необходимо иметь персональный сертификат и ввести основной ПИН-код, аналогично тому, как это осуществлялось при входе в режим кодирования. Для входа в режим зашифрования и просмотра получателей зашифрованного файла носитель с ключом и ПИН-код не требуются.

7)      По зашифрованному файлу можно определить его получателей, но нельзя определить отправителя, т. е. того, кто его зашифровал. Зашифровать файл может любой, в том числе и не имеющий персонального ключа участник BANCS EXP. Если необходимо указать того, кто отправляет этот файл, то перед зашифрованием его рекомендуется подписать.

 

В основном меню участника BANCS EXP имеется пункт «Шифрование».

                Разделы «Зашифровать файл» и «Расшифровать файл» достаточно простые и не требуют комментариев. Отметим только, что в разделе «Зашифровать файл» имеются два способа выбора сертификатов получателя: из глобального хранилища на LDAP-сервере и из одного из возможных локальных хранилищ, заданных в виде файла формата *.p7b. Отметим, что при выборе сертификатов из файла формата *.p7b получателями будут все те участники BANCS EXP, чьи сертификаты находятся в выбранном файле.

Далее нужно следовать инструкциям, появляющимся на экране: выбрать файл для зашифрования или расшифрования, выбрать имя для файла с результатом операции (рекомендуется использовать имена, появляющиеся по умолчанию), и посмотреть результат. Примеры зашифрованных файлов могут быть скачаны с сервера разработчика.

                Отметим, что расшифровать зашифрованный файл может только один из его получателей и никто другой, даже сам отправитель, если только его сертификат не присутствует в списке получателей. Посмотреть сертификаты получателей можно с помощью пункта «Шифрование – Посмотреть получателей зашифрованного файла».

                Если компьютер подключен к Интернет, то для любого зашифрованного файла при попытке просмотра его получателей для поиска сертификатов по их серийным номерам, присутствующим в зашифрованном файле, автоматически используется глобальное хранилище сертификатов на LDAP-сервере. Вот, например, список получателей тестового зашифрованного файла test_encrypt.txt.encrypted

 

 

                Если же компьютер работает автономно или в локальной сети без выхода в Интернет, то для просмотра получателей зашифрованного файла необходимо еще указать локальное хранилище сертификатов, в котором будет осуществляться поиск сертификатов получателей по их серийным номерам.

 

Если в этом хранилище найдены все требуемые сертификаты, то результат будет таким же, что и для глобального хранилища. Если найдены не все сертификаты, то появляется предупреждение

и высвечиваются только найденные получатели.

 


 

 

Подпись и проверка подписи файлов

               

                Система BANCS EXP позволяет осуществлять подпись произвольных файлов. Общие правила подписи и ее проверки:

1)      Подпись осуществляется только самим участником BANCS EXP с помощью своего персонального секретного ключа. Никто не может подписать файл за другого участника BANCS EXP.

2)      При осуществлении подписи файла создается подписанный файл, который не совпадает с первоначальным файлом. По умолчанию, имя подписанного файла совпадает с именем первоначального, к которому добавляется расширение .signed. Рекомендуется не изменять имя по умолчанию.

3)      В подписанный файл добавляется сертификат подписавшего и время подписи.

4)      Подпись осуществляется для неопределенного круга лиц, т. е. проверить подпись подписанного файла может любой, даже не обладающий персональным ключом участник BANCS EXP.

5)      При проверке подписи создается файл-результат, имя которого по умолчанию совпадает с именем подписанного файла без расширения .signed. После проверки подписи файл-результат должен в точности совпадать с первоначальным файлом до подписи.

6)      Для осуществления подписи необходимо иметь персональный сертификат и ввести основной ПИН-код, аналогично тому, как это осуществлялось при входе в режим кодирования. Для входа в режим проверки подписи и получения информации о подписи носитель с ключом и ПИН-код не требуются.

7)      В BANCS EXP существуют два вида проверки подписи: простая проверка, когда проверяется только подпись, и комплексная, когда проверяется подпись и проверяется сертификат подписавшего.

 

Для подписи и проверки подписи в основном меню имеется пункт «Подпись». В нем три раздела:

1)      подписать файл;

2)      проверить подпись файла;

3)      информация о подписанном файле.

 

Разделы «Подписать файл» и «Проверить подпись файла» достаточно очевидны, в каждом из этих разделов предлагается сначала выбрать файл для подписи (проверки подписи), после чего предлагается ввести имя файла для результата подписи (проверки подписи). Рекомендуется не изменять указанные по умолчанию имена. В конце высвечивается результат операции. Отметим, что в разделе «Проверить подпись файла» осуществляется простая проверка подписи без проверки сертификата подписи.

                Для входа в раздел «Подписать файл» требуется персональный ключ и основной ПИН-код.

                В разделе «Информация о подписанном файле» осуществляется комплексная проверка подписи файла.


 

 

Комплексная проверка подписи файла

 

Комплексная проверка подписи файла включает в себя:

1)      проверку самой подписи файла;

2)      проверку времени подписи;

3)      проверку доверия к сертификату подписи. 

Результаты комплексной проверки подписи высвечиваются в окне информации о подписи, которое появляется в режиме «Подпись – Информация о подписанном файле»

С помощью этого окна можно осуществить восстановление оригинального файла, который был до подписи («Восстановить подписанный файл»), посмотреть сертификат, с помощью которого осуществляется проверка подписи («Посмотреть сертификат подписи»), а также выбрать другой файл с подписью («Сменить»). Кроме того, в информационном окне имеются возможности получения более детальной информации о подписанном файле, о которых и пойдет речь ниже.


 

 

Структура цифровой подписи

 

Файл с подписью представляет из себя древовидную ASN.1 структуру, в которой содержатся:

                - данные, защищенные подписью;

                - метка подписи;

                - сертификат для проверки подписи;

                - защищенное время подписи;

                - сама цифровая подпись.

В этой структуре существует заголовок (header) и «подвал» (footer). Посмотреть древовидную структуру подписи можно с помощью универсального модуля ASN_CONSTRUCTOR. Для этого надо нажать «Посмотреть дерево подписи».

Защищенное время подписи

 

                Защищенное время подписи входит в структуру подписи. Блок ASN.1 дерева, содержащий дату и время подписи, сам в свою очередь включает в себя цифровую подпись этого блока, осуществленную при тех же параметрах, что и основная подпись. ЦП блока времени подписи является последней строкой в этом блоке. Появление даты и времени подписи в окне информации о подписи означает, что проверка подписи блока времени прошла успешно, в противном случае вместо даты и времени появляется надпись «Неизвестно».

 

Проверка доверия к сертификату подписи

 

В BANCS EXP используются общепринятые способы проверки доверия к сертификату подписи, содержащемуся в структуре подписи.

Проверка доверия к сертификату подписи при установленных по умолчанию параметрах проверки доверия осуществляется автоматически при загрузке окна с информацией о подписи. В самом окне параметры проверки доверия могут быть изменены и повторная проверка доверия осуществляется при нажатии «Проверить сертификат подписи».

Параметры проверки доверия касаются только способов получения и проверки списка отозванных сертификатов (Certificate Revocation ListCRL), иные типовые проверки – проверка цепочки сертификатов-заверителей и проверка срока действия сертификата – всегда осуществляются автоматически. Отметим, что любая проверка доверия к сертификату осуществляется на момент осуществления подписи, определяемому по защищенному времени подписи.

Список отозванных сертификатов

 

При эксплуатации любой криптографической системы возможны «нештатные» ситуации, связанные с возможной компрометацией персонального секретного ключа, ликвидацией или перераспределением функций участников системы защищенного документооборота, сменой владельца и т. п. В таких случаях персональный сертификат участника, попавшего в нештатную ситуацию, должен быть изъят из участия в общем документообороте и об этом должны быть поставлены в известность все другие участники. Для этого принято использовать такое понятие, как отзыв сертификата. Отзыв сертификата, как правило, осуществляет Удостоверяющий Центр, выдавший этот сертификат. Для оповещения других участников документооборота УЦ регулярно публикует список отозванных сертификатов (CRL), подписанный УЦ, к которому все участники могут обратиться. После опубликования CRL все вошедшие в него сертификаты считаются не вызывающими доверия.

Ресурс, на котором УЦ публикует CRL, как правило указывается в любом сертификате, выданным УЦ. Не являются исключением и персональные сертификаты участников BANCS EXP.

 

 

                               Скачанный с ресурса CRL имеет вид:

 

                               В нем указывается издатель – УЦ, опубликовавший этот CRL,

а также дата публикации, дата следующего обновления, идентификатор ключа УЦ, номер опубликованного CRL и т. п.

                Сам список включает в себя серийные номера отозванных сертификатов, дату и причину отзыва.

Хотя в CRL прописана дата следующей публикации, УЦ может опубликовать новый CRL и раньше, если возникнут новые нештатные ситуации у участников BANCS EXP, в результате которых появятся новые отозванные сертификаты, к которым нет доверия.

 

Использование CRL для проверки доверия к сертификату

 

                Если компьютер не подключен к Интернет, то для проверки доверия можно использовать только локальные CRL. Они каким-либо образом поступают пользователю локального компьютера и устанавливаются в локальное хранилище. Частота и периодичность смены CRL также зависят от возможностей считывания CRL с ресурса УЦ и доставки их на локальный компьютер.

                CRL представляет из себя файл с расширением *.crl. Для установки CRL на локальный компьютер кликните правой кнопкой мыши по файлу с CRL и в появившемся всплывающем меню выберите «Установить список отзыва (CRL

 

Если компьютер подключен к Интернет, то возможностей получения CRL, заложенных в операционную систему Windows, гораздо больше. Наряду с прямым считыванием CRL с ресурса через браузер, считывание и одновременно использование CRL для проверки доверия к сертификату возможны прямо из окна информации о подписи. Следует помнить, что проверка по локально установленному CRL имеет приоритет перед проверками, связанными с обращением к глобальным ресурсам, поэтому если компьютер подключен к Интернет и с его помощью требуется получать самые «свежие» CRL, то не следует ставить на него локальных CRL.

Для считывания с ресурса УЦ и использования для проверки доверия самой последней публикации CRL в информационном окне необходимо установить флажок  «Получить текущий список отзыва».

 

После установки флажка «Получить текущий список отзыва» нажмите «Проверить сертификат подписи». Через некоторое время, требуемое для обращения к серверу, будет получен ответ и вместе с ответом будет получен новый CRL, который можно посмотреть с помощью «Посмотреть список отозванных сертификатов» и сохранить в файле, установив флажок «Сохранить список отозванных сертификатов после просмотра».

 


 

Обновление АРМ участника BANCS EXP

 

                Разработчики системы BANCS EXP постоянно ведут работу по ее совершенствованию. Появляются новые версии, которые выкладываются на сайте разработчика. Эти версии могут быть скачаны с сайта разработчика и легко установлены у участников BANCS EXP без значительных трудозатрат и нарушений отлаженного режима работы системы.

                Посмотреть версии установленных на компьютере программных модулей BANCS EXP можно с помощью раздела «О программе» основного меню. Этот раздел позволяет получить информацию о версиях модулей пакета «Криптоядро для BANCS EXP» и «Участник BANCS EXP».

 

 

 

При запуске обновленной версии инсталляционного пакета «Участник BANCS EXP» на экране появляется сообщение

 

Подтвердите желание продолжить установку.

В процессе обновления не требуется заново вводить BIC или еще какие-то параметры. Посмотрите информацию «О программе» для участника BANCS EXP после обновления и убедитесь, что установлены новые версии.

 

                Обновление пакета «Криптоядро для BANCS EXP» осуществляется аналогично.

 


 

Сведения о разработчике BANCS EXP

 

                Разработчик BANCS EXP – научно-технический центр «Система».

Центральный офис:

НТЦ  «Система», ул. Мясницкая, дом 48, строение 1

Москва, 107078

Российская Федерация

Тел.: +7 (495) 628-6084

Факс: +7 (495) 628-5828

Адрес электронной почты: crypto@systema.ru

Веб-сайт:  http://crypto.systema.ru

Руководитель проекта BANCS EXP – к.ф.м.н. Масленников М.Е.