© 2014, СООО "СИСТЕМНЫЕ ТЕХНОЛОГИИ" Управление развития систем Клиент-банк. Установка криптозащиты в системе Интернет-банк Руководство пользователя УСТАНОВКА КРИПТОЗАЩИТЫ В СИСТЕМЕ ИНТЕРНЕТ-БАНК АННОТАЦИЯ Применение криптозащиты позволяет безопасно пересылать сообщения между клиентом и банком. Используется защищенное соединение по протоколу HTTPS, расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL. Для удостоверения платежных и иных документов, передаваемых клиентом в банк, применяется электронная цифровая подпись (ЭЦП) этих документов с помощью системы криптозащиты, разработанной фирмой Авест. Криптографические алгоритмы, реализованные в данной системе криптозащиты, сертифицированы Государственным Центром Безопасности Информации при Президенте Республики Беларусь. Проверка ЭЦП осуществляется на банковской стороне. В системе Интернет-банк реализована возможность входа в систему при помощи ЭЦП. В этом случае для проверки доступа клиента в систему используется не псевдоним и пароль, а его личный электронный ключ. Здесь также используются функции ЭЦП и проверки ЭЦП системы криптозащиты фирмы Авест. В данной инструкции рассмотрены очередность установки программного обеспечения криптозащиты WebSTAvest2, криптопровайдера Авест CSP и программы «Персональный менеджер сертификатов Авест». Показаны выпуски запросов на сертификат в системе Интернет-банк и в программе «Персональный менеджер сертификатов Авест»; экспорт в Интернет−банк запроса на сертификат, выпущенного в «Персональном менеджере сертификатов Авест». Рассмотрена очередность действий при установке присланного из банка сертификата на компьютер пользователя. Приведены пример подписания электронных документов и входа по электронной цифровой подписи в системе «Интернет−банк» (СИБ). 2 СОДЕРЖАНИЕ 1. Установка программного криптографического обеспечения в системе Интернет−банк......................................................................................................... 3 1.1.1. Установка криптозащиты WebSTAvest2 ............................................. 3 1.1.2. Установка программного средства криптографической защиты информации «Криптопровайдер Авест CSP» ............................................... 7 1.1.3. Установка программного комплекса «Персональный менеджер сертификатов АВЕСТ». ................................................................................... 8 2. Отправка запроса на сертификат ..................................................................... 11 2.1.1. Создание запроса на сертификат через сайт банка ........................... 11 2.1.2. Отправка сертификата, сгенерированного средствами Авест ......... 13 3. Установка сертификата..................................................................................... 14 3.1.1. Получение сертификата ....................................................................... 14 3.1.2. Импорт сертификата ............................................................................ 15 4. Использование криптозащиты в Интернет−банке ......................................... 18 4.1.1. Подписание платежных документов .................................................. 18 4.1.2. Вход по ЭЦП ......................................................................................... 19 5. Использованные сокращения и аббревиатуры............................................... 20 3 1. УСТАНОВКА ПРОГРАММНОГО КРИПТОГРАФИЧЕСКОГО ОБЕСПЕЧЕНИЯ В СИСТЕМЕ ИНТЕРНЕТ−БАНК Актуальное в настоящее время использование криптографических ключей в системах повышенной надежности требует запоминания пароля. В стандартных процедурах индентификации пользователя систем повышенной надежности используется 2 или 3 параметра: идентификатор пользователя, пароль и, обычно, капча (графическое изображение или результат задания). В системе «Интернет−банк» использование криптоключей возможно после установки минимального программного обеспечения криптозащиты WebSTAvest2, криптопровайдера Авест CSP и программы «Персональный менеджер сертификатов Авест», выпуска запроса на сертификат, его экспорта. Юридические лица − пользователи системы «Клиент−банк» разработки СООО «Системные технологии» устанавливают минимальное программное обеспечение криптозащиты WebSTAvest2 и отправляют 129 запрос в системе «Клиент−банк» (СКБ) Mailbank. 1.1.1. Установка криптозащиты WebSTAvest2 На сайте системы «Интернет−банк» выбирается закладка «Вход по ЭЦП». 4 Так как система «Интернет−банк» определила отсутствие библиотеки ActiveX, то нажимается ссылка «программное обеспечение». В возникшем окне возможен выбор между установкой программ и чтением инструкций: Новые пользователи удаленного доступа к банку устанавливают все компоненты, пользователи Клиент−банк только минимальную установку. По ссылке «Минимальная установка для поддержки криптозащиты в Internet Explorer» загрузите и запустите файл «WebSTAvest2.msi». Вы увидите окно мастера установки пакета поддержки криптозащиты в Internet Explorer: 5 Далее необходимо выбрать путь и тип установки. Рекомендуем не изменять путь установки по умолчанию (c:\Program Files\System Technologies\WebSTAvest2_BNB). Выбираем путь и тип установки «Just me». В случае использования системы «Интернет−банк» несколькими пользователями операционной системы выбирается пункт «Everyone». 6 Далее нажимаем «Next» и по окончании работы мастера установки жмем «Close». Для того, чтобы изменения вступили в силу, необходимо перезапустить браузер Internet Explorer. После перезапуска браузера снова зайдите на сайт системы «Интернет−банк» и выберите закладку «Вход по ЭЦП». Если система безопасности браузера предупредит о том что веб-страница пытается запустить надстройку «WebSTAvest2 Module», нажмите кнопку «разрешить». В появившемся окне необходимо указать путь к каталогу, в который вы установили пакет поддержки криптозащиты в Internet Explorer, либо путь к каталогу системы «СТ Клиент-Банк» для БНБ Банка: Пользователи системы «СТ Клиент-Банк» на этом заканчивают установку ПО криптозащиты. Новым пользователям удаленного доступа к банку дополнительно необходимо установить программное обеспечение: 1. программное средство криптографической защиты информации «криптопровайдер Авест CSP»; 2. программный комплекс «Персональный менеджер сертификатов АВЕСТ». 7 1.1.2. Установка программного средства криптографической защиты информации «Криптопровайдер Авест CSP» Производится после установки драйверов носителей криптографической защиты. Например, драйвера SafeNet iKey Driver 3.4.6.115 при использовании шифроключей торговой марки iKey. Откройте страницу загрузки программного обеспечения «Справка» − «Установка криптозащиты». По ссылке «Криптопровайдер Авест CSP» загрузите файл «CSP.exe». Запустите файл «CSP.exe». Начнется распаковка компонентов для установки. В открывшемся окне можно указать папку назначения для распаковки компонентов. По умолчанию распаковка производится во временный каталог текущего пользователя системы. Если в дальнейшем вы хотите использовать программу установки криптопровайдера Авест CSP, укажите удобную для вас папку назначения: После распаковки запустится автоматическая установка программного средства криптографической защиты информации «криптопровайдер Авест CSP». Далее необходима регистрация криптопровайдера, для этого нужно некоторое количество случайных данных, необходимо подвигать мышью в пределах следующего появившегося окна. После этого мастер установки завершит свою работу: 8 Если возникнет необходимость повторной установки, перейдите в папку, в которую вы произвели распаковку компонентов криптопровайдера Авест CSP. Для запуска автоматической установки без диалога с пользователем запустите файл «runCSP.bat». Для самостоятельной установки запустите файл «setupAvCSP5.1.0.647.exe». Самостоятельная установка программного средства криптографической защиты информации «криптопровайдер Авест CSP» осуществляется в соответствии с руководством оператора РБ.ЮСКИ.08000−1 указанного средства. Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». Установку производить без смены системного пароля, в предлагаемые по умолчанию пути. 1.1.3. Установка программного комплекса «Персональный менеджер сертификатов АВЕСТ». Откройте страницу загрузки программного обеспечения «Справка» − «Установка криптозащиты». По ссылке «Персональный менеджер сертификатов АВЕСТ» загрузите файл «PCM.exe». Запустите файл «PCM.exe». Начнется распаковка компонентов для установки. В открывшемся окне можно указать папку назначения для распаковки компонентов. По умолчанию распаковка производится во 9 временный каталог текущего пользователя системы. Если в дальнейшем вы хотите использовать программу установки персонального менеджера сертификатов АВЕСТ, укажите удобную для вас папку назначения: После распаковки запустится автоматическая установка программного комплекса «Персональный менеджер сертификатов АВЕСТ». Установка завершится самостоятельно без дополнительных запросов и оповещений пользователя. Если возникнет необходимость повторной установки, перейдите в папку, в которую вы произвели распаковку компонентов персонального менеджера сертификатов АВЕСТ. Для запуска автоматической установки без диалога с пользователем запустите файл «runPCM.bat». Для самостоятельной установки запустите файл «AvPCMEx_setup.exe». Самостоятельная установка программного комплекса «Персональный менеджер сертификатов АВЕСТ» осуществляется в соответствии с руководством оператора программного продукта РБ.ЮСКИ.08000−1 указанного комплекса. Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». 10 11 2. ОТПРАВКА ЗАПРОСА НА СЕРТИФИКАТ Для подключения нового клиента Интернет-банк необходимо выполнить на клиентской стороне, уполномоченным лицом клиента (далее Администратор системы) подписку на услугу через «Центр сертификации» сайта банка. После этого оформить юридический договор с банком. На основании подписанного договора Банк производит «проверку» и «подпись» заявки клиента. Можно произвести активизацию системы. Администратор системы производит активизацию системы через «Центр сертификации» на сайте банка. Данные действия описаны в «Руководстве пользователя с правами администратора Интернет−банка» РКЮД.21003-02 34 03. По активизации администратора системы производится выпуск запроса на сертификат открытого ключа. 2.1.1. Создание запроса на сертификат через сайт банка Войдите на сайт банка администратором системы. Выберите пункт меню «Настройка − Сертификаты − Запрос на сертификат − Создать в браузере». 12 Откроется окно мастера создания запроса на сертификат персонального менеджера сертификатов АВЕСТ . Необходимо заполнить поля корректными данными. Следуя указаниям мастера и нажимая кнопку «Далее» выполнить все шаги создания запроса. Более подробно методика создания запроса в персональном менеджере описана в руководстве оператора программного продукта РБ.ЮСКИ.08000−1 программного комплекса «Персональный менеджер сертификатов АВЕСТ», раздел 6.1. Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». Носитель криптографических сертификатов должен быть подключен. После нажатия кнопки создать появится диалог носителя с просьбой ввести пароль дважды для хранилища. Потом попросят подвигать мышкой небольшое время. Запрос на сертификат сгенерирован. Для передачи запроса в банк нажмите кнопку «Отправить». После этого вы увидите сообщение «Запрос на сертификат был успешно сгенерирован и отправлен в банк». 13 Там запрос регистрируется и на его основе выпускается сертификат открытого ключа клиента, который используется им для удостоверения электронных документов, передаваемых в банк и входа в систему Интернет−Банк. 2.1.2. Отправка сертификата, сгенерированного средствами Авест Войдите на сайт банка администратором системы. Выберите пункт меню «Настройка − Сертификаты − Запрос на сертификат − Загрузить файл». Кнопкой «Обзор» укажите файл с запросом на сертификат. Подтвердите выбор. Запрос уйдет на банк для выпуска сертификата открытого ключа. Методика создания запроса в персональном менеджере описана в руководстве оператора программного продукта РБ.ЮСКИ.08000−1 программного комплекса «Персональный менеджер сертификатов АВЕСТ» », раздел 6.1. Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». 14 3. УСТАНОВКА СЕРТИФИКАТА 3.1.1. Получение сертификата Администратор системы должен перейти в пункт меню «Настройка» − «Сертификаты» − «Мои сертификаты». Нажмите «Установить сертификат». В открывшемся окне нажмите кнопку «Импортировать». Откроется окно мастера импорта сертификатов программного комплекса «Персональный менеджер сертификатов АВЕСТ». 15 В окне «Выберите импортируемые объекты» проверьте установку всех «птиц». Нажмите кнопку «Далее». Появится окно с сообщением о успешном импорте сертификатов пользователя, удостоверяющего центра (УЦ) и списка отозванных сертификатов (СОС). Нажмите кнопку «Далее». Производится помещение личного сертификата в персональный справочник. Выберите хранилище и нажмите кнопку «Далее». Введите пароль хранилища. В окне «Установка доверия сертификату корневого УЦ» проверьте наличие «птицы» в поле «Установить доверие сертификату корневого УЦ» и нажмите кнопку «Далее». Появится окно с сообщением об успешной операции и кнопкой закрытия мастера. Более подробно методика импорта сертификата в персональном менеджере описана в руководстве оператора программного продукта РБ.ЮСКИ.08000−1 программного комплекса «Персональный менеджер сертификатов АВЕСТ». Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». 3.1.2. Импорт сертификата Администратор системы должен перейти в пункт меню «Настройка» − «Сертификаты» − «Мои сертификаты». 16 Нажмите «Скачать сертификат». Выберите «Сохранить» («Save») и укажите место куда хотите сохранить. Возможно использовать путь расположения импортируемых файлов «Персонального менеджера сертификатов», то есть «c:\Program Files\Avest\AvPCM_BNB\import». Сохраните. Включите мастер импорта сертификатов. Для этого запустите пункт меню «Пуск» − «Все программы» − «Авест» − «БНБ-Банк» − «Персональный менеджер сертификатов» − «Импорт сертификатов». Появляется окно Мастера импорта с предложением выбрать файл для импорта. Выбрав файл сертификата, который вы загрузили на предыдущем шаге, нажмите кнопку «Далее». В окне «Выберите импортируемые объекты» проверьте установку всех птиц. 17 Нажмите кнопку «Далее». Появится окно с сообщением о успешном импорте сертификатов пользователя, удостоверяющего центра (УЦ) и списка отозванных сертификатов (СОС). Нажмите кнопку «Далее». Производится помещение личного сертификата в персональный справочник. Выберите хранилище и нажмите кнопку «Далее». Введите пароль хранилища. В окне «Установка доверия сертификату корневого УЦ» проверьте наличие «птицы» в поле «Установить доверие сертификату корневого УЦ» и нажмите кнопку «Далее». Появится окно с сообщением об успешной операции и кнопкой закрытия мастера. Более подробно методика импорта сертификата в персональном менеджере описана в руководстве оператора программного продукта РБ.ЮСКИ.08000−1 программного комплекса «Персональный менеджер сертификатов АВЕСТ». Данную инструкцию можно загрузить на странице «Справка» − «Установка криптозащиты». 18 4. ИСПОЛЬЗОВАНИЕ КРИПТОЗАЩИТЫ В ИНТЕРНЕТ−БАНКЕ 4.1.1. Подписание платежных документов Электронная цифровая подпись платежных документов производится путём выделения документа или группы документов в статусе «Подготовлен» и нажимается кнопка «Подписать». В открывшемся окне можно отметить один или несколько документов, которые необходимо подписать. Для отмены нажмите кнопку «Отмена». Для продолжения нажмите «Подписать». Возникает окно выбора сертификата. При подписи первого документа из списка запрашивается ввод пароля для доступа к личному ключу (сам личный ключ находится на USB-устройстве i-Key). Сформированный блок ЭЦП вместе с подписываемым блоком данных передается на банк. Банк, имеющий подключение к системе криптозащиты на своей стороне, выполняет проверку ЭЦП переданного ему блока информации. При успешной проверке запрос переводится в следующее состояние («готов к 19 отправке»), при неуспешной – выдается ошибка, которую web-сервер отображает клиенту. 4.1.2. Вход по ЭЦП При подключении к системе «Интернет−банк» можно не вводить псевдоним пользователя и пароль, а использовать криптоключ (носитель ЭЦП) и известный пароль. На сайте выбираем «Вход в систему − Вход по ЭЦП». Если на электронном ключе − носителе сертификата − один ключ, то вводится один пароль по нажатию кнопки «Вход». Иначе пароль указывается для выбранного сертификата. 20 5. ИСПОЛЬЗОВАННЫЕ СОКРАЩЕНИЯ И АББРЕВИАТУРЫ CSP − Cryptographic Service Provider − криптопровайдер, то есть поставщик криптографических услуг. HTTP − HyperText Transfer Protocol — «протокол передачи гипертекста». HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. ЭЦП − электронная цифровая подпись − обеспечивает индивидуальное и уникальное ответное число большого размера. Невозможность его подбора обеспечивает надежность электронного документооборота в соответсвии со Стандартом Республики Беларусь. СКБ − система «Клиент−банк», система электронных платежей Mailbank. СИБ − система «Интернет−банк».