© 2010, СООО "СИСТЕМНЫЕ ТЕХНОЛОГИИ" Управление развития систем Клиент-банк. Установка криптозащиты в системе Интернет-банк Руководство пользователя УСТАНОВКА КРИПТОЗАЩИТЫ В СИСТЕМЕ ИНТЕРНЕТ-БАНК АННОТАЦИЯ Применение криптозащиты позволяет безопасно пересылать сообщения между клиентом и банком. Используется защищенное соединение по протоколу HTTPS, расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL. Для удостоверения платежных и иных документов, передаваемых клиентом в банк, применяется электронная цифровая подпись (ЭЦП) этих документов с помощью системы криптозащиты, разработанной фирмой Авест. Криптографические алгоритмы, реализованные в данной системе криптозащиты, сертифицированы Государственным Центром Безопасности Информации при Президенте Республики Беларусь. Проверка ЭЦП осуществляется на банковской стороне. В системе Интернет-банк реализована возможность входа в систему при помощи ЭЦП. В этом случае для проверки доступа клиента в систему используется не псевдоним и пароль, а его личный электронный ключ. Здесь также используются функции ЭЦП и проверки ЭЦП системы криптозащиты фирмы Авест. В данной инструкции рассмотрены очередность установки программного обеспечения криптозащиты WebSTAvest2, криптопровайдера Авест CSP и программы «Персональный менеджер сертификатов Авест». Показаны выпуски запросов на сертификат в системе Интернет-банк и в программе «Персональный менеджер сертификатов Авест»; экспорт в Интернет−банк запроса на сертификат, выпущенного в «Персональном менеджере сертификатов Авест». Рассмотрена очередность действий при установке присланного из банка сертификата на компьютер пользователя. Приведены пример подписания электронных документов и входа по электронной цифровой подписи в системе «Интернет−банк» (СИБ). 2 СОДЕРЖАНИЕ 1. Установка программного криптографического обеспечения в системе Интернет−банк......................................................................................................... 3 1.1. Установка криптозащиты WebSTAvest2 .................................................... 3 1.2. Установка программного средства криптографической защиты информации «Криптопровайдер Авест CSP» ................................................... 8 1.3. Установка программного комплекса «Персональный менеджер сертификатов АВЕСТ». ....................................................................................... 8 2. Отправка запроса на сертификат ....................................................................... 9 2.1. Создание запроса на сертификат через сайт банка ................................... 9 2.2. Отправка сертификата, сгенерированного средствами Авест ............... 11 3. Установка сертификата..................................................................................... 12 3.1. Получение сертификата ............................................................................. 12 3.2. Импорт сертификата................................... Error! Bookmark not defined. 4. Использование криптозащиты в Интернет−банке ......................................... 13 4.1. Подписание платежных документов ........................................................ 13 4.2. Вход по ЭЦП ............................................................................................... 14 5. Пользователи системы «Клиент−банк» .......................................................... 16 6. Использованные сокращения и аббревиатуры............................................... 19 3 1. УСТАНОВКА ПРОГРАММНОГО КРИПТОГРАФИЧЕСКОГО ОБЕСПЕЧЕНИЯ В СИСТЕМЕ ИНТЕРНЕТ−БАНК Актуальное в настоящее время использование криптографических ключей в системах повышенной надежности требует запоминания пароля. В стандартных процедурах индентификации пользователя систем повышенной надежности используется 2 или 3 параметра: идентификатор пользователя, пароль и, обычно, капча (графическое изображение или результат задания). В системе «Интернет−банк» использование криптоключей возможно после установки минимального программного обеспечения криптозащиты WebSTAvest2, криптопровайдера Авест CSP и программы «Персональный менеджер сертификатов Авест», выпуска запроса на сертификат, его экспорта. Юридические лица − пользователи системы «Клиент−банк» разработки СООО «Системные технологии» устанавливают минимальное программное обеспечение криптозащиты WebSTAvest2 и отправляют 129 запрос в системе «Клиент−банк» (СКБ) Mailbank. 1.1.1. Установка криптозащиты WebSTAvest2 На сайте системы «Интернет−банк» выбирается закладка «Вход по ЭЦП». 4 Так как система «Интернет−банк» определила отсутствие библиотеки ActiveX, то нажимается ссылка на мастера установки. В возникшем окне приведена информация о начале работы мастера установки электронной цировой подписи (ЭЦП), используемой для авторизации и электронного подписывания платежных и бухгалтерских документов. Нажимаем кнопка «Далее». Возникает окно выбора варианта установки. Для пользователей системы «Клиент − Банк» разработки СООО «Системные технологии» необходимо установить минимальный набор библиотек WebSTAvest2. При этом уже установлен криптопровайдер Авест CSP и программа «Персональный менеджер сертификатов Авест», выпущен и импортирован сертификат юридического лица. Выбирается вариант установки. Пользователи системы «Клиент−банк» разработки СООО «Системные технологии» выбирают «Да». 5 Для них устанавливается в существующий каталог с системой «Клиент−банк» криптозащита WebSTAvest2. После завершения установки выводится сообщение: «ActiveX компонент успешно установлен! WebSTAvest2.1.dll Версия 1.0 © 2010 Системные технологии» Новые пользователи услуг удаленного доступа к банку выбирают «Нет» и «Далее» и переходят к третьему шагу. Возможен выбор между установкой программ, чтением инструкций или выходом из мастера установки криптозащиты. 6 По ссылке «установки криптозащиты» можно ознакомиться с инструкциями о порядке установки и настройки критпозащиты, в том числе и с настоящей инструкцией,. По ссылке «программное обеспечение» получаем возможность выбора установки программ. Новые пользователи удаленного доступа к банку устанавливают все компоненты, пользователи Клиент−банк только минимальную установку. 7 По ссылке «Минимальной установки» попадаем в мастер установки. Выбираем путь и тип установки «Just me». В случае использования системы «Интернет−банк» несколькими пользователями операционной системы выбирается пункт «Everyone». 8 Новым пользователям удаленного доступа к банку необходимо установить программное обеспечение: 1. программное средство криптографической защиты информации «криптопровайдер Авест CSP»; 2. программный комплекс «Персональный менеджер сертификатов АВЕСТ». 1.1.2. Установка программного средства криптографической защиты информации «Криптопровайдер Авест CSP» Установка программного средства криптографической защиты информации «криптопровайдер Авест CSP» осуществляется в соответствии с руководством оператора РБ.ЮСКИ.08000−1 указанного средства. Производится после установки драйверов носителей криптографической защиты. Например, драйвера SafeNet iKey Driver 3.4.6.115 при использовании шифроключей торговой марки iKey. Установку производить без смены системного пароля, в предлагаемые по умолчанию пути. 1.1.3. Установка программного комплекса «Персональный менеджер сертификатов АВЕСТ». Установка программного комплекса «Персональный менеджер сертификатов АВЕСТ» осуществляется в соответствии с руководством оператора программного продукта РБ.ЮСКИ.08000−1 указанного комплекса. 9 2. ОТПРАВКА ЗАПРОСА НА СЕРТИФИКАТ Для подключения нового клиента Интернет-банк необходимо выполнить на клиентской стороне, уполномоченным лицом клиента (далее Администратор системы) подписку на услугу через «Центр сертификации» сайта банка. После этого оформить юридический договор с банком. На основании подписанного договора Банк производит «проверку» и «подпись» заявки клиента. Можно произвести активизацию системы. Администратор системы производит активизацию системы через «Центр сертификации» на сайте банка. Данные действия описаны в «Руководстве пользователя с правами администратора Интернет−банка» РКЮД.21003-02 34 03. По активизации администратора системы производится выпуск запроса на сертификат открытого ключа. 2.1.1. Создание запроса на сертификат через сайт банка Войдите на сайт банка администратором системы. Выберите пункт меню «Настройка − Сертификаты − Запрос на сертификат − Создать в браузере – Создать сертификат». Регистрационный номер администратора системы Интернет−банк указываем в поле «Идентификатор абонента»(можно посмотреть зайде в меню НАСТРОЙКА\ПОЛЬЗОВАТЕЛИ) и в поле «Имя ключа». Носитель криптографических сертификатов должен быть подключен. Жмем «Далее» 10 Жмем «Далее» Жмем «Далее» 11 После нажатия кнопки «Далее» появится диалог носителя с просьбой ввести пароль дважды для хранилища. Потом попросят подвигать мышкой небольшое время. Нажимаем «Далее» и печатаем карточку открытого ключа в 2-х экземплярах, с подписью директора, расшифровкой подписи и печатью организации 2 экземпляра передаеться в Банк. Запрос на сертификат сгенерирован. И уходит в банк после нажатия на кнопку «Оправить». Там запрос регистрируется и на его основе выпускается сертификат открытого ключа клиента, который используется им для удостоверения электронных документов, передаваемых в банк и входа в систему Интернет−банк. 2.1.2. Отправка сертификата, сгенерированного средствами Авест Войдите на сайт банка администратором системы. Выберите пункт меню «Настройка − Сертификаты − Запрос на сертификат − Загрузить файл». Кнопкой «Обзор»(«Browse») укажите файл с запросом на сертификат. Подтвердите выбор. Запрос уйдет на банк для выпуска сертификата открытого ключа. Методика создания запроса в персональном менеджере описана в руководстве оператора программного продукта РБ.ЮСКИ.08000−1 программного комплекса «Персональный менеджер сертификатов АВЕСТ». 12 3. УСТАНОВКА СЕРТИФИКАТА 3.1.1. Получение и импорт сертификата Администратор системы должен перейти в пункт меню «Настройка» − «Сертификаты» − «Мои сертификаты». Жмем - «Установить Сертификат» - «Импортировать» Ничего не изменяя жмем «Далее», «Далее», «Далее» Вводим пароль к контейнеру и жмем ОК Ничего не изменяя жмем «Далее», «Закрыть» 13 4. ИСПОЛЬЗОВАНИЕ КРИПТОЗАЩИТЫ В ИНТЕРНЕТ−БАНКЕ 4.1.1. Подписание платежных документов Электронная цифровая подпись платежных документов производится путём выделения документа или группы документов и нажимается кнопка «Подписать» либо в контекстном меню(вызывается правой кнопкой мыши) «Подписать документ». Принимается решение о подписывании документов по нажатии кнопки подписи. 14 Возникает окно выбора сертификата. При подписи первого документа из списка запрашивается ввод пароля для доступа к личному ключу (сам личный ключ находится на USB-устройстве i-Key). Сформированный блок ЭЦП вместе с подписываемым блоком данных передается на банк. Банк, имеющий подключение к системе криптозащиты на своей стороне, выполняет проверку ЭЦП переданного ему блока информации. При успешной проверке запрос переводится в следующее состояние («готов к отправке»), при неуспешной – выдается ошибка, которую web-сервер отображает клиенту. 4.1.2. Вход по ЭЦП При подключении к системе «Интернет−банк» можно не вводить псевдоним пользователя и пароль, а использовать криптоключ (носитель ЭЦП) и известный пароль. На сайте выбираем «Вход в систему − Вход по ЭЦП». 15 Если на электронном ключе − носителе сертификата − один ключ, то вводится один пароль по нажатию кнопки «Вход». Иначе пароль указывается для выбранного сертификата. 16 5. ПОЛЬЗОВАТЕЛИ СИСТЕМЫ «КЛИЕНТ−БАНК» Пользователи системы «Клиент−банк» разработки СООО «Системные технологии» устанавливают минимальный набор криптозащиты с сайта системы «И−Б». Выбирают «Да»: Устанавливается в существующий каталог с системой «Клиент−банк» криптозащита WebSTAvest2. Осталось зарестрировать сертификат безопасности. Для этого нужно войти в программу «Клиент−банк» и создать соответствующий запрос к банку. 17 Пользователь системы «Клиент−банк» формирует назначения сертификата для системы «Интернет−банк». 129 запрос В запросе указываются сертификат, фамилия, имя и отчество физического лица, использующего носитель с сертификатом – пользователя системы «Интернет−банк», которому назначается данный сертификат, а также его регистрационный номер в системе «Интернет−банк». Сформированный запрос подписывается текущей ЭЦП пользователя системы «Клиент−банк», шифруется и отправляется на почтовый ящик банка. На стороне банка запрос принимается обработчиком запросов СЭП, укладывается в базу данных в исходном виде (зашифрованный и подписанный), затем расшифровывается, проверяется электронная подпись. При успешном прохождении этих операций выполняется первичная логическая проверка параметров запроса, а именно: имеет ли право данный пользователь системы «Клиент−банк» на указанный в запросе сертификат. Если хоть одна проверка не прошла, выдается ошибка, которая отправляется приславшему запрос клиенту. При успешном прохождении проверок происходит назначение данному пользователю СДБО указанного в запросе сертификата криптозащиты, и сообщение об успешной обработке запроса отправляется пользователю «Клиент−банк». После это пользователь «Клиент−банк» может входить по криптоключу в систему через пункт меню «Вход по ЭЦП». 18 Ввод пароля обязателен. 19 6. ИСПОЛЬЗОВАННЫЕ СОКРАЩЕНИЯ И АББРЕВИАТУРЫ CSP − Cryptographic Service Provider − криптопровайдер, то есть поставщик криптографических услуг. HTTP − HyperText Transfer Protocol — «протокол передачи гипертекста». HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. ЭЦП − электронная цифровая подпись − обеспечивает индивидуальное и уникальное ответное число большого размера. Невозможность его подбора обеспечивает надежность электронного документооборота в соответсвии со Стандартом Республики Беларусь. СКБ − система «Клиент−банк», система электронных платежей Mailbank. СИБ − система «Интернет−банк».