Что значит не установлен скзи который требуется для инициализации
Появилось окно «Отсутствует СКЗИ»
При переходе в раздел «Отчетность», «Документы», попытке авторизоваться по сертификату, подписать документы и прочих криптографических операциях появляется сообщение «Отсутствует СКЗИ».
Причина
На вашем компьютере не установлено СКЗИ.
Решение
Порядок действий зависит от того, какое сообщение появилось.
В вашем аккаунте есть действующая лицензия на СКЗИ. Она входит в стоимость некоторых тарифов. Чтобы работать с ЭП нужно только установить СКЗИ КриптоПро CSP: в окне ошибки нажмите «Установить» и дождитесь завершения работы мастера.
Серийный номер, который использовался при установке СКЗИ, отобразится после завершения работы мастера. Сохраните его, он может еще потребоваться.
Если ЭП хранится на Рутокен ЭЦП 2.0 или JaCarta-2 SE, вставьте носитель в компьютер и повторите действие, которое вызвало ошибку.
При использовании другого носителя или отсутствии ЭП, скачайте и установите одну из предложенных СКЗИ. Не все СКЗИ распространяются бесплатно, поэтому рекомендуем обратиться к менеджеру, чтобы приобрести лицензию.
Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.
А пока разберем ошибку: Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin, с которой мы столкнулись на новом сервисе https://arm-fzs.roskazna.gov.ru — который позволяет проверить настройки Вашего компьютера, для работы с сайтом https://fzs.roskazna.ru (обязательным для этих сайтов является использование браузера Internet Explorer версии 9 или выше;)
Нет поддержки российских криптоалгоритмов при использовании TLS
Не установлены поддерживаемые версии СКЗИ
Как видно из скриншота — в нижней части экрана появилось оповещение! Нам обязательно нужно нажать «Разрешить». Это оповещение как раз касается плагина от Crypto-Pro. После нажатия всплывет еще одно окошка.
Если он у вас не установлен. То в ошибке есть ссылка «скачать». Скачивайте. Устанавливайте. Перезапускайте браузер и пробуйте еще раз
После того как нажали «Да» браузер (у меня автоматически обновил вкладку) и я увидел заветную картинку.
Проверено на 2 компьютерах с аналогичной ошибкой. Если у Вас была «загвоздка» с этой ошибкой в чем то другом, обязательно пишите в комментариях
Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.: 3 комментария
Существует другой вариант решения этой проблемы.Более надежный.Установить клиента Континент АП.
установлены криптопро csp 4.0.9944 и свежий плагин, однако все равно наблюдаем такую ошибку.
Как ее устранить?
Статьи по теме: «Информационная безопасность»
Установка и настройка СКЗИ
Содержание:
Классы защиты
При этом детализированные требования к СКЗИ различных классов имеют ограничительную пометку «Для служебного пользования». Но существуют открытые документы, позволяющие получить общее представление о различных классах и их применении:
С повышением класса увеличиваются потенциальные возможности нарушителя, соответственно, увеличивается и перечень механизмов защиты.
Для СКЗИ класса КС1 актуальны угрозы только из-за пределов контролируемой зоны. Для более высоких классов предполагается, что нарушитель имеет физический доступ к оборудованию. Поэтому предусмотрены дополнительные механизмы защиты: для КС2 – это, как правило, доверенная загрузка (проверка целостности при старте ОС, дополнительная аутентификация); для КС3 – замкнутая программная среда (зафиксированный перечень ПО для среды функционирования СКЗИ).
СКЗИ класса КВ применяются, когда злоумышленники могут располагать исходными текстами прикладного ПО, входящего в среду функционирования и взаимодействующего с СКЗИ, а СКЗИ класса КА, – если существует опасность, что преступники имеют возможность доступа к аппаратным компонентам СКЗИ и его среде функционирования.
Для подключения к инфраструктуре НКЦКИ в настоящее время используются СКЗИ класса КС3. Класс КС3 является де-факто стандартом для государственных информационных систем, например, СКЗИ этого класса широко распространены в Системе межведомственного электронного взаимодействия (СМЭВ).
Совместимость СКЗИ различных производителей
В отечественных СКЗИ используются российские криптографические алгоритмы, соответствующие требованиям ГОСТ.
Для формирования электронной подписи и проверки ее целостности ранее использовались ГОСТ 34.10-2001 и 34.11-94. Сейчас осуществляется переход на ГОСТ 34.10/34.11-2012. Переход планируется завершить до конца 2019 года.
Для шифрования чаще всего используется ГОСТ 28147-89. Некоторыми производителями СКЗИ уже реализованы более современные алгоритмы – «Кузнечик» и «Магма» (ГОСТ 34.12-2015). Планируется объявление пятилетнего переходного периода на новые ГОСТ. За это время производители СКЗИ должны будут реализовать поддержку ГОСТ 34.12-2015, а пользователи перейти на них с ГОСТ 28147-89.
Предлагаемые на рынке СКЗИ различных производителей не всегда совместимы между собой по некоторым причинам технического характера (разные таблицы замен для ГОСТ 28147-89, различные форматы ключевых контейнеров и др.).
При рассмотрении задачи построения виртуальных частных сетей (VPN) соответствующих ГОСТ, помимо совместимости криптографии, нужно учитывать совместимость протоколов передачи данных. На российском рынке преимущественно используются продукты нескольких производителей: «ИнфоТеКС» (ViPNet), «Код Безопасности» (Континент), «С-Терра», а также «Элвис-Плюс». «ИнфоТеКС» и «Код Безопасности» используют собственные протоколы, без публичного описания, не совместимые с протоколами других производителей. «С-Терра» и «Элвис-Плюс» применяют стандартный IPsec в соответствии с RFC, совместимый с реализациями других производителей (в частности, «С-Терра» совместима с «КриптоПро»).
По этой причине крупным организациям и государственным сервисам необходимо иметь центральное мультивендорное ядро для подключения к своей инфраструктуре (так, например, было сделано в СМЭВ). Это увеличивает расходы владельца системы на ее обслуживание, но зато позволяет избежать зависимости от одного производителя и сделать подключение более гибким для пользователей.
В настоящее время для подключения к НКЦКИ используется продукция линейки ViPNet компании «ИнфоТеКС»:
В ближайшее время для подключения к НКЦКИ планируется задействовать продукты других компаний, например, «С-Терра», «Код Безопасности» и пр. При этом может быть использован архитектурный подход, аналогичный тому, что был реализован в СМЭВ.
При обсуждении вопросов стандартизации отдельно нужно отметить аспект защиты массового доступа к веб-ресурсам. ГОСТ TLS реализован у нескольких российских производителей, и эти реализации совместимы между собой.
Документация сертифицированного продукта
При сертификации СКЗИ разработчик, производитель, испытательная лаборатория и регулятор (ФСБ России) согласовывают Формуляр и Правила Пользования. Это важнейшие документы, которые существенно влияют на все этапы жизненного цикла СКЗИ.
В формуляре следует обратить внимание на следующие сведения:
Правила Пользования содержат условия, при которых СКЗИ обеспечивают защиту соответствующего класса. Соблюдение этих условий – обязанность администратора безопасности.
Множество требований к СКЗИ основываются на Приказе ФАПСИ от 13 июня 2001 г. № 152 и распространяются на продукцию большинства производителей СКЗИ, хотя в нем встречаются пункты, характерные для конкретного изделия.
В данном Приказе следует обратить внимание на следующие моменты:
Установка
После ознакомления с Формуляром, Правилами Пользования и другой эксплуатационной документацией на СКЗИ можно приступать к следующему этапу – установке.
Предварительно нужно убедиться, что купленное СКЗИ соответствует Формуляру – раздел «комплектность». Если в комплекте поставки дистрибутив с версией, отличной от версии в Формуляре, то это повод обратиться к производителю за разъяснениями. Это могла быть производственная ошибка – представленная версия уже сертифицирована, но по чьему-то недосмотру в комплекте оказался старый формуляр. В худшем случае бывает, что формуляр правильный, а фактически поставленная версия не сертифицирована.
При выполнении работ по установке не стоит забывать об административных задачах: сделать отметки в журнале поэкземплярного учета СКЗИ и ключевой информации.
Для установки СКЗИ администратор безопасности должен использовать дистрибутив, доставленный доверенным способом. Обычно СКЗИ поставляется на CD-диске. Тем не менее, предварительно необходимо проверить контрольную сумму установочного файла.
Во время установки требуется ввести лицензию из комплекта поставки, а также пройти процедуру инициализации датчика случайных чисел (ДСЧ). Если ДСЧ биологический, то в зависимости от реализации появится предложение вводить указанные символы или попадать мышкой по «мишеням». Случайное число в таких случаях – интервал времени между нажатиями на клавиши или попаданиями по «мишеням». Если ДСЧ физический, например, в составе АПМДЗ, то процедура инициализации пройдет автоматически, практически незаметно для пользователя.
После завершения установки следует приступить к настройке.
Настройка
Настройка зависит от конкретной задачи и системы, в которой будет использоваться СКЗИ. Рекомендации по формированию политики безопасности указаны в Правилах Пользования, рассмотренных выше.
Настройка может производиться администратором безопасности локально либо централизованно через систему управления. Настройка на системе управления не означает, что никаких локальных действий не потребуется, но они значительно облегчаются. По сути, в центре из шаблона создаётся профайл с политикой безопасности и ключевая информация, далее эти данные доверенным способом доставляются к СКЗИ и импортируются. Дальнейшее управление происходит из системы управления по защищенному каналу.
В НКЦКИ в системе управления ViPNet Administrator создаются профайлы и ключевая информация, далее они передаются в организации, которым требуется подключение и импортируются в приобретенное оборудование ViPNet Coordinator или ViPNet Client.
В дальнейшем аналогичный подход будет использоваться и для СКЗИ других производителей: «С‑Терра», «Код Безопасности» и др.
Эксплуатация
После инициализации и настройки начинается эксплуатация СКЗИ. Во время эксплуатации необходимо техническое сопровождение, которое включает в себя:
Постоянный мониторинг и аудит – важное условие надежной защиты, которое позволяет принять оперативные меры реагирования при попытках взлома или компрометации СКЗИ.
Рассмотрим подробнее обновление ключевой информации. Максимальный срок ее действия обычно составляет 15 месяцев (для большинства случаев) и три года – для токенов с неизвлекаемым ключом. Обычно обновление происходит заранее, например, через год. Оно может быть локальным – путем доставки новой ключевой информации на съемном носителе (токене), либо удаленным – через систему управления.
Окончание жизненного цикла
По окончании срока действия сертификата требуется:
Последний пункт – это закономерный финал любого продукта, в том числе СКЗИ. В этом случае администратор безопасности удаляет СКЗИ и, как правило, отзывает ключевую информацию. Аналогичные действия выполняются при передаче аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.
Резюме
Процесс эксплуатации СКЗИ регламентируется Формуляром, Правилами Пользования и другой эксплуатационной документацией СКЗИ. Из-за большого объема этих документов разобраться в них неподготовленному человеку довольно сложно. Для внедрения и эксплуатации СКЗИ требуется квалифицированный персонал – процессы очень ресурсоемкие. Этот недостаток может частично нивелироваться централизованным управлением, так как наличие в центральном офисе квалифицированного персонала значительно облегчает процесс внедрения СКЗИ. Но множество задач все равно придется решать на месте, среди них – ремонт или замена аппаратных платформ, замена ключевой информации при ее отзыве, восстановление после сбоев и т. п.
Отдельно нужно отметить проблему несовместимости реализаций СКЗИ различных производителей в рамках направления ГОСТ VPN. В связи с этим крупные организации развернули в центре своей инфраструктуры мультивендорное ядро для подключения к ней.
Автор:
Александр Веселов, руководитель направления ГОСТ VPN, «Ростелеком-Solar».
Как устранить ошибку инициализации СКЗИ в ВТБ?
Работа в личном кабинете ВТБ сопряжена с трудностями, о которых учредители банка часто напоминают. Привилегиями ВТБ пользоваться можно, если понимать, как вовремя устранить ту или иную ошибку. А сейчас подробнее о проблемах с ключами.
Инициализация через ключи в ВТБ происходит при их правильной установке. Клиент должен скачать ключи с банковского сайта себе на ПК, затем указать путь к ним в личном кабинете. Каждый раз, когда клиент будет заходить в ЛК, система автоматически будет запрашивать ключи по указанному ранее пути. При совпадении данных пользователю открывается доступ к финансовому состоянию.
Что делать с ошибкой инициализации СКЗИ?
Причина ошибки в неправильном пути сохранения ключей. В алгоритме папки «Каталог ключевого носителя СКЗИ» должен прослеживаться путь к сохраненной ранее папке «keys» и ее файлам request.pem, mk.db3, rand.opq, masks.db3, kek.opq. Если корневого каталога вовсе не существует или он поврежден, возникают ошибки инициализации.
Многие пользователи при желании сохранить идентификаторы от посторонних глаз сохраняют ключи на съемном носителе. Тогда следует указать путь до него и следить, чтобы съемный носитель всегда был в USB-разъеме.
Как быть, если ключи неправильные?
Придется проделать процедуру их сохранения заново. Часто ключи путаются, если на одном ПК работают несколько человек и оба они зарегистрированы на платформе ВТБ. Тут совет один – не путать съемные носители и не пытаться использовать «чужие ключи».
Причина сбоя может быть не в банковской системе и не в ключах. Если клиент испробовал все средства, но ошибка не исчезла, пора очистить ПК от лишнего «мусора». Под нелицеприятный термин попадают куки-файлы, лишние данные из кэша, вредоносные программы. Вместе с удалением куки и очисткой кэша лучше обновить браузер. При выявлении вируса придется отказаться от некоторых файлов, так как «вылечить» их вряд ли получится.
Защитить информацию и ничего не нарушить: какие вопросы мы задаем при работе с СКЗИ
Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, а всегда ли можно это сделать? И главное, все ли множество лицензий вы получили или про что-то забыли.
В этом посте собраны самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и полезно.
Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.
Вопросы про лицензирование
Как найти грань между техническим обслуживанием СКЗИ и, например, выработкой ключевой информации?
— Все, что описано в эксплуатационной документации, в том числе и выработка ключевой информации, является техническим обслуживанием.
Можно ли отдать на аутсорсинг работы по обслуживанию СКЗИ в организации?
— Можно. Но у аутсорсинговой компании должны быть соответствующие пункты лицензии на «работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Этого требует постановление правительства N 313 от 16.04.2012.
Вопросы про журнал учета
Можно ли вести журнал учета СКЗИ/КД в электронном виде?
— Да. Некоторые организации уже так делают. При этом не стоит забывать про правила электронного документооборота, например, про использование квалифицированной электронной подписи.
Как организовать учет большого количества СКЗИ?
— Основной совет: каждое действие надо сопровождать актом и в журнале указывать его реквизиты. Не надо пытаться обеспечить всех участников доступом к журналу – территориально распределенные компании могут выдохнуть. Много и подробно о ведении учета журнала СКЗИ можете прочитать в этом посте.
Как вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?
— При скачивании учет СКЗИ обеспечивается тем, кто его распространяет, то есть разработчиком или вендором. Чтобы загрузить CSP, на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, а после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, а у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее этот процесс описан тут. Аналогичная схема действует и для корпоративного приложения или портала.
Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, утвержденной приказом руководителя?
Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:
Вопросы про ОКЗИ
Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?
Есть ли какие-либо требования к сотрудникам, которые входят в ОКЗИ?
— Есть. Они должны пройти внутреннее обучение с тестированием. Сделать это можно в лицензированном учебном центре. Также им нужно ознакомиться с инструкцией пользователя СКЗИ под подпись.
Ответственный за защиту информации и ответственный за СКЗИ – это одно и то же?
Другие вопросы
Если на компьютере установлено СКЗИ, является ли место, где он расположен спецпомещением? Как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать помещение, где они работают?
— Строго говоря, по инструкции № 152 ФАПСИ, это спецпомещение. А, значит, к нему должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Причем требования должны выполняться как на территории организации, так и в отношении сотрудников, работающих удаленно.
В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?
Может ли Спецсвязь перевозить СКЗИ?
— Приказ ФАПСИ № 152 гласит, что СКЗИ и ключевые документы могут доставляться «фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки».
Существует две ключевых организации, осуществляющие доставку СКЗИ:
Государственная фельдъегерская служба (ГФС)
Главный центр специальной связи (ФГУП ГЦСС)
ФГУП ГЦСС (Спецсвязь) – это организация подведомственная Минкомсвязи. Согласно постановлению правительства от 15 декабря 1994 года N 1379-68, ФГУП ГЦСС, в частности, осуществляет прием и доставку корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне. ФГУП ГЦСС уполномочено осуществлять перевозку СКЗИ, в том числе для юридических лиц. Подробнее о доставке СКЗИ рассуждаем вот здесь.
И напоследок – крик души. Нужен ли единый протокол и алгоритм шифрования?
— Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (за исключением незначительных деталей).
А вот несовместимость сетевых протоколов различных производителей – это действительно боль. Но определенные шаги в сторону стандартизации уже сделаны. Например:
«С-Терра СиЭсПи», «Крипто Про», «Элвис-Плюс» используются IPsec в соответствии с RFC.
«Код Безопасности» планирует переход с проприетарного алгоритма на IPsec в своих следующих версиях.
«ИнфоТеКС» сделал описание собственного проприетарного протокола публичным в виде рекомендаций по стандартизации.
Для ГОСТ TLS и ЭП совместимость доступна уже сейчас. А работы по совместимости реализации различных производителей сейчас активно ведет технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).