nca layer что это
В Казахстане опасно использовать ЭЦП
В последнее время государство пытается максимально перенести все госуслуги в электронный формат. Активно выдаются адресные справки, и другие справки выдаются через Портал электронного правительства. Даже можно зарегистрировать брак пожениться через портал. На самом деле, очень удобно. Есть конечно же минусы, в основном — организационные, нормативные на уровне законов, на уровне реализации. Но это уже другой вопрос, главное очень хорошие начинания. Это все хорошо, но пост не про это.
Очевидно, чтобы пользоваться госуслугами, нужно как-то подтверждать свою личность. Для этого когда-то давно законодательно закрепили использование ЭЦП. Основная формулировка применения ЭЦП такая — ЭЦП приравнивается к собственноручной подписи. Многие не знают, но за передачу ключей ЭЦП (здесь и далее буду использовать термин — ключи ЭЦП. Все называют просто ЭЦП, а по факту это две пары ключей — для аутентификации и подписи). За передачу третьим лицам даже есть какая-то ответственность. Очевидно, что многим людям это без разницы, не понимают всей серьезности.
Вообще тема поста про NCALayer, прослойка между браузером и ключами ЭЦП. По безопасности — это уязвимый механизм использования ЭЦП.
Что такое NCALayer
Так как основная реализация криптопровайдера на Java и в последних версиях браузеров нет возможности использовать апплеты, то НУЦ придумал оригинальное решение для использования ЭЦП в браузерах. Это решение называется — NCALayer. NCALayer — посредник между браузером, криптопровайдером и ключами ЭЦП.
NCALayer устанавливается локально на компьютере пользователя. Работает NCALayer следующим образом — открывается вебсокет сервер на определенном порту, куда отправляется разного рода запросы.
Опуская все детали подключения, рассмотрим пока два запроса, чтобы иметь общее представление как NCALayer работает:
После отправки запроса, на машине где стоит NCALayer, открывается диалоговое окно, которое предлагает выбрать файл ключей ЭЦП.
Соответственно, после выбора ключа, через сокет получаем следующий ответ.
Внимание: при использовании NCALayer, получаешь реальный путь к файлу на машине клиента.
Не буду публиковать ответ, но там содержится подписанная часть xml, которая была в запросе.
Повторюсь, получить пароль от хранилища ключей ЭЦП, ложится на плечи сайта. То есть, сайт всегда знает где лежат ключи и пароль у пользователя, иначе работать нельзя.
Минусы реализации текущего варианта NCALayer
Реальный пример, как получить доступ к egov.kz, если ты не владеешь ЭЦП человека
Не буду углубляться глубоко в технические детали и реализацию. Опишу как можно это сделать.
Теперь, чтобы эту уязвимость эксплуатировать, нужно понимать как работаем механизм входа на egov.kz через ЭЦП. Для входа на egov.kz, xml от egov.kz подписывается пользователем и передается на сервер, где проверяется. Если подпись валидна, то осуществляется вход. Со стороны NCALayer, процесс входа состоит из следующих шагов:
Портал запрашивает следующие данные из NCALayer — loadSlotList (здесь можно ответить ошибкой), getKeys, getSubjectDN, getNotBefore, getNotAfter и signXml. Если NCALayer правильно подставит эти данные от другого пользователя, то соответственно мы удачно войдем в систему. Здесь очень важно правильно получить от NCALayer только subjectDN и xml для подписи.
Теперь как получить доступ к egov.kz от другого человека, механизм:
Некоторые утверждения
Что можно сделать
Эмулятор NCALayer
Приложение, которое без ведома пользователя, в фоновом режиме подписывает данные
Описание
Программное обеспечение NCALayer предоставляет возможность использовать средства ЭЦП НУЦ РК в веб-приложениях. Функционал NCALayer может быть расширен установкой дополнительных модулей, предоставляемых сторонними разработчиками.
Понятия и сокращения
НУЦ РК | Национальный удостоверяющий центр Республики Казахстан, обслуживающий участников «электронного правительства», государственных и негосударственных информационных систем |
КУЦ РК | Корневой удостоверяющий центр Республики Казахстан, осуществляющий подтверждение принадлежности и действительности открытых ключей электронной цифровой подписи удостоверяющих центров |
ЭЦП | Электронная цифровая подпись ‑ набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания |
Регистрационное свидетельство (сертификат) | Документ на бумажном носителе или электронный документ, выдаваемый НУЦ РК для подтверждения соответствия электронной цифровой подписи требованиям, установленным нормативно-правовыми актами Республики Казахстан |
Защищенный носитель | Устройство безопасного хранения информации, шифрование данных для которого выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль. |
ОС | Операционная система ‑ комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем |
ПК | Персональный компьютер |
Веб-приложение | Клиент-серверное приложение, в котором клиент взаимодействует с сервером при помощи браузера, а за сервер отвечает — веб-сервер |
Cистемные требования
Системные требования исходят из среды выполнения для Java 8. Более подробные описания указаны по ссылкам:
Для ОС Windows, Linux и Mac OS X не требуется устанавливать Java, так как среда выполнения поставляется вместе с NCALayer.
NCALayer
NCALayer — официальное программное обеспечение, которое дает возможность пользоваться услугами национального удостоверяющего сервиса РК республики Казахстан в режиме онлайн. Программа обеспечивает безопасную работу с центром, в частности отвечая за безопасную передачу данных между локальным компьютером и сервисом.
Возможности
Итак, после установки NCALayer на свой компьютер, вы сможете подать онлайн заявку на получения регистрационного свидетельства. Сделать это в «безбумажном» режиме могут исключительно физические лица, которые являются гражданами республики Казахстан. Для подачи заявки требуется предварительно сгенерировать закрытые ключи ЭЦП. Электронная цифровая подпись выдается только в случае передачи пакета документов (в электронном виде), с перечнем которых вы можете ознакомиться на официальном портале — pki.gov.kz. Там же вы найдете подробное руководство по установке и эксплуатации данного клиента. В целом, работать с ним не сложно, да и инсталляция происходит в автоматическом режиме
Среди новых функций, которые появились в последних версиях NCALayer, стоит выделить возможность управлять выданными цифровыми сертификатами. Кроме того, клиент теперь необходим для того, чтобы стать участником электронных государственных закупок. Причем для использования последней возможности получение ЭПЦ не требуется.
Требования
Для корректной работы NCALayer на компьютере должны быть установлены библиотеки Java. Кроме того, стоит отметить, что для доступа к удостоверяющему центру необходимо использовать исключительно обозреватели Firefox, Google Chrome, Opera или Safari. В случае с Internet Explorer требуется версия 10.0 или выше.
Клиент совместим практически с любыми современными версиями Windows. Также у него есть версии для прочих популярных десктопных ОС, а вот версии для мобильных «операционок», на момент написания данного обзора, не выпущены.
NCALayer
— приложение для подписания данных на государственных порталах Республики Казахстан.
Приложение NCALayer появилось в 2017, когда самые популярные браузеры прекратили поддержку Java апплетов. Позволяет использовать Java апплеты для определенных сайтов РК в любом современном браузере, а так же устанавливает в систему корневые сертификаты Национального удостоверяющего центра РК (НУЦ).
Перечень порталов, для работы с которыми необходимо использовать последнюю версию NCALayer:
СОДЕРЖАНИЕ:
Как скачать NCALayer
Программа распространяется бесплатно, в трех версиях, для операционных систем: Windows, Linux, macOS.
Минимальные требования к компьютеру пользователя:
Скачать NCALayer (последняя версия), прямые ссылки с официального сайта НУЦ РК:
Если у вас не получается скачать приложение с сайта НУЦ, скачивайте NCALayer с хранилища MHelp.kz:
Как установить модуль NCALayer
Автоматическое добавление модуля в NCALayer:
Как скачать модуль NCALayer (вручную)
Иногда возникает ситуация, что приложению NCALayer не удается автоматически установить необходимый модуль (такое обычно бывает, когда целевой сайт работает некорректно).
Возникает ошибка «Не удалось скачать модуль»
В этом случае скачайте модуль NCALayer и установите его вручную следуя инструкции ниже.
Название модуля | Версия | Скачать |
---|---|---|
Модуль КНП (Кабинет налогоплательщика) | 1.1 | ссылка |
Модуль ИС ЭСФ (Электронные счета-фактуры) | 1.1 | ссылка |
Модуль Государственные закупки РК | 4.3.1 | ссылка |
ИС «Казначейство-клиент» | 1.1.4 | ссылка |
Омаркет | 1.0.7 | ссылка |
ezSigner | 1.0 | ссылка |
Модуль EFIS.KZ | 1.6.1 | ссылка |
Модуль «е-Минфин» РК | 1.0 | ссылка |
Модуль СФД (QIWI) | 1.3 | ссылка |
Модуль ИСЭЗ (zakup.sk.kz) | 1.0 | ссылка |
Модуль ЕЮП | 1.0 | ссылка |
ИС «SmartDocs» | 1.2 | ссылка |
Модуль Uchet.kz | 1.3 | ссылка |
Everflow Signer | 1.11.3 | ссылка |
Модуль Smartcontract | 1.2 | ссылка |
Площадка закупок ztender.kz | 1.0 | ссылка |
Ak Kamal TinySign | 2.0.44 | ссылка |
Qoltanba | 1.1 | ссылка |
SimBase | 1.0 | ссылка |
eFactoring | 1.2 | ссылка |
Список модулей NCALayer для установки вручную
Как установить модуль NCALayer вручную
Файл исчезает из папки bundles, а в списке модулей приложения появляется нужный.
Более подробно по ручной установке модулей в статье — Ошибка NCALayer: «Не удалось скачать модуль»
Ошибка Эта версия «%1» не совместима с версией Windows
Ошибка проявляется при первом запуске приложения NCALayer, сообщение об ошибке появляется и сразу же пропадает.
В логах системы ошибка не фиксируется, логи NCALayer при такой ошибке не создаются.
Проблема проявляется на 32х битных системах (не на всех).
Решение проблемы является не очень элегантным, но действенным.
Копируем папку установленного, рабочего экземпляра NCALayer (щелкните правой клавишей мыши по ярлыку NCALayer и выберите пункт Расположение файла) с любого компьютера и заменяем файлы в папке проблемного ПК.
Если у вас нет рабочего экземпляра NCALayer, скачайте с нашего хранилища — NCALayer (архив от 24.12.2018).
Замените файлы установленного NCALayer (…\AppData\Roaming\NCALayer) файлами из скачанного архива.
После чего запуск приложения должен быть успешным.
Разделы сайта: ЭЦП (получение, продление), Электронное Правительство РК
NCALayer 1.2
Описание и рекомендации
NCALayer – узкоспециализированный программный пакет для цифровой подписи данных при помощи ЭЦП на веб-ресурсах Национального удостоверяющего центра (НУЦ РК).
Приложение поддерживает работу Java модулей на государственных сайтах Республики Казахстан. Софт реализован под ПК и выпускается в нескольких редакциях – для Windows, macOS (не ниже OS X10), Linux.
Базовая программа и отдельные ее модули распространяются бесплатно.
Установка NCALayer на компьютер
Инсталлятор для Windows 10 (11) – 7 представлен в двух версиях под OS – 32 и 64 bit. Необходимо выбрать, скачать и установить приложение соответственно разрядности системы.
Под более ранние выпуски Виндовс – XP и Vista загрузить инсталлятор с официального сайта невозможно. Объяснение этому простое. Софт разработан в 2017, когда уже была прекращена поддержка Windows XP/Vista.
По завершении установки NCALayer проверяет наличие сертификатов КУЦ и НУЦ. В случае их отсутствия появляется окно с предложением размещения недостающих документов в корневом каталоге.
Рекомендуется подтвердить установку обоих сертификатов. Оповещением об успешной инсталляции самой программы выступает появление соответствующей пиктограммы в системном трее.
Одновременно, рекомендуется установить Java 8. В NCALayer уже внедрена виртуальная машина. Но добавить последнюю версию Джава на компьютер не помешает.
Версия на телефон
Мобильной редакции приложения не существует. Согласно информации с государственного сайта pki.gov.kz, разработка библиотеки СКЗИ «Kalkan-Crypt» для Android и iOS прекращена.
Позже Министерство информации и коммуникаций РК реализовало специальную платформу «мобильная подпись», где защищенным носителем сертификатов выступает SIM-карта.
Схема работы такова:
Проект мобильная ЭЦП продолжает разрабатываться, поэтому выпуск приложений для Андроид и Айфон можно ожидать.
Работа с модулями программы
Последние версии веб-браузеров не предоставляют возможности использовать апплеты. Но основная реализация криптопровайдера реализована на Java.
Поэтому для использования ЭЦП в браузерах необходим NCALayer. Фактически это посредник между тремя объектами. А именно, веб-браузер, криптопровайдер и ключи ЭЦП. В частности, с помощью программы можно полноценно использовать функционал сайта egov.kz (егов кз).
Главное меню NCALayer содержит 4 пункта, три из которых выполняют вспомогательные функции. Это:
Четвертый пункт – управление модулями предоставляет пользователю два действия: установить или удалить. Следует сразу отметить важную особенность программы. Серым фоном выделены обязательные модули NCALayer. Удалить их невозможно.
Инсталляция происходит в два действия. Вначале требуется выбрать объект и нажать клавишу «Установить модуль». После успешного завершения процесса приложение потребует перезапуска. Следует согласиться и дождаться появления программы в системном трее.
Если не удалось скачать модуль, можно поискать файл в других источниках. В частности рекомендуется изучить руководство пользователя, где содержится полезная информация. Альтернативно модуль КНП можно скачать с нашего сайта.
Далее необходимо распаковать загруженный файл и переместить его в папку bundles корневой директории NCALayer (введите в Пуске %APPDATA%\NCALayer). После запуска приложения модуль автоматически внедрится в программу. Одновременно файл из папки bundles исчезнет. Детальное описание как загружать и устанавливать модули NCALayer вручную, доступно по ссылке.
Заключение
Скачать NCALayer бесплатно на ноутбук или компьютер можно у нас. На сайте предоставлены установщики программы для основных операционных систем – Windows, macOS. Также мы предлагаем некоторые модули NCALayer, а в соседнем разделе можно скачать Java 8.