Vpn key tls что это

VPN-Key-TLS

VPN-Key-TLS представляет собой один из примеров USB-гаджетов с соответствующим сертификатом для личного пользования, которые обеспечивают удаленный и безопасный доступ к web-ресурсам. Поддерживают работу в концепции «тонкого» клиента. Решения применяются для внедрения цифровой подписи с предварительной квалификацией для безопасной работы в определенных системах. Гаджет декларирует цифровую подпись для входа в систему или для работы с определенными файлами.

Удобно, что средство модельного ряда совместимо с базой Public Key Infrastructure, а значит работает в инфраструктуре с открытыми ключами.

На текущий момент производитель предлагает приобрести 2 вида аппаратных USB-решений:

Touch с тачскрином;
Screen – вместе с дисплеем.

Благодаря аппаратному решению обеспечивается доступ к файлам по запросу и вводу PIN. Модели позволяют размещать до 5-ти базовых контейнеров, выдают запрос на сертификат, сохраняют их, генерируют ключи. Используется для реализации функции цифровой подписи, в частности, квалифицированной. Осуществляется реализация протокола TLS 1.1 в аппаратном режиме, шифруется трафик для повышения надежности операций.

VPN-Key TLS

VPN-Key-TLS реализует технологию функционального ключевого носителя и поддерживается в СКЗИ «КриптоПро CSP», начиная с версии 5.0. В этой связке VPN-Key-TLS может использоваться:

✔ для сдачи отчетности в электронном виде в различные государственные учреждения;
✔ для хранения сертификатов для работы в системе электронных государственных, муниципальных и ведомственных услуг;
✔ для обеспечения защиты юридически значимого электронного документооборота;
✔ в системах дистанционного банковского обслуживания;
✔ для безопасная работа с электронной почтой;
✔ для участия в электронных торгах.

Характеристики

✔ Поддержка алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит): генерация ключевых пар, формирование и проверка электронной подписи
✔ Поддержка алгоритмов ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012: вычисление значения хэш-функции данных, в том числе с возможностью последующего формирования ЭП
✔ Поддержка алгоритма ГОСТ 28147-89: генерация ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ)
✔ Поддержка протокола Transport Layer Security (TLS v. 1.2, RFC 5246) с использованием российских криптографических стандартов
✔ Выработка сессионных ключей (ключей парной связи): по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836)
✔ Генерация последовательности случайных чисел требуемой длины

Аппаратные криптографические операции

✔ Электронная подпись ГОСТ 34.10-2012 (256): скорость 18.25 мсек
✔ Электронная подпись ГОСТ 34.10-2012 (512): скорость 88.98 мсек
✔ Электронная подпись ГОСТ 34.10-2001: скорость 30.0 мсек
✔ Скорость хеширования ГОСТ Р 34.11-2012: в составе HTTP API

Vpn key tls что это

Выбираем надежный VPN: TLS authentication, порт соединения и сессионный ключ.

Это третья глава, посвященная выбору VPN, ранее мы уже рассмотрели выбор количества серверов VPN. Исходя из своих задач и ожиданий, вы должны были определиться, нужен ли вам Single VPN или цепочка VPN-серверов. Также мы рассмотрели протоколы; предполагаю, что большинство из вас остановилось на протоколе OpenVPN, это разумный выбор.

Пока мы говорим исключительно о серверной части, так как в будущем вам придется выбирать программу на ваше устройство, с помощью которой вы будете использовать VPN.

Но еще до перехода к выбору программы нам надо рассмотреть ряд параметров: TLS authentication, порт соединения, сессионный ключ, алгоритм шифрования, длину ключа и аутентификацию данных.

Если с количеством серверов и выбором протокола знакомы многие, то эти показатели для неспециалистов часто выглядят пугающе. Но ничего сложного не будет, я постараюсь максимально понятно рассказать вам о каждом из них.

TLS authentication

Помните, в главе о шифровании я рассказывал про шифр Цезаря? Допустим, в Сенате принимают гонца от Цезаря, но как сенаторы проверят, что этот посол действительно от императора? Может быть, его шифр перехватили злоумышленники и отправили свое сообщение, зашифрованное ключом Цезаря?

Представьте себе, что гонец знает какой-то уникальный пароль, только назвав который его примут в пункте назначения. Примерно так работает и TLS authentication. Пакет handshake («рукопожатие» ‒ процесс начала взаимодействия пользователя и VPN-сервера) подписывается специальным ключом, который знает сервер. Если пакет не подписан или подпись не верна, такой пакет игнорируется.

Многие сервисы заявляют TLS authentication как свое преимущество, это звучит солидно, хотя на самом деле это, скорее, важная необходимость. Это пыль в глаза клиентам.

Порт соединения

Опять вернемся к Цезарю. Вот он передал зашифрованный текст гонцу, который должен доставить его Сенату. Гонец имеет множество путей, которыми может добраться до Сената. Есть самые популярные протоптанные дороги, но если неприятель захочет прервать сообщение, он может заблокировать эти дороги. Даже если гонца и не будут перехватывать, то разведчики неприятеля точно заметят, что Цезарь шлет Сенату гонцов.

Но есть малоизвестные тропинки, где неприятель никогда не будет ждать гонца, и если послать гонца по одной из них, он не будет обнаружен или перехвачен. Также есть важные дороги, по которым идет основной торговый обмен, и перекрыть их просто невозможно, не нанеся существенный вред себе.

Точно такая же ситуация и с портами. У VPN есть стандартные порты, которые зависят от используемого протокола:

OpenVPN 1194
PPTP 1723
IPsec 500 и 4500

Как правило, VPN-провайдеры используют стандартные порты. Это позволяет сайтам определять наличие VPN, а интернет-провайдерам и системным администраторам –блокировать его использование.

Не у всех VPN-протоколов возможно поменять порты, однако в случае с OpenVPN это возможно. Если ваш интернет-провайдер или системный администратор блокирует VPN, мы рекомендуем использовать OpenVPN через TCP на 443 порте. TCP-трафик на 443 порте – это как важнейшая дорога, он не может быть заблокирован, потому как этот порт используется для HTTPS. Порт, используемый для VPN, можно увидеть в конфигурационном файле, с которым мы будем работать в одной из следующих частей.

Как вы знаете из предыдущей главы, TCP не лучший выбор в плане скорости, но и здесь есть выход. OpenVPN можно настроить таким образом, что сначала он будет пытаться использовать соединение через UDP, а в случае проблем через заданный промежуток времени начнет подключаться через TCP.

Генерация сессионного ключа

Простым пользователям сложно понять процесс генерации ключа, потому я постараюсь рассказать о нем на примере Цезаря и Сената. Цезарь использовал свой ключ со смещением на одну букву изо дня в день, из года в год. Спустя некоторое время он осознал, что таким образом он не может общаться с каждым сенатором отдельно, так как отправленное сообщение может прочесть каждый владелец ключа, да и в целом это не очень безопасно.

Что решил Цезарь?

Ключ должен быть уникальным для каждого сенатора.
Ключ должен меняться после каждой переписки.

Для этого необходимо придумать какую-то технологию дистанционного создания ключа, так как Цезарь находится на полях сражений, а сенаторы в Риме. Можно, конечно, его просто выслать гонцом нужному сенатору, но тогда враги будут иметь возможность перехватить его и разобраться, как создается ключ шифрования. И Цезарь придумал, как решить эту задачу.

Изначально и сенатор, и Цезарь знают общий ключ – смещение букв на один символ вправо, это стандартный шифр Цезаря. Этот ключ не известен врагу. Дальше Цезарь отправляет сенатору с гонцом сообщение «+ 2 влево», что значит, что текст шифра будет смещаться на два символа по алфавиту влево в дополнение к изначальному смещению вправо на один символ. Сенатор отмечает это у себя и в ответ шлет Цезарю: «Буквы «О» в каждой нечетной строке меняем: O на A в исходном тексте» – и так, отправляя гонцов друг другу, они создадут уникальный ключ, не известный другим сенаторам.

Даже если враг и перехватит данные, не получит конечного ключа, потому как ему не известен первоначальный ключ, который был у Цезаря и сенатора до начала обмена этими сообщениями. Ведь они начали сдвигать буквы уже с учетом первоначального смещения. Чем больше гонцов они отправят в процессе создания ключа и чем сложнее первоначальный способ шифрования, тем труднее неприятелю будет получить ключ для расшифрования переписки.

Аналогично и в шифровании данных от клиента до VPN-сервера используется механизм генерации сессионного ключа. Для этого происходит обмен временными ключами по алгоритму Диффи-Хеллмана, для подтверждения факта обмена именно с сервером VPN используется сертификат. Как правило, он бывает 1024-, 2048- и 4096-разрядным.

Многие VPN-провайдеры используют значения 2048, а то и 1024. Это делается по нескольким причинам.

Чем меньше этот показатель, тем меньше нагрузка на VPN-сервер и процессор пользователя. Генерировать ключ не такая простая работа.
Чем меньше этот показатель, тем медленнее расходуется батарея мобильного устройства. Тут все понятно: нагрузка на процессор – беда для батареи.
Сложность генерации замедляет процесс подключения к VPN. Вы наверняка замечали, что с момента нажатия кнопки «Соединиться» до момента подключения к серверу проходит некоторое время, оно будет возрастать или уменьшаться в зависимости от разрядности ключа.
Многие считают, что 2048 бит вполне достаточно и 4096 – излишняя безопасность.

Использовать показатель 2048 бит – правильный шаг с точки зрения бизнеса. 99% пользователей все равно не понимают значимость этого показателя, в то же время это сократит нагрузку на сервер при генерации сессионного ключа и ускорит процесс подключения пользователя к VPN, что, безусловно, пойдет плюсом сервису.

RSA 512, бывший некогда стандартом надежности, был взломан в 1999 году. Ключ длиной 1024 бит ученые из Мичигана смогли «вскрыть» еще в 2010-м с помощью простых компьютеров, это заняло у них 100 часов, но еще в 2003-м израильские ученые смогли взломать его с помощью суперкомпьютера. А потому мы настоятельно рекомендуем не использовать VPN с RSA 1024 бит.

RSA – самый популярный алгоритм шифрования ключа, но не единственный. Вы можете встретить, например, VPN на основе эллиптических кривых. Скажу свое мнение: RSA проверен временем, а сравнение надежности – это вопрос к математикам, а не к специалистам в области безопасности. У эллиптических кривых есть некоторые преимущества в виде скорости и нагрузки на устройства, но они не настолько значительны, как утверждают продавцы подобных VPN.

Вернемся к длине ключа. Иногда пишут, что и 2048-битный ключ также ненадежен и его можно взломать. На самом деле любой ключ можно взломать, но для ключа большой длины нужны очень большие мощности, которыми, по нашей информации, сегодня не обладают не только злоумышленники, но и спецслужбы. Однако это не истина в последней инстанции. В 2010 году ученые научились «вскрывать» RSA 1024, следующим на очереди может стать RSA 2048. Весьма вероятно, его уже научились взламывать, а мы просто не знаем об этом.

В следующей главе мы поговорим про алгоритм шифрования, длину ключа и аутентификацию данных.

Vpn key tls сбербанк как извлечь сертификат. Ооо амикон — защита информации, межсетевые экраны, vpn-построители, tls-концентраторы, токены для эцп и шифрования

Меры информационной безопасности при работе в Сбербанк Бизнес Онлайн

Логин, пароль, ПИН-код для токена VPN KEY TLS, одноразовые СМС-пароли, кодовое слово — это Ваша личная конфиденциальная информация, ни при каких обстоятельствах не раскрывайте их никому, включая сотрудников Сбербанка России (далее — Банк). При обращении к Вам с любыми просьбами сообщить конфиденциальную информацию не делайте этого, перезвоните в контактный центр Банка.
Первоначальная страница доступа в личный кабинет содержит только поля ввода логина и пароля. В случае, если на данной странице от Вас требуется ввод любой другой персональной информации (номеров банковских карт, мобильного телефона и других личных данных), следует прекратить пользование услугой и обратиться в Банк по номерам, указанным на официальном сайте Банка.
При обнаружении Вами попыток несанкционированного доступа или в случае мотивированных опасений, что такие попытки могут быть, рекомендуется незамедлительно сообщить об этом Банку по телефону или обратиться к Вашему клиентскому менеджеру в ВСП.
При подтверждении операций одноразовым СМС-паролем необходимо контролировать соответствие реквизитов операции и реквизитов в полученном СМС-сообщении (проверяйте ИНН и номер счета, не ограничивайтесь проверкой совпадения только наименования получателя платежа).
При работе в Сбербанк Бизнес Онлайн (далее — СББОЛ) убедитесь, что защищенное ssl-соединение установлено именно с официальным сайтом услуги (https://sbi.сайт:9443/ic), настоятельно не рекомендуется переходить на данную страницу по ссылке с Интернет-ресурсов (за исключением официальных ресурсов банка, например, www.сайт).

Инструкция по настройке токена.

1. Вставьте токен в USB-порт компьютера.

2. В операционной системе появится новый сменный диск (рис.1)

3. Запустите файл tlsapp. exe с данного диска.

4. Откроется окно браузера с формой авторизации пользователя токена (рис.2)

В случае, если сменный диск не появился, перезагрузите компьютер и выполните пункты

инструкции еще раз.

P. S. если на компьютере Клиента в целях безопасности отключен автозапуск, необходимо последовательно запустить TLSAPP. EXE потом SSLGATE

https://pandia.ru/text/78/055/images/image002_178.jpg» width=»623″ height=»196″>

В случае, если после того как токен подключен к компьютеру, не появилось окно запуска программы (см. рис 2). Необходимо проверить следующие настройки:

1. Если на компьютере отключен автозапуск, то необходимо вручную запустить программу токена. Для этого необходимо зайти в «Мой компьютер», а затем выбрать в «устройствах со съемными носителями». Далее открыть двойным щелчком мыши и запустить файл «TLSAPP. EXE».

2. Если не удалось запустить программу по технологии, описанной выше, необходимо проверить корректность установки драйвера. Для этого необходимо зайти для Windows XP : «Панель управления» -> «Система» -> Вкладка «Оборудование» -> «Диспетчер устройств»

3. Если токен не определился как смарт-карта, так как указано на рисунке, то необходимо в списке устройств найти токен и обновить у него драйвер. Для обновления драйвера нажать правой кнопкой мыши на устройство, выбрать «Свойства», зайти на вкладку драйвер и нажать «Обновить». При обновлении выбрать «Нет, не в этот раз», затем выбрать «Установка из указанного места» и указать диск, под которым определился токен у Вас на компьютере.

Краткая инструкция запроса сертификата при использовании « VPNKey- TLS» (Токена)

«VPNKey-TLS» (Токена) – USB устройство, предназначенное для защищенного доступа через открытую сеть передачи данных (например, Интернет) к ресурсам Веб-Сервиса (Интернет-Банка).

Обязательный порядок действий клиента после получения Токена.

Для начала необходимо запустить VPNKey-TLS

Необходимо подключите устройство «VPNKey-TLS» к USB-порту компьютера

Если не произойдет автоматический запуск, то необходимо запустить вручную.

Войти в систему: выбрать учетную запись и ввести PIN-код

ПРИМЕЧАНИЕ: Если сотрудников имеющих право подписи несколько, то входить и запрашивать сертификат им необходимо каждому под отдельным ПИНом

Необходимо Перейти на страницу банка

Войти в систему СББОЛ, ввести логин и пароль с «информационного листа». Пройти по ссылкам: Услуги →Обмен крипроинформацией→Запросы на новый сертификат и создать запрос, нажав на инструмент

Откроется форма запроса на новый сертификат. В ней необходимо выбрать криптопрофиль (нажать на кнопку Электронная почта» href=»/text/category/yelektronnaya_pochta/» rel=»bookmark»>электронной почты необходимо заполнить вручную. После этого необходимо нажать на кнопку «Сформировать запрос на сертификат»

P. S. должность в прошивке токена 391 должна подставляться из криптопрофиля автоматически..jpg» width=»43″ height=»35″> Необходимо распечатать сертификаты и предоставить в банк на бумажном носителе.

Для печати необходимо нажать на инструмент , а именно на стрелочку. После нажатия инструмент предложит 2 документа, каждый сертификат ЭЦП и ключа шифрования необходимо распечатать в 3 экземплярах и предоставить в Банк, по месту заключения договора.

После того как удостоверяющий центр выпустит сертификат запрос встанет на статус «издан банком» это означает, что клиент может войти в систему и ему будет предложено принять сертификат на токен в автоматическом режиме.

ПРИМЕЧАНИЕ: Если сотрудников имеющих право подписи несколько, то входить и запрашивать сертификат им необходимо каждому отдельно и под разными ПИНами. Клиенту при выдаче токена выдается 5 ПИН-конвертов

Ошибки TLS соединений в Сбербанк Бизнес Онлайн — проблема с которой приходится иногда сталкиваться пользователям системы. Последнее время дистанционное управление банковскими операциями приобрело большую популярность. Многие компании и частные предприятия оценили удобство сервиса: теперь нет необходимости тратить время на посещение банка, а управление счетами, заполнение платежных поручений можно проводить прямо в офисе за рабочим столом. Как и в любой системе, здесь не редки сбои в работе. Этого не избежать. Лучше заранее знать о возможных проблемах, чтобы легко справиться с ними.

Работа любого сервиса неизбежно связана с наличием единичных сложностей в подключении

Предусмотреть все погрешности в работе невозможно, но существуют наиболее часто встречающиеся, которые в большинстве случаев можно устранить самостоятельно.

Некорректный ввод логина и пароля . Такая надпись на мониторе свидетельствует о том, что действительно логин и пароль были введены неправильно. Решить проблему просто: перезагрузить страницу, снова войти, но при этом предельно внимательно указать идентификатор и пароль.
Ошибка 401 . Она появляется во время входа в систему. Тут причиной может стать работа самого компьютера (устаревшая версия ОС или браузера, блокировка антивирусом или рядовой сбой). Выход следующий: обновить браузер, установить сервис банка Бизнес Онлайн в антивирусный перечень исключений или просто повторно войти.
Ошибка контроля. Возникает при формировании платежного документа, если допущены погрешности в заполнении. Система автоматически принимает документ как неактуальный. Для устранения этой неприятности стоит повторно перепроверить все внесенные данные в поля документа, исправить неточности, и снова установить проверку «платежки».
Внутренняя ошибка сервера. Здесь вообще не стоит беспокоиться и некоторое время переждать: всеми сбоями сервера занимаются специалисты банка. Достаточно сообщить об этом в службу техподдержки.

Проблема номер 0100

Ошибка TLS соединения 0100 Сбербанк Бизнес Онлайн предупреждает о проблемах с сертификатом. При входе в систему происходит процедура проверки и подтверждения его подлинности. Сервер банка осуществляет проверку подлинности сертификата, срок действия, сравнивает адрес URL с указанным адресом в сертификате.

Ошибка TLS соединения 0140

Причин возникновения этой проблемы может быть несколько. Конечно, это может быть элементарный сбой программы. Но чаще всего это связано с применением электронной цифровой подписи. Она является идентификатором пользователя и применяется при визировании различных документов. Скорее всего, мог истечь срок действия подписи, и поэтому она устарела и не является действительной. Для этого нужно обновить ее. Если же срок действия еще не истек, необходимо проверить корректность заполнение полей. Возможно, нужно установить Capicom для прикрепления цифровой подписи. В любом случае, надо быстро реагировать и обратиться за помощью в службу техподдержки банка, предварительно указав код и действия, предшествующие возникновению погрешности. Чтобы в дальнейшем не возникало подобных проблем, необходимо знать, когда истекает срок подписи.

Проверить это можно в хранилище сертификатов. Замену следует проводить заблаговременно: за время обновления сертификата в работе могут возникнуть ситуации, когда понадобится в срочном порядке подписывать любые платежные документы.

В работе с сервисом банка пользователи часто сталкиваются с трудностями

Проблема номер 0160

Если на экране возникает сообщение «Ошибка TLS соединения 0160» в системе Сбербанка, это говорит о том, что сервису не удалось проверить подлинность сертификата клиента. Это может означать одно, что у пин-кода закончился срок действия. Решение простое – обратиться в банковское учреждение для получения нового токена и пин-кодов.

Заключение

Многие бизнес-структуры работают с программой Сбербанк Бизнес Онлайн, и не редки случаи возникновения ошибок TLS соединений. Поскольку денежный оборот у многих компаний существенен, то принимать решение об устранении неполадки следует сразу. Нельзя надеяться, что это обыкновенный сбой системы. Такое может быть, как и неполадки на сервере. Но чаще всего подобное возникает из-за несоответствия требований, предъявляемых техническому оснащению при подключении к программе. Следует серьезно подойти к ПО, чтобы в дальнейшем не возникало подобных проблем. В любом случае, чтобы ускорить решение данного вопроса стоит сразу обратиться в службу технической поддержки банковского учреждения.

Система безопасного доступа к web-сервисам на базе «ФПСУ-TLS» и специализированного USB-устройства «VPN-Key-TLS»

VPN-Key-TLS — это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно «тонкого» клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.

Ключевая система устройств полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).

На сегодняшний день семейство представлено базовым устройством VPN-Key-TLS и двумя интерактивными устройствами — VPN-Key-TLS Touch (с сенсором) и VPN-Key-TLS Screen (с экраном).

Основные характеристики устройств

Процессор: семейство Atmel, ARM-архитектура
Операционная система: собственная
Защищенная память EEPROM
Флеш-диск
Форм-фактор VPN-Key-TLS и VPN-Key-TLS Touch: USB-токен
. Размеры: длина 60 мм, ширина 16 мм, высота 7 мм.
. Вес: 7 гр.
Форм-фактор VPN-Key-TLS Screen: a-la навигатор или смартфон
. Размеры: длина 95 мм, ширина 85 мм, высота 15 мм.
. Вес: 140 гр.
Реализация интерактивных функций
. VPN-Key-TLS Touch: сенсорное подтверждение выполняемой операции
. VPN-Key-TLS Screen: тач-скрин

Возможности VPN-Key-TLS Touch

Возможности VPN-Key-TLS Screen

1. Под управлением какой операционной системы функционирует ПАК «ФПСУ-IP»?

ПАК «ФПСУ-IP» функционирует на базе ядра ОС Linux с использованием собственного стека протоколов.

2. С использованием какого IP протокола строится VPN-туннель между программно-аппаратными комплексами ПАК «ФПСУ-IP»?

По-умолчанию, для создания туннеля используется протокол IP-53. Для оптимизации трафика возможно разделение потока на 8 независимых туннелей. ПАК «ФПСУ-IP» версии 3 позволяет создавать туннель с использованием протокола UPD порт 30004.

3. Два ПАК «ФПСУ-IP» не могут установить туннель. В чем причина?

В данном случае возможна следующая последовательность действий:
— необходимо проверить правильность настроек конфигурации «ФПСУ-IP»
— проверить правильность настроек LAN-адаптеров «ФПСУ-IP»
— проверить правильность коммутации портов «ФПСУ-IP» с сетевым оборудованием
— попробуйте изменить в конфигурации на обоих «ФПСУ-IP» служебный протокол для туннеля (например, можно использовать 110 IP протокол (2 поток)).
Для проверки прохождения трафика по служебным протоколам можно использовать утилиту .

4. При загрузке ПАК «ФПСУ-IP» появляется сообщение «System destroyed». Что необходимо предпринять для восстановления системы?

Необходимо проверить:
— настройки BIOS (Первым загрузочным устройством должно быть «Access BIOS PnP» (INTEL BIOS) или LAN (Award BIOS)).
— дополнительный LAN адаптер или плату «АККОРД» (Возможно, потребуется вынуть-вставить плату в PCI-разъеме).

5. Настроили общие правила разделения потоков, а разделение по потокам не работает. Что не правильно?

«Общие правила разделения потоков могут быть описаны с использованием соответствующей команды меню конфигурации МЭ “ФПСУ-IP”. Подчеркнём, что операция по определению общих правил носит абстрактный характер, установленные здесь правила при работе комплекса не используются, а только служат “заготовками” при формировании параметров порта конфигурируемого МЭ “ФПСУ-IP”.» (Руководство администратора ч.4.2.7 Общие правила разделения потоков).

ПАК «Удаленный администратор «ФПСУ-IP»

1. С какими операционными системами работает ПАК «Удаленный администратор «ФПСУ-IP»?

Поддерживается ОС: Windows 2000, Windows XP, Server 2003, Windows Vista, Windows 7, 8, 10 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM)

2. С использованием какого IP протокола осуществляется взаимодействие между «Удаленным администратором «ФПСУ-IP» и ПАК «ФПСУ-IP»?

В зависимости от версии ПАК «ФПСУ-IP» может использоваться протокол IP-56 либо UDP/30003.

3. «Удаленный администратор ФПСУ-IP» имеет возможность осуществлять мониторинг ПАК «ФПСУ-IP» , но получить или отправить конфигурацию невозможно. В чем причина?

Данная проблема связана с MTU. Взаимодействие между «Удаленным администратором ФПСУ-IP» и ПАК «ФПСУ-IP» осуществляется при помощи IP пакетов, в которых установлен флаг «DF» (запрет фрагментации). При обработке этих пакетов транзитный маршрутизатор не может передать их далее по маршруту, т.к. MTU следующего транзитного канала меньше, чем MTU обрабатываемого пакета. Обычно транзитный маршрутизатор посылает отправителю данного пакета (т.е. в IP адрес АРМ «Удаленный администратор ФПСУ-IP» или ПАК «ФПСУ-IP») ICMP сообщение о необходимости уменьшить размер пакета. «Удаленный администратор ФПСУ-IP» при получении такого ICMP сообщения уменьшает свой MTU до указанного в пакете размера. Но проблема в том, что не все маршрутизаторы посылают такие ICMP сообщения (или же посланные сообщения не доходят до получателя). В ближайшем будущем в АРМ «Удаленный администратор ФПСУ-IP» будет добавлена возможность изменять MTU административно.

4. АРМ УА Выдал на экран сообщение об ошибке как передать сведения разработчикам?

Отправить файл ipadmfar.bug разработчикам с описанием действий, повлекших ошибку.

5. АРМ УА Выдал на экран дамп регистров как передать сведения разработчикам?

1. Ошибка установки драйвера при установленном Kaspersky Internet Security

Для устранения ошибки, необходимо отключить самозащиту Kaspersky. Подробная инструкция: https://support.kaspersky.ru/13912 .

2. По какому протоколу строится VPN-туннель между ПАК «ФПСУ-IP/Клиента» и ПАК «ФПСУ-IP»?

Для построения VPN-туннеля используется UDP-протокол (на ПАК «ФПСУ-IP» используется 87 порт, «ФПСУ-IP/Клиент» использует стандартные порты выше 1024 (динамические)).

3. С какими операционными системами работает «ФПСУ-IP/Клиент»?

Windows 2000 (все версии), Windows XP (все версии), Server 2003 (с ограничениями по версиям), Vista (все версии), Server 2008 (все версии), Windows 7, 8, 10 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM), различные версии ОС на базе Linux, MAC OS X, Android OS.

4. Где можно скачать последнюю версию «ФПСУ-IP/Клиента»?

Можно скачать на нашем сайте, пройдя по .

5. Можно ли управлять соединением/рассоединением «ФПСУ-IP/Клиент» из командной строки?

Да, можно. Запустите файл ip-client.exe с параметром «/?» для получения более детальной информации.

6. Возможна ли совместная работа Microsoft Isa Client и ФПСУ-IP/Клиент?

В связи с тем, что Microsoft Isa Client использует инкапcуляцию пользовательских пакетов для отправки их через Microsoft Isa Server, для работы Приложений через ФПСУ-IP/Клиент необходимо проделать следующее:
1. Установить на рабочую станцию Microsoft Isa Client и ФПСУ-IP/Клиент (версия 4.7 и выше).
2. Настроить на Microsoft Isa Server прохождение во внешний сегмент UDP 87 (прописать отдельное правило в Protocol Rules (предварительно создав описание в Protocol Definitions «UDP 87 , SEND RECEIVE»))
3. На Microsoft Isa Server в настройках Microsoft Isa Client необходимо указать имя Вашего Приложения (имя исполняемого файла без расширения) , для которого Microsoft Isa Client действовать не будет (например, указать имя «wCLNT»,«OPERA» или «IEXPLORE» c параметром «Disable» , «0»).
Такие же настройки необходимо сделать для Приложения «IP-Client».(Возможно, в настройках Microsoft Isa Client потребуется нажать кнопку «Update now» или перегрузить рабочую станцию для активизации сделанных на Microsoft Isa Server изменений).

7. При установке VPN-соединения через PPPoE-соединение, создаваемое на рабочей станции, останавливается передача данных или разрывается само PPPoE-соединение.

Проверьте, не установлены ли в настройках «ФПСУ-IP/Клиент» блокировки «Все пакеты, кроме IP стека протоколов». Если эти блокировки установлены локально в VPN-key (маркеры в checkbox), то, используя PIN-код администратора, снимите их.
Если рядом с checkbox стоит значок «stop», то снять эту блокировку может только Администратор «ФПСУ-IP». Свяжитесь с организацией, занимающейся эксплуатацией вашей системы. Если для подключения к провайдеру используется «высокоскоростное подключение» активировать в «Локальных настройках» опцию для отключения блокировок используемого протокола L2TP или PPTP.

8. После установки «ФПСУ-IP/Клиента» возникают проблемы с установлением сетевых соединений у каких-либо других программ.

Обновите версию ФПСУ-IP/Клиент до 4.7 и выше. Проверьте блокировки в настройках USB-устройства и Локальных настройках.

9. После установки «ФПСУ-IP/Клиента» возникают ошибки: подвисание системы при перезагрузке; перегрузка системы при попытке установить соединение (или послать пакет) через VPN.

а) Проверить, правильно ли отображаются существующие сетевые адаптеры и их параметры в «ФПСУ-IP/Клиенте» в разделе «О программе» — «Информация».
б) Попробуйте обновить драйвера сетевой карты с сайта производителя.
в) Если есть такая возможность, то замените сетевой адаптер (предпочтительнее Intel или 3Com)
г) Если при отключении сетевого адаптера в списке устройств система работает стабильно, то просим Вас прислать в ООО «АМИКОН» сведения из раздела «Компоненты»- «Сеть» — «Адаптеры» и «Протоколы», которые Вы найдете, запустив системную утилиту msinfo32.exe.
д) Обратите внимание на дополнительно установленные антивирусы и персональные firewall. Возможно, что отключение данных программ поможет решить проблему (просьба сообщить в ООО «АМИКОН» с какой именно программой конфликтует «ФПСУ-IP/Клиент»)
е) Если в свойствах подключения сетевого окружения установлены нестандартные протоколы (обычно их устанавливают другие VPN-продукты, анализаторы протоколов, антивирусы), то попробуйте их отключить.

10. При установленном ФПСУ-IP/клиенте разрывается, через какое то время, TCP соединение. Соединение при этом неактивно, то есть информационного обмена в данной TCP сессии нет продолжительное время.

В реестре есть ключ типа DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Amicon\Client FPSU-IP\TCPSessionIDLETimeout . В данном ключе содержится время в МИНУТАХ (по умолчанию час — 60 минут), в течение которого TCP сессия будет «жить», если по ней не идут пакеты, после этого времени будет заблокирована файерволом Амикон.

11. Ошибки соединения.

«Ошибка по тесту Р1» .
Данное сообщение означает, что необходимо обновить микрокод vpn-key. Подробнее в разделе «Обновление микрокода VPN-Key «.

«Проверьте настройки межсетевого экрана и IP-адрес ФПСУ» .
Проверьте настройки сетевого подключения, а также доступность 87-го порта по протоколу UDP ().

«Удаленный хост недоступен» .
Проверьте, подключен ли компьютер к сети internet.

При попытке установить соединение выдается следующее сообщение. Что оно означает?
Подобное сообщение означает, что маршрут для отправки запроса на соединение с ФПСУ-IP неизвестен. В этом случае необходимо добавить маршрутизатор по умолчанию в настройках протокола TCP/IP сетевого подключения (или правильный маршрут в таблицу маршрутизации).

Особенности использования технологий VPN и SSL/TLS

Огромное количество компаний нацелены на расширение присутствия в различных частях города, страны и даже всего мира. Если раньше для того чтобы объединить центральный офис, удалённые филиалы и узлы в единое информационное пространство, компаниям необходимо было прокладывать специальные выделенные линии связи и тратить большие средства, то с развитием глобальных сетей ситуация изменилась. Зачем заниматься организацией альтернативных каналов связи, если можно воспользоваться уже существующими, например интернетом? Все не так просто. При использовании общедоступных линий и средств связи возникают естественные угрозы для передаваемой информации, а значит и угрозы для самой компании. Разрешением этих угроз является обеспечение защиты передаваемых данных.

Существует множество способов организации защищённых информационных потоков в открытых сетях. Мы обратим свое внимание на наиболее распространённые: развёртывание виртуальных частных сетей (VPN) и использование протокола SSL/TLS. Данные технологии иногда прямо противопоставляются друг другу и рассматриваются как технологии, предназначенные для решения аналогичных задач, что с нашей точки зрения не совсем верно.

История становления

Перед тем как перейти к рассмотрению особенностей каждой из технологий, дадим их определения и приведём краткую историческую справку.

В качестве одного из первых шагов в процессе эволюции технологий VPN можно отметить принятие в 1976 году стандарта протокола X.25, предназначенного для организации WAN поверх телефонных сетей. Дальнейшее развитие технологий связи привело к появлению целого ряда протоколов, позволяющих осуществлять развёртывание VPN, в частности PPTP, L2TP, IPsec, IPlir.

Каждый из протоколов VPN имеет свои особенности функционирования и степень защищённости передаваемых данных (например, L2TP вообще не обеспечивает защиту данных сам по себе), что обусловлено как историей их возникновения, так и целями их создания.

Протоколы IPsec и IPlir можно отнести к наиболее защищённым, универсальным и перспективным, поэтому при дальнейшем исследовании свойств технологии VPN будем ориентироваться в большей степени именно на них.

Отправной точкой процесса развития семейства протоколов SSL/TLS является протокол SSL 1.0, разрабатываемый компанией Netscape, но так и не увидевший свет в силу наличия в нём ряда серьёзных проблем с безопасностью. Первой обнародованной версией семейства является протокол SSL 2.0, появившийся в 1995 году. Практически незамедлительно, опять же из-за имеющихся во второй версии протокола уязвимостей, был осуществлён его редизайн, результатом которого стало появление в 1996 году SSL 3.0. Следующим шагом стала модернизация третьей версии протокола наряду со сменой его названия с Secure Sockets Layer на Transport Layer Security. Так в 1999 году был выпущен протокол TLS 1.0, который в дальнейшем ещё дважды претерпевал изменения: в 2006 году появился протокол TLS 1.1, а в 2008 году — TLS 1.2. В настоящее время ведётся активная разработка спецификации для очередной версии протокола — TLS 1.3.

Сравнение технологий

Технологии VPN и SSL/TLS, безусловно, имеют общие черты, например в каждой из них используются криптографические методы защиты информации. Тем не менее между ними существует и ряд принципиальных отличий, некоторые мы рассмотрим подробнее.

Место в сетевой модели

Прежде всего необходимо отметить, что данные технологии относятся к различным уровням эталонной сетевой модели ISO/OSI. Протоколы VPN обычно соответствуют канальному или сетевому уровням, тогда как протокол SSL/TLS находится между транспортным и прикладным уровнями (как правило, его причисляют к уровню представления). Это во многом определяет возможности технологий и сценарии их применения.

VPN-протоколы IPSec и IPlir защищают весь трафик между двумя узлами, позволяя пользователю в случае удалённого подключения к доверенной сети быть её полноправным членом, как если бы он находился непосредственно в ней.

Протокол SSL/TLS устанавливает безопасную связь между приложениями, запущенными на взаимодействующих узлах, открывая возможность организации удалённого защищённого доступа к конкретному приложению. Данное отличие, как и многие из тех, что мы будем рассматривать далее, нельзя однозначно интерпретировать в пользу той или иной технологии. Оно лишь позволяет судить о степени соответствия конкретной технологии конкретной задаче. Например, в случае необходимости защиты всего трафика приоритет, очевидно, должен быть отдан технологии VPN, тогда как в случае необходимости доступа только к одному приложению более рациональным может оказаться применение SSL/TLS. При этом не стоит забывать и про такие сопутствующие нюансы, как последствия взлома защиты для каждого из случаев (получение доступа ко всей сети или только к одному приложению) или особенности работы конкретных приложений, некоторые из которых могут не обеспечивать важные с точки зрения безопасности функции, например проверку списка отозванных сертификатов. Отметим также, что контроль доступа при защите с помощью SSL/TLS может быть настроен более тщательным образом, ведь организация защищённого соединения непосредственно между приложениями позволяет устанавливать различные права доступа пользователя для каждого из приложений. Кроме того, упрощается и дифференциация прав доступа для различных пользователей.

Принадлежность рассматриваемых технологий разным сетевым уровням также накладывает свой отпечаток на специфику их работы с NAT-устройствами. Данные устройства изменяют IP-адреса в IP-пакетах, что может вызывать трудности при передаче через них защищённого трафика в случае использования VPN-протоколов, следящих за целостностью IP-пакетов. К таким протоколам относится, например, IPsec. В качестве решения данной проблемы может рассматриваться использование технологии NAT-T, позволяющей защищённым пакетам успешно проходить через NAT-устройства. Тем не менее технология NAT-T поддерживается далеко не всеми реализациями VPN, что отрицательно сказывается на совместимости используемых решений. Протокол SSL/TLS не имеет описанных проблем с NAT-устройствами, так как лежит выше транспортного уровня и корректность его работы не зависит от смены IP-адресов и номеров портов. Еще одним важным отличием между рассматриваемыми технологиями является то, что VPN-решения могут использовать в качестве транспортного протокола как TCP, так и UDP, в то время как классические SSL/TLS решения — только TCP. Это ограничивает применение SSL/TLS в сценариях, для которых задержка трафика, вызванная потерями пакетов, является критичной. Стоит отметить, что для таких случаев был разработан альтернативный протокол под названием DTLS, представляющий собой переработанную с целью поддержки транспортного протокола UDP версию TLS 1.1. Однако поддержка DTLS обеспечивается далеко не всеми распространёнными реализациями SSL/TLS.

Вопросы эксплуатации и стоимости

Среди основных параметров, на которые обращают внимание пользователи при выборе конкретного решения, несомненно присутствуют простота настройки и эксплуатации этих решений, а также их цена.

Данные параметры напрямую коррелируют с необходимостью установки какого-либо дополнительного обеспечения и осуществления его настройки. Развёртывание VPN, как правило, требует установки специализированного аппаратного или программного обеспечения с последующим проведением его довольно сложного конфигурирования. Реализация и настройка защищённых взаимодействий посредством SSL/TLS, на первый взгляд, представляет собой гораздо более простую задачу. Во многом это объясняется тем, что роль клиента в SSL/TLS может исполнять любой современный браузер.

Преимущества, вытекающие из отсутствия необходимости установки клиентского программного обеспечения, очевидны и выражаются в уменьшении как финансовых, так и организационных затрат. Но и здесь имеются свои особенности. Прежде всего необходимо отметить, что использование браузера в качестве клиента позволяет получить доступ только к веб-приложениям. Для организации работы с другими приложениями дополнительно потребуется наличие специальных Java-апплетов или ActiveX-плагинов для браузера, которые, во-первых, могут иметь собственные уязвимости, а во-вторых, их установка может противоречить политике безопасности браузера, внесение изменений в которую потенциально может привести к угрозам со стороны иных, уже зловредных плагинов.

Помимо этого, необходимость установки клиентского программного обеспечения в случае VPN наряду с проведением его предварительной квалифицированной настройки может рассматриваться как дополнительная мера безопасности, затрудняющая несанкционированный доступ к целевым данным.

Что касается простоты настройки клиентской стороны при использовании SSL/TLS, то данное утверждение верно лишь в случае взаимодействия, в процессе которого выполняется только аутентификация сервера. Если же дополнительно требуется осуществление аутентификации клиента, то такие проблемы, как первичная доставка секретных/закрытых ключей и организация их надежного хранения, возникающие при развертывании VPN, имеют место и для SSL/TLS.

Другой особенностью, влияющей на цену решения, является совместимость технологий. Различные реализации VPN далеко не всегда совместимы друг с другом, даже в том случае, если базируются на одном и том же протоколе. Это приводит к необходимости использования однотипного оборудования, что усложняет процессы расширения системы и слияния нескольких систем в одну. Реализации SSL/TLS являются более унифицированными, но также зачастую различаются в части поддержки тех или иных криптографических алгоритмов, функций и параметров.

Вопросы безопасности

Аутентификация сторон при использовании технологии VPN обычно выполняется на основе сертификатов (IPsec) или предварительно распределённых секретных ключей (IPsec, IPlir). Это позволяет выбрать наиболее подходящий способ аутентификации в зависимости от конкретного сценария.

В SSL/TLS классическим подходом, применяющимся для аутентификации, является использование сертификатов. При этом существуют и альтернативные способы, в частности аутентификация на основе паролей и аутентификация на основе предварительно распределённых секретных ключей, однако они поддерживаются весьма ограниченным числом реализаций SSL/TLS. Соответственно, подавляющему большинству систем, использующих протокол SSL/TLS, присущи все основные недостатки систем, защита в которых базируется на сертификатах и PKI.

Еще одним нюансом безопасности является защита клиентского устройства. Компании, занимающиеся внедрением VPN, зачастую предлагают дополнительные сопутствующие решения, такие как антивирусы, межсетевые экраны, средства обнаружения вторжений или шифрования файлов. Использование данных решений вкупе с грамотной настройкой соответствующих политик безопасности позволяет минимизировать возможность несанкционированного доступа к клиентскому устройству.

При применении SSL/TLS также существует возможность выполнения ряда проверок клиентского устройства перед предоставлением ему прав доступа. Однако осуществление таких проверок обычно также требует установки дополнительных апплетов к браузеру.

Широкая распространенность протокола SSL/TLS послужила основанием для его детального изучения, что привело к обнаружению целого ряда уязвимостей, имеющихся в этом протоколе. Уязвимости можно разделить на архитектурные, то есть основанные на недостатках самой спецификации протокола SSL/TLS, и на присущие только конкретным реализациям протокола. Такое разделение можно назвать условным, поскольку большинство архитектурных уязвимостей основаны на теоретических особенностях спецификации SSL/TLS, но для своей эксплуатации требуют выполнения ряда практических требований. К основным атакам на SSL/TLS можно отнести BEAST, Padding Oracle Attacks (атака Водонея, Lucky 13, POODLE), атаки на поточный шифр RC4, атака при «пересогласовании», атаки на основе сжатия данных (CRIME, TIME, BREACH), атаки, основанные на навязывании небезопасных криптографических параметров (FREAK, Logjam), атаки, основанные на понижении версии используемого протокола SSL/TLS, Heartbleed.

Большинство из перечисленных атак были реализуемы только на момент своего обнародования и впоследствии устранялись. Можно сказать, что обнаружение новых уязвимостей в SSL/TLS сыграло и положительную роль в становлении этого протокола, поскольку во многом обуславливало его развитие, приводя либо к разработке дополнительных рекомендаций по его использованию, либо к выпуску новых версий протокола с иммунитетом к найденным недостаткам. Несмотря на это, на большом количестве узлов в сети до сих пор используются старые версии протоколов SSL/TLS или же попросту игнорируются имеющиеся рекомендации, что, наряду с большой вероятностью обнаружения новых атак, не позволяет говорить о гарантированной надёжности при использовании технологий на основе SSL/TLS. Некоторые протоколы, применяющиеся для развёртывания VPN, также могут быть подвержены разного рода атакам, в частности протокол PPTP имеет целый ряд серьезных уязвимостей. Тем не менее считается, что такие протоколы, как IPsec и IPlir, обеспечивают достаточный уровень безопасности, поскольку на данный момент не имеют каких-либо существенных выявленных уязвимостей.

Заключение

В заключение хотелось бы ещё раз обратить внимание на некорректность трактовки VPN и SSL/TLS как технологий, решающих одну и ту же задачу. VPN и SSL/TLS решают различные задачи, обладают разными свойствами и могут даже использоваться совместно, дополняя друг друга, а не конкурируя. Более правильным было бы утверждать, что каждая из них имеет собственное место в отрасли защиты информации. При этом выбор конкретной технологии необходимо осуществлять, сопоставляя собственные нужды, цели и условия с особенностями функционирования каждой из технологий.

Получение VPNKeyTLS/Rutoken токена для тестового контура

Для работы пользователей с устройством защиты (токен) на тестовом контуре необходимо получить VPNKeyTLS/Rutoken токен у своего менеджера или написать на fintech_API@sberbank.ru.

Авторизация в токене происходит после запуска .exe файла на токене и ввода ПИН-кода. Список ПИН-кодов направляется клиенту в электронном виде после передачи токена.

После авторизации в интерфейсе токена необходимо выбрать БС EDUPIR (бизнес система тестового стенда EDUPIR) и авторизоваться в СББОЛ.

Для возможности подписывать документы необходимо выпустить сертификат ЭП:

Vpn key tls что это

b7620c759ca07090e279a9d6c6577474

В 1С Бухгалтерия 3.0 появилась функция, которая называется 1С Директ банк.

Краткое описание оставлю под спойлером.

Технология DirectBank была разработана нами для того, чтобы облегчить работу пользователей программ «1С:Предприятия» при взаимодействии с банками.

DirectBank – технология, позволяющая отправлять документы в банк и получать документы из банка непосредственно из программ системы «1С:Предприятия», нажатием одной кнопки в программе «1С». В отличие от технологии Клиент-банк не требуется установка и запуск дополнительных программ на клиентский компьютер; технология позволяет избежать выгрузки документов в промежуточные файлы.

Так, все платежные поручения можно формировать и подписывать электронной подписью в «1С:Предприятии», а затем одним нажатием кнопки отправлять прямо на сервер банка.

Узнать о статусе платежа (проведен или нет), а также получить банковские выписки можно также не выходя из программы «1С», в режиме онлайн. Таким образом, прямо из программы «1С» можно отслеживать движение по расчетном счету.

Используя технологию DirectBank можно напрямую отправлять в банк реестры на открытие счетов и реестры на зачисление зарплаты работникам предприятия в рамках зарплатных проектов банка.

На момент написания статьи для работы в сервисе «1С:ДиректБанк» необходимо заключить договор на дистанционное банковское обслуживание (ДБО) с банком. Фирма «1С» в настоящее время предоставляет сервис «1С:ДиректБанк» без дополнительной оплаты.

Рассмотрим пример настройки 1С Директ банк на примере связки 1С Бухгалтерия 3.0 и Сбербанк.

Как подключить 1С:Директ Банк

Чтобы подключить этот сервис, понадобится:

Использовать в работе систему «1С: Предприятие».

Программа должна быть на официальной поддержке (Как выяснилось, 1С: Директ банк без подписки ИТС тоже работает)

Полный список банков, поддерживающих DirectBank, можно найти здесь.

Если ваш банк есть в списке, значит можно настроить интеграцию.

В зависимости от технологии обмена, которую выберет банк, вам понадобится: Логин и пароль или Сертификат.

Примеры настройки 1С:ДиректБанк со Сбербанком в программе 1С:Бухгалтерия предприятия 8 ред.3.0

На подготовительном этапе убедитесь, что ваша конфигурация обновлена до последнего релиза.

Если у вас нет подписки ИТС, тогда нужно установить внешнюю компоненту «VPN-key-TLS для 1С:Предприятия 8.

Для этого скачиваем ее по ссылке.

У нас в списке появится индикатор VPNKeyTLS.

Если у вас есть подписка ИТС, внешняя компонента VPN-key-TLS скачается автоматически.

После этого открываем форму «Банковского счета организации» и переходим по ссылке «Подключить 1С: ДиректБанк».

66c325b1b8b3716bac7d23ec20a6c00e

В открывшемся помощнике указываем логин и пароль от личного кабинета «Сбербанк Бизнес Онлайн». Далее в зависимости от вашего типа подключения: Токен. При подключении программа запросит PIN и пароль доступа к токену. Выберите необходимый номер PIN и введите пароль для данного PIN.

В нашем случаи используем Логин/пароль (с подтверждением по СМС). При подключении производится аутентификация по СМС, потребуется ввести одноразовый пароль из СМС-сообщения.

a9d734cdad1edaa599c0ca3e06d49e66

После ввода всех данных и подтверждения одноразовым паролем 1С Директ банк подключен.

fd54b6f85c9004d3c15bb0ba7924943f

На этом настройка завершена. Вы можете загружаться выписки и отправлять платежные поручения прямо из программы 1С.

Рассмотрим виды ошибок которые могут возникнуть:

1001–1013 — ошибки со стороны банка. Для оперативного решения лучше сразу обратиться в техническую поддержку банка;

1101– 1106 — имеются проблемы с сертификатом ЭЦП (см. подробное описание в тексте ошибки);

1201–1205 — ошибки связаны с аутентификацией пользователей на сервере банка;

2001–2015 — ошибки говорят о том, что в транспортном контейнере имеются ошибки, чаще всего это неверный формат самого шаблона или же некорректное заполнение документов;

2201–2207 — ошибки по обработке электронных документов.

Если потребуется произвести обмен «вручную», вы можете вернуться к обмену через функцию «выгрузка/загрузка» текстового файла, не отключая услугу на стороне банка.

Если вам нужно отключить сервис, то снимите флажок 1С:ДиректБанк в Администрирование → Обмен электронными документами → Обмен с банками → Сервис 1С:ДиректБанк.

10 Comments

Всё было бы так хорошо, если бы не было так плохо.

На практике с каждым банком приходится по своему заморачиваться. Сбер самый простой в настройке, который не требует установки какого-либо дополнительного ПО.

Промсвязьбанк требует установленный свой клиент банк, другой банк требует установки утилиты от рутокена, третий банк утилиту eToken.

Некоторый банки вообще свою программу для шифрования используют, что тоже создаёт трудности.

Не говоря уже про необходимость во многих банках подписания кучи всевозможных заявлений и доп соглашений.

Если бы реально была единая настройка где просто далее-далее, было бы здорово.

Хотя и не спорю, если пройти весь этот бред всевозможной бюрократии, кучи часов общения с техподдержкой банка, то результат работы в ДиректБанке куда приятнее, чем через клиент-банк

Да, не спорю. При описании статьи, основной посыл хотели донести что 1С Директ банк работает без подписки ИТС, но модераторы указали на требования 1с, где указано что для работы нужна поддержка. Сам первоначально когда настраивал, долго не мог найти внешнюю компоненту «VPN-key-TLS, по этому и решил написать данную статью.

Сбер самый глючный директ-банк который я видел. Постоянно теряется связь с ключом. Приходиться перед каждой операцией перетыкивать флешку. Если вставлен еще один ключ от другого банка Сбер не может вообще найти свой ключ.

(3) Это вторая сторона медали )))

Может кто подскажет в чем дело. В банке говорят что очередность авторизации должна быть иначе..

Управление торговлей, редакция 11 (11.4.3.160)

P.S. веб морде всё норм проходит

У Тинькова более менее сносно работает.

Правда если не работает, то поддержка делает круглые глаза и просит писать в ~~спортлото~~ 1cv8

Со Сбером Директ-банк подключить, как квест длиною в жизнь пройти. В руководстве пользователя в СББОЛ написано «перейдите на вкладку Иентеграция с 1С…» (для того, чтобы получить файл настроек для загрузки в 1С-ку), но вкладки такой нет. Хорошо, ТП взяла в работу — сказали отработают. Позже присылают модуль, ссылка на который дана автором статьи. Всеми правдами и не правдами дошел я до ручной настройки в ЗГУ 3.1.6 правил обмена с банком. Подгрузил модуль, добавил сертификаты, нажимаю кнопку «Проверить» и о, чудо (от слова нет) — выходит ошибка «При работе с внешним модулем произошла ошибка. Выберите другой внешний модуль или обратитесь в техническую поддержку.» На этом пока многоточие, подожду ответа техподдержки и починят наконец-таки вкладку «Интеграция 1С» в СББОЛ, скачаю файлы настройки и попробую еще раз пройти этот квест. Пока же только печаль и боль…

(7) Чем закончилось приключение? Самому скоро предстоит через этот квест пройти.

я долго бьюсь и не понимаю почему при загрузке выписки из банка оно всегда делает дубли, как сделать включить проверку дубликатов платежей

Настройка OpenVPN сервер-клиент с нуля для новичков

Настройка OpenVPN с нуля сервер-клиент для новичков.

Программное обеспечение бесплатно можно скачать с официального сайт OpenVPN: https://openvpn.net/community-downloads/

f61c4d258908ceb435b358a119acd21d

Настройка OpenVPN Серверная часть:

В данной статье рассмотрена актуальная на данный момент версия OpenVPN 2.4.8- i 602

Установка OpenVPN на сервере, настройка происходит на сервере Windows Server 2008R2:

56c50e421dfaf951e680fa05d9692cb4 76aa0134b6926e351e62e9fb27785e11

Для установки сервера важно установить галочку “ EasyRSA 2 Certificate Manager Scripts ”

dbb5a450e35f87704cc6f81587573c9f 8eb6d6f1ef5281bf25d61b61e2dc311a

fe1b79a06960b39df074c198ff7a5941

589358d7d8d44f8bea29ade2b83c617a 7ce38cd2c7c698975aee9904289444d9

Бывает что сетевой адаптер автоматически не создался, его можно создать или удалить в ручную.

2ad4e180932b43e06bcbf20673667ac9 f12515d6479c03c27a3cb752eaca413f

Либо если драйвер адаптера в устройствах установился не корректно

2df645c75218832ea1d2259a9691519b 7b1c708c62670c4a06b29daa65ae869e

В таком случае надо отключить установку драйверов без цифровой подписи.Как это сделать:

Запустите командную строку с правами администратор, и в ней последовательно наберите следующие команды:

Если данные команды не помогли, и ошибка 52 продолжает наблюдаться, тогда вновь запустите командную строку, и там наберите:

bcdedit.exe /deletevalue loadoptions

Способ № 2 . Отключите проверку цифровых подписей (для Windows 8, 10)

Этот способ позволит вам установить драйвера для проблемных устройств без проверки их подписи. Выполните следующее:

На главном экране нажмите на кнопку «Пуск», там кликните на кнопку «Выключение» (Power), зажмите клавишу «Shift», а затем кликните на «Перезагрузка» (клавишу «Shift» не отжимайте);

Не отжимайте указанную клавишу пока ПК не перезагрузится, и вы не увидите опции меню восстановления (Advanced Recovery Options). В нём выберите «Диагностика», далее «Дополнительные параметры», затем «Параметры загрузки», и здесь кликаем на «Перезагрузить». В открывшемся перечне опций необходимо выбрать опцию «Отключить обязательную проверку подписи драйверов».

Перезагрузите ПК в данном режиме, и вы сможете легко установить ранее проблемный драйвер.

Способ № 3 . Временно отключите проверку цифровой подписи драйверов

Эффективным способом избавиться от ошибки 52 является выбор опции отключения проверки подписи драйверов при загрузке ОС. Для этого в начале загрузки ПК быстро жмите на F8, и после того, как появится меню дополнительных параметров загрузки, выберите опцию «Отключение обязательной проверки подписи драйверов». Загрузите систему в данном режиме, и проблема с ошибкой 52 временно исчезнет..

Способ № 4 . Задействуйте административные шаблоны

Нажмите на Win+R, там наберите gpedit.msc. Перейдите по пути «Конфигурация пользователя», затем «Административные шаблоны», далее «Система» — «Установка драйвера». Справа выбираем опцию «Цифровая подпись драйверов устройств».

b7327f636c73e5eae4086562d911ba1c

Выберите указанную опцию

Дважды кликаем на ней, и в появившемся окне слева выбираем «Отключено». Нажимаем на «Применить», и перезагружаем ПК.

Устанавливаем драйвера в обычном режиме проблемы не будет.

Преступаем к настройке OpenVPN сервеной части:

Запускаем командную строку от имени администратора, нажимаем пуск вводим «командная строка» правой кнопкой мыши «запустить от имени администратора»

9eba729bfb694893e856859b9cf8e561

ВАЖНО! Далее все команды будут вводиться поочерёдно без закрытия командной строки.

Вводим команду в командную строку:

cd C:\Program Files\OpenVPN\easy-rsa

2. Далее выполняем команду

db6d6d2e3a4f03598d5de2a587e5e6e2

e19d33bff6ad9ca62866c15bbd2f4803

dfc87fd88871952d25c22f0cdf8190ac

Еще одна важная настройка которую необходимо проверить, в новых версиях идет по умолчанию.

В каталоге “C:\Programm Files\OpenVPN\easy-rsa”, есть конфигурационный файл “openssl-1.0.0.cnf”, открываем его с помощью notepad и изменяем настройку, отвечающую за срок жизни сертификатов, по умолчанию 365 дней, продлим срок жизни до 3650 дней.

1c3e2a30c0f486a85b2b975007941c0a

3. Далее выполняем команду

И запускаем скрипт перед созданием ключей

c261d8f3b4536df3b84244f81324bf87

В итоге окон должно иметь такой вид:

d54b7fb5c7f807a90d14665ef2cb2061

Далее переходим к генерации ключей:

dh1024.pem — ключ Диффи Хельмана позволяющий двум и более сторонам получить общий секретный ключ

ca.crt — Собственный доверенный сертификат (Certificate Authority — далее CA) для подписи клиентских сертификатов и для их проверки при авторизации клиента.

ta.key — дополнительный ключ для tls-аутентификации (повышение безопасности соединения), сервер и каждый клиент должны иметь копию этого ключа

Выполняем команду: build-dh

ВАЖНО. Если при выполнении команды у вас вышла ошибка :

1f84032044bee6bfc985dcfe69798e75

То необходимо выполнить следующие действия для решение проблемы:

44b0922bcc666201bddd3080e86c0cbe

5c1f4190a91c0b0bee998975bc029d6e

b3fa6f9bf1135b3654c8a0aca217c56c

cd C:\Program Files\OpenVPN\easy-rsa

init-config.bat (copy vars.bat.sample vars.bat)

И повторно команду build-dh команда должна выполниться без ошибок

c0bb6a3154390b53ae1612e015cf1d86

В результате будет создан файл “ dh 2048. pem ” в папке Keys

52d71e5decbf126509bab23b14ce2f83

ca.crt — Собственный доверенный сертификат

Выполняем команду: build-ca

Можно их пропустить нажав “ Enter ”, если вы указали их ранее, либо заполнить щас, после чего в папке будет создан сертификат:

ab34566b9f9768bd13d00ea6e2214c38

выполняем команду : build-key-server ServerVPN

ServerVPN – имя нашего сервер (любое наименование может быть не имя компьютера)

Так же будет список вопросов при создании сертификата их можно пропустить “ Enter ” либо указать данные.

В конце будут заданы 2 вопроса, на них надо ответить «Да»:

1. Sign the sertificate? [y/n] ( Подписать сертификат ?)

2. 1 out of 1 certificate requests certificated, commit? (1 из 1 запроса сертификата сертифицирован, зафиксировать?)

выполняем команду : build-key ClientVPN

ClientVPN – имя нашего клиента (может быть задано любое для удобства идентификации клиентов)

Важно при создании ключа указать имя клиента в поле « Common Name »

d55183a577520b3cd3a842cc9ecc4b0f

В конце будут заданы 2 вопроса, на них надо ответить «Да»:

ВАЖНО! Для каждого клиента создается новый сертификат только с другим наименованием.

ta.key — дополнительный ключ для tls-аутентификации.

mode server # Режим работы сервера

port 12345 # Порт нашего VPN сервера (на него в случае необходимости надо будет делать проброс порта на роутере)

proto tcp 4- server # Протокол передачи данных

server 10.10.10.0 255.255.255.0 # адрес сервера, тот диапазон адресов который будет выделен для VPN сети (может быть задан другой)

keepalive 10 120 # время жизни не активной сессии

# При кратковременном разрыве соединения данные ключей не будут перечитаны

client-config-dir «C:\\Program Files\\OpenVPN\\config» # пусть к конфигурационному файлу клиента на сервере VPN

verb 3 # уровоень режима отладки

Пробуем запустит сервер, запускаем ярлык на рабочем столе, в трее на значке OpenVPN правой кнопкой «Подключиться»

Если все хорошо значок станет зеленый, если возникли ошибки при запуске то надо смотреть лог файл и причину ошибки,

Лог файл находится в папке пользователя (C:\Users\Пользователь\OpenVPN\log)

Содержание и описание к онфигурационного файла клиента:

ifconfig-push 10.10.10.9 10.10.10.10 # IP клиента который будет ему присвоен

iroute 192.168.1.0 255.255.255.0 # Сообщаем серверу что за клиентом есть своя сеть.

# disable # (возможность отключить текущего клиента не затронув работу других участников сети)

ВАЖНО! При задании настроек ifconfig-push:

Выбранные пары IP-адресов, во-первых, должны быть уникальными, во-вторых, должны входить в состав последовательных подсетей, ограниченных маской /30 (255.255.255.252), и, в-третьих, должны находиться в пределах пула IP-адресов, выделенного для виртуальной частной сети (определяется параметром server файла конфигурации сервера OpenVPN). С учетом перечисленных условий для клиентов и сервера подойдут пары IP-адресов со следующими парами последних октетов:

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]

[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]

[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98] [101,102] [105,106] [109,110] [113,114] [117,118]

[121,122] [125,126] [129,130] [133,134] [137,138] [141,142] [145,146] [149,150] [153,154] [157,158]

[161,162] [165,166] [169,170] [173,174] [177,178] [181,182] [185,186] [189,190] [193,194] [197,198]

[201,202] [205,206] [209,210] [213,214] [217,218] [221,222] [225,226] [229,230] [233,234] [237,238]

Проще говоря к 1 и 2 прибавляем 4 разряда и получаем следующий адрес 5-6, 9-10 и т. д., задав диапазон 3-4 работать не будет.

На компьютере клиента также устанавливаем OpenVPN настройки можно оставить по умолчанию без изменений.

После установки с сервера с папки (C:\Program Files\OpenVPN\easy-rsa\keys) на компьютер клиента копируем следующие файлы:

И переносим их на клиентский компьютер в папку (C:\Program Files\OpenVPN\config):

remote 888.888.888.888 # Адрес компьютера сервера в которому будем подлючается

proto tcp 4- client # протокол шифрование по которому работает OpenVPN

cipher AES-128-CBC # выбор криптографисекого шифра

Дальше вы сможете попасть в сеть на сервере либо же по RDP на адрес сервера в нашем случае это был (10.10.10.1)

Также необходимо настроить если есть проблем с доступом, брандмауэры, антивирусы, сетевые экраны и прочее.

Автоматический запуск OpenVPN канала под Windows

Настроить автоматическое поднятие OpenVPN канала на Windows. На примере Windows Server 2008 R2, аналогично делается и на любой другой версии Windows.

После перезагрузки или потере связи, служба OpenVPN будет автоматически переподключаться к VPN серверу.

Если вы не нашли службы OpenVPN Service в списке, то скорее всего вы просто не указали её при установке OpenVPN. Доустановите службу или просто переустановите OpenVPN с нужными опциями (теперь можно снять галочку и с установки OpenVPN GUI за ненадобностью).

ZLONOV.ru

VPN-Key-TLS

VPN-Key-TLS – это общее название семейства сертифицированных персональных USB устройств, применяемых для безопасного удаленного доступа к web-сервисам в концепции абсолютно «тонкого» клиента. Кроме того, устройства реализуют квалифицированную цифровую подпись как определенных структурированных данных в информационных системах, так и отдельных пользовательских файлов.

Ключевая система устройств полностью совместима с инфраструктурой открытых ключей (Public Key Infrastructure).

Описание

Базовые возможности VPN-Key-TLS

Возможности VPN-Key-TLS Touch

Возможности VPN-Key-TLS Screen VPN-Key-TLS

Преимущества VPN-Key-TLS

Похожее

Отзывы

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

ESMART Token ГОСТ

» data-medium-file=»https://zlonov.ru/wp-content/uploads/eToken-PASS-300×300.png» data-large-file=»https://zlonov.ru/wp-content/uploads/eToken-PASS-1024×1024.png» data-lazy-srcset=»https://zlonov.ru/wp-content/uploads/eToken-PASS-400×400.png 400w, https://zlonov.ru/wp-content/uploads/eToken-PASS-150×150.png 150w, https://zlonov.ru/wp-content/uploads/eToken-PASS-300×300.png 300w, https://zlonov.ru/wp-content/uploads/eToken-PASS-768×768.png 768w, https://zlonov.ru/wp-content/uploads/eToken-PASS-1024×1024.png 1024w, https://zlonov.ru/wp-content/uploads/eToken-PASS-200×200.png 200w, https://zlonov.ru/wp-content/uploads/eToken-PASS-100×100.png 100w, https://zlonov.ru/wp-content/uploads/eToken-PASS-800×800.png 800w, https://zlonov.ru/wp-content/uploads/eToken-PASS-600×600.png 600w, https://zlonov.ru/wp-content/uploads/eToken-PASS.png 1181w» data-lazy-sizes=»(max-width: 400px) 100vw, 400px» data-lazy-src=»https://zlonov.ru/wp-content/uploads/eToken-PASS-400×400.png?is-pending-load=1″ srcset=»data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7″/>

eToken PASS

» data-medium-file=»https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-300×300.png» data-large-file=»https://zlonov.ru/wp-content/uploads/eToken-NG-OTP.png» data-lazy-srcset=»https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-400×400.png 400w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-150×150.png 150w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-300×300.png 300w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-768×768.png 768w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-200×200.png 200w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-100×100.png 100w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP.png 800w, https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-600×600.png 600w» data-lazy-sizes=»(max-width: 400px) 100vw, 400px» data-lazy-src=»https://zlonov.ru/wp-content/uploads/eToken-NG-OTP-400×400.png?is-pending-load=1″ srcset=»data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7″/>

eToken NG-OTP

» data-medium-file=»https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-300×300.png» data-large-file=»https://zlonov.ru/wp-content/uploads/eToken-PRO-SC.png» data-lazy-srcset=»https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-400×400.png 400w, https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-150×150.png 150w, https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-300×300.png 300w, https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-200×200.png 200w, https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-100×100.png 100w, https://zlonov.ru/wp-content/uploads/eToken-PRO-SC.png 600w» data-lazy-sizes=»(max-width: 400px) 100vw, 400px» data-lazy-src=»https://zlonov.ru/wp-content/uploads/eToken-PRO-SC-400×400.png?is-pending-load=1″ srcset=»data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7″/>

eToken PRO SC

Каталог СрЗИ — средств защиты информации

Большую часть Каталога средств защиты информации составляют СрЗИ, присутствующие в реестрах ФСБ/ФСТЭК.

Vpn key tls сбербанк ошибка при открытии или инициализации устройства

Столкнулся с очередным глюком при работе с «флешкой» Сбербанка. Делюсь решением.

Хочу сразу извиниться, что не сделал скриншотов и не сохранил картинки. Но, думаю, все понятно будет и без них.

Итак, проблема:

Компьютер новый, бодрый, вирусов нет, система установлена – Windows 10. Какое-то время Сбербанк Бизнес Онлайн нормально запускался на нем и работал. Что случилось потом – одному бухгалтеру известно! И то, судя по проведенному опросу, и ему неизвестно.

При подключении сберовского USB-ключа (токена) к компьютеру он нормально определяется, файлы видно, но при запуске start.exe вываливается ошибка:

«Ошибка при открытии или инициализации устройства чтения смарт-карт (HWDSSL DEVICE). Программа завершает свою работу».

Из ответов в поиске находится только один более-менее вменяемый совет:

«Запустите диагностическую утилиту ICDIAG, вышлите на vpnkey @infocrypt.ru 3 файла с отчетами о диагностике и описание проблемы».

Но через час гугления и экспериментов проблему удается решить при помощи случайно увиденного комментария некоего Сергея (дай ему бог здоровья и всяческого благополучия!).

Решение:

Ошибку вызывает отключенная служба «Смарт — карта». Её необходимо запустить, а Тип запуска установить в «Автоматический».

служба «Смарт — карта»

P.S. Давно уже не писал ничего на своем сайте, но тут не выдержал. Может быть кому-то ещё этот совет поможет.

1. При подключении токена выдается сообщение «Ошибка при открытии или инициализации устройства чтения смарт-карт (HWDSSL DEVICE). Программа завершает свою работу.»

Ответ: запустите диагностическую утилиту ICDIAG , вышлите на vpnkey@infocrypt.ru 3 файла с отчетами о диагностике и описание проблемы.

2. При подключении токена не видно содержимое флеш-диска, и/или система предлагает его форматировать

Ответ: запустите диагностическую утилиту ICDIAG , вышлите на vpnkey@infocrypt.ru 3 файла с отчетами о диагностике с упоминанием о необходимости восстановления содержимого флеш-диска

3. При установке драйвера выдается сообщение об ошибке с кодом 39

Ответ: установите обновление и обновление ОС , затем повторите установку драйвера

4. При попытке войти в интерфейс администрирования токена выдается сообщение о том, что он в неактивном режиме, или список учетных записей пуст, или сообщение о таймауте

Ответ: Повторите попытку подключить токен 2-3 раза. Если ситуация воспроизводится, необходимо заменить токен

5. Подключили токен, ввели ПИН перешли на страницу Банка, . получили сообщение Сбербанк Бизнес ОнЛ@йн об ошибке.

Ответ: Вопросы по ошибкам Сбербанк Бизнес ОнЛ@йн необходимо адресовать службе поддержки Банка или разработчикам СББОЛ

6. При подключении токена, вместо страницы логина в браузере открывается текстовый файл «SSLGATE.URL» примерно c таким содержимым:
[InternetShortcut]
URL=.
То же самое происходит при кликании на «sslgate.url» с диска токена.

Ответ: Такое бывает при порче нужного ключа реестра установщиками некоторых браузеров или плагинов к браузерам. Чтобы восстановить этот ключ, скачайте файл «HKCR_URL.reg», кликните по нему, ответьте утвердительно на вопрос: «Добавить информацию из HKCR_URL.reg в реестр?» утвердительно, выйдите и войдите в систему. Настройки открытия файлов «.url»

7. В Windows страница токена открывается не в браузере, установленном «по умолчанию», а в каком-то другом.

Vpn key tls обновление прошивки

ПАК «ФПСУ-IP» функционирует на базе ядра ОС Linux с использованием собственного стека протоколов.

Поддерживается ОС : Windows 2000, Windows XP, Server 2003, Windows Vista, Windows 7, 8, 10 для архитектуры Intel x86-x64. Не совместима с Windows RT и Windows ARM.

В зависимости от версии ПАК «ФПСУ-IP» может использоваться протокол IP-56 либо UDP/30003.

Отправить файл ipadmfar.bug разработчикам с описанием действий, повлекших ошибку.

Рекомендуемая строка запуска АРМ УА:
ipadmfar.exe > trap.txt
В файле trap.txt будет сохранен дамп регистров. Его необходимо переслать разработчикам с описанием действий, повлекших ошибку

Для устранения ошибки, необходимо отключить самозащиту Kaspersky. Подробная инструкция: https://support.kaspersky.ru/13912.

Windows 2000 (все версии), Windows XP (все версии), Server 2003 (с ограничениями по версиям), Vista (все версии), Server 2008 (все версии), Windows 7, 8, 10, 11 для архитектуры Intel x86-x64 (Не совместима с Windows RT и Windows ARM), различные версии ОС на базе Linux, macOS, Android OS, iOS.

Да, можно. Запустите файл ip-client.exe с параметром «/?» для получения более детальной информации.

‘)» onmouseout=»return nd();» onclick=» «>
Если для подключения к провайдеру используется «высокоскоростное подключение» активировать в «Локальных настройках» опцию для отключения блокировок используемого протокола L2TP или PPTP.
‘)» onmouseout=»return nd();» onclick=» «>

Обновите версию ФПСУ-IP/Клиент до 5.7 и выше. Проверьте блокировки в настройках USB-устройства и Локальных настройках.

В реестре есть ключ типа DWORD HKEY_LOCAL_MACHINESOFTWAREAmiconClient FPSU-IPTCPSessionIDLETimeout. В данном ключе содержится время в МИНУТАХ (по умолчанию час — 60 минут), в течение которого TCP сессия будет «жить», если по ней не идут пакеты, после этого времени будет заблокирована файерволом АМИКОН.

«Ошибка по тесту Р1» .
Данное сообщение означает, что необходимо обновить микрокод vpn-key. Подробнее в разделе «Обновление микрокода VPN-Key».

«ФПСУ не доступен, или отвергает авторизацию по неизвестной причине» .
Данное сообщение означает, что необходимо проверить доступность 87-го порта по протоколу UDP. Подробнее в «вопросе №14».

«Проверьте настройки межсетевого экрана и IP-адрес ФПСУ» .
Проверьте настройки сетевого подключения, а также доступность 87-го порта по протоколу UDP (вопрос №14).

«Удаленный хост недоступен» .
Проверьте, подключен ли компьютер к сети internet.

При попытке установить соединение выдается следующее сообщение. Что оно означает?
‘)» onmouseout=»return nd();» onclick=» «>
Подобное сообщение означает, что маршрут для отправки запроса на соединение с ФПСУ-IP неизвестен. В этом случае необходимо добавить маршрутизатор по умолчанию в настройках протокола TCP/IP сетевого подключения (или правильный маршрут в таблицу маршрутизации ).

a) В настройках ФПСУ-IP/Клиент в качестве IP-адреса Основного ФПСУ-IP указывается IP-адрес внутреннего порта proxy-server:

‘)» onmouseout=»return nd();» onclick=» «>
б) На proxy-server настраивается port-mapping:
Стандартная схема port-mapping для proxy-server прикладного уровня (Wingate, UserGate и т.д.) при настройке доступа ФПСУ-IP/Клиент в сеть Интернет :

ВНИМАНИЕ.
Технология работы ФПСУ-IP/Клиент такова, что он перехватывает пакеты для отправки их через VPN-соединение в зависимости от IP-адреса назначения (перехватываются те адреса, которые указаны в конфигурации USB-ключа или получены с ФПСУ-IP) + все пакеты, которые идут в адрес самого ФПСУ-IP. А при работе с proxy-server, в качестве адреса ФПСУ-IP, указывается адрес proxy и все пользовательские пакеты, которые идут в Интернет через proxy, перехватываются ФПСУ-IP/Клиент и уходят в VPN. Т.ч. Интернет при такой схеме с установленным VPN-соединением может не работать.

а) Скачайте тестовое приложение TEST CLIENT
б) Запустите файл «client.exe».
в) Введите IP-адрес сервера 77.108.111.100 и нажмите «Проверить».
г) Получение ответа от сервера означает корректность настройки межсетевого экрана или прокси-сервера. Примечание: если используется прокси-клиент ( т.к. ISA-client и др.), то его необходимо отключить на время проведения тестирования.

В Windows 7 X64 изменился алгоритм цифровой подписи драйверов. Для решения проблем с установкой драйверов необходимо установить обновления Windows.
Для поддержки цифровой подписи файлов новым типом хэша SHA256 необходимо установить пакет сервисных обновлений SP1: KB976932-SP1 x64 затем KB3033929 x64.

Для установки ПАК ФПСУ-IP/Клиента и установки драйвера устройства необходимы права администратора. Для дальнейшего штатного использования ПАК ФПСУ-IP/Клиента достаточно прав обычного пользователя

Если ваш VPN-ключ вышел из строя и нуждается в замене, то Вам следует обратиться в компанию, у которой непосредственно был приобретен ключ.

ФПСУ-IP/Клиент обрабатывает только DNS-запросы IPv4. Если провайдер предоставляет IPv6 — внутренний DNS может не работать. Нужно отключить IPv6 на сетевом адаптере ПК.
Пример отключения IPv6 через powershell (запуск от имени администратора):
Disable-NetAdapterBinding -Name «Имя_вашего_адаптера» -ComponentID ms_tcpip6

«VPN-Key-TLS» является устройством стандартного класса CCID и работает с использованием встроенных драйверов операционных систем Windows XP, Windows Vista, Windows 7, 8, 10.

Запустите диагностическую утилиту ICDIAG , вышлите на vpnkey@infocrypt.ru 3 файла с отчетами о диагностике + заполненную форму (см. п.4 «Методики») с описанием проблемы.

Повторите попытку подключить токен 2-3 раза. Если ситуация повторяется, необходимо заменить токен.

Для обновления версии ПО «VPN-Key-TLS» Вам необходимо на сайте Сбербанка https://www.sberbank.ru/ru/s_m_business/help/sbbol в разделе «Инструкции, тарифы» скачать архив «Прошивка токенов».
Архив содержит инструкцию и утилиту для обновления «VPN-Key-TLS».

Для работы LAN-версии приемопередатчика необходим виртуальный пакетный драйвер (Ndis3Pkt) для соответствующей ОС.

Текущая версия АНЕТ обеспечивает следующие скорости передачи:
— LAN 200 Кбит/с (Ethernet, IP/IPX)
— COM 115 Кбит/с (асинхронный V.24)
— С101 до 2 Мбит/с (синхронный, V.35)
Данные значения справедливы для больших пакетов (2-4 кб) и максимального пакетного окна. При загрузке по 5-6 виртуальным каналам. При уменьшении размера пакета скорость пропорционально уменьшается.

Один центр коммутации пакетов обрабатывает 45 портов. Для расширения числа портов необходимо добавить вторую машину к ЦКП и установить туда дополнительное ПО (покупается как второй ЦКП).

Нет, работа ЦКП возможна только под управлением DOS.

Нажимая кнопку «Принять» посетитель соглашается на использование файлов cookie. Подробнее.

Требуется внешняя компонента «VPN-key-TLS для 1С:Предприятия 8

платформа: 1С:Предприятие 8.3 (8.3.13.1690), Бухгалтерия предприятия Проф, редакция 3.0 (3.0.70.33)

До обновления, — 1С ДиректБанк работал нормально, платежки отправлялись через смс-подтверждение.

Вчера обновились, и, при попытке отправить платежку через 1С ДиректБанк выскакивает окно: «Для прямого обмена с банком ПАО СБЕРБАНК требуется внешняя компонента «VPN-key-TLS для 1С:Предприятия 8»

Можете помочь решить этот ребус? или этой компонентой может ктонть поделиться?

Поддержка пользователей осуществляется с 7.00 до 20.00 в рабочие дни и с 9.00 до 18.00 в выходные или праздничные дни по московскому времени:

При обращении на линию консультаций фирмы «1С» укажите:

В банке сказали — про такую ошибку ничего не знают.

В похожей теме на отвечали что эта внешняя компонента хранится а макете, — обработка ОбменСБанками, макет SBRFServiceProxy

можете расшифровать — это где?)

Та же проблема. В инете ничего нет по этой беде.

обработка ОбменСБанками, макет SBRFServiceProxy
— ну открыл ..смотрю на неё. ��

Поставил старую версию Бухгалтерии 3.0.60.46, заходим в Настройки обмена с банком, жмем — «проверить», вводим логин пароль, все нормально работает, соединяется с банком, все ок.

Берем обновляемся до Бухгалтерии 3.0.70.33, — заходим в Настройки обмена с банком, жмем — «проверить», вводим логин пароль, жмем «подключить», — и, здравствуй окошко в котором: «Для прямого обмена с банком ПАО СБЕРБАНК требуется внешняя компонента «VPN-key-TLS для 1С:Предприятия 8». Компонента не загружена в программу.

В банке сказали с ихней стороны все все в норме, разбирайтесь с 1С.

Получается или обновление кривое или я папа карло.

Делится инфой про компоненту эту никто не горит желанием смотрю.
Она по идее должна быть в Zip формате, так программа ее показывает спрашивая при этом в каком каталоге искать.

Если ее искать на дисках ИТС, — подсказать может ктонть за какой месяц диски с ИТС искать?

я правильно понял:

конфигуратор — отладка — пуск, слева окно появляется, в нем список. жмем Константы

дальше вот не понятно, где и как посмотреть где она загружается и как она обзывается в списке

Попробуйте взять старый макет, из конфы до обновления:
обработка ОбменСБанками, макет SBRFServiceProxy.
Или вот ещё вышел новый релиз бух-ии 3.0.70.39, там несколько исправлений по Сберу
Описание:
Не работает обмен со Сбербанком на токене с прошивкой 505

Способ исправления:
2) В общем модуле ОбменСБанкамиСлужебныйКлиент в процедуре ПровестиАутентификациюПослеПолученияФродПараметровСбербанк
заменить код:
ДополнительныеПараметры.ПодключаемыйМодуль1С.НачатьВызовАутентификация(Оповещение,
на:

жму выгрузить, — имя пишу к примеру SBRFServiceProxy, тип файла указывается (*.*) , жмем сохранить.

заходим в новую базу, жмем 2 раза на SBRFServiceProxy, появляется окно, и там активна только кнопка «Выгрузить в файл», «загрузить из файла» — не активна и не прожимается.

что не так делаю? )

(20) Чудо это без участия специалиста решить проблему с бесплатной помощью высших сил.
А нанять специалиста (в данном случае по 1С) это просто работа за деньги.

ЗЫ Ну гляньте уже внутрь макета, там zip архив и внутри dll так там какой разрядности они?

ЗЗЫ Они в папку ExtCompT встали?

(22) Ну я бы глянул, точнее гляжу и ничего не вижу.
Вот он передо мной..Кроме названия и выгрузить/загрузить в файл -ничего нет.

спасибо за ваши ответы, первый раз с таким столкнулись просто.

поиск папку ExtCompT не видит, если не скрытая конечно, — подскажете путь где искать ее?

в макет как заглянуть? SBRFServiceProxy — свойства — открыть? там дальше загрузить/выгрузить в файл идет.

(24) Поиск в гугле пробовали?

Но я рекомендую не пытаться самим починить машину/движок после замены ЭБУ на новый а все же позвать/нанять специалиста/программиста 1С.

вот этого юмора вообще непонятно.

to Garykom: при выгрузке из макета в файл с расширением zip, внутри видим 2 файла с dll: 1CSBRFServiceProxyWin32_12.dll и 1CSBRFServiceProxyWin64_12.dll

(27) Отлично ты нашел dll-ки ВК причем они есть x86 (32 бит) и x86_64 (64 бит)

Проверь туда нужная встала? И в файлике registry.xml прописана?

(27) У меня 13 на конце..
1CSBRFServiceProxyWin32_13.dll

А что в файлике registry.xml должно быть?
Сейчас:

(28) Проверь туда нужная встала?

dll должны в явном виде лежать . 1Cv82ExtCompT .

FFTeam — Могу ошибаться, но предположу, что нужна действующая подписка на ИТС для загрузки, надо проверить откуда она загружалась в прошлых версиях

вот это был самый оптимальный вариант, — знать откуда именно ее качать, или на каком диске ИТС искать

в папке ExtCompT лежит только один файл registry.xml, файлов dll не было и нету ни при запуске работающей старой версии, ни при запуске обновленной до 3.0.70.39

и в свою очередь еще раз тоже повторяю:

— у меня смс-подтверждение, токенов и флешек не используется.
— при изначальной настройке ДиректБанка со сбера ничего не скачивалось, VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.9.1 уже была установлена по дефолту. В настройки 1с когда заходишь — там прописана эта установленная компонета, и также ее версия отображается в окне где настройки с банком и логин и пароль вводить. Вводишь логин и пароль, и 1с проверяет связь с банком, выдает все ок, и ДиректБанк пашет.
— после установки последних 2-3 обновлений, начались танцы с бубном, а именно, обновления ставят сами старую версию этой компоненты, в настройках отображается старая версия 1.2.7.0. А в окне где вводить логин и пароль для связи и тестом с банком, — эта компонента и ее версия уже не отображается, просто прочерк. Вводим логин и пароль для теста с банком, — выскакивает окно «Для прямого обмена с банком требуется внешняя компонента «VPN-key-TLS для 1С:Предприятия 8. Компонента не установлена», — и предложение ее скачать с сайта 1С или установить из файла zip (видимо предварительно скачанного или с сайта 1С или с какого-нибудь диска ИТС)

на сайте Сбербанка то что можно скачать — заточено под токены и флешки (у меня напомню смс-информирование), — поэтому с этим видимо мимо.

поэтому ищем VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.9.1, которую ломают последние 3 обновления и ставят старую версию 1.2.7.0.

пока не решил, набиваю платежки в сберебизнесонлайн.

ждем обновления новые, — потестить.

(52) Ну так у тебя конфигуратор отняли? Смотри как оно Вк хочет скачать и как «установить» и подсунь ей новую правильную версию ВК блин.

Не понимаю проблемы.

ну если бы я более менее постоянно занимался конфигуратором, то наверное «Смотри как оно Вк хочет скачать и как «установить» и подсунь ей новую правильную версию ВК блин» — действительно не вызывало бы проблем

для этого и приходим на форумы — что бы добрые люди подсказали как и что сделать в конфигураторе

2. При подключении токена не видно содержимое флеш-диска, и/или система предлагает его форматировать

3. При установке драйвера выдается сообщение об ошибке с кодом 39

Ответ: установите обновление и обновление ОС , затем повторите установку драйвера

7. В Windows страница токена открывается не в браузере, установленном «по умолчанию», а в каком-то другом.

Ошибка при открытии или инициализации устройства чтения смарт карт hwdssl device сбербанк windows 10

Технологии шагнули очень далеко вперед

Драйвер для токена Сбербанк бизнес онлайн

Главная &nbsp / &nbspСтатьи &nbsp / &nbsp
Драйвер для токена Сбербанк бизнес онлайн

Драйвер для токена Сбербанк бизнес онлайн

Не запускается start.exe Сбербанка онлайн, что делать? — FAQ «Банки онлайн»

Система Сбербанк бизнес онлайн давно знаком многим. Это система, при помощи которой люди стали намного больше времени уделять работе. Большие компании начали стремительно развивать собственный бизнес. Если быть точнее, под данной системой стоит понимать дистанционное банковское обслуживание. Это такого рода обслуживание, что позволяет при помощи Интернет обрабатывать информацию, связанную с доходами и расходами многих компаний. У каждой компании или же отдельного физического лица есть доступ к системе.

Документооборот, который проходит через систему Сбербанк Бизнес онлайн, позволяет намного быстрее осуществлять работу. При обмене сообщениями сотрудники банка могут напрямую общаться с сотрудниками компаний. Таким образом, в электронной системе образуется документ, выписки со счетов, все данные о расходах и доходах, которые поступают в банк и наоборот. Конечно, любая система имеет недостатки, и эта не исключение. Если вы не можете подключиться к этой системе, точнее, не запускается start.exe, то стоит обратить внимание на ошибку.

Правильно ли вы установили программу и как вы все проделали. Бывают моменты, когда программа может давать сбои, например, при попытке запустить Start.exe выдаётся сообщение, что диск (флешка) защищён от записи, либо после запуска токена процесс start.exe грузит процессор на 100%,. Тогда стоит обратиться к сотрудникам банков и приостановить работу программы. Это необходимо в целях безопасности данных. Ведь войдя в систему, любой человек имеет возможность что-то сделать, перевести средства. Несмотря на довольно хорошую систему безопасности, были случаи, когда мошенник пользовались системой.

При возникновении некоторых проблем лучше всего перезагрузить компьютер, если не удается снова подключиться, то попытайтесь заново установить программу, либо воспользоваться другим компьютером. При самостоятельной настройке стоит помнить, что необходимо наличие открытого порта номер 443 по протоколу TLS. Но многие из нас не разбираются в установках и программах, поэтому лучше всего воспользоваться услугами специалиста. Он переустановит программу и все будет работать.

Не удается открыть Infocrypt HWDSSL Device: что это, решение ошибки

При запуске приложения Бизнес Онлайн (файл start.exe) с накопителя, система выдает ошибку: «Ошибка! Не удается открыть Infocrypt HWDSSL Device». Ниже приведены способы решения проблемы (обновление, переустановка драйвера, запуск с правами администратора), когда включение приложения с флешки невозможно.

Причины возникновения ошибки

Причин может быть несколько и исправить их не составит труда:

Драйвер устарел или неправильно установлен.
- Нажмите ПКМ на «Мой компьютер», далее «Свойства». В появившемся окне выберите «Диспетчер устройств».
- В списке устройств найдите USBccid Smartcard Reader, ПКМ вызовите «Свойства» устройства и нажмите «Обновить драйвер».
Проблема доступа к правам администратора. Если проблем с драйверами нет, попробуйте войти в систему с помощью учетной записи администратора. Также стоит запустить программу (start.exe) с правами администратора с помощью контекстного меню.
К компьютеру подключено два ключа. Если к USB-разъёмам подключено больше одного токена, то второй подключенный работать не будет. Отключите оба токена и подсоедините тот, с которым нужно работать. При необходимости перезагрузите систему.
Драйвер для USB-ключа не найден. Проблема возникает в операционных системах Windows XP и старше. В данной ситуации нужно установить драйвер USB Smart Card Reader подходящей разрядности (32-х или 64-х).

Ссылки на скачивание:

Это последние драйвера для ОС Windows XP. В операционных системах Windows 7 и новее данный софт не требует отдельной установки. Для переустановки драйверов вставьте установочный диск в дисковод и выполните «Восстановление системы».

Важно! Драйвера скачивайте только на официальных сайтах производителя. Не подвергайте опасности финансовые транзакции.

Главное окно правильно работающего приложения Бизнес Онлайн от Сбербанк изображено ниже.

Требования к среде и программному обеспечению

Для избежания подобных ошибок, производитель приводит следующие рекомендации:

Операционная система Windows XP SP2 и новее.
Один из популярных браузеров Браузер (Google Chrome, Mozilla Firefox, Opera).
Отсутствие антивирусных программ (или отключение защиты в реальном времени).
Доступ к интернету.
USB 2.0 или 3.0.

Совет! Одновременно используйте только один токен, он будет запускаться на машине, которая соответствует требованиям, описанным выше. Драйвера должны быть последней версии и установлены правильно.

Хороший сайт? Может подписаться?

Рассылка новостей из мира IT, полезных компьютерных трюков, интересных и познавательных статей. Всем подписчикам бесплатная компьютерная помощь.

Токен Сбербанка (VPNKey-TLS) перестал определяться в системе

Сегодня был встречен очень интересный случай, когда позвонил клиент и сказал что после работы сотрудника фирмы исчез токен (перестал определяться в системе как usb устройство. Сам же токен на самом деле в диспетчере задач определялся, и даже виделся как смарт-карта, а вот как флешка в моем компьютере для запуска Сбербанк-Онлайн нет.

Немного поискав причину попался на глаза тот момент, что в системном трее (где обычно мы видим подключенные флешки) устройство определялось как LOADER DEVICE. Меня это сразу же насторожило, и я подумал, что возможно токену обновляли версию прошивки и он случайно, по неопытности пользователя) остался в режиме загрузчика.

После недолгих поисков на глаза попалась Утилита для перевода токена из технологического режима в рабочий (LOADER-HWDSSL).

Скачать саму утилиту можете в конце статьи после инструкции по ее применению, а пока что читаем что и как правильно сделать:

Инструкция по применению утилиты перевода токена в рабочий режим

Утилита применяется в том случае, если токен перешел в технологический (сервисный) режим
Признак перехода в технологический режим:— у токенов без экрана горит постоянно одна лампочка, флеш-диска токена в системе не видно— у токенов с экраном на экране горит красная надпись «Сервисный режим»— в списке диспетчера устройств есть устройство «usb считыватель смарткарт», а в его свойствах на закладке «Общие» в строке «Размещение» написано «LOADER DEVICE»

Для перевода токена в рабочий режим

Подключить токен в разъем.
Из директории, куда распакован архив запустить правым щелчком мыши от прав администратора runapp.cmd (после этого промелькнет черное окошко).
Дождаться, пока токен выйдет из технологического (сервисного) режима. Токен без экрана должен перестать мигать лампочками, токен с экраном должен загрузиться в обычном режиме (не более 2-3 минут)
Идем в мой компьютер и там должен появиться флеш-диск, запись в строке «Размещение» устройства должна смениться на «HWDSSL DEVICE»
Если токен остался в технологическом (сервисном) режиме, или не выполняется п.4. — это может означать наличие проблем, в такой ситуации лучше обратиться к представителям выдавшим Вам VPNKey-TLS или напрямую в техподдержку Сбербанк-Онлайн

Сама утилита для скачивания:

Утилита для перевода токена из технологического режима в рабочий (LOADER-HWDSSL).

UzBeast

Из тех, кто с компьютером на ты еще со школьной скамьи.

Настройка Сбербанк бизнес онлайн через Usergate 2.8

Столкнулся тут на днях с полным выносом мозга при настройке приложения «Сбербанк бизнес онлайн».Сам по себе интернет-банк несложный в установке и настройке если Вас устраивает при отправке каждой платежки вводить разовый пароль, присылаемый по SMS.Но когда платежей много то для бухгалтера это оборачивается немалой головной болью. Чтобы решить эту проблему Сбербанк предложил для авторизации на сайте использовать USB-токен. Получили мы сей девайс к которому прилагалась красивая, блестящая инструкция.

Задумка такая: вставляешь эту «флешку» в комп, тут-же открывается интернет-браузер с окошком ввода пин-кода токена, вводишь пин-код, попадаешь на страницу банка, там жмёшь слева большую зелёную кнопку «Сбербанк бизнес онлайн» вводишь свои логин и пароль и радуешься привалившему счастию. Однако радоваться пришлось очень и очень нескоро:)Итак вставляем токен, на компе стоит windows XP, она без проблем определяет устройство, пытается автоматом поставить дрова, естественно не находит, это не проблема: скачиваем по ссылке, любезно предоставленной банком в их инструкции, распаковываем в какую-нибудь папку, устанавливаем через диспетчер устройств (правой кнопкой на токене, обновить драйвер, вручную, установить с диска, указать путь к папке с 3-мя файлами из полученного архива, ОК, готово). Вынимаем токен, вставляем обратно. Комп начинает думать, появляется голубой значок в трее, и вдруг выдает диалоговое окошечко: «Не удалось получить IP гейта». Спустя некоторое время браузер все-таки запускается, на открывшейся странице вводим пин-код, открывается страница имеющая кнопку для входа в Интернет банк. Жмём, ждём, ждём, ждём, ждать можно долго: IE через некоторое время начинает петь свою любимую песню: «Невозможно отобразить страницу», Firefox показывает чистый лист. С другими браузерами не пробовал, банк гарантирует работу только в IE (кто-бысомневался) и (о чудо!) в Мозилле не ниже 3-й версии. Впрочем надежды, что это заработает в других браузерах нет никакой ибо «Не удалось получить IP гейта»!

Так как Интернет пользователи получают через прокси Usergate версии 2.8, иду самым простым путём: прописываю адрес и порт прокси в настройках токена(окно настроек можно открыть кликнув по уже упоминавшемуся голубому значку в трее). Не помогло. «IP гейта» так и не получен. О дальнейших звонках в техподдержку, танцах с бубном с проксёй, антивирусами, гуглением и файлом hosts рассказывать не буду, а то выйдет слишком длинно и эмоционально:)Готовое решение нашел на этом сайте и решил продублировать здесь со своим пониманием проблемы.

Итак, банк утверждает что единственным условием работы данного ПО является открытый наружу 443 порт. Адрес «гейта» 194.186.207.182 DNS-псевдоним ftls.sberbank.ru. Видимо, из-за того, что вышеупомянутый Юзергейт не имеет в себе ни NAT ни возможности пропускать пинги и является простым классическим прокси, клиентский (бухгалтерский) комп не мог разрешить IP, не помогла строка в hosts вида «194.186.207.182 ftls.sberbank.ru». IP на пинг не отвечает, команда «telnet 194.186.207.182 443» даёт сбой подключения. Замечу что соединение с банком устанавливает не браузер, а спец ПО банка, а страница браузера является лишь интерфейсом к этому софту, о чём можно догадаться по слову localhost в адресной строке браузера.

Итак решение заставить это ПО коннектиться на адрес 194.186.207.182 по 443 порту разделяется на две задачи:1. Для начала попробуем обмануть программку токена, добавив в конец файла hosts следующую строку:192.168.0.1 ftls.sberbank.ruгде «192.168.0.1» адрес внутреннего интерфейса нашего прокси-сервера, «смотрящий» в локальную сеть. Что это даёт? Обнаружив эту запись в файле hosts программка токена вместо бесплодного поиска IP банка будет ломиться на 443 порт нашего прокси.

2. Вытекает из первого. Необходимо «пробросить» 443 порт с локального прокси-сервера на удаленный компьютер банка. Для этого идём в «Назначение портов» на вкладке «Настройка», жмём кнопку «Добавить», вводим произвольное имя правила, например, «sberbank-online», протокол выбираем TCP, в качестве исходящего адреса указываем IP локального ПК, где установлен банковский софт, т.к. именно с него нужно пробросить порт (хотя можно оставить значение по умолчанию «Любой», в этом случае наше правило будет работать для всех компьютеров локалки, кому как больше нравится). В качестве слушающего IP ставим адрес внутреннего сетевого интерфейса proxy, того самого на который мы перенаправили ПО токена строчкой в файле hosts, порт ставим необходимый нам 443. В назначении указываем IP удаленного банковского шлюза 194.186.207.182 или его DNS-псевдоним ftls.sberbank.ru, порт 443. Нажимаем ОК, Применить. На всякий случай перезапускаем Usergate.Всё, по идее всё должно работать. В инструкции, на которую я привел ссылку говорится что в настройках сетевой карты НЕ должен быть указан Основной шлюз, но у меня всё заработало и со шлюзом:)

Теперь по идее когда Вы вставляете токен, через несколько секунд должен запуститься браузер без появления окошка о невозможности обнаружить IP гейта. В моем случае, правда, оказалось не всё так гладко, при нажатии кнопки входа в «Сбербанк онлайн» браузеры всё равно не хотели отображать страницу, но этому мешал уже Вэб-контроль антивируса Касперского, отключение оного (Вэб-контроля, а не антивируса) полностью решило проблему. Т.е. основной трудностью было избавиться от сообщения про IP гейта, далее все довольно просто решается локально на компьютере пользователя. Всё, надеюсь это кому-нибудь поможет, ибо контор использующих эту версию Usergate не так уж и мало.Кстати это решение судя по всему будет работать и на других прокси, не имеющих NAT, но имеющих возможность пробрасывать порты. Ух длинно получилось…

Обновление прошивки токена в Сбербанк Бизнес Онлайн

Чтобы пользоваться услугами Сбербанк Бизнес Онлайн, пользователю нужен доступ к личному кабинету, который позволяет проводить операции удаленно. Для этого можно использовать SMS-оповещения с обновляемым кодом или eToken. Но в первом случае необходимо стабильное покрытие для мобильной связи, поэтому все больше клиентов отдают предпочтение компактному устройству электронной подписи.

Токен: все, что нужно знать об устройстве

Токен (англ. token) – оцифрованная подпись клиента; ключ, который открывает доступ к личному банковскому кабинету. Внешне он напоминает обычную флешку, которую можно вставить в USB-разъем ноутбука или компьютера. Токен также необходим для того, чтобы заверить электронные версии документов.

Корпоративные клиенты часто приобретают несколько устройств: например, для управляющего и заместителей. При этом банк предоставляет возможность выполнять отдельные финансовые операции только после того, как электронный документ будет подтвержден подписью руководителя.

Как войти в Сбербанк Бизнес онлайн через токен?

Выданный банком eToken уже готов к работе. Клиенту необходимо следовать простой инструкции:

Соединить его с USB-разъемом компьютера.
Открыть всплывающее окно съемного диска.
В папке съемного диска выбрать файл start.exe и открыть (запустить) его.
Ввести индивидуальный код и нажать «Войти».

После этого можно пользоваться системой для проведения любых транзакций.

Правила обновления прошивки токена

Прошивка eToken – это обновление его программного обеспечения. Сервис постоянно совершенствуют, поэтому программа электронного ключа также нуждается в модернизации.

Если на мониторе появилась надпись «Ошибка при инициализации» или «Для работы нужно обновить прошивку», выполняют следующие действия:

Эта процедура может занять около пяти минут: в это время нельзя выключать ПК или вынимать eToken с разъема. Когда процесс переустановки завершится, на экране появится надпись об успешной установке обновлений. Пользователь нажимает «Выйти» и продолжает работу в личном кабинете.

Если клиент не может провести операцию самостоятельно, он всегда может обратиться в службу поддержки банка по номеру 900.

Компьютер не видит устройство: алгоритм действий

Проблемы в работе токена могут начаться из-за отсутствия обновлений, сбоя в работе компьютера или отсутствия настройки автозапуска, а также механических повреждений.

Необходимо удостовериться, что ПК «видит» eToken. Для этого необходимо кликнуть на «Мой компьютер»: если в перечне дисков высвечивается устройство, проблемы могут возникнуть с автозапуском.

Можно попробовать запустить eToken, следуя инструкции:

Убедиться, что электронный ключ определяется в списке устройств.
В папке «Мой компьютер» открыть съемный диск и запустить файл «START».
Продолжить авторизацию.

Если окно токена не открывается, стоит обновить его драйвера. Для этого:

Находят его в списке устройств ПК.
Открывают свойства eToken, в них находят раздел «Драйвера».
В этом разделе выбирают «Обновить».

При механических повреждениях стоит обраться в отдел обслуживания клиентов банка и подать заявление о замене электронного ключа. На устройстве, полученном взамен поврежденного, нужно заново настроить сертификаты.

Требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8

До обновления, — 1С ДиректБанк работал нормально, платежки отправлялись через смс-подтверждение.

Вчера обновились, и, при попытке отправить платежку через 1С ДиректБанк выскакивает окно: "Для прямого обмена с банком ПАО СБЕРБАНК требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8"

Можете помочь решить этот ребус? или этой компонентой может ктонть поделиться?

"1С-Коннект", услуги "1С:ДиректБанк: Поддержка клиентов"
по телефону: 8 (800) 333-93-13
электронная почта directbank@1c.ru

Правила обращения
При обращении на линию консультаций фирмы "1С" укажите:

Регистрационный номер программы
Название организации
Версию программного продукта, название конфигурации
В теме письма при обращении по электронной почте напишите "1С: ДиректБанк"

В банке сказали — про такую ошибку ничего не знают.

можете расшифровать — это где?)

Та же проблема. В инете ничего нет по этой беде.

обработка ОбменСБанками, макет SBRFServiceProxy
— ну открыл ..смотрю на неё. ��

Поставил старую версию Бухгалтерии 3.0.60.46, заходим в Настройки обмена с банком, жмем — "проверить", вводим логин пароль, все нормально работает, соединяется с банком, все ок.
В строке "внешний модуль" отображается: VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.9.1

Берем обновляемся до Бухгалтерии 3.0.70.33, — заходим в Настройки обмена с банком, жмем — "проверить", вводим логин пароль, жмем "подключить", — и, здравствуй окошко в котором: "Для прямого обмена с банком ПАО СБЕРБАНК требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8". Компонента не загружена в программу.

В банке сказали с ихней стороны все все в норме, разбирайтесь с 1С.

Получается или обновление кривое или я папа карло.

Если ее искать на дисках ИТС, — подсказать может ктонть за какой месяц диски с ИТС искать?

я правильно понял:

конфигуратор — отладка — пуск, слева окно появляется, в нем список. жмем Константы

дальше вот не понятно, где и как посмотреть где она загружается и как она обзывается в списке

Способ обхода:
Получить в банке токен с прошивкой 407

Способ исправления:
1) Обновить внешнюю компоненту Сбербанка до версии 1.2.9.1 или выше
2) В общем модуле ОбменСБанкамиСлужебныйКлиент в процедуре ПровестиАутентификациюПослеПолученияФродПараметровСбербанк
заменить код:
ДополнительныеПараметры.ПодключаемыйМодуль1С.НачатьВызовАутентификация(Оповещение,
ДополнительныеПараметры.ИдентификаторСессии, ДополнительныеПараметры.ПодписьСоли, ДополнительныеПараметры.СтрокаФрод,
ИдентификаторСессии, КодВозврата);
на:
ПодписьСоли = СтрЗаменить(СтрЗаменить(ДополнительныеПараметры.ПодписьСоли, Символы.ПС, ""), Символы.ВК, "");
ДополнительныеПараметры.ПодключаемыйМодуль1С.НачатьВызовАутентификация(Оповещение,
ДополнительныеПараметры.ИдентификаторСессии, ПодписьСоли, ДополнительныеПараметры.СтрокаФрод,
ИдентификаторСессии, КодВозврата);

спс, сейчас попробую )

а про токен, у меня смс подтверждение, токена нема

жму выгрузить, — имя пишу к примеру SBRFServiceProxy, тип файла указывается (*.*) , жмем сохранить.

заходим в новую базу, жмем 2 раза на SBRFServiceProxy, появляется окно, и там активна только кнопка "Выгрузить в файл", "загрузить из файла" — не активна и не прожимается.

что не так делаю? )

чуда не произошло, все равно появляется — "Для прямого обмена с банком ПАО СБЕРБАНК требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8". Компонента не загружена в программу."

я так понимаю ждать исправлений в обновлениях? или еще чтонть можно попробовать?

ЗЫ Ну гляньте уже внутрь макета, там zip архив и внутри dll так там какой разрядности они?

ЗЗЫ Они в папку ExtCompT встали?

спасибо за ваши ответы, первый раз с таким столкнулись просто.

поиск папку ExtCompT не видит, если не скрытая конечно, — подскажете путь где искать ее?

в макет как заглянуть? SBRFServiceProxy — свойства — открыть? там дальше загрузить/выгрузить в файл идет.

(24) Поиск в гугле пробовали?

to Tundra: поставил обновление 3.0.70.39 — не помогло

на версии 3.0.68.61 все ок и ДиректБанк работает, и в настройках стоит VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.9.1

если ставим версии выше, ДиректБанк не работает, и обновления ставят VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.7.0

вот этого юмора вообще непонятно.

(27) Отлично ты нашел dll-ки ВК причем они есть x86 (32 бит) и x86_64 (64 бит)

"каталог установки внешних компонент вида C:\Users\Имя пользователя\AppData\Roaming\1C\1Cv82\ExtCompT\;"
Проверь туда нужная встала? И в файлике registry.xml прописана?

(27) У меня 13 на конце..
1CSBRFServiceProxyWin32_13.dll

А что в файлике registry.xml должно быть?
Сейчас:

(28) Проверь туда нужная встала?

dll должны в явном виде лежать . \1Cv82\ExtCompT\ .

вот это был самый оптимальный вариант, — знать откуда именно ее качать, или на каком диске ИТС искать

to Garykom: "каталог установки внешних компонент вида C:\Users\Имя пользователя\AppData\Roaming\1C\1Cv82\ExtCompT\;"
Проверь туда нужная встала? И в файлике registry.xml прописана?

и в свою очередь еще раз тоже повторяю:

— у меня смс-подтверждение, токенов и флешек не используется.
— при изначальной настройке ДиректБанка со сбера ничего не скачивалось, VPN-key-TLS для 1С:Предприятия 8. Версия 1.2.9.1 уже была установлена по дефолту. В настройки 1с когда заходишь — там прописана эта установленная компонета, и также ее версия отображается в окне где настройки с банком и логин и пароль вводить. Вводишь логин и пароль, и 1с проверяет связь с банком, выдает все ок, и ДиректБанк пашет.
— после установки последних 2-3 обновлений, начались танцы с бубном, а именно, обновления ставят сами старую версию этой компоненты, в настройках отображается старая версия 1.2.7.0. А в окне где вводить логин и пароль для связи и тестом с банком, — эта компонента и ее версия уже не отображается, просто прочерк. Вводим логин и пароль для теста с банком, — выскакивает окно "Для прямого обмена с банком требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8. Компонента не установлена", — и предложение ее скачать с сайта 1С или установить из файла zip (видимо предварительно скачанного или с сайта 1С или с какого-нибудь диска ИТС)

пока не решил, набиваю платежки в сберебизнесонлайн.

ждем обновления новые, — потестить.

новая рабочая версия 1.2.9.1., — идет установленная изначально при установке 1С Бухгалтерии (устанавливал все по новой в январе, т.к. комп обновил)

а последние 3-4 обновления, просто рабочую версию 1.2.9.1., — стирают, и ставят версию 1.2.7.0., которая естественно не работает при попытке соединится с банком, и просит скачать версию 1.2.9.1. с сайта или установить из файла.

(52) Ну так у тебя конфигуратор отняли? Смотри как оно Вк хочет скачать и как "установить" и подсунь ей новую правильную версию ВК блин.

Не понимаю проблемы.

ну если бы я более менее постоянно занимался конфигуратором, то наверное "Смотри как оно Вк хочет скачать и как "установить" и подсунь ей новую правильную версию ВК блин" — действительно не вызывало бы проблем

для этого и приходим на форумы — что бы добрые люди подсказали как и что сделать в конфигураторе

"для этого и приходим на форумы — что бы добрые люди подсказали как и что сделать в конфигураторе" +100

Если в 7.7 я бы это сделал легко, то в 8 не шарю.
Для этого и форумы.

Что такое TLS-рукопожатие и как оно устроено

TLS — это один из наиболее часто встречающихся инструментов безопасности, используемых в интернете. Протокол активно работает со многими процессами сетевого взаимодействия: передачей файлов, VPN-подключением (в некоторых реализациях для обмена ключами), службами обмена мгновенными сообщениями или IP-телефонией.

Один из ключевых аспектов протокола — это рукопожатие. Именно о нём мы поговорим в этой статье.

«Рукопожатие SSL/TLS» — это название этапа установки HTTPS-соединения. Большая часть работы, связанной с протоколом SSL/TLS, выполняется именно на этом этапе. В прошлом году IETF доработал TLS 1.3, полностью обновив процесс рукопожатия.
В статье будут освещены два вида рукопожатия — для протоколов TLS 1.2 и TLS 1.3, которые мы рассмотрим, начиная с абстрактного уровня и постепенно углубляясь в особенности:

согласование криптографических протоколов;
аутентификация с помощью SSL-сертификата;
генерация сеансового ключа.

Как происходит TLS-рукопожатие

В HTTPS-соединении участвуют две стороны: клиент (инициатор соединения, обычно веб-браузер) и сервер. Цель рукопожатия SSL/TLS — выполнить всю криптографическую работу для установки безопасного соединения, в том числе проверить подлинность используемого SSL-сертификата и сгенерировать ключ шифрования.

Согласование шифронабора

Каждое программное обеспечение уникально. Поэтому даже самые популярные веб-браузеры имеют различную функциональность. Аналогично и на стороне сервера — Windows Server, Apache и NGINX также отличаются друг от друга. Всё становится ещё сложнее, когда вы добавляете пользовательские конфигурации.

Именно поэтому первый шаг TLS-рукопожатия — обмен информацией о своих возможностях между клиентом и сервером для дальнейшего выбора поддерживаемых криптографических функций.

Как только клиент и сервер согласовывают используемый шифронабор, сервер отправляет клиенту свой SSL-сертификат.

Аутентификация

Получив сертификат, клиент проверяет его на подлинность. Это чрезвычайно важный шаг. Чтобы соединение было безопасным, нужно не только зашифровать данные, нужно ещё убедиться, что они отправляются на правильный веб-сайт. Сертификаты SSL/TLS обеспечивают эту аутентификацию, а то, как они это делают, зависит от используемого шифронабора.

Все доверенные SSL-сертификаты выпускаются центром сертификации (ЦС). ЦС должен следовать строгим правилам выдачи и проверки сертификатов, чтобы ему доверяли. Вы можете считать ЦС кем-то вроде нотариуса — его подпись значит, что данные в сертификате реальны.

Во время аутентификационной части TLS-рукопожатия клиент выполняет несколько криптографически безопасных проверок с целью убедиться, что выданный сервером сертификат подлинный. Процесс включает в себя проверку цифровой подписи и того, выдан ли сертификат доверенным ЦС.

На этом этапе клиент косвенно проверяет, принадлежит ли серверу закрытый ключ, связанный с сертификатом.

В RSA, самой распространённой криптосистеме с открытым ключом, клиент с помощью открытого ключа шифрует случайные данные, которые будут использоваться для генерации сеансового ключа. Сервер сможет расшифровать и использовать эти данные, только если у него есть закрытый ключ, наличие которого обеспечивает подлинность стороны.

Если используется другая криптосистема, алгоритм может измениться, но проверка другой стороны на подлинность всё равно останется.

Обмен ключами

Последняя часть TLS-рукопожатия включает создание «сеансового ключа», который фактически будет использоваться для защищённой связи.

Сеансовые ключи являются «симметричными», то есть один и тот же ключ используется для шифрования и дешифрования.

Симметричное шифрование производительнее, чем асимметричное, что делает его более подходящим для отправки данных по HTTPS-соединению. Точный метод генерации ключа зависит от выбранного шифронабора, два самых распространённых из них — RSA и Диффи-Хеллман.

Чтобы завершить рукопожатие, каждая сторона сообщает другой, что она выполнила всю необходимую работу, а затем проверяет контрольные суммы, чтобы убедиться, что рукопожатие произошло без какого-либо вмешательства или повреждения.

Всё SSL-рукопожатие происходит за несколько сотен миллисекунд. Это первое, что произойдёт при HTTPS-соединении, даже до загрузки веб-страницы. После SSL-рукопожатия начинается зашифрованное и аутентифицированное HTTPS-соединение, и все данные, отправляемые и получаемые клиентом и сервером, защищены.

Вплоть до TLS 1.3 каждый раз, когда вы посещали сайт, рукопожатие происходило заново. Рукопожатие TLS 1.3 поддерживает 0-RTT или нулевое время возобновления приёма-передачи, что значительно увеличивает скорость для вернувшегося посетителя.

Пошаговый процесс рукопожатия в TLS 1.2

Рассмотрим TLS-рукопожатие с использованием RSA подробнее. Использование алгоритма Диффи-Хеллмана будет описано ниже.

Первое сообщение называется «Client Hello». В этом сообщении перечислены возможности клиента, чтобы сервер мог выбрать шифронабор, который будет использовать для связи. Также сообщение включает в себя большое случайно выбранное простое число, называемое «случайным числом клиента».
Сервер вежливо отвечает сообщением «Server Hello». Там он сообщает клиенту, какие параметры соединения были выбраны, и возвращает своё случайно выбранное простое число, называемое «случайным числом сервера». Если клиент и сервер не имеют общих шифронаборов, то соединение завершается неудачно.
В сообщении «Certificate» сервер отправляет клиенту свою цепочку SSL-сертификатов, включающую в себя листовой и промежуточные сертификаты. Получив их, клиент выполняет несколько проверок для верификации сертификата. Клиент также должен убедиться, что сервер обладает закрытым ключом сертификата, что происходит в процессе обмена/генерации ключей.
Это необязательное сообщение, необходимое только для определённых методов обмена ключами (например для алгоритма Диффи-Хеллмана), которые требуют от сервера дополнительные данные.
Сообщение «Server Hello Done» уведомляет клиента, что сервер закончил передачу данных.
Затем клиент участвует в создании сеансового ключа. Особенности этого шага зависят от метода обмена ключами, который был выбран в исходных сообщениях «Hello». Так как мы рассматриваем RSA, клиент сгенерирует случайную строку байтов, называемую секретом (pre-master secret), зашифрует её с помощью открытого ключа сервера и передаст обратно.
Сообщение «Change Cipher Spec» позволяет другой стороне узнать, что сеансовый ключ сгенерирован и можно переключиться на зашифрованное соединение.
Затем отправляется сообщение «Finished», означающее, что на стороне клиента рукопожатие завершено. С этого момента соединение защищено сессионным ключом. Сообщение содержит данные (MAC), с помощью которых можно убедиться, что рукопожатие не было подделано.
Теперь сервер расшифровывает pre-master secret и вычисляет сеансовый ключ. Затем отправляет сообщение «Change Cipher Spec», чтобы уведомить, что он переключается на зашифрованное соединение.
Сервер также отправляет сообщение «Finished», используя только что сгенерированный симметричный сеансовый ключ, и проверяет контрольную сумму для проверки целостности всего рукопожатия.

После этих шагов SSL-рукопожатие завершено. У обеих сторон теперь есть сеансовый ключ, и они могут взаимодействовать через зашифрованное и аутентифицированное соединение.

На этом этапе могут быть отправлены первые байты веб-приложения (данные, относящиеся к фактическому сервису, — HTML, Javascript и т. д.).

Пошаговый процесс рукопожатия в TLS 1.3

Рукопожатие TLS 1.3 значительно короче, чем его предшественник.

Как и в случае TLS 1.2, сообщение «Client Hello» запускает рукопожатие, но на этот раз оно содержит гораздо больше информации. TLS 1.3 сократил число поддерживаемых шифров с 37 до 5. Это значит, что клиент может угадать, какое соглашение о ключах или протокол обмена будет использоваться, поэтому в дополнение к сообщению отправляет свою часть общего ключа из предполагаемого протокола.
Сервер ответит сообщением «Server Hello». Как и в рукопожатии 1.2, на этом этапе отправляется сертификат. Если клиент правильно угадал протокол шифрования с присоединёнными данными и сервер на него согласился, последний отправляет свою часть общего ключа, вычисляет сеансовый ключ и завершает передачу сообщением «Server Finished».
Теперь, когда у клиента есть вся необходимая информация, он верифицирует SSL-сертификат и использует два общих ключа для вычисления своей копии сеансового ключа. Когда это сделано, он отправляет сообщение «Client Finished».

Издержки TLS-рукопожатия

Исторически одна из претензий к SSL/TLS заключалась в том, что он перегружал серверы дополнительными издержками. Это повлияло на ныне несуществующее представление, что HTTPS медленнее, чем HTTP.

Рукопожатия до TLS 1.2 требовали много ресурсов и в больших масштабах могли серьёзно нагрузить сервер. Даже рукопожатия TLS 1.2 могут замедлить работу, если их происходит много в один момент времени. Аутентификация, шифрование и дешифрование — дорогие процессы.

На небольших веб-сайтах это скорее всего не приведёт к заметному замедлению работы, но для корпоративных систем, куда ежедневно приходят сотни тысяч посетителей, это может стать большой проблемой. Каждая новая версия рукопожатия существенно облегчает процесс: TLS 1.2 совершает две фазы, а TLS 1.3 укладывается всего в одну и поддерживает 0-RTT.

Улучшения рукопожатия TLS 1.3 по сравнению с TLS 1.2

В приведённом выше объяснении рукопожатие разделено на десять отдельных этапов. В действительности же многие из этих вещей происходят одновременно, поэтому их часто объединяют в группы и называют фазами.

У рукопожатия TLS 1.2 можно выделить две фазы. Иногда могут потребоваться дополнительные, но когда речь идёт о количестве, по умолчанию подразумевается оптимальный сценарий.

В отличие от 1.2, рукопожатие TLS 1.3 укладывается в одну фазу, хотя вернее будет сказать в полторы, но это всё равно значительно быстрее, чем TLS 1.2.

Сокращение шифронаборов

Никто никогда не собирался использовать 37 наборов для шифрования данных, так эволюционировал протокол. Каждый раз, когда добавлялся новый алгоритм, добавлялись новые комбинации, и вскоре IANA администрировала 37 различных шифронаборов.

Это плохо по двум причинам:

Такая варьируемость приводит к ошибочным конфигурациям, которые делают интернет-пользователей уязвимыми для известных эксплойтов.
Это сделало настройку SSL более запутанной.

IETF исключил в TLS 1.3 поддержку всех алгоритмов, кроме самых безопасных, убирая путаницу за счёт ограничения выбора. В частности, был убран выбор метода обмена ключами. Эфемерная схема Диффи-Хеллмана стала единственным способом, позволяющим клиенту отправить информацию о своём ключе вместе с «Client Hello» в первой части рукопожатия. Шифрование RSA было полностью удалено вместе со всеми другими схемами обмена статическими ключами.

При этом есть одна потенциальная ахиллесова пята в TLS 1.3.

Нулевое время возобновления приёма-передачи — 0-RTT

0-RTT — это то, к чему стремился весь технологический мир, и вот оно здесь с TLS 1.3. Как уже было упомянуто, рукопожатие TLS исторически было не быстрым, так что было важно ускорить его. 0-RTT делает это путём сохранения некоторой секретной информации о клиенте, обычно идентификатора сеанса или сеансовых тикетов, чтобы использовать их при следующем соединении.

Несмотря на все преимущества 0-RTT, он содержит пару потенциальных подводных камней. Режим делает клиентов восприимчивыми к атакам воспроизведения, когда злоумышленник, которому каким-то образом удаётся получить доступ к зашифрованному сеансу, может получить данные 0-RTT, включая первый запрос клиента, и снова отправить их на сервер.

Тем не менее, использовать эксплойт непросто. Вероятно, такой риск — небольшая цена за чрезвычайно полезную функцию.

Безопасность

С самого начала вызывало опасение количество информации, отправляемой в виде открытого текста во время рукопожатия. Очевидно, что это небезопасно, поэтому чем больше шагов рукопожатия происходит в зашифрованном виде, тем лучше.

В рукопожатии TLS 1.2 этапы согласования не были защищены, вместо этого использовалась простая MAC-функция, чтобы никто не вмешался в передачу. В этап согласования входят сообщения «Client Hello» и «Server Hello».

MAC-функция действует как индикатор, но не даёт никаких гарантий безопасности. Возможно, вы слышали об атаке, которая вынуждает стороны использовать менее безопасные протоколы и функции (downgrade attack). Если и сервер, и клиент поддерживают устаревшие шифронаборы — информацию об этом легко получить, прослушивая соединение, — злоумышленник может изменить шифрование, выбранное сервером, на более слабое. Такие атаки не опасны сами по себе, но открывают дверь для использования других известных эксплойтов тех шифронаборов, на которые был изменён выбранный изначально.

Рукопожатие TLS 1.3 использует цифровую подпись на ранних стадиях соединения, что делает его более безопасным и защищает от атак, меняющих шифронабор. Подпись также позволяет быстрее и эффективнее аутентифицировать сервер.

Теперь посмотрим, как эти обновления для рукопожатия TLS 1.3 будут реализованы во всех трёх основных функциях самого рукопожатия SSL/TLS.

Шифронаборы TLS-рукопожатия

Шифронабор — это набор алгоритмов, определяющих параметры безопасного соединения.

В начале любого соединения самое первое взаимодействие, «Client Hello», представляет собой список поддерживаемых шифронаборов. Сервер выбирает лучший, наиболее безопасный вариант, который поддерживается им и отвечает его требованиям. Вы можете посмотреть на шифронабор и выяснить все параметры рукопожатия и соединения.

Шифронаборы TLS 1.2

TLS — протокол.
ECDHE — алгоритм обмена ключами.
ECDSA — алгоритм аутентификации.
AES 128 GCM — алгоритм симметричного шифрования.
SHA256 — алгоритм хеширования.

В приведённом выше примере используется эфемерная система Диффи-Хеллмана (DH) с эллиптической кривой для обмена ключами и алгоритм цифровой подписи эллиптической кривой для аутентификации. DH также может быть соединен с RSA (функционирующим как алгоритм цифровой подписи) для выполнения аутентификации.

Вот список наиболее широко поддерживаемых шифронаборов TLS 1.2:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA;
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA;
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384;
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA;
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_DHE_RSA_WITH_AES_128_CBC_SHA;
TLS_DHE_RSA_WITH_AES_256_CBC_SHA;
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256;
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256.

Шифронаборы TLS 1.3

TLS — протокол.
AES 256 GCM — алгоритм аутентифицированного шифрования с присоединёнными данными (AEAD).
SHA384 — алгоритм функции формирования хешированного ключа (HKFD).

Мы уже знаем, что будем использовать какую-то версию обмена эфемерными ключами Диффи-Хеллмана, но не знаем параметров, так что первые два алгоритма в шифронаборе TLS 1.2 больше не нужны. Эти функции всё ещё выполняются, их просто больше не нужно согласовывать во время рукопожатия.

Из приведённого выше примера видно, что используется AES (Advanced Encryption Standard) для шифрования большого объёма данных. Он работает в режиме счётчика Галуа с использованием 256-битных ключей.

Вот пять шифронаборов, которые поддерживаются в TLS 1.3:

TLS_AES_256_GCM_SHA384;
TLS_CHACHA20_POLY1305_SHA256;
TLS_AES_128_GCM_SHA256;
TLS_AES_128_CCM_8_SHA256;
TLS_AES_128_CCM_SHA256.

Что изменилось в TLS 1.3 по сравнению с TLS 1.2?

Важно помнить, что при создании версии 1.3 главным было повышение безопасности и производительности. Для этого в TLS 1.3 был переработан алгоритм генерация ключей и исправлены известные уязвимости.

В рукопожатии TLS 1.3 также стали лучше некоторые процессы, например аутентификация сообщений и цифровые подписи.

Наконец, в дополнение к постепенному отказу от старых алгоритмов генерации ключей или обмена ими, TLS 1.3 устраняет старые симметричные шифры. В TLS 1.3 полностью исключили блочные шифры. Единственный разрешённый в TLS 1.3 тип симметричных шифров называется шифрованием с проверкой подлинности с использованием дополнительных данных (AEAD). Он объединяет шифрование и проверку подлинности сообщений (MAC) в одну функцию.

Аутентификация в TLS-рукопожатии

Исторически двумя основными вариантами обмена ключами являются RSA и Диффи-Хеллман (DH), в наши дни DH часто ассоциируется с эллиптическими кривыми (ECDH). Несмотря на некоторые основные сходства, между этими двумя подходами к обмену ключами есть фундаментальные различия.

Иными словами, TLS-рукопожатие RSA отличается от TLS-рукопожатия ECDH.

RSA использует простую факторизацию и модульную арифметику. Большие простые числа требуют много ресурсов процессора при вычислениях и их сложно подобрать.

Диффи-Хеллмана иногда называют экспоненциальным обменом ключами, что указывает на возведение в степень (в дополнение к модульной арифметике), но на самом деле сам DH вообще ничего не шифрует и не дешифрует. Поэтому называть его «методом шифрования» вместо «математического обоснования» может быть немного неверно.

Небольшой экскурс в историю может пояснить этот момент.

Ещё в 1976 году Уитфилд Диффи и Мартин Хеллман создали протокол обмена ключами, основанный на работе Ральфа Меркля, чьё имя, по мнению обоих, должно также присутствовать в названии протокола.

Они пытались решить проблему безопасного обмена ключами по незащищённому каналу, даже если злоумышленник прослушивает его. У них получилось, но был один серьёзный недостаток: обмен ключами DH не включал в себя проверку подлинности, поэтому не было возможности проверить сторону на другом конце соединения.

Это можно считать рождением криптографии с открытым ключом и ИОК. Вскоре после того, как Диффи и Хеллман представили свой протокол обмена ключами, были завершены самые ранние версии криптосистемы RSA. Диффи и Хеллман создали концепцию шифрования с открытым ключом, но ещё не придумали саму функцию одностороннего шифрования.

Именно Рон Ривест (R в RSA) создал концепцию, которая в итоге стала криптосистемой RSA.

Во многих отношениях RSA является духовным преемником DH. Он осуществляет:

генерацию ключей;
обмен ключами;
шифрование;
дешифрование.

Таким образом, RSA является более функциональным алгоритмом, который может обрабатывать как обмен ключами, так и цифровые подписи, то есть производить аутентификацию в дополнение к безопасному обмену ключами. Поэтому у RSA ключи больше: должна быть обеспечена достаточная безопасность для цифровой подписи.

В то время как RSA осуществляет аутентификацию и обмен ключами, Диффи-Хеллман только облегчает обмен ключами. Существует четыре распространённых варианта семейства DH:

Диффи-Хеллман (DH);
эфемерный (краткосрочный) Диффи-Хеллман (DHE);
эллиптическая кривая Диффи-Хеллмана (ECDH);
эллиптическая кривая эфемерного Диффи-Хеллмана (ECDHE).

Опять же, Диффи-Хеллман сам по себе ничего не аутентифицирует. Его нужно использовать в паре с алгоритмом цифровой подписи. Так, например, если вы использовали ECDH или ECDHE, большинство шифронаборов будут сопряжены с алгоритмом цифровой подписи эллиптической кривой (ECDSA) или RSA.

Аутентификация в рукопожатии TLS 1.2

Как было только что сказано, дополнительная функциональность RSA для аутентификации с помощью цифровых подписей требует больших ключей, устойчивых к атакам перебором. Размер этих ключей сильно увеличивает затраты на их вычисление, шифрование и дешифрование во время рукопожатия.

С другой стороны, если Диффи-Хеллман не выполняет аутентификацию, то что он делает? Как было сказано выше, DH часто используют совместно с криптографией на основе эллиптических кривых, чтобы обеспечить аутентификацию и обмен ключами.

Эллиптическая криптография (ECC) имеет гораздо меньшие размеры ключей, которые соответствуют эллиптической кривой, на которой они основаны. Для этого контекста есть пять подходящих кривых:

192 бит;
224 бита;
256 бит;
384 бит;
521 бит.

Но это не единственное различие между открытыми/закрытыми ключами ECC и ключами RSA. Они используются для двух совершенно разных целей во время рукопожатия TLS.

В RSA пара открытый/закрытый ключ используется как для проверки подлинности сервера, так и для обмена симметричным ключом сеанса. Фактически, именно успешное использование секретного ключа для расшифровки секрета (pre-master secret) аутентифицирует сервер.

С Диффи-Хеллманом пара открытый/закрытый ключ НЕ используется для обмена симметричным сеансовым ключом. Когда задействован Диффи-Хеллман, закрытый ключ фактически связан с прилагаемым алгоритмом подписи (ECDSA или RSA).

RSA-аутентификация

Процесс RSA-аутентификации связан с процессом обмена ключами. Точнее обмен ключами является частью процесса аутентификации.

Когда клиенту предоставляется SSL-сертификат сервера, он проверяет несколько показателей:

цифровую подпись с использованием открытого ключа;
цепочку сертификатов, чтобы убедиться, что сертификат происходит от одного из корневых сертификатов в хранилище доверенных сертификатов;
срок действия, чтобы убедиться, что он не истёк;
статус отзыва сертификата.

Если все эти проверки прошли, то проводится последний тест — клиент шифрует pre-master secret с помощью открытого ключа сервера и отправляет его. Любой сервер может попытаться выдать любой SSL/TLS-сертификат за свой. В конце концов, это общедоступные сертификаты. А так клиент может провести аутентификацию сервера, увидев закрытый ключ «в действии».

Таким образом, если сервер может расшифровать pre-master secret и использовать его для вычисления сессионного ключа, он получает доступ. Это подтверждает, что сервер является владельцем используемой пары из открытого и закрытого ключа.

DH-аутентификация

Когда используются Диффи-Хеллман и ECDSA/RSA, аутентификация и обмен ключами разворачиваются бок о бок. И это возвращает нас к ключам и вариантам их использования. Открытый/закрытый ключ RSA используется как для обмена ключами, так и для аутентификации. В DH + ECDSA/RSA асимметричная пара ключей используется только для этапа цифровой подписи или аутентификации.

Когда клиент получает сертификат, он всё ещё проводит стандартные проверки:

проверяет подпись на сертификате,
цепочку сертификатов,
срок действия,
статус отзыва.

Но владение закрытым ключом подтверждается по-другому. Во время обмена ключами TLS-рукопожатия (шаг 4) сервер использует свой закрытый ключ для шифрования случайного числа клиента и сервера, а также свой DH-параметр. Он действует как цифровая подпись сервера, и клиент может использовать связанный открытый ключ для проверки, что сервер является законным владельцем пары ключей.

Аутентификация в рукопожатии TLS 1.3

В TLS 1.3 аутентификация и цифровые подписи всё ещё играют важную роль, но они были исключены из шифронаборов для упрощения согласования. Они реализованы на стороне сервера и используют несколько алгоритмов, поддерживаемых сервером, из-за их безопасности и повсеместного распространения. В TLS 1.3 разрешены три основных алгоритма подписи:

RSA (только подпись),
алгоритм цифровой подписи эллиптической кривой (ECDSA),
алгоритм цифровой подписи Эдвардса (EdDSA).

В отличие от рукопожатия TLS 1.2, аутентификационная часть рукопожатия TLS 1.3 не связана с самим обменом ключами. Скорее она обрабатывается параллельно с обменом ключами и аутентификацией сообщений.

Вместо запуска симметричной схемы MAC для проверки целостности рукопожатия, сервер подписывает весь хеш расшифровки, когда возвращает «Server Hello» со своей частью общего ключа.

Клиент получает всю информацию, передающуюся с «Server Hello», и выполняет стандартную серию проверок подлинности сертификата SSL/TLS. Она включает в себя проверку подписи на сертификате, а затем проверку на соответствие подписи, которая была добавлена в хеш расшифровки.

Совпадение подтверждает, что сервер владеет секретным ключом.

Обмен ключами в TLS-рукопожатии

Если выделить главную мысль этого раздела, она будет звучать так:

RSA облегчает обмен ключами, позволяя клиенту шифровать общий секрет и отправлять его на сервер, где он используется для вычисления соответствующего сеансового ключа. Обмен ключами DH на самом деле вообще не требует обмена открытым ключом, скорее обе стороны создают ключ вместе.

Если сейчас это звучит немного абстрактно, к концу этого раздела всё должно проясниться.

Обмен ключами RSA

Называть это обменом ключами RSA на самом деле неправильно. На самом деле это RSA-шифрование. RSA использует асимметричное шифрование для создания ключа сеанса. В отличие от DH, пара открытого/закрытого ключей играет большую роль.

Вот как это происходит:

Клиент и сервер обмениваются двумя простыми числами (x и y), которые называют случайными числами.
Клиент генерирует pre-master secret (a), а затем использует открытый ключ сервера для его шифрования и отправки на сервер.
Сервер расшифровывает pre-master secret с помощью соответствующего закрытого ключа. Теперь обе стороны имеют все три входных переменных и смешивают их с некоторыми псевдослучайными функциями (PRF) для создания мастер-ключа.
Обе стороны смешивают мастер-ключ с ещё большим количеством PRF и получают совпадающие сеансовые ключи.

Обмен ключами DH

Вот как работает ECDH:

Клиент и сервер обмениваются двумя простыми числами (x и y), которые называют случайными числами.
Одна сторона выбирает секретный номер, называемый pre-master secret (a), и вычисляет: x a mod y. Затем отправляет результат (A) другому участнику.
Другая сторона делает то же самое, выбирая свой собственный pre-master secret (b) и вычисляет x b mod y, а затем отправляет обратно своё значение (B).
Обе стороны заканчивают эту часть, принимая заданные значения и повторяя операцию. Один вычисляет b a mod y, другой вычисляет a b mod y.

Существует свойство показателей по модулю, которое говорит, что каждая сторона получит одно и то же значение, которое будет ключом, используемым для симметричного шифрования во время соединения.

Рукопожатие TLS 1.2 для DH

Теперь, когда мы узнали, чем DH отличается от RSA, посмотрим, как выглядит рукопожатие TLS 1.2 на основе DH.

Опять же, между этими двумя подходами существует множество сходств. Мы будем использовать ECDHE для обмена ключами и ECDSA для аутентификации.

Как и в случае с RSA, клиент начинает с сообщения «Client Hello», которое включает в себя список шифронаборов, а также случайное число клиента.
Сервер отвечает своим сообщением «Server Hello», которое включает в себя выбранный шифронабор и случайное число сервера.
Сервер отправляет свой SSL-сертификат. Как и при TLS-рукопожатии RSA клиент выполнит серию проверок подлинности сертификата, но, поскольку сам DH не может аутентифицировать сервер, необходим дополнительный механизм.
Чтобы провести аутентификацию, сервер берёт случайные числа клиента и сервера, а также параметр DH, который будет использоваться для вычисления сеансового ключа, и шифрует их с помощью своего закрытого ключа. Результат будет выполнять роль цифровой подписи: клиент использует открытый ключ для проверки подписи и того, что сервер является законным владельцем пары ключей, и ответит своим собственным параметром DH.
Сервер завершает эту фазу сообщением «Server Hello Done».
В отличие от RSA, клиенту не нужно отправлять pre-master secret на сервер с использованием асимметричного шифрования, вместо этого клиент и сервер используют параметры DH, которыми они обменялись ранее, чтобы получить pre-master secret. Затем каждый использует pre-master secret, который он только что рассчитал, для получения одинакового сеансового ключа.
Клиент отправляет сообщение «Change Cipher Spec», чтобы сообщить другой стороне о своём переходе на шифрование.
Клиент отправляет финальное сообщение «Finished», чтобы сообщить, что он завершил свою часть рукопожатия.
Аналогично, сервер отправляет сообщение «Change Cipher Spec».
Рукопожатие завершается сообщением «Finished» от сервера.

Преимущества DHE перед RSA

Существует две основные причины, по которым сообщество криптографов предпочитает использовать DHE, а не RSA: совершенная прямая секретность и известные уязвимости.

Совершенная прямая секретность

Ранее вы, возможно, задавались вопросом, что означает слово «эфемерный» в конце DHE и ECDHE. Эфемерный буквально означает «недолговечный». И это может помочь понять совершенную прямую секретность (Perfect Forward Secrecy, PFS), которая является особенностью некоторых протоколов обмена ключами. PFS гарантирует, что сессионные ключи, которыми обмениваются стороны, не могут быть скомпрометированы, даже если скомпрометирован закрытый ключ сертификата. Другими словами, он защищает предыдущие сессии от извлечения и дешифрования. PFS получила высший приоритет после обнаружения ошибки Heartbleed. Это основной компонент TLS 1.3.

Уязвимость обмена ключами RSA

Существуют уязвимости, которые могут использовать заполнение (padding), используемое во время обмена ключами в старых версиях RSA (PKCS #1 1.5). Это один из аспектов шифрования. С RSA pre-master secret должен быть зашифрован открытым ключом и расшифрован закрытым ключом. Но когда этот меньший по длине pre-master secret помещается в больший открытый ключ, он должен быть дополнен. В большинстве случаев попытавшись угадать заполнение и отправив поддельный запрос на сервер, вы ошибётесь, и он распознает несоответствие и отфильтрует его. Но есть немалая вероятность, что вы сможете отправить на сервер достаточное количество запросов, чтобы угадать правильное заполнение. Тогда сервер отправит ошибочное законченное сообщение, что, в свою очередь, сузит возможное значение pre-master secret. Это позволит злоумышленнику рассчитать и скомпрометировать ключ.

Вот почему RSA был удалён в пользу DHE в TLS 1.3.

Обмен ключами в рукопожатии TLS 1.3

В рукопожатии TLS 1.3 из-за ограниченного выбора схем обмена ключами клиент может успешно угадать схему и отправить свою часть общего ключа во время начального этапа (Client Hello) рукопожатия.

RSA была не единственной схемой обмена ключами, которая была удалена в TLS 1.3. Неэфемерные схемы Диффи-Хеллмана тоже были ликвидированы, как и перечень недостаточно безопасных параметров Диффи-Хеллмана.

Что имеется в виду под недостаточно безопасными параметрами? Не углубляясь в математику, сложность Диффи-Хеллмана и большинства криптосистем с открытым ключом — это сложность решения задач дискретного логарифма. Криптосистема должна быть достаточно сложной для вычисления, если неизвестны входные параметры (случайные числа клиента и сервера), иначе вся схема окажется бесполезной. Схемы Диффи-Хеллмана, которые не могли обеспечить достаточно большие параметры, были исключены в TLS 1.3.

В начале рукопожатия TLS 1.3, зная, что будет использоваться DHE-схема соглашения о ключах, клиент включает свою часть общего ключа на основе предполагаемой схемы обмена ключами в своё сообщение «Client Hello».
Сервер получает эту информацию и, если клиент угадал, возвращает свою часть общего ключа в «Server Hello».
Клиент и сервер вычисляют сеансовый ключ.

Это очень похоже на то, что происходит с DH в рукопожатии TLS 1.2, кроме того, что в TLS 1.3 обмен ключами происходит раньше.

Вместо заключения

SSL/TLS-рукопожатие — это увлекательный процесс, который имеет ключевое значение для безопасного интернета, и всё же он происходит так быстро и незаметно, что большинство людей даже никогда не задумывается об этом.

Vpn key tls что это

VPN-Key-TLS

VPN-Key TLS

Характеристики

Vpn key tls что это

Выбираем надежный VPN: TLS authentication, порт соединения и сессионный ключ.

TLS authentication

Порт соединения

Генерация сессионного ключа

Vpn key tls сбербанк как извлечь сертификат. Ооо амикон — защита информации, межсетевые экраны, vpn-построители, tls-концентраторы, токены для эцп и шифрования

Меры информационной безопасности при работе в Сбербанк Бизнес Онлайн

Проблема номер 0100

Ошибка TLS соединения 0140

Проблема номер 0160

Заключение

Особенности использования технологий VPN и SSL/TLS

История становления

Сравнение технологий

Место в сетевой модели

Вопросы эксплуатации и стоимости

Вопросы безопасности

Заключение

Получение VPNKeyTLS/Rutoken токена для тестового контура

Vpn key tls что это

Related Posts

10 Comments

Настройка OpenVPN сервер-клиент с нуля для новичков

ZLONOV.ru

VPN-Key-TLS

Описание

Похожее

Отзывы

Похожие товары

ESMART Token ГОСТ

eToken PASS

eToken NG-OTP

eToken PRO SC

Каталог СрЗИ — средств защиты информации

Vpn key tls сбербанк ошибка при открытии или инициализации устройства

Итак, проблема:

Решение:

Vpn key tls обновление прошивки

Требуется внешняя компонента «VPN-key-TLS для 1С:Предприятия 8

Ошибка при открытии или инициализации устройства чтения смарт карт hwdssl device сбербанк windows 10

Драйвер для токена Сбербанк бизнес онлайн

Драйвер для токена Сбербанк бизнес онлайн

Не запускается start.exe Сбербанка онлайн, что делать? — FAQ «Банки онлайн»

Не удается открыть Infocrypt HWDSSL Device: что это, решение ошибки

Причины возникновения ошибки

Требования к среде и программному обеспечению

Токен Сбербанка (VPNKey-TLS) перестал определяться в системе

UzBeast

Настройка Сбербанк бизнес онлайн через Usergate 2.8

Обновление прошивки токена в Сбербанк Бизнес Онлайн

Токен: все, что нужно знать об устройстве

Как войти в Сбербанк Бизнес онлайн через токен?

Правила обновления прошивки токена

Компьютер не видит устройство: алгоритм действий

Требуется внешняя компонента "VPN-key-TLS для 1С:Предприятия 8

Что такое TLS-рукопожатие и как оно устроено

Как происходит TLS-рукопожатие

Согласование шифронабора

Аутентификация

Обмен ключами

Пошаговый процесс рукопожатия в TLS 1.2

Пошаговый процесс рукопожатия в TLS 1.3

Издержки TLS-рукопожатия

Улучшения рукопожатия TLS 1.3 по сравнению с TLS 1.2

Сокращение шифронаборов

Нулевое время возобновления приёма-передачи — 0-RTT

Безопасность

Шифронаборы TLS-рукопожатия

Шифронаборы TLS 1.2

Шифронаборы TLS 1.3

Что изменилось в TLS 1.3 по сравнению с TLS 1.2?

Аутентификация в TLS-рукопожатии

Аутентификация в рукопожатии TLS 1.2

RSA-аутентификация

DH-аутентификация

Аутентификация в рукопожатии TLS 1.3