Решение всех проблем, связанных с паролем от ЭЦП: что делать, если забыл ПИН-код

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Содержание

Как использовать персональный пароль

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):

• для рутокенов — это 12345678;
• для eToken — 1234567890;
• для смарт-карт (JaCarta) — 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.

Внимание! Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Мнение экспертаМихаил ЖитняковВедущий специалист по программному обеспечениюВажное замечание: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.

Как узнать ранее введенный пароль

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

1. Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
2. В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
3. Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
4. Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).
5. Ввести команду csptest -passwd -showsaved -container «». Вместо xxxxxxxx необходимо указать наименование контейнера, по которому пароль и нужно получить (с соблюдением синтаксиса и регистра). После нажатия клавиши Enter будет выведена информация о введенном при установке ключе пароля и иная сервисная информация.

Важно! Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.

Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).

Что делать, если забыл пароль и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?

Мнение экспертаМихаил ЖитняковВедущий специалист по программному обеспечениюНет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Как получит новый сертификат

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Справка: для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Как изменить пароль по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне — «Разблокировать».

После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно – КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Правила использования персонального пароля

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически).

• для рутокенов – это 12345678;
• для eToken – 1234567890;
• для смарт-карт (JaCarta) – 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена. Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Важное замечание: В некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже – стали применять стандартные.

Как узнать ранее введенный пароль?

Мнение экспертаАлексей БорисовичСпециалист по программному обеспечениюЗадать вопрос эксперту

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

1. Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
2. В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
3. Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
4. Ввести команду csptest -keyset -enum_cont -fqcn –verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).

Если пароль забыт и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?Нет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Получение нового сертификата

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее – все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 – 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Смена пароля по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне – «Разблокировать».

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях – токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

Одному из сотрудников нашей компании понадобилось зарегистрироваться на портале Госуслуг. Как известно, на портале сейчас есть возможность входить в личный кабинет по логину/паролю, либо по электронной подписи. Вариант с логином/паролем был отброшен в силу профессиональной паранойи, и поехал сотрудник в УЦ Ростелекома — оператора системы — получать сертификат. В УЦ ему в качестве носителя электронной подписи/аппаратного СКЗИ не предложили Рутокен ЭЦП. В силу корпоративного патриотизма сотрудник решил не форсировать события, а попробовать-таки зайти на Госуслуги, используя для электронной подписи Рутокен ЭЦП. Что из этого получилось, описано под катом.

• Поддерживается Рутокен ЭЦП через нашу библиотеку, реализующую стандарт PKCS#11.
• Процедура входа в личной кабинет на портале Госуслуг по ЭП представляет собой подпись случайных данных, отправляемых сервером. Подпись формируется в формате PKCS#7. Для аутентификации пользователя сервер использует информацию из сертификата X.509, а успешная проверка подписи подтверждает наличие у пользователя закрытого ключа, соответствующего сертификату.
• Для того чтобы сервер принял пользовательский сертификат, тот должен быть усиленным квалифицированным.

Задача разбилась на подзадачи:

• Сгенерировать ключ на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11
• Узнать, какие аккредитованные УЦ выдают квалифицированные сертификаты для физлиц
• Договориться с одним из этих УЦ, что он выдаст сертификат на основе запроса, сделанного удаленно.
• Сформировать правильный запрос на квалифицированный сертификат.
• Транспортировать запрос в УЦ.
• Получить сертификат и записать его на Рутокен ЭЦП в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.

С УЦ мы договорились довольно быстро. Один из основных наших партнеров, УЦ СКБ Контур, аккредитован в системе Госуслуг и согласился выдать нам сертификат по описанной схеме. Для решения технических вопросов мы решили использовать Рутокен Плагин, который также работает через библиотеку PKCS#11 и совместим с плагином Госуслуг.

Центр регистрации

Для генерации ключа, создания запроса и записи сертификата мы сделали набор web-страниц, который условно назвали Центр регистрации. Этот Центр регистрации не требует серверной части, все операции осуществляются на клиенте. Для работы Центра регистрации требуется установка Рутокен Плагин. Центр регистрации позволяет:

• Просматривать ключевые пары и сертификаты на подключенных устройствах Рутокен ЭЦП (под просмотром ключевых пар понимается просмотр информации о них)
• Генерировать новую ключевую пару
• Формировать запрос в формате PKCS#10 для выбранной ключевой пары
• Формировать запросы по шаблону
• Импортировать сертификат на устройство
• Удалять сертификат с устройства

Генерация ключа и формирование запроса на сертификат

Ниже приведена инструкция по генерации ключа и формированию запроса на сертификат c помощью Центра регистрации: 1. Запустить Центр регистрации: 2. Подключить Рутокен ЭЦП к компьютеру, выбрать токен, ввести PIN-код: После выбора токена отобразится меню: 3. Нажать кнопку “Создать ключ”: Затем нажать «Создать запрос на этом ключе» 4. На странице создания запроса выбрать шаблон “СКБ Контур, для физлиц”, заполнить поля запроса, нажать кнопку “Создать запрос” (все поля должны быть заполнены, в данном случае реализован тестовый пример): 5. Скопировать запрос для отправки его в УЦ: 6. Сгенерированный ключ появился в списке: После отправки запроса сотруднику пришло уведомление о необходимости явиться в офис УЦ для подтверждения личности. После прохождения проверки наш сотрудник получил сертификат.

Импорт сертификата

1. Выбрать в списке токен, нажать кнопку “Импортировать сертификат”, полученный сертификат вставить в форму ввода, нажать кнопку “Импортировать”: 2. При импорте выбрать тип сертификата “Пользовательский”: 3. После этого появится окно с отображением сертификата и сообщением об успешном импорте на Рутокен ЭЦП (на картинке приведен пример импорта тестового сертификата, полученного в тестовом УЦ): 4. Сертификат отобразится в списке:

Вход на портал Госуслуг

Сотрудник установил плагин Госуслуг, и ему удалось войти на портал по ЭП. Выбираем “По электронной подписи”: Выбираем сертификат: Вводим PIN-код: Попадаем в личный кабинет:

Вместо заключения

Концепция аппаратных СКЗИ, выполненных в различных форм-факторах, может быть востребована в массовых проектах, ориентированных на физлиц. В первую очередь за счет упрощения использования криптографии. Плагины, осуществляющие интеграцию браузера и аппаратных криптографических решений должны развиваться в сторону увеличения легкости установки и расширения возможностей. Тогда эти решения будут чаще и больше использовать. Для того, чтоб была возможность выдачи квалифицированных сертификатов на Рутокен ЭЦП, которые можно было бы использовать с плагином Госуслуг или с Рутокен Плагин, сделана локальная версия Центра регистрации, ее можно использовать непосредственно в точках выдачи сертификатов.

Стоит отметить, что если вы намереваетесь выбрать услугу личное посещение ГИБДД для постановки автомобиля на учет вам не придется заполнять заявление на сайте Госуслуг, однако вы лишаетесь и возможности оплаты госпошлины со скидкой 30%. Но как бы там ни было, этот способ окажется более продуктивным, ведь вам будет назначено определенное время, и, как твердит портал, максимальное время ожидания не будет превышать 30 минут от заявленного.

Итак, после перехода по ссылке «записаться на прием» перед вами, первым пунктом, предстанут ваши личные данные, заполненные при регистрации на Госуслугах.Следующим шагом будет выбор отделении ГИБДД для постановки на учет транспортного средства. Тут все довольно просто — система предложит вам варианты отделений, в которых предоставляется данная услуга, основываясь на вашем местоположении. Если же вы хотите выбрать другое подразделение, чтобы зарегистрировать автомобиль, выберите над картой «Выбрать подразделение самостоятельно» и совершите поиск по городу или региону.После того, как вы найдете приемлемое отделение для регистрации, нажимаем на него, а после этого выбираем значение «выбрать время записи на прием»В окне будут представлены все доступные даты и время, в которое вы сможете посетить ГИБДД для регистрации автомобиля. После того, как вы сделаете свой нелегкий выбор всплывет окно с вопросом о подтверждении: После нажатия «Да, подтверждаю» вы попадете в ленту уведомлений, где будет подробно расписан ваш дальнейший план действий: адрес, дату и время посещения, а также пин-кодПосле того, как вы прибудете в подразделение ГИБДД для регистрации автомобиля нужно подойти к терминалу электронной очереди и набрать в нем ваш номер пин-кода. Взамен этой ценной информации терминал выдаст вам распечатанный талон, с которым вы сможете обратиться, непосредственно, к сотруднику МРЭО.После того как вы совершили запись на госуслугах для личного посещения Госавтоинспекции, вам нужно дождаться пока придут квитанции для оплаты госпошлины и оплатить их. Кроме того не забывайте и о заявлении, которое придется заполнять в ГИБДД. Но все же, лучшим вариантом будет заполнить электронное заявление, которое, кроме всего прочего, предоставит вам возможность оплаты госпошлины с 30%-ной скидкой.

• Вы здесь:  
• Главная
• Зарегистрировать автомобиль в ГИБДД
• Услуга: личное посещение Госавтоинспекции

Используемые источники:

• https://mfoc.ru/information/chto-delat-esli-zabyl-pin-kod-etsp/
• https://pro-ecp.ru/etsp/instruktsii/chto-delat-esli-zabyl-parol-ot-etsp.html
• https://habr.com/post/219071/
• https://cherez-gosuslugi.ru/zaregistrirovat-avtomobil-v-gibdd/3-lichnoe-poseshchenie-gosavtoinspektsii.html