Смысл процедуры форматирования Рутокен ЭЦП 2.0
Метку токена можно менять только форматированием?
Процедура удаляет все аппаратные ключи на токене?
Аналогично про контейнеры с программными ключами/сертификатами.
Видел утилиту rtadmin. Она есть на Windows и Linux. В ней о форматировании говорится в связи с наличием на токене разделов с Flash памятью. Процедура, описанная в найденной мной статье, трет внутреннюю память с ключами и разделы на Flash?
#2 Ответ от Фатеева Светлана 2020-02-03 12:29:33
- Фатеева Светлана
- Техническая поддержка
- Неактивен
Re: Смысл процедуры форматирования Рутокен ЭЦП 2.0
Здравствуйте,
Метку токена и политику использования PIN-кодов можно менять при форматировании. Также при форматировании всё содержимое идентификатора Рутокен удаляется безвозвратно.
При использовании утилиты администрирования Рутокен (rtAdmin) форматирование удалит всю информацию с Flash-памяти указав параметр -F, а для удаления информации с защищенной памяти рутокена указывается параметр -f как указано в статье.
Рекомендуем применять форматирование идентификаторов Рутокен для удаления всех устаревших электронных подписей, а также исключить сохранения остаточных файлов при некорректном удалении.
#3 Ответ от kiav 2020-02-03 12:37:35
Re: Смысл процедуры форматирования Рутокен ЭЦП 2.0
При установке тестовых сертификатов мне также приходилось устанавливать и корневые. И я не уверен, что они сохранялись только в локальное хранилище (кстати, какое?). Если я просто поудаляю все тестовые сертификаты и ключи этого будет достаточно для приведения токена в исходное стостояние? Или, все-таки, форматирование?
Я забыл пояснить при открытии темы. Меня интересовали как раз скрытые (вероятно, «остаточные») файлы.
Опыты я проводил в КриптоПро и в «Рутокен Плагин».
Корневой сертификат ставил тыкая на Windows в соответствующую ссылку в «Панели управления Рутокен». Я заметил, что он тесно интегрирован с КриптоПро. Может корневой сертификат сохранился только в КриптоПро и токен не пострадал .
#4 Ответ от Фатеева Светлана 2020-02-03 13:16:56
- Фатеева Светлана
- Техническая поддержка
- Неактивен
Re: Смысл процедуры форматирования Рутокен ЭЦП 2.0
Корневые сертификаты устанавливаются в локальное хранилище компьютера.
Посмотреть все установленные сертификаты можно через оснастку MMC Сертификаты
Для приведения рутокена в исходное состояние рекомендуем его отформатировать, при этом локальное хранилище сертификатов компьютера не очистится и все установленные корневые сертификаты будут по прежнему доступны.
Сообщений 4
Страницы 1
Как отформатировать рутокен и использовать снова
Обращаем ваше внимание, что при форматировании всё содержимое идентификатора Рутокен удаляется безвозвратно.
Если PIN-код модели Рутокен ЭЦП 2.0 Flash был заблокирован, то при форматировании удаляется и содержимое флеш-памяти.
Продукт Рутокен Диск после такого форматирования восстановлению не подлежит.
Продукт «Рутокен Диск» после форматирования станет недоступен для использования. Потребуется восстановление по инструкции.
Форматирование заблокированного Рутокена первой аппаратной версии (маркировки на торце носителя 0B0Z или 0D3Z ) невозможно. Если такой Рутокен будет заблокирован, необходимо приобрести новый идентификатор.
Установите Драйверы Рутокен по инструкции.
Откройте «Пуск» — («Настройка») — «Панель управления» — «Панель управления Рутокен» — вкладка «Администрирование»
Выберите кнопку «Ввести PIN-код» — выберите учетную запись «Администратор» и введите PIN-код.
По умолчанию PIN-код Администратора — 87654321
Если PIN-код Администратора неизвестен — требуется заблокировать Рутокен — для этого необходимо превысить допустимое количество попыток ввода PIN-кода Администратора.
После ввода верного PIN-кода Администратора (или после блокировки идентификатора) кнопка «Форматировать» становится активной.
Перед форматированием ключевого идентификатора Рутокен вы можете задать новые PIN-коды для Пользователя и Администратора.
Если оставить флаг «Использовать PIN-код по умолчанию», то будут установлены PIN-коды по умолчанию.
Также в данном окне вы можете установить дополнительные настройки безопасности:
«Минимальная длина PIN-кода» — ограничение минимальной длины PIN-кода, которую впоследствии можно будет устанавливать для данного идентификатора.
«Попытки ввода PIN-кода» — устанавливает количество попыток ввода PIN-кода, если количество попыток ввода исчерпано — учетная запись блокируется.
«Смену PIN-кода Пользователь может производить» — по умолчанию только сам Пользователь может сменить себе PIN-код, предварительно введя текущий, данный раздел позволяет установить другие права на возможность смены PIN-кода Пользователя.
После нажатия на кнопку «Начать» возникает предупреждение о том, что все данные на электронном идентификаторе Рутокен будут уничтожены. Если вы согласны с этим — выберите кнопку «ОК».
Не отключайте Рутокен и не прерывайте операцию форматирования.
Обратите, пожалуйста, внимание на то, что если операция форматирования Рутокена не будет завершена (Рутокен будет отключен, программа будет принудительно закрыта, питание компьютера будет выключено. ), это приведет к неработоспособности идентификатора.
После окончания операции форматирования появится следующее сообщение: «Форматирование успешно завершено».
Применение
Утилита rtAdmin версия 2.0 используется для автоматизации процедур форматирования и администрирования устройств Рутокен: смены метки токена, PIN-кодов и их параметров, управления разделами Flash-памяти.
При работе с утилитой рекомендуется не подключать больше одного устройства Рутокен.
Поддерживаемые модели
- Рутокен Lite
- Рутокен ЭЦП
- Рутокен ЭЦП 2.0
- Рутокен ЭЦП 2.0 2100
- Рутокен ЭЦП 2.0 3000
- Рутокен ЭЦП 3.0
- Смарт-карты Рутокен ЭЦП SC
- Смарт-карты Рутокен ЭЦП 2.0
- Смарт-карты Рутокен ЭЦП 3.0 NFC
- Рутокен ЭЦП PKI
- Рутокен ЭЦП 2.0 Flash
Модель Рутокен S в новой версии rtAdmin 2.0 не поддерживается. Если требуется работа с моделью Рутокен S используйте rtAdmin 1.3 в ОС Windows.
Для работы с семейством устройств Рутокен ЭЦП в Windows XP/2003/Vista/2008 – используйте rtAdmin 1.3,
Поддерживаемые платформы
- MS Windows 11/10/8.1/8/2012/7/2008R2
- MS Windows XP/2003/Vista/2008 – только в версии rtadmin 1.3
- GNU/Linux
- macOS
Ссылки на загрузку
Параметры
Утилита запускается из командной строки, её параметры представлены в таблице.
Обращаем ваше внимание, что при форматировании все содержимое Рутокена удаляется безвозвратно.
Если устройство имеет встроенную флеш-память, при форматировании данные с флеш-памяти так же будут удалены безвозвратно.
Пожалуйста, перед форматированием сделайте копию важной информации!
Значение по умолчанию используется только при форматировании без указания параметра -o
Значение по умолчанию используется только при форматировании без указания параметра -c
Значение по умолчанию используется только при форматировании без указания параметра -a
Значение по умолчанию используется только при форматировании без указания параметра -u
(для Рутокен PINPad. Устанавливается на экране устройства)
-G [длина PIN-кода (8-32)]
Файл загружается по адресу, который указан в значении параметра. В файле каждому PIN-коду соответствует отдельная строка.
При использовании этого параметра параметры -a, -u, -G, -g игнорируются
Политика смены PIN-кода пользователя
-p [кто может менять PIN-код:
1 – администратор,
2 – пользователь,
3 – пользователь и администратор]
Значение по умолчанию — 2
Минимальная длина PIN-кода администратора
1 для Рутокен S)]
Минимальная длина PIN-кода пользователя
-m [длина PIN-кода (6-31 для Рутокен ЭЦП и Рутокен Lite, 1 для Рутокен S)]
Максимальное количество попыток ввода PIN-кода администратора
Максимальное количество попыток ввода PIN-кода пользователя
Путь: каталог, в котором лежит утилита.
Имя файла: rtadmin.exe.log
Идентификатор локального пользователя указывать не нужно.
Разблокировать локальные PIN-коды и PIN-код пользователя. Для использования этого параметра необходим логин с текущим PIN-кодом администратора
-I (i в верхнем регистре)
[Использование: —set-expp (pin_policy_opt1) (value1) (
pin_policy_opt2) (value2) . ]
- MinPinLength – Минимальная длина PIN-кода: — 31 символ
- PinHistoryDepth – Глубина истории PIN-кодов Пользователя: 0-10
- AllowDefaultPinUsage – Разрешить использование PIN-кода по умолчанию: true/false
- PinContainsDigit – PIN-код содержит цифры: true/false
- PinContainsUpperLetter – PIN-код содержит прописные буквы: true/false
- PinContainsLowerLetter – PIN-код содержит строчные буквы: true/false
- PinContainsSpecChar – PIN-код содержит спец. символы. chars: true/false
- RestrictOneCharPin – Запретить PIN-код из повторяющегося символа: true/false
- AllowChangePinPolicy – Разрешить Администратору менять политики PIN-кодов: true/false
- RemovePinPolicyAfterFormat – Удалять политики PIN-кодов при форматировании: true/false
Серийный номер: dec Модель: Rutoken ECP\ Rutoken lite Память: dec в КБ/dec в КБ (свободная/всего) Длина PIN-кода Пользователя: dec/dec (мин/макс) Длина PIN-кода Администратора: dec/dec (мин/макс) Попытки ввода PIN-кода Пользователя: dec/dec (осталось/всего) Попытки ввода PIN-кода Администратора: dec/dec (осталось/всего)
Разбиение Flash-памяти на разделы (форматирование)
Форматирование удалит всю информацию с Flash-памяти. Сделайте копию важной информации — после форматирования ее будет невозможно восстановить.
-F
[идентификатор раздела (1-8)]
[размер в Мб]
[владелец: a — администратор, u — пользователь, l3-l9 — локальный пользователь]
весь объем (1DDC сейчас)
a
rw
Один параметр используется для одного раздела. Чтобы создать много разделов используется последовательность команд -F. Для создания раздела необходим PIN-код администратора. Если он не указан, то будет использован PIN-код по умолчанию
-C
[идентификатор раздела (1-8)]
[новые права доступа: ro, rw, hi, cd]
[долговременность: p — постоянное изменение, t — временное]
Для изменения прав используется PIN-код владельца раздела. Если PIN-код не указан, а владельцем раздела является администратор или пользователь, то будет использован PIN-код по умолчанию. Если
владельцем раздела является локальный пользователь, а его PIN-код не был указан с использованием команды -O, то произойдет ошибка
-i
[a — атрибуты всех разделов]
[1-8 — атрибуты конкретного раздела]
[sz — объем памяти]
Формат ответа – аналогично п. 27 Разбиение Flash-памяти на разделы (форматирование):
[идентификатор раздела (1-8)]
[размер в Мб]
[владелец: a — администратор, u — пользователь, l3-l9 — локальный пользователь]
[права доступа: ro, rw, hi, cd]
-B
[идентификатор локального пользователя (l3-l9)]
[PIN-код]
-O
[идентификатор локального пользователя (l3-l9)]
[PIN-код]
При необходимости параметры командной строки могут быть переданы с помощью конфигурационного файла.
В случае отсутствия заданных PIN-кодов при форматировании устанавливаются PIN-коды по умолчанию.
Утилита является циклической и после выполнения заданных действий на подключенном токене ожидает подключения следующего.
Форматирование
Утилита предоставляет пользователю возможность поточного форматирования токенов:
- Пользователь запускает утилиту, установив предварительно необходимые настройки в конфигурационном файле или задав опции в командной строке.
- Утилита форматирует обнаруженные токены, заносит результаты в лог-файл, ждет подключения следующего токена или команды прекращения работы (например, по нажатию на клавишу Enter).
- Результаты форматирования пишутся в лог.
Пользователь может запустить форматирование токенов с автоматической генерацией PIN-кода заданной длины, для этого он устанавливает соответствующую опцию в конфигурационном файле.
Пользователь может задать дефолтные значения PIN-кодов, тогда все токены будут иметь одинаковые PIN-коды.
Пользователь может задавать PIN-коды или генерировать их автоматически в кодировке UTF-8, установив соответствующую опцию в конфигурационном файле.
Пользователь может использовать заранее сгенерированные сторонними утилитами PIN-коды. Для этого в настройках он указывает файл, в котором хранится список сгенерированных PIN-кодов с символом перевода строки в качестве разделителя. PIN-коды должны быть записаны парами, например:
userpin adminpin userpin2 adminpin2 .
Смена PIN-кода
В зависимости от политик смены PIN-кода, указанных при форматировании, PIN-код пользователя могут изменить пользователь и(или) администратор.
Результаты смены PIN-кодов пишутся в лог. Если авторизоваться не удается, в лог-файл пишется ошибка. Поточная смена PIN-кодов не прерывается.
Пользователь может запустить смену PIN-кодов с автоматической генерацией новых PIN-кодов заданной длины, для этого он устанавливает соответствующий параметр. Пользователь может задать дефолтные значения PIN-кодов, тогда все токены будут иметь одинаковые PIN-коды.
Пользователь может задавать PIN-коды или генерировать их автоматически в кодировке UTF-8, установив соответствующую опцию в конфигурационном файле.
Пользователь может использовать заранее сгенерированные сторонними утилитами PIN-коды. Для этого в настройках он указывает файл, в котором хранится список сгенерированных PIN-кодов с символом перевода строки в качестве разделителя. PIN-коды должны быть записаны парами, например:
userpin adminpin userpin2 adminpin2 .
Протоколирование работы в лог-файл
Лог-файл представляет собой файл со строками следующего содержания:
1. В случае форматирования
ID токена
Результат форматирования
PIN-код администратора
PIN-код пользователя
В шестнадцатеричном и десятичном виде
PIN-код администратора, который был установлен при форматировании
PIN-код пользователя, который был установлен при форматировании
2. В случае смены PIN-кода
ID токена
Результат смены PIN-кодов
PIN-код
PIN-код
В шестнадцатеричном и десятичном виде
Admin/User/Local user pin change Failed/Passed
3. В случае форматирования Flash-памяти
ID токена
Результат форматирования
ID раздела
Объем раздела
В шестнадцатеричном и десятичном виде
Volume create Passed/
Failed
ID созданного раздела (01-08)
Объем раздела в Мб
4. В случае изменения атрибутов разделов Flash-памяти
ID токена
Результат
ID раздела
В шестнадцатеричном и десятичном виде
Volume access mode change Passed/
Failed
ID изменяемого раздела (01-08)
5. В случае получения информации об атрибутах разделов Flash-памяти
ID токена
Результат
ID раздела
В шестнадцатеричном и десятичном виде
Getting volume info Passed/
Failed
ID изменяемого раздела (01-08)
Пользователь может задавать имя лог-файла и его расположение. По умолчанию файл лежит в папке с утилитой и называется rtadmin.exe.log.
Если при повторном запуске утилиты пользователь не указал новое имя лог-файла, то старый файл дополняется.
Примеры использования
- Отформатировать один токен с параметрами по умолчанию (для поточного выполнения убрать флаг -q)
rtadmin.exe -f -q
rtadmin.exe -f -L RutokenLabel -u 123456789 -a 987654321 -q
conf.txt
rtadmin -f -L RutokenLabel -u 123456789 -a 987654321 -q
Запускаем утилиту с указанным именем конфигурационного файла в командной строке:
rtadmin.exe -n conf.txt
rtadmin.exe -f -p 2 -r 10 -R 3 -q
rtadmin.exe -f -m 8 -u 12345678 -M 9 -a 987654321 -q
rtadmin.exe -F 1 3783 u rw -q -a 87654321
rtadmin.exe -F 1 945 u rw -F 2 946 u ro -F 3 946 u cd -F 4 946 a hi -q -a 87654321
rtadmin.exe -C 1 ro p -q -u 12345678
rtadmin.exe -f -q -I -u stdin -a stdin
rtadmin.exe -f -S 3ca76d25 -q
rtadmin.exe --set-expp PinContainsDigit true MinPinLength 8
Форматирование токенов
Выберите тип пользователя «Администратор», указать соответствующий PIN-код, нажать «ОК»;
Нажмите «Форматировать», затем «Начать».
JaСarta
Форматирование PKI-области
В процессе инициализации все данные из памяти приложения на токене будут удалены.
-
Откройте «Единый клиент JaCarta» и перейдите в режим администрирования;
Перейдите в раздел «PKI», нажмите «Инициализировать»;
Введите PIN-код администратора, имя токена и новый PIN-код пользователя, нажмите «Выполнить». Если PIN-код не был задан, используйте стандартный PIN-код администратора для PKI-функционала: 00000000;
Появится предупреждение об удалении данных, нажмите «Продолжить»;
Дождитесь сообщения об успешной инициализации.
Полное форматирование
- При форматировании вся информация на токене будет потеряна;
- Пароли пользователя будут удалены и назначены снова.
- Подключите токен к компьютеру;
- Запустите «Единый Клиент JaCarta»;
- Переключитесь в режим администратора;
- Новые PIN-коды. Они будут установлены на токен после форматирования. При производстве носителя JaCarta LT не устанавливается PIN-код администратора. Можно ввести любое значение;
- Имя устройства;
Нажмите «Выполнить»;
JaCarta LT с установленным PIN-кодом администратора
Если вы установили на JaCarta LT PIN-код администратора и код был заблокирован или забыт, отформатировать такой токен в «Едином Клиенте JaCarta» нет возможности.
- Скачайте и установите JC-PROClient;
- Подключите токен к компьютеру;
- Запустите JC-PROClient;
- Нажмите «Инициализация»;
- Новые PIN-коды, их значения будут установлены как новые коды после форматирования;
- Имя устройства;
После успешного форматирования удалите JC-PROClient, чтобы дальше корректно управлять токеном через «Единый Клиент JaCarta».
Esmart
При форматировании вся информация с токена будет безвозвратно удалена.
- Подключите токен в USB порт компьютера;
- Перейдите в меню «Пуск» — «Панель управления» — «eSmartPKIClient» (можно загрузить из Личного кабинета);
- Выберете вкладку «Токен»;
- Нажмите «Инициализировать токен»;
- название токена;
- число попыток ввода PIN-кода пользователя и администратора.
eToken
При форматировании вся информация с токена будет безвозвратно удалена.
- Подключите токен в USB порт компьютера;
- Откройте программу «eTokenPKIClient»;
- Перейдите в раздел «Подробный вид», нажав изображение шестеренки
Выберете свой носитель eToken;
Нажмите «Инициализировать eToken»;
- Пароль пользователя;
- Пароль администратора;
Нажмите «ОК».