Настройка новой компоненты криптографии для ЭСФ в 1С

В связи с переходом на новый формат ключей электронной цифровой подписи в Казахстане с 28 апреля 2024 года в состав типовых решений фирмы 1С для Казахстана включена новая библиотека криптографии, поддерживающая работу как с ключами прежнего формата - ГОСТ 2004, так и с ключами нового формата ГОСТ 2015. 

Новая компонента позволяет применить средства криптографии НУЦ РК для подписания документов в сервисах 1С:ЭСФ, 1С:Маркировка. 1С:ЭТД и др., в частности использовать:

• NCALayer (рекомендуемый режим работы).

• Или внешнюю библиотеку Kalkan НУЦ РК (применяется в случае, когда применение NCALayer по каким-либо причинам невозможно).

Выбор применяемого средства криптографии зависит от настройки Использовать внешнюю криптографию (Kalkan):

•  при снятой опции – применяется NCALayer

•  при установленной – применяется Kalkan. 

Рассмотрим детальнее настройки учетной системы для каждого варианта.

Настройка и применение NCALayer для подписания документов в 1С

Для работы в этом режиме, на компьютере пользователя должен быть установлен и запущен NCALayer.

NCALayer – бесплатный общедоступный программный продукт для работы с ЭЦП в государственных и негосударственных информационных системах, который можно скачать с официального сайта НУЦ РК по ссылке https://ncl.pki.gov.kz/

Для применения NCALayer  в программных продуктах 1С необходимо установить модуль 1С-Рейтинг ЭДО. Для этого нужно открыть меню управления модулями в NCALayer. Если модуль 1С-Рейтинг ЭДО не установлен или имеет неактуальную версию, то необходимо установить актуальную версию модуля.  

Для применения NCA Layer в учетной системе в настройке обмена ЭСФ необходимо отключить опцию применения Kalkan. 

Приложение NCALayer в общем случае предполагает, что ключ ЭЦП и пароль к нему вводятся непосредственно в NCALayer. Это наиболее безопасный метод работы, защищающий данные ключа ЭЦП пользователя и минимизирующий риски его утечки или неправомерного использования. 

Поэтому, несмотря на трудоемкость и необходимость ввода пароля при каждом подписании, это рекомендуемый метод работы с точки зрения информационной безопасности. 

При этом приложение NCALayer позволяет сохранять пути к ключевым хранилищам и, вместо необходимости постоянного указания пути к файлу ЭЦП, можно выбирать нужный ключ из ранее сохраненного списка.

Для этого в настройках NCALayer можно установить настройку сохранения пути к файлу ключа.

В этом случае при подписании вместо указания пути к файлу ключа, можно будет выбрать нужный ключ ЭЦП из списка сохраненных ключей. 

Настройка и применение Kalkan для подписания документов в 1С

В случаях, когда применение NCALayer технически невозможно (например, при работе пользователя в терминальных сессиях), в учетной системе есть возможность подключения внешней библиотеки Kalkan (НУЦ РК). 

Библиотека Калкан входит в поставку комплекта разработчика (SDK), предоставляемой НУЦ РК по запросу компании.

Подключение библиотеки Kalkan НУЦ РК к учетной системе 1С лучше рекомендуется выполнять техническому специалисту, партнеру 1С, обслуживающему учетную систему компании, так как этот процесс требует участия квалифицированного IT-специалиста. Его имеет смысл применять только в тех случаях, когда применение NCALayer по каким-либо причинам невозможно.

Для применения Kalkan в учетной системе нужно:

1.  Получить комплект разработчика НУЦ РК. Для этого требуется оформить запрос компании по ссылке  https://sdk.pki.gov.kz/

При заполнении заявки рекомендуется учесть, что:

• Передача получаемого комплекта разработчика третьим лицам запрещена владельцем системы (НУЦ РК). Т.е. нельзя получить комплект разработчика от имени одной компании или физического лица и передать его другой компании или физическому лицу. Каждая компания получает свой экземпляр комплекта разработчика.

• Если компания является пользователем программных продуктов на платформе 1С:Предприятие и запрашивает комплект разработчика НУЦ РК в целях подключения библиотеки Калкан в учетной системе (например, в случаях, когда применение NCALayer технически невозможно), то в качестве информационной системы в заявке рекомендуется указывать формулировку «Пользователь 1С».

• В качестве контактного лица в заявке рекомендуется указывать контактные данные компании, не зависящие от конкретного сотрудника, так как информация об обновлениях комплекта разработчика будет в дальнейшем поступать на электронную почту, указанную в исходной заявке компании.

2. Библиотека Kalkan, подключаемая к учетной системе, расположена в каталоге с C-библиотеками SDK НУЦ РК:

• в каталоге SDK 2.0\C\Windows\KalkanCrypt_С\lib (для операционной системы Windows); 

• или в каталоге SDK 2.0\C\Linux\C\libs (для операционной системы Linux).

Для подключения к учетной системе, необходимо добавить к имени библиотеки постфикс разрядности операционной системы, для которой предназначена библиотека (если такой постфикс отсутствует в имени библиотеки), и разместить файл в системном каталоге библиотек операционной системы.

Например, для 64-разрядной операционной системы Windows:

• Для файла с 64-разрядной версии библиотеки, расположенного в каталоге SDK «SDK 2.0\C\Windows\KalkanCrypt_С\lib\x64», добавляется постфикс «64» к имени файла, т.е. файл KalkanCrypt.dll переименовываем в KalkanCrypt64.dll.

• Для файла с 32-разрядной версии библиотеки, расположенного в каталоге SDK «\SDK 2.0\C\Windows\KalkanCrypt_С\lib\x86», добавляется постфикс «32», т.е. файл KalkanCrypt.dll переименовываем в KalkanCrypt32.dll.

• Файл KalkanCrypt64.dll размещаем в каталоге «Windows\System32» (системном каталоге библиотек операционной системы)

• Библиотеку KalkanCrypt32.dll необходимо разместить в каталоге «Windows\SysWOW64» (системном каталоге 32-разрядных версий библиотек в 64-разрядных ОС).

Для 64-разрядной операционной системы Linux:

• Файл библиотеки уже имеет постфикс разрядности, самостоятельное добавление постфикса не требуется.

• Файл libkalkancryptwr-64.so.2.0.12 (нужной версии) нужно разместить в каталоге библиотек операционной системы (например, в каталоге /usr/lib/) и создать симлинк для библиотеки с именем libkalkancryptwr-64.so.

3. Установить корневые сертификаты НУЦ РК.

Сертификаты можно получить на портале НУЦ РК по адресу https://pki.gov.kz/cert/. Необходимо скачать и установить корневые сертификаты КУЦ и НУЦ, GOST и RSA, старого и нового форматов (все 8 файлов на вышеуказанной странице).

Корневые сертификаты  Корневого Удостоверяющего Центра Республики Казахстан рекомендуется установить в хранилище доверенных корневых центров сертификации пользователя, в операционной системе которого будет применяться библиотека. Корневые сертификаты Национального удостоверяющего центра  - в хранилище по умолчанию (обычно это Промежуточные центры сертификации для текущего пользователя).

Применение новой компоненты криптографии в типовых решениях

В учетной базе могут быть установлены и настроены обе компоненты криптографии одновременно. 

Учетная система определяет применяемую компоненту криптографии в зависимости от настроек, регулирующих применяемый метод аутентификации в ИС ЭСФ и от опции применения новой компоненты при подписании документов.

Во всех операциях применяется «старая» компонента криптографии (версии 1.8), если:

• Снята опция Использовать открытие сессии с подписью.

• И снята опция Использовать криптографию НУЦ РК для подписи документов.

В этом случае все пользователи информационной базы могут работать только с ключами ЭЦП  прежней версии (RSA, ГОСТ 2004). Так как компонента криптографии версии 1.8 не поддерживает работу с ключами ЭЦП нового формата.

Во всех операциях информационной базы применяется «новая» компонента криптографии, если:

• Установлена опция Использовать открытие сессии с подписью

• И установлена опция Использовать криптографию НУЦ РК для подписи документов.

В этом случае пользователи информационной базы смогут работать как с ключами прежнего формата (RSA, ГОСТ 2004), так и с ключами ЭЦП нового формата (ГОСТ 2015). 

Таким образом, в случае если какому-либо пользователю информационной базы необходимо применение ключей ЭЦП нового формата, в учетной системе необходимо выполнить настройки для применения новой библиотеки криптографии, в частности:

• Установить опции Использовать открытие сессии с подписью и Использовать криптографию НУЦ РК для подписи документов.

• И настроить средства криптографии НУЦ РК.