Настройка новой компоненты криптографии для ЭСФ в 1С

16.08.2024
  • 9689
  • ID: -

    Date: 05:12:2024

  • <неавторизован>

Вашим коллегам были интересны эти материалы в последние два месяца:

В связи с переходом на новый формат ключей электронной цифровой подписи в Казахстане с 28 апреля 2024 года в состав типовых решений фирмы 1С для Казахстана включена новая библиотека криптографии, поддерживающая работу как с ключами прежнего формата - ГОСТ 2004, так и с ключами нового формата ГОСТ 2015

Новая компонента позволяет применить средства криптографии НУЦ РК для подписания документов в сервисах 1С:ЭСФ, 1С:Маркировка. 1С:ЭТД и др., в частности использовать:

  • NCALayer (рекомендуемый режим работы).

  • Или внешнюю библиотеку Kalkan НУЦ РК (применяется в случае, когда применение NCALayer по каким-либо причинам невозможно).

Выбор применяемого средства криптографии зависит от настройки Использовать внешнюю криптографию (Kalkan):

  •  при снятой опции – применяется NCALayer

  •  при установленной – применяется Kalkan. 

Что означает опция Использовать внешнюю криптографию (Kalkan) для компоненты

Рассмотрим детальнее настройки учетной системы для каждого варианта.

Настройка и применение NCALayer для подписания документов в 1С

Для работы в этом режиме, на компьютере пользователя должен быть установлен и запущен NCALayer.

NCALayer – бесплатный общедоступный программный продукт для работы с ЭЦП в государственных и негосударственных информационных системах, который можно скачать с официального сайта НУЦ РК по ссылке https://ncl.pki.gov.kz/

Для применения NCALayer  в программных продуктах 1С необходимо установить модуль 1С-Рейтинг ЭДО. Для этого нужно открыть меню управления модулями в NCALayer. Если модуль 1С-Рейтинг ЭДО не установлен или имеет неактуальную версию, то необходимо установить актуальную версию модуля.  

Управление модулями NCALayer


Для применения NCA Layer в учетной системе в настройке обмена ЭСФ необходимо отключить опцию применения Kalkan

Приложение NCALayer в общем случае предполагает, что ключ ЭЦП и пароль к нему вводятся непосредственно в NCALayer. Это наиболее безопасный метод работы, защищающий данные ключа ЭЦП пользователя и минимизирующий риски его утечки или неправомерного использования. 

Поэтому, несмотря на трудоемкость и необходимость ввода пароля при каждом подписании, это рекомендуемый метод работы с точки зрения информационной безопасности. 

При этом приложение NCALayer позволяет сохранять пути к ключевым хранилищам и, вместо необходимости постоянного указания пути к файлу ЭЦП, можно выбирать нужный ключ из ранее сохраненного списка.

Для этого в настройках NCALayer можно установить настройку сохранения пути к файлу ключа.

Можно ли сохранять ключ в NCALayer

В этом случае при подписании вместо указания пути к файлу ключа, можно будет выбрать нужный ключ ЭЦП из списка сохраненных ключей. 


Настройка и применение Kalkan для подписания документов в 1С

В случаях, когда применение NCALayer технически невозможно (например, при работе пользователя в терминальных сессиях), в учетной системе есть возможность подключения внешней библиотеки Kalkan (НУЦ РК). 

Библиотека Калкан входит в поставку комплекта разработчика (SDK), предоставляемой НУЦ РК по запросу компании.

Подключение библиотеки Kalkan НУЦ РК к учетной системе 1С лучше рекомендуется выполнять техническому специалисту, партнеру 1С, обслуживающему учетную систему компании, так как этот процесс требует участия квалифицированного IT-специалиста. Его имеет смысл применять только в тех случаях, когда применение NCALayer по каким-либо причинам невозможно.

Для применения Kalkan в учетной системе нужно:

1.  Получить комплект разработчика НУЦ РК. Для этого требуется оформить запрос компании по ссылке  https://sdk.pki.gov.kz/

При заполнении заявки рекомендуется учесть, что:

  • Передача получаемого комплекта разработчика третьим лицам запрещена владельцем системы (НУЦ РК). Т.е. нельзя получить комплект разработчика от имени одной компании или физического лица и передать его другой компании или физическому лицу. Каждая компания получает свой экземпляр комплекта разработчика.

  • Если компания является пользователем программных продуктов на платформе 1С:Предприятие и запрашивает комплект разработчика НУЦ РК в целях подключения библиотеки Калкан в учетной системе (например, в случаях, когда применение NCALayer технически невозможно), то в качестве информационной системы в заявке рекомендуется указывать формулировку «Пользователь 1С».

  • В качестве контактного лица в заявке рекомендуется указывать контактные данные компании, не зависящие от конкретного сотрудника, так как информация об обновлениях комплекта разработчика будет в дальнейшем поступать на электронную почту, указанную в исходной заявке компании.

2. Библиотека Kalkan, подключаемая к учетной системе, расположена в каталоге с C-библиотеками SDK НУЦ РК:

  • в каталоге SDK 2.0\C\Windows\KalkanCrypt_С\lib (для операционной системы Windows); 

  • или в каталоге SDK 2.0\C\Linux\C\libs (для операционной системы Linux).

Для подключения к учетной системе, необходимо добавить к имени библиотеки постфикс разрядности операционной системы, для которой предназначена библиотека (если такой постфикс отсутствует в имени библиотеки), и разместить файл в системном каталоге библиотек операционной системы.

Например, для 64-разрядной операционной системы Windows:

  • Для файла с 64-разрядной версии библиотеки, расположенного в каталоге SDK «SDK 2.0\C\Windows\KalkanCrypt_С\lib\x64», добавляется постфикс «64» к имени файла, т.е. файл KalkanCrypt.dll переименовываем в KalkanCrypt64.dll.

  • Для файла с 32-разрядной версии библиотеки, расположенного в каталоге SDK «\SDK 2.0\C\Windows\KalkanCrypt_С\lib\x86», добавляется постфикс «32», т.е. файл KalkanCrypt.dll переименовываем в KalkanCrypt32.dll.

  • Файл KalkanCrypt64.dll размещаем в каталоге «Windows\System32» (системном каталоге библиотек операционной системы)

  • Библиотеку KalkanCrypt32.dll необходимо разместить в каталоге «Windows\SysWOW64» (системном каталоге 32-разрядных версий библиотек в 64-разрядных ОС).

Для 64-разрядной операционной системы Linux:

  • Файл библиотеки уже имеет постфикс разрядности, самостоятельное добавление постфикса не требуется.

  • Файл libkalkancryptwr-64.so.2.0.12 (нужной версии) нужно разместить в каталоге библиотек операционной системы (например, в каталоге /usr/lib/) и создать симлинк для библиотеки с именем libkalkancryptwr-64.so.

Важно!

 В SDK НУЦ РК могут поставляться две версии библиотеки Kalkan. Например, версия  2.0.2 (сертифицированная) и последняя актуальная версия – например, 2.0.12 (версия  от 14 марта 2024 года). 

В общем случае рекомендуется устанавливать последнюю, наиболее актуальную версию, за исключением случаев, когда служба технической поддержки рекомендует применение конкретной версии.


3. Установить корневые сертификаты НУЦ РК.

Сертификаты можно получить на портале НУЦ РК по адресу https://pki.gov.kz/cert/. Необходимо скачать и установить корневые сертификаты КУЦ и НУЦ, GOST и RSA, старого и нового форматов (все 8 файлов на вышеуказанной странице).

Корневые сертификаты  Корневого Удостоверяющего Центра Республики Казахстан рекомендуется установить в хранилище доверенных корневых центров сертификации пользователя, в операционной системе которого будет применяться библиотека. Корневые сертификаты Национального удостоверяющего центра  - в хранилище по умолчанию (обычно это Промежуточные центры сертификации для текущего пользователя).

Применение новой компоненты криптографии в типовых решениях

В учетной базе могут быть установлены и настроены обе компоненты криптографии одновременно

Учетная система определяет применяемую компоненту криптографии в зависимости от настроек, регулирующих применяемый метод аутентификации в ИС ЭСФ и от опции применения новой компоненты при подписании документов.

Во всех операциях применяется «старая» компонента криптографии (версии 1.8), если:

  • Снята опция Использовать открытие сессии с подписью.

  • И снята опция Использовать криптографию НУЦ РК для подписи документов.

В этом случае все пользователи информационной базы могут работать только с ключами ЭЦП  прежней версии (RSA, ГОСТ 2004). Так как компонента криптографии версии 1.8 не поддерживает работу с ключами ЭЦП нового формата.

Во всех операциях информационной базы применяется «новая» компонента криптографии, если:

  • Установлена опция Использовать открытие сессии с подписью

  • И установлена опция Использовать криптографию НУЦ РК для подписи документов.

В этом случае пользователи информационной базы смогут работать как с ключами прежнего формата (RSA, ГОСТ 2004), так и с ключами ЭЦП нового формата (ГОСТ 2015)


Таким образом, в случае если какому-либо пользователю информационной базы необходимо применение ключей ЭЦП нового формата, в учетной системе необходимо выполнить настройки для применения новой библиотеки криптографии, в частности:

  • Установить опции Использовать открытие сессии с подписью и Использовать криптографию НУЦ РК для подписи документов.

  • И настроить средства криптографии НУЦ РК.


  • (9689)

База знаний

Комментировать материалы сайта могут зарегистрированные пользователи.
Вход с помощью STSL

2 комментариев


  • Екатерина Компанец
    04.09.2024
    [0]
    |
    [0]
    здравствуйте. организация получила ЭЦП нового формата, все настройки сделаны, согласно статье, но при проверки входа на ИС ЭСФ выходит такая ошибка Код ВК: 300. Тех. информация: {"timestamp":"2024-09-03T12:01:06Z","status":500,"error":"Internal Server Error","message":"query did not return a unique result: 2; nested exception is javax.persistence.NonUniqueResultException: query did not return a unique result: 2","path":"/service/esf/v1/checkForOptionAvailability"}
    на сайт ЭСФ этими ключами зашли без проблем. Более того, другая организация в этой же базе без проблем получает ЭСФ. подскажите пожалуйста, в чем может быть проблема? конфигурация БК 3.0.56
    Марина Девяткина
    04.09.2024
    [0]
    |
    [0]
    Пожалуйста, направьте ваше обращение (с подробным описанием и скринами) на официальную линию техподдержки - hotline@1c-rating.kz