26 ноября 2023 года Информационная система электронных счетов-фактур (ИС ЭСФ) перешла на новый криптографический стандарт ГОСТ 2015. ГОСТ 2015 – это единый ключ для подписи и аутентификации.
Для пользователей с ключами старого формата ГОСТ 2004 (AUTH – для аутентификации, RSA/GOSTKNCA – для подписи) текущий метод аутентификации будет доступен до истечения срока действия ключей.
В связи с изменениями политики безопасности системы ИС ЭСФ в конфигурацию добавлена новая настройка «Внешняя криптография (Kalkan) для компоненты» для использования в качестве криптографии библиотеки KalkanCrypt.
Если в вашей 1С настроен прямой обмен с ИС ЭСФ компонента Kalkan позволит поддержать новый метод аутентификации и работать с ключами формата ГОСТ 2015. Также эта настройка позволяет использовать режим криптографических операций «На сервере 1С:Предприятие» в случае работы базы в клиент-серверном варианте.
Настройте интеграцию ИС ЭСФ с 1С, работайте в едином окне. Спрашивайте у менеджера Первого Бита.
На первый взгляд изменение кажется сугубо техническим, но, поскольку, оно влияет на работу пользователя, и потребует не только установку обновленных версий типового решения 1С, но и выполнение дополнительных настроек и в учетной системе, и на рабочем месте пользователя, то обсудим его подробнее.
Аутентификация - это проверка подлинности пользователя при входе в систему
Например, при работе на портале ИС ЭСФ в момент нажатия на кнопку «Войти в систему», происходит процесс аутентификации.
Чтобы подтвердить свою личность пользователь указывает свой сертификат для аутентификации и вводит логин/пароль для входа в систему.
Только после этого, в случае если аутентификация прошла успешно, пользователь может выполнять какие-либо действия на портале ИС ЭСФ.
В типовых решениях 1С процесс аутентификации происходит немного иначе.
В настройке пользователя ИС ЭСФ существует возможность сохранить открытый сертификат для входа в ИС ЭСФ (сертификат для аутентификации). А также указать логин и пароль для входа в ИС ЭСФ (это не обязательно, но такая возможность есть).
Если все необходимые данные указаны в профиле пользователя ИС ЭСФ, то система автоматически инициирует процесс аутентификации в случаях, когда это необходимо для подключения к системе ИС ЭСФ (например, в момент отправки, получения или обновления документов).
Если не указаны – данные запрашиваются у пользователя при каждом сеансе подключения к ИС ЭСФ.
Любое взаимодействие учетной системы с ИС ЭСФ требуется наличие активной сессии пользователя в системе.
Чтобы открыть сессию (условно говоря «провести сеанс связи»), требуется аутентифицировать пользователя.
Например, когда выполняется отправка ЭСФ (пользователь нажимает на кнопку «Отправить» в ИС ЭСФ), учетная система обязательно проверит есть ли уже открытая сессия, и, если ее нет, то:
-
сначала инициирует открытие
-
затем выполнит действие, которое требуется пользователю (отправит ЭСФ)
-
затем закроет сессию.
Т.е. за каждым действием подключения к ИС ЭСФ, стоит большой многоэтапный процесс. И аутентификация пользователя – важный начальным этап, без которого никакие дальнейшие действия в системе невозможны.
Поэтому изменения в нем, влияют на всю работу пользователя типового решения с ИС ЭСФ.
И изменения, произведенные КГД, касаются очень важного шага – входа в систему ИС ЭСФ в рамках процедур прямого обмена данными. Без успешного выполнения этого шага никакие дальнейшие действия в системе будут невозможны.
Таким образом, ключевое отличие нового метода в необходимости подписания ЭЦП (ключом для аутентификации) при каждом открытии сессии в ИС ЭСФ.
Хранение ключей подписи в информационной базе в типовых решениях не применяется исходя из требований по безопасности. В этой связи, при переходе на новый метод аутентификации в типовых решениях в случае необходимости инициирования новой сессии, системе потребуется запросить у пользователя подпись в целях аутентификации.
По сути речь о том, что при отправке нового документа, например, потребуется:
- Выбрать ключ аутентификации для подписи авторизационного сообщения и открытия сессии.
- Выбрать ключ подписи для подписания отправляемого документа.
А так же о том, что система будет запрашивать ключ аутентификации и при таких действиях как обновление статуса ранее отправленного документа или загрузки входящих документов, обновления справочников ИС ЭСФ и т.д.
Внимание! Библиотека KalkanCrypt не входит в комплект типового решения 1С, так как её публикация и распространение запрещены владельцем. По вопросам настройки Библиотеки KalkanCrypt обращайтесь к менеджеру Первого Бита.
Для использования библиотеки в учетной системе необходимо:
- Поместить библиотеку KalkanCrypt.dll (из каталога KalkanCrypt_С СДК НУЦ) в системный каталог, соответствующий разрядности библиотеки.
- Установить корневые сертификаты НУЦ РК в операционную систему.
Если криптографические операции выполняются на сервере, эти действия нужно выполнить на сервере. Если операции проводятся на компьютере пользователя, данные действия необходимо произвести в операционной системе каждого пользователя.
Компонент для работы со средствами криптографии НУЦ РК должен быть обновлен до версии 5.25. В настоящее время внешняя компонента, включая работу на сервере, поддерживается только в операционных системах Windows (начиная с версии Windows 7).
Для обновления решений 1С, до последнего релиза, поддерживающего библиотеку KalkanCrypt обращайтесь к менеджеру Первого Бита.
Для подключения новой настройки необходимо наличие установленной внешней компоненты для работы со средствами криптографии НУЦ РК. Установка происходит автоматически при первом обращении.
В зависимости от настроек использования компоненты и включенного режима криптографии KalkanCrypt, пользователю может потребоваться выбор ключей ЭЦП для аутентификации и подписания. Выбор ключа аутентификации обязателен при включенной опции «Использовать открытие сессии с подписью» для всех операций, требующих открытия сессии ИС ЭСФ, так как используется новый метод аутентификации ИС ЭСФ.
Если активирована настройка «Использовать криптографию НУЦ РК для подписи документов», то при отправке документов и выполнении других действий в системе ИС ЭСФ, требующих подписи, пользователь должен выбрать ключ для подписи.
Когда включены обе настройки — «Использовать открытие сессии с подписью» и «Использовать криптографию НУЦ РК для подписи документов», пользователю потребуется выбрать оба ключа (аутентификации и подписи) для операций, связанных с подписанием документов или других действий в системе ИС ЭСФ.
Варианты использования новой настройки «Использовать внешнюю криптографию (Kalkan) для компоненты» при отправке документов:
- Настройки «Использовать открытие сессии с подписью» и «Использовать криптографию НУЦ РК для подписи документов» включены одновременно с новой настройкой. В этом случае при выполнении операций с электронными документами в 1С пользователю будет отображаться окно «Установка параметров ЭСФ», где нужно выбрать ключи подписи документа и аутентификации, ввести пароли от ключей и, при необходимости, сохранить использование этих ключей на время сеанса.
- Выбрана настройка «Использовать открытие сессии с подписью» вместе с новой настройкой. В этом случае также будет отображаться окно «Установка параметров ЭСФ» для выбора ключа подписи документа и аутентификации, ввода паролей и сохранения их на время сеанса.
- Настройка «Использовать криптографию НУЦ РК для подписи документов» выбрана одновременно с новой настройкой. Пользователь увидит окно «Установка параметров ЭСФ», где необходимо выбрать сертификат подписи и ввести пароль, с возможностью сохранения на время сеанса.
Внимание! При работе с компонентой, использующей средства криптографии НУЦ РК, важно учитывать, что ключ должен принадлежать пользователю, чей ИИН указан в профиле пользователя ИС ЭСФ.
