- Android
- KAZTOKEN
- KAZTOKEN micro
- KAZTOKEN Flash
- KAZTOKEN Type-C
- Смарт-карта KAZTOKEN
- Смарт-карта KAZTOKEN NFC
- NCALayer
- Актуальный (commonUtils)
- Устаревший (applet)
I Установка и запуск
-
1 Установить
из официального магазина приложений.
-
2 Открыть
установленное приложение.
-
3 Запустить
приложение нажав на переключатель.
-
4 Добавить
сертификат УЦ в список доверенных нажав на уведомление (детали в разделе FAQ).
II Подключение устройства
| Устройства с Type-C | Устройства с OTG (mirco/mini USB) | Bluetooth | NFC | |
|---|---|---|---|---|
| KAZTOKEN | Переходник (либо хаб) USB A на Type-C | OTG переходник | - | - |
| KAZTOKEN micro | Переходник (либо хаб) USB A на Type-C | OTG переходник | - | - |
| KAZTOKEN Flash | Переходник (либо хаб) USB A на Type-C | OTG переходник | - | - |
| KAZTOKEN Type-C | + | - | - | - |
| Смарт-карта KAZTOKEN | Type-C кардридер, либо обычный кардридер с переходником на Type-C | OTG кардридер, либо обычный кардридер с переходником на OTG | Считыватель ACS ACR3901 | - |
| Смарт-карта KAZTOKEN NFC | Type-C кардридер, либо обычный кардридер с переходником на Type-C | OTG кардридер, либо обычный кардридер с переходником на OTG | Считыватель ACS ACR3901 | + |
III Известные устройства (опционально)
1 Настроить
известные устройства очень легко.
Это позволит в дальнейшем пользоваться кнопкой "По умолчанию" на уведомлениях вместо того, чтобы выбирать сертификат и вводить ПИН код.
IV Использование
-
1 Уведомление
отображается всякий раз когда появляется необходимость что-то подписать.
-
2 Кнопка
быстрого подписания доступна в том случае, если настроены известные устройства.
-
3 Нажатие
на уведомление приведет к открытию окна приложения и перечислению подключенных устройств.
-
4 Устройства
будут отображены в выпадающем списке в верхней части экрана.
-
5 Сертификаты
находящиеся на выбранном устройстве будут доступны для выбора.
-
6 Детали
выбранного сертификата будут приведены в информационном окне.
-
7 ПИН код
должен быть введен для использования выбранного сертификата.
-
TLS сертификат не устанавливается автоматически, вместо этого приложение предлагает сохранить файл.
Это вызвано тем, что в новых версиях Android (11+) заблокирована возможность автоматически добавлять сертификаты в списки доверенных сертификатов операционной системы. Поэтому добавлять TLS сертификат приходится вручную, для того нужно:
- сохранить файл сертификата когда приложение предлагает это сделать;
- открыть настройки Android;
- перейти в Пароли и Безопасность -> Конфиденциальность -> Шифрование и учетные данные (в разных версиях и разных сборках названия могут отличаться);
- кликнуть на Установить (Установить сертификаты);
- выбрать сохраненный на первом шаге файл сертификата;
- подтвердить установку.
-
Приложение установлено и запущено, но подписывать не получается. Что мне делать?
В первую очередь удостовериться в том, что в списке уведомлений Android присутствует уведомление о том что приложение запущено. В том случае, если оно отсутствует, попробовать перезапустить приложение. Если перезапуск не помог, то лучше всего связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).
Далее следует попробовать открыть страницу https://127.0.0.1:13579.
В том случае, если браузер не открывает страницу и отображает уведомление о том, что страница не доступна, стоит проверить настройки прокси сервера в браузере.
Если же браузер отображает уведомление о том, что соединение не защищено (либо какое-то другое уведомление связанное с проблемами с установкой HTTP соединения), то стоит повторно добавить сертификат УЦ так, как это описано в резделе Как пользоваться.
Связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).
-
Что такое сертификат УЦ и зачем добавлять его в список доверенных?
Для взаимодействия с приложением KAZTOKEN mobile, так же, как и с NCALayer, браузеру необходимо установить с ним сетевое соединение. Так как большенство современных браузеров придерживаются определенных правил безопасности, то они не позволяют устанавливать не защищенные соединения со страниц, соединение с которыми защищещено.
То есть в том случае, если пользователь хочет открыть страницу https://egov.kz (HTTPS - защищенное соединение), то все дополнительные соединения с этой страницы так же должны быть защищены (т.е. использовать HTTPS). Именно для того, чтобы браузер мог устанавливать защищенное соединение с нашим приложением и нужен сертификат УЦ.
Обычно для организации защищенных соединений используются сертификаты выпущенные доверенными удостоверяющими центрами для серверов с фиксированным в сети интернет именем. Для использования нашего приложения необходимо установить защищенное соединение с самим устройством (телефоном, планшетом). Для этого браузер пытается установить защищенное соединение с https://localhost либо https://127.0.0.1. К сожалению, доверенные удостоверяющие центры не выдают сертификаты для указанных имен (адресов), так как они идентифицируют именно локальное устройство, а не сервер в сети интернет. Ни один УЦ таких сертификатов не выдает, так как эти URL не идентифицирую какой-то один определенный хост в сети интернет.
Общепринятым решением данной проблемы является генерация своего собственного сертификата и добавление его в список доверенных сертификатов. Именно это мы и делаем.
-
Ослабляет ли защиту мобильного устройства добавление сертификата внутреннего УЦ в список доверенных?
Мы постарались сделать все, что в наших силах для того, чтобы минимизировать возможные риски:
- сертификаты генерируются на каждом устройстве во время первого запуска приложения, мы не используем предварительно сгенерированные сертификаты;
- мы генерируем два сертификата: УЦ и сервиса;
- мы не храним закрытого ключа сертификата УЦ, он используется только один раз для выпуска сертификата сервиса;
- мы рекомендуем добавлять в список доверенных именно сертификат УЦ.
В том случае, если у вас остались какие-либо вопросы, обязательно свяжитесь с нами.
-
Я использую Firefox(Fennec) на своем мобильном устройстве, как мне настроить его для работы с KAZTOKEN mobile?
Браузер Firefox(Fennec) не использует системного списка доверенных сертификатов, у него свои списки. До середины 2020 года в браузере присутствовала возможность добавлять произвольные сертификаты в спиок доверенных, указав ссылку на сертификат, но позднее ее отключили.
В данный момент существует два способа работать в Firefox(Fennec):
1 Добавить исключения для ссылок по которым веб страницы взаимодействуют с KAZTOKEN mobile (и NCALayer, соответственно). Для этого нужно пройти по следующим ссылкам, браузер отобразит уведомление о проблеме с защитой соединения, нажать Дополнительно..., потом Принять риск и продолжить:
Важно: к сожалению в текущих реализациях браузера добавлять исключения приходится после каждого перезапуска.
2 Настроить браузер на использование системных список доверенных сертификатов. Для этого нужно открыть расширенные настройки браузера (ввести "about:config" в строке поиска), и включить опцию security.enterprise_roots.enabled.
Важно: к сожалению, пока что это можно сделать только в Nightly сборках браузера: https://www.mozilla.org/ru/firefox/channel/android/. Разработчики обещают добавить эту возможность в основную сборку в 2021 году.
Приложение KAZTOKEN mobile не собирает и не передает данные пользователей.
По вопросам технической поддержки как пользователей, так и разработчиков, обращайтесь в ТОО «Цифровой поток – Инновации»
Информацию об устройствах KAZTOKEN можно найти на сайте http://kaztoken.kz
Интерактивная документация по поддерживаемым API доступна по адресу http://kaztoken.kz/mobile-docs