Приложение KAZTOKEN mobile позволит Вам пользоваться Вашими устройствами KAZTOKEN (USB или смарт-картами) на Ваших мобильных устройствах.


# Возможности


Поддерживаемые ОС
  • Android
Поддерживаемые устройства
  • KAZTOKEN
  • KAZTOKEN micro
  • KAZTOKEN Flash
  • KAZTOKEN Type-C
  • Смарт-карта KAZTOKEN
  • Смарт-карта KAZTOKEN NFC
Поддерживаемые API
  • NCALayer
    • Актуальный (commonUtils)
    • Устаревший (applet)


# Как пользоваться



I Установка и запуск


  • 1 Установить

    из официального магазина приложений.

  • 2 Открыть

    установленное приложение.

  • 3 Запустить

    приложение нажав на переключатель.

  • 4 Добавить

    сертификат УЦ в список доверенных нажав на уведомление (детали в разделе FAQ).


II Подключение устройства


Устройства с Type-C Устройства с OTG (mirco/mini USB) Bluetooth NFC
KAZTOKEN Переходник (либо хаб) USB A на Type-C OTG переходник - -
KAZTOKEN micro Переходник (либо хаб) USB A на Type-C OTG переходник - -
KAZTOKEN Flash Переходник (либо хаб) USB A на Type-C OTG переходник - -
KAZTOKEN Type-C + - - -
Смарт-карта KAZTOKEN Type-C кардридер, либо обычный кардридер с переходником на Type-C OTG кардридер, либо обычный кардридер с переходником на OTG Считыватель ACS ACR3901 -
Смарт-карта KAZTOKEN NFC Type-C кардридер, либо обычный кардридер с переходником на Type-C OTG кардридер, либо обычный кардридер с переходником на OTG Считыватель ACS ACR3901 +

III Известные устройства (опционально)


1 Настроить

известные устройства очень легко.

Это позволит в дальнейшем пользоваться кнопкой "По умолчанию" на уведомлениях вместо того, чтобы выбирать сертификат и вводить ПИН код.


IV Использование


  • 1 Уведомление

    отображается всякий раз когда появляется необходимость что-то подписать.

  • 2 Кнопка

    быстрого подписания доступна в том случае, если настроены известные устройства.

  • 3 Нажатие

    на уведомление приведет к открытию окна приложения и перечислению подключенных устройств.

  • 4 Устройства

    будут отображены в выпадающем списке в верхней части экрана.

  • 5 Сертификаты

    находящиеся на выбранном устройстве будут доступны для выбора.

  • 6 Детали

    выбранного сертификата будут приведены в информационном окне.

  • 7 ПИН код

    должен быть введен для использования выбранного сертификата.



# Частые вопросы


  • TLS сертификат не устанавливается автоматически, вместо этого приложение предлагает сохранить файл.

    Это вызвано тем, что в новых версиях Android (11+) заблокирована возможность автоматически добавлять сертификаты в списки доверенных сертификатов операционной системы. Поэтому добавлять TLS сертификат приходится вручную, для того нужно:

    • сохранить файл сертификата когда приложение предлагает это сделать;
    • открыть настройки Android;
    • перейти в Пароли и Безопасность -> Конфиденциальность -> Шифрование и учетные данные (в разных версиях и разных сборках названия могут отличаться);
    • кликнуть на Установить (Установить сертификаты);
    • выбрать сохраненный на первом шаге файл сертификата;
    • подтвердить установку.

  • Приложение установлено и запущено, но подписывать не получается. Что мне делать?

    В первую очередь удостовериться в том, что в списке уведомлений Android присутствует уведомление о том что приложение запущено. В том случае, если оно отсутствует, попробовать перезапустить приложение. Если перезапуск не помог, то лучше всего связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).

    Далее следует попробовать открыть страницу https://127.0.0.1:13579.

    В том случае, если браузер не открывает страницу и отображает уведомление о том, что страница не доступна, стоит проверить настройки прокси сервера в браузере.

    Если же браузер отображает уведомление о том, что соединение не защищено (либо какое-то другое уведомление связанное с проблемами с установкой HTTP соединения), то стоит повторно добавить сертификат УЦ так, как это описано в резделе Как пользоваться.

    Связаться с нашей технической поддержкой (о том как это сделать читайте в разделе Контакты).

  • Что такое сертификат УЦ и зачем добавлять его в список доверенных?

    Для взаимодействия с приложением KAZTOKEN mobile, так же, как и с NCALayer, браузеру необходимо установить с ним сетевое соединение. Так как большенство современных браузеров придерживаются определенных правил безопасности, то они не позволяют устанавливать не защищенные соединения со страниц, соединение с которыми защищещено.

    То есть в том случае, если пользователь хочет открыть страницу https://egov.kz (HTTPS - защищенное соединение), то все дополнительные соединения с этой страницы так же должны быть защищены (т.е. использовать HTTPS). Именно для того, чтобы браузер мог устанавливать защищенное соединение с нашим приложением и нужен сертификат УЦ.

    Обычно для организации защищенных соединений используются сертификаты выпущенные доверенными удостоверяющими центрами для серверов с фиксированным в сети интернет именем. Для использования нашего приложения необходимо установить защищенное соединение с самим устройством (телефоном, планшетом). Для этого браузер пытается установить защищенное соединение с https://localhost либо https://127.0.0.1. К сожалению, доверенные удостоверяющие центры не выдают сертификаты для указанных имен (адресов), так как они идентифицируют именно локальное устройство, а не сервер в сети интернет. Ни один УЦ таких сертификатов не выдает, так как эти URL не идентифицирую какой-то один определенный хост в сети интернет.

    Общепринятым решением данной проблемы является генерация своего собственного сертификата и добавление его в список доверенных сертификатов. Именно это мы и делаем.

  • Ослабляет ли защиту мобильного устройства добавление сертификата внутреннего УЦ в список доверенных?

    Мы постарались сделать все, что в наших силах для того, чтобы минимизировать возможные риски:

    • сертификаты генерируются на каждом устройстве во время первого запуска приложения, мы не используем предварительно сгенерированные сертификаты;
    • мы генерируем два сертификата: УЦ и сервиса;
    • мы не храним закрытого ключа сертификата УЦ, он используется только один раз для выпуска сертификата сервиса;
    • мы рекомендуем добавлять в список доверенных именно сертификат УЦ.

    В том случае, если у вас остались какие-либо вопросы, обязательно свяжитесь с нами.

  • Я использую Firefox(Fennec) на своем мобильном устройстве, как мне настроить его для работы с KAZTOKEN mobile?

    Браузер Firefox(Fennec) не использует системного списка доверенных сертификатов, у него свои списки. До середины 2020 года в браузере присутствовала возможность добавлять произвольные сертификаты в спиок доверенных, указав ссылку на сертификат, но позднее ее отключили.

    В данный момент существует два способа работать в Firefox(Fennec):

    1 Добавить исключения для ссылок по которым веб страницы взаимодействуют с KAZTOKEN mobile (и NCALayer, соответственно). Для этого нужно пройти по следующим ссылкам, браузер отобразит уведомление о проблеме с защитой соединения, нажать Дополнительно..., потом Принять риск и продолжить:

    Важно: к сожалению в текущих реализациях браузера добавлять исключения приходится после каждого перезапуска.

    2 Настроить браузер на использование системных список доверенных сертификатов. Для этого нужно открыть расширенные настройки браузера (ввести "about:config" в строке поиска), и включить опцию security.enterprise_roots.enabled.

    Важно: к сожалению, пока что это можно сделать только в Nightly сборках браузера: https://www.mozilla.org/ru/firefox/channel/android/. Разработчики обещают добавить эту возможность в основную сборку в 2021 году.



# Политика конфиденциальности


Приложение KAZTOKEN mobile не собирает и не передает данные пользователей.



# Контакты


По вопросам технической поддержки как пользователей, так и разработчиков, обращайтесь в ТОО «Цифровой поток – Инновации»

Информацию об устройствах KAZTOKEN можно найти на сайте http://kaztoken.kz

Интерактивная документация по поддерживаемым API доступна по адресу http://kaztoken.kz/mobile-docs