409971 и в Справочном центре Linux для Astra

409971 и в Справочном центре Linux для Astra Электронная цифровая подпись

Установка КриптоПРО CSP

В случае, если у вас отсутствуют предустановленные криптопровайдеры, нажмите на ссылку «КриптоПРО 5. 0» или «КриптоПРО 4. 0» ниже для загрузки файла установки КриптоПРО на компьютер.

После окончания загрузки, запустите файл установки КриптоПРО и установите его с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

409971 и в Справочном центре Linux для Astra

Рис. 1 – Установка КриптоПРО

Пропустите окно, нажав «ОК» или «Далее». Установка КриптоПРО завершена.

Остались вопросы? Как мы можем помочь?

Содержание
  1. Описание необходимых пакетов КриптоПро
  2. Часто задаваемые вопросы
  3. Установка CryptoPro 4. 0 x64
  4. Проверка лицензии
  5. Установка программного обеспечения для работы с сертификатами
  6. Работа с ключевыми носителями и сертификатами.
  7. GOST-CRYPTO-GUI
  8. Подпись документов в LibreOffice
  9. Полезные ссылки
  10. Работа с ключевыми носителями и сертификатами.
  11. Назначение
  12. Таблица поддерживаемых устройств Крипто-Про CSP
  13. База знаний КриптоПро
  14. Перечень аккредитованных удостоверяющих центров
  15. КриптоПро CSP 5. 0 R2
  16. Внимание
  17. Документация
  18. Для Windows
  19. Для macOS
  20. Идентификация токена
  21. Информация о контейнерах
  22. Проверка работы контейнера
  23. Удаление контейнера
  24. Копирование контейнера
  25. Смена пароля на контейнер (снятие паролей с контейнера)
  26. Установка дополнительных пакетов с модулем поддержки для токена
  27. КриптоПро CSP 4. 0 R4 (исполнения 1-Base/2-Base и 1-Lic/2-Lic)
  28. Проверка подписи в файле
  29. Естественный
  30. Обучающий
  31. Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944
  32. Менеджер сертификатов КриптоПро в Linux
  33. Просмотр
  34. Экспорт сертификатов на другую машину
  35. Проверка цепочки сертификатов
  36. Подписание документа ЭЦП
  37. Подпись файлов (присоединённая)
  38. Подпись файлов(отсоединённая)
  39. Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455
  40. Установка КриптоПро CSP

Описание необходимых пакетов КриптоПро

ПакетОписаниеБазовые пакеты:cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТlsb-cprocsp-baseОсновной пакет КриптоПро CSPlsb-cprocsp-capiliteИнтерфейс CAPILite и утилитыlsb-cprocsp-kc1Провайдер криптографической службы KC1lsb-cprocsp-rdrПоддержка ридеров и RNGДополнительные пакеты:cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операцийcprocsp-rdr-rutokenПоддержка карт Рутокенcprocsp-rdr-jacartaПоддержка карт JaCartacprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSPlsb-cprocsp-pkcs11Поддержка PKCS11

Для просмотра всех установленных пакетов КриптоПро CSP ввести команду:

409971 и в Справочном центре Linux для Astra

Обновлено 13. 2022

КриптоПро CSP — лидер среди криптопровайдеров (Cryptography Service Provider, CSP) в России. Используется для создания электронной подписи (ЭП), работы с сертификатами и т.

Лицензия (лицензионный ключ) платна, но предоставляется демо/пробный период 90 дней (3 месяца) во время которого функционал не ограничен. Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям и т. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.

Если лицензия КриптоПро истекла, то работать с электронной подписью невозможно — ни зайти на сайт по сертификату, ни подписать документ нельзя.

Здесь доступны дистрибутивы КриптоПро CSP 4, 5 версии полученные с официального сайта. Мы избавляем вас от необходимости регистрироваться на официальном сайте для скачивания дистрибутивов.

  • 2 Лицензия ключ КриптоПро 4
  • 4 Лицензия ключ КриптоПро 5
  • 5 Инструкция по установке КриптоПро 4.0

Установка программы «КриптоПро CSP»

Средства криптографической защиты информации (СКЗИ) «КриптоПро CSP» — это программы, в состав которых входят средства шифрования и электронной подписи. Программы «КриптоПро CSP» имеют сертификаты ФСБ России и ФАПСИ и могут использоваться для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

В настоящее время сертифицированными версиями СКЗИ «КриптоПро CSP» для работы с квалифицированным сертификатом ключа проверки электронной подписи являются версии 4. 0 и 5. Для Windows 11 подходит только версия «КриптоПро CSP» 5. 0 R2 или выше.

Получить сертификат ключа проверки электронной подписи можно только с помощью «КриптоПро CSP» версии 4. 0 или 5.

Важно! Обращаем ваше внимание, что бесплатно дистрибутив «КриптоПро CSP» актуальной версии можно использовать в течение 3 месяцев с момента установки. Для дальнейшего использования потребуется приобрести лицензию. Рекомендуем приобретать лицензию заранее. Лицензию вы можете приобрести в нашем интернет-магазине.

В соответствии с сублицензионным договором на право использования «КриптоПро CSP» приобрести у нас лицензию на использование «КриптоПро CSP» вы можете только для использования в:

  • наших системах ЭДО и системах ЭДО наших партнеров;
  • сторонних информационных системах, для работы с которыми мы выпускаем сертификаты.

Во всех остальных случаях мы не сможем продать лицензию и оповестим вас об этом по телефону, указанному при заполнении регистрационной карты.

Часто задаваемые вопросы

  • Как обновить «КриптоПро CSP» для работы по новому стандарту ГОСТ Р 34.10-2012
  • Установка личного сертификата
  • Продление лицензии на использование «КриптоПро CSP»
  • Ввод серийного номера лицензии «КриптоПро CSP»
  • Сообщение «Срок действия «КриптоПро» истек»
  • Доступ к сертификатам у пользователей «КриптоПро» 3.9 и 4.0 после установки обновления для Windows 10
  • Удаление КриптоПро

Установка CryptoPro CSP 4. 0 Проверка лицензии Установка программного обеспечения для работы с сертификатами Ключевые носители и сертификаты GOST-CRYPTO-GUI Подпись документов в LibreOffice Полезные ссылки

КриптоПро — линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.

Для корректной работоспособности электронной подписи в информационных системах необходимо выполнить установку в последовательности:

  • Установить программное обеспечение для работы с корневыми и личными сертификатами по инструкции.
  • Установить браузер Chromiuim или Спутник.
  • Установить плагин Госуслуг и КриптоПро, в зависимости от системных требований к информационной системе.

На нашем Youtube-канале вы также можете ознакомиться с примером установки и настройки криптопровайдера CryptoPro, просмотрев видео Установка КриптоПро CSP в РЕД ОС, а также найти много другой полезной информации.

Установка CryptoPro 4. 0 x64

Распакуйте архив в папку (в примере /home/test/).

cd /home/test
tar -xvf linux-amd64. tgz

Перейдите в папку с КриптоПро:

Установите права на запуск:

chmod +x install_gui

1 Выполните следующую команду (для того чтобы далее выполнять команды от пользователя root):

Установите КриптоПро, выполнив команду:

Появится окно установки КриптоПро:

409971 и в Справочном центре Linux для Astra

Нажмите кнопку «Next» для продолжения установки.

В следующем окне выберите пакеты, указанные на скриншоте:

409971 и в Справочном центре Linux для Astra

Нажмите кнопку «Next» для продолжения установки:

409971 и в Справочном центре Linux для Astra

Нажмите «Install» для установки пакетов.

Установите дополнительные пакеты и драйверы.

1 Установка драйверов для токенов Rutoken S:

yum install -y ifd-rutokens

dnf install -y ifd-rutokens

2 Установка драйверов для токенов Jacarta:

Перейдите в папку:

yum localinstall cprocsp-rdr-jacarta*. rpm

dnf install cprocsp-rdr-jacarta*. rpm

Проверка лицензии

Вывод серийного номера лицензии:

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Ввод номера лицензии:

Установка программного обеспечения для работы с сертификатами

Установка средства управления сертификатами token-manager:

yum install token-manager

dnf install token-manager

Установка программного обеспечения для подписи файлов gostcrypto.

1 Для рабочего стола Mate:

yum install gostcryptogui caja-gostcryptogui

dnf install gostcryptogui caja-gostcryptogui

2 Для рабочего стола Cinnamon:

yum install nemo-gostcryptogui. noarch

dnf install nemo-gostcryptogui. noarch

Работа с ключевыми носителями и сертификатами.

Для работы с ключевыми носителями и сертификатами используется утилита «Ключевые носители и сертификаты», которую мы установили ранее. Найти его можно в «Главном меню» – «Администрирование» – «Ключевые носители и сертификаты».

Окно программы выглядит следующим образом:

409971 и в Справочном центре Linux для Astra

В меню «Операции» можно выполнить:

  • Ввод лицензии КриптоПро CSP;
  • Просмотр лицензии;
  • Установка корневых сертификатов;
  • Установка списка отозванных сертификатов;
  • Просмотр корневых сертификатов;
  • Просмотр списков отозванных сертификатов;
  • Скопировать контейнер с токена;
  • Скопировать контейнер с usb-flash накопителя;
  • Скопировать токен из HDIMAGE на токен.

Рассмотрим более подробно копирование контейнера с usb-flash накопителя.

Необходимо с RuToken скопировать закрытую часть электронной подписи (ЭП) на usb-flash накопитель, выполнить это необходимо на КриптоПро в ОС Windows.

Инструкция для Windows находится по ссылке.

Вставьте usb-flash накопитель в компьютер и запустите утилиту Ключевые носители и сертификаты.

Перейдите в меню «Операции» и выберите «Скопировать контейнер с usb-flash накопителя».

Читайте также:  сертификат криптопро почта

Появится окно с выбором контейнера. Выберите необходимый контейнер, отметив чекбокс в поле «Выбранный».

409971 и в Справочном центре Linux для Astra

Задайте имя контейнеру.

409971 и в Справочном центре Linux для Astra

Выберите контейнер, в который требуется скопировать.

409971 и в Справочном центре Linux для Astra

Далее потребуется ввести PIN-код контейнеров.

Появится окно с успешной привязкой контейнера с сертификата. Сертификат отобразится в «Личном хранилище сертификатов».

409971 и в Справочном центре Linux для Astra

Работа по копированию контейнеров с токена или из HDIMAGE имеет схожую логику.

Для выбора необходимого контейнера требуется выбрать галочкой необходимый.

409971 и в Справочном центре Linux для Astra

Следующим этапом необходимо выбрать пункт назначения копирования.

Пользователю предоставляется возможность задать новое имя копируемого контейнера (настоятельно рекомендуем использовать латиницу).

409971 и в Справочном центре Linux для Astra

Далее выбирается токен или HDIMAGE.

409971 и в Справочном центре Linux для Astra

После ввода PIN-кодов, в случае успеха, вы увидите сообщение:

409971 и в Справочном центре Linux для Astra

В последних версиях token-manager была добавлена возможность консольного запуска утилиты с использованием ряда ключей:

token-manager. py –help 
Подсказки по использованию ключей в token-manager:
В данной реализации token-manager поддерживает явное указание архитектуры КриптоПро, вместо автоматического. –amd64 вызов 64-битной версии КриптоПро;  –ia32 вызов 32-битной версии КриптоПро;  –aarch64 вызов aarch64 версии КриптоПро;  –e2k64 вызов e2k64 версии КриптоПро;  –version вывод номера версии token-manager;
  –debug-output пробный вызов основных функций утилиты;  –debug-output –amd64 пробный вызов основных функций утилиты для архитектуры amd64;  –debug-output –ia32 пробный вызов основных функций утилиты для архитектуры ia32;  –debug-output –aarch64 пробный вызов основных функций утилиты для архитектуры aarch64;  –debug-output –e2k64 пробный вызов основных функций утилиты для архитектуры e2k64;

Пример вывода версии утилиты:

GOST-CRYPTO-GUI

Формат подписи может настраиваться в графической утилите gostcryptogui, которую мы рассмотрим далее.

Запуск утилиты производится из  «Главного меню» – «Администрирование» – «Подпись и шифрование файлов».

409971 и в Справочном центре Linux для Astra

Доступны следующие опции:

  • Криптопровайдер;
  • Кодировка файлов;
  • Авт. проверка подписи;
  • Отсоединённая подпись.

Для примера зашифруйте файл, но с использованием другого сертификата, размещённого на ключевом носителе Rutoken.

Выберите необходимый файл:

409971 и в Справочном центре Linux для Astra

Затем укажите ваш сертификат:

409971 и в Справочном центре Linux для Astra

Зашифрованный файл формируется с тем же именем и расширением. enc.

409971 и в Справочном центре Linux для Astra

После этого попробуйте его расшифровать.

Нажмите «Расшифровать файл(ы)», выберите зашифрованный файл, затем сертификат, которым был зашифрован наш файл.

409971 и в Справочном центре Linux для Astra

Подпись документов в LibreOffice

Для активации подписания документов потребуется установить плагин:

dnf install LibreOffice-plugin-altcsp

Для активации подписи требуется нажать кнопку «Файл». Если меню «Файл» недоступно, нажмите предварительно кнопку, выделенную на скриншоте:

409971 и в Справочном центре Linux для Astra

Нажмите кнопку «Электронная подпись»:

409971 и в Справочном центре Linux для Astra

Для подписи вам будет предложен выбор сертификата:

409971 и в Справочном центре Linux для Astra

Также не забудьте проверить, что для выбранного сертификата у вас установлены все необходимые корневые и отозванные сертификаты. Пример необходимых сертификатов можно проверить командой:

certmgr -list -store uMy

Как показано в примере, необходимо доставить 3 сертификата. Выполнить это можно через token-manager и установку сертификатов из утилиты.

В случае успешной подписи вы увидите следующее уведомление:

409971 и в Справочном центре Linux для Astra

Проверить подпись можно из «gostcryptogui» – «Проверить подпись».

После выбора документа вы увидите следующую информацию:

409971 и в Справочном центре Linux для Astra

Полезные ссылки

Установка браузера «Спутник»

Установка Сhromium с протоколом TLS

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Работа с ключевыми носителями и сертификатами.

По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку Astra Linux и КриптоПро.

Для создания диагностического архива, можно воспользоваться следующей командой:

В результате должен получится cprodiag_день_месяц_год. tar. gz архив, который следует прислать в техническую поддержку Astra Linux и КриптоПро.

Назначение

Криптопровайдер КриптоПро CSP предназначен для:

  • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
  • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  • контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

  • КриптоПро CSP версии 4.0 R4;
  • КриптоПро CSP версии 5.0;

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

КриптоПро CADES ЭЦП Browser plug-in

Таблица поддерживаемых устройств Крипто-Про CSP

На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:

База знаний КриптоПро

ЭЦП в государственных информационных системах и электронно торговых площадках

Перечень аккредитованных удостоверяющих центров

Запустите установочный файл CSPSetup_4. xxxx. exe

В первом появившемся окне нажмите кнопку «Запустить».

409971 и в Справочном центре Linux для Astra

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

409971 и в Справочном центре Linux для Astra

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

409971 и в Справочном центре Linux для Astra

Нажимаем «Далее».

409971 и в Справочном центре Linux для Astra

Принимаем условия лицензионного соглашения, нажимаем «Далее».

409971 и в Справочном центре Linux для Astra

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

409971 и в Справочном центре Linux для Astra

Выбираем обычную установку. Нажимаем «Далее».

409971 и в Справочном центре Linux для Astra

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

409971 и в Справочном центре Linux для Astra

Ждем пока программа установится.

409971 и в Справочном центре Linux для Astra

Дальше остается нажать «Готово». КриптоПро установлено.

409971 и в Справочном центре Linux для Astra

КриптоПро CSP 5. 0 R2

Сертифицированная версия КриптоПро CSP 5. 12000 (Kraken) от 24. 2020.

Сертификаты соответствия:1-Base: СФ/114-4064 от 20. 2021 до 01. 20242-Base: СФ/124-4065 от 20. 2021 до 01. 20243-Base: СФ/124-4066 от 20. 2021 до 01. 2024

Внимание

  • Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. TLS-сервер на *nix теперь требует особую лицензию.
  • Дистрибутивы подписаны, что позволяет доверенно распространять их через Интернет. Проверить подпись можно с помощью обновленной утилиты cpverify,
  • команды для проверки
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  • Некоторые носители требуют дополнительное программное обеспечение.
  • Вопросы можно задать в нашем форуме в ветке КриптоПро CSP 5.0 и на портале технической поддержки.

Документация

  • Список изменений (changelog)
  • Список известных ошибок (errata)
  • Документация по установке и использованию КриптоПро CSP 5.0 (KC1)
  • Документация по установке и использованию КриптоПро CSP 5.0 (KC2)
  • SDK для Windows (для *nix — в devel-пакете в дистрибутиве)

Для Windows

КриптоПро CSP 5. 0 для Windows

Контрольная сумма
ГОСТ: 55DEBC7250BC5C09428FA7085CA6D51EC8282879DB56D084859CFDEBC8EC542B
MD5: 1069fa904005f8ec3951ec6fb49dd7b4

КриптоПро CSP 5. 0 для Windows с pkcs#11 модулями компаний Актив, Аладдин Р. и ISBC

Контрольная сумма
ГОСТ: A0DED17BA0AED924606399728BE4BF1A5D6BB7608B1D0BCE998AD576B3AE5B5A
MD5: 75b1bdcb98b71c2c9869f5a189a7a831

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Для macOS

КриптоПро CSP 5. 0 для OS X 10. 9+ (x64), с поддержкой macOS 10. 15 Catalina

Читайте также:  Чем открыть SIG файл – пошаговая инструкция 2020 - ЭЦП Эксперт

Контрольная сумма
ГОСТ: D854BA1B4C1BFB1DF4EAC5E656B068D9167EB40582425540C74803C4E51F98E0
MD5: 8957569794aa4a97799b6e543f092bbd

Идентификация токена

Для просмотра списка настроенных считывателей можно воспользоваться командой:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

409971 и в Справочном центре Linux для Astra

Чтобы узнать модель подключенного токена, следует ввести команду:

/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройстве:

409971 и в Справочном центре Linux для Astra

Проверить наличие носителей с контейнерами  можно с помощью команды:

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique

в формате FQCN, отображается имя носителя:

В этом случае будет выведен список носителей с контейнерами в следующем формате:

409971 и в Справочном центре Linux для Astra

Где \. HDIMAGE – локальный носитель, \. HDIMAGETestCont123 – название контейнера, \. Aktiv Rutoken ECP 00 00 – название носителя (токена).

Подробная информация про “Имена контейнеров”

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘ИМЯ’ -info

Пример работы команды:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘Shuhrat’ -infoCSP (Type:80) v5. 10001 KC1 Release Ver:5. 11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 8981043GetProvParam(PP_NAME): Crypto-Pro GOST R 34. 10-2012 KC1 CSPContainer name: “Shuhrat”Signature key is available. HCRYPTKEY: 0x8f3b03Exchange key is available. HCRYPTKEY: 0x8f9883Symmetric key is not available. UEC key is not available.

CSP algorithms info:  Type:Encrypt    Name:’GOST 28147-89′(14) Long:’GOST 28147-89′(14)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

Type:Hash       Name:’GR 34. 11-2012 256′(18) Long:’GOST R 34. 11-2012 256′(22)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

Type:Signature  Name:’GR 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256′(22)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

Type:Exchange   Name:’DH 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256 DH'(25)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

Type:Exchange   Name:’DH 34. 10-2012 256′(18) Long:’GOST R 34. 10-2012 256 DH'(25)  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

Type:Hash       Name:’GOST 28147-89 MAC'(18) Long:’GOST 28147-89 MAC'(18)  DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799

Type:Encrypt    Name:’GR 34. 12 64 M'(14) Long:’GOST R 34. 12-2015 64 Magma'(27)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160

Type:Encrypt    Name:’GR 34. 12 128 K'(15) Long:’GOST R 34. 12-2015 128 Kuznyechik'(33)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161

Type:Hash       Name:’GR 34. 13 64 M MAC'(18) Long:’GOST R 34. 13-2015 64 Magma MAC'(31)  DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828

Type:Hash       Name:’GR 34. 13 128 K MAC'(19) Long:’GOST R 34. 13-2015 128 Kuznyechik MAC'(37)  DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829

Type:Hash       Name:’GR34. 11-12 256 HMAC'(20) Long:’GOST R 34. 11-2012 256 HMAC'(27)  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820

Status:  Provider handles used:        6  Provider handles max:         1048576  CPU Usage:                    6 %  CPU Usage by CSP:             0 %  Measurement interval:         119 ms

Virtual memory used:          15281652 KB  Virtual memory used by CSP:   116572 KB  Free virtual memory:          26053680 KB  Total virtual memory:         41335332 KB

Physical memory used:         14602360 KB  Physical memory used by CSP:  12576 KB  Free physical memory:         5857712 KB  Total physical memory:        20460072 KB

Key pair info:  HCRYPTKEY:  0x8f3b03  AlgID:      CALG_GR3410_12_256 = 0x00002e49 (00011849):    AlgClass: ALG_CLASS_SIGNATURE    AlgType:  ALG_TYPE_GR3410    AlgSID:   73  KP_HASHOID:    1. 643. 2 (ГОСТ Р 34. 11-2012 256 бит)  KP_DHOID:    1. 643. 1 (ГОСТ Р 34. 10 256 бит, параметры по умолчанию)  KP_SIGNATUREOID:    1. 643. 1 (ГОСТ Р 34. 10 256 бит, параметры по умолчанию)  Permissions:    CRYPT_READ    CRYPT_WRITE    CRYPT_IMPORT_KEY    0x800    0x2000    0x20000    0x100000KP_CERTIFICATE:  Not set.

Container version: 2Carrier flags:  This reader is removable. This reader supports unique carrier names. This carrier does not have embedded cryptography. Keys in container:  signature key  exchange keyExtensions (maxLength: 1435):  ParamLen: 46  OID: 1. 643. 9  Critical: FALSE  Size: 19  Decoded size: 24  PrivKey: Not specified – 18. 2020 07:31:07 (UTC)

При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Чтобы получить уникальные идентификаторы ключевых контейнеров используйте команду:

/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un

Следует учесть про PIN-коды в контейнерах:

  • если само устройство осуществляет аутентификацию (как, например, токен), то PIN при создании контейнера не создаётся, а предъявляется, так как он – свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN.
  • если устройство аутентификацию не осуществляет (как HDIMAGE), то при создании контейнера создаётся и PIN-код. Следствие: у всех контейнеров, PIN-код на HDIAMGE может быть разным.

Проверка работы контейнера

Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ИМЯ -check

/opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check

AcquireContext: OK. HCRYPTPROV: 28224051

Check header passed.

Signature key is available. HCRYPTKEY: 0x1b53883

Exchange key is available. HCRYPTKEY: 0x1b57e23

License: Cert without license

Check container passed.

Check sign passed.

Check verify signature on private key passed.

Check verify signature on public key passed.

Check import passed (import restricted).

Check import passed.

Certificate in container matches AT_KEYEXCHANGE key.

PrivKey: Not specified – 18. 2020 07:31:12 (UTC)

Total: SYS: 0,030 sec USR: 0,140 sec UTC: 2,430 sec

Удаление контейнера

Для удаления контейнера следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestCont’ -deletek

Копирование контейнера

Для примера скопируем контейнер из локального хранилища в хранилище Рутокена ЕЦП:

csptestf -keycopy -contsrc ‘\. HDIMAGEКонтейнер_оригинал’ -contdest ‘\. Aktiv Rutoken ECP 00 00Контейнер_копия’

Смена пароля на контейнер (снятие паролей с контейнера)

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestContainer’ -change ‘новый_пароль’ -passwd ‘старый_пароль

В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestContainer’ -change ‘Ваш_новый_пароль’

Установка дополнительных пакетов с модулем поддержки для токена

Для корректной работы с токеном/смарт-картой обязательно требуется установить:

библиотека libccid, libgost-astra , пакеты pcscd

sudo apt install libccid pcscd libgost-astra

Пакеты с модулем поддержки:

После установки пакетов с модулем поддержки токена следует перезагрузить службу pcscd:

sudo service pcscd restart

Начиная с версии КриптоПро 4. 0 R4 и выше, модули поддержки смарт-карт входят в состав пакета.

КриптоПро CSP 4. 0 R4 (исполнения 1-Base/2-Base и 1-Lic/2-Lic)

Сертифицированная версия КриптоПро CSP 4. 9963 (Abel) от 23. 2018. Сертификаты соответствия:1-Base: СФ/114-3970 от 15 января 2021 до 15 января 20242-Base: СФ/124-3971 от 15 января 2021 до 15 января 20243-Base: СФ/124-3972 от 15 января 2021 до 15 января 20241-Lic: СФ/114-3973 от 15 января 2021 до 15 января 20242-Lic: СФ/124-3974 от 15 января 2021 до 15 января 2024

  • Дистрибутивы подписаны, что позволяет доверенно распространять их через Интернет. Проверить подпись можно с помощью обновленной утилиты cpverify,команды для проверки
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  • Вопросы можно задать на форуме КриптоПРО в ветке КриптоПро CSP 4.0 и на портале технической поддержки.
  • Список изменений (changelog)
  • Список известных ошибок (errata)
  • Документация по установке и использованию КриптоПро CSP 4.0 (KC1)
  • Документация по установке и использованию КриптоПро CSP 4.0 (KC2)
  • Инструкция по использованию КриптоПро CSP 4.0 на английском языке (KC1)
  • Инструкция по использованию КриптоПро CSP 4.0 на английском языке (KC2)
  • SDK для Windows (для *nix — в devel-пакете в дистрибутиве)

КриптоПро CSP 4. 0 для Windows

Контрольная сумма
ГОСТ: CDF7B587A56A488916DB961630B419285918DABD60EE67CBD18D41B04FC18A49
MD5: 76ce60a06c3cb0a36356c9534650fbe9

Дистрибутивы в формате Windows Installer

КриптоПро CSP 4. 0 для OS X 10. 9+ (x64), без поддержки macOS 10. 15 Catalina

Контрольная сумма
ГОСТ: 7BAF9CF5D969320E2ACB72A18A64EFCD7DC4105C402CFDB8BC70F1E33C6E6AAE
MD5: 3f8332245aff7bb425f1ce7c288e9a23

Проверка подписи в файле

Для проверки прикрепленной подписи выполните:

Читайте также:  Как сопоставить эцп на сбербанк аст

CryptCP 5. 0 (c) “КРИПТО-ПРО”, 2002-2018. Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 4Цепочки сертификатов проверены. Папка ‘. /’:raport. pdf. sig. Проверка подписи.

Естественный

использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:

CryptCP 5. 0 (c) “КРИПТО-ПРО”, 2002-2018. Утилита командной строки для подписи и шифрования файлов. Папка ‘/home/shuhrat/smolensk/’: /home/shuhrat/smolensk/raport. pdf. Проверка подписи.

Цепочки сертификатов проверены. Папка ‘. /’: raport. pdf. Проверка подписи.

Обучающий

указать в качестве хранилища сертификатов само сообщение (ключ -f):

Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8. 1, Windows 10

Менеджер сертификатов КриптоПро в Linux

Сертификаты делятся на четыре категории:

  • корневые сертификаты – краеугольный камень безопасности, так как цепочки доверия строятся от них.  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);
  • сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации:

Установка всех личных сертификатов со всех контейнеров в uMy :

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Установка определенного сертификата с определенного контейнера в uMy:

/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘\. Aktiv Rutoken ECP 00 00Ivanov’

Установка сертификата удостоверяющего центра ГУЦ в mRoot:

Установка списка отозванных сертификатов (CRL), ставим его с того же сайта в mca:

В опции -pattern >>>  ‘rutoken’ может быть другим в зависимости от подключенного токена.

В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует сохранить сертификаты в файлах, перенести их на рабочую станцию. и в команде установки заменить параметр -stdin заменить на параметр -file с указанием имени файла. Например:

  • Перенести файлы на рабочую станцию;
  • Установить файлы на рабочей станции:sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020.cersudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20.crl -crl

1) Имена хранилищ указаны в формате  certmgr, у cryptcp похожий формат: -mroot и -uAddressBook

2) Из под учетной записи пользователя ставится в uca, из под учетной записи администратора ставить в mca:

3) В опции -pattern можно указать пустые < ‘ ‘ > чтобы установить все сертификаты в uMy. Пример:

/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ”

4) В случае, если личный сертификат извлечен, следует использовать опцию -file :

certmgr -inst -file cert. cer -store uMy

Просмотр

Для просмотра выше установленных сертификатов можно воспользоваться :

409971 и в Справочном центре Linux для Astra

Удаление сертификата из хранилища КриптоПро:

после чего на экран будет выведен весь список сертификатов и предложение ввести номер удаляемого сертификата.

Или удаление всех сертификатов:

/opt/cprocsp/bin/amd64/certmgr -del -all

Экспорт сертификатов на другую машину

Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys.

Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

/opt/cprocsp/bin/amd64/certmgr -export -dest cert. cer

Переносим эти файлы на машину и смотрим, какие контейнеры есть:

csptest -keyset -enum_cont -verifycontext -fqcn

И как обычно, связываем сертификат и закрытый ключ:

certmgr -inst -file 1. cer -cont ‘\. HDIMAGEcontainer. name’

Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

Can not install certificate
Public keys in certificate and container are not identical

Проверка цепочки сертификатов

Для примера: чтобы проверить цепочку сертификатов, можно скопировать персональный сертификат в файл:

/opt/cprocsp/bin/amd64/cryptcp -copycert -dn ‘CN=Имя_вашего_сертификата’ -df  /temp/сертификат. cer

Можно указать другое поле сертификата: CN, E, SN, OGRN, SNILS и тд.

Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно запустить вышеуказанную команду в режиме  debug(отладки):

В нашем примере, из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:

/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file minoboron-root-2018. crt

Для того, чтобы убедиться в устранении ошибки, можно повторно в режиме отладки запустить команду. При правильно установленной цепочке сертификатов,  статус у сертификата будет = CERT_TRUST_NO_ERROR

Подписание документа ЭЦП

Подпись можно делать двумя способами:

* attached (присоединённая), тогда результирующий файл – это CMS-сообщение, внутрь которого упакованы данные и атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows).

* detached (отсоединённая), тогда результирующий файл – это CMS-сообщение БЕЗ исходных данных, но с атрибутами (типа подписи). В этом случае для проверки надо “принести” исходный файл. Разумеется он остаётся неизменным и его можно смотреть cat-ом

Про CMS-сообщения, есть хорошая статья на Хабре

Подпись файлов (присоединённая)

Действителен с 02. 2018 14:31:02 по 02. 2019 14:41:02

Цепочки сертификатов проверены. Папка ‘. /’: raport. pdf. Подпись данных.

Подпись файлов(отсоединённая)

  • Перед импортом ключа, следует предварительно установить пакет
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию:/etc/digsig/keys/legacy/cryptopro
  • После чего выполнить команду:sudo update-initramfs -uk all
  • и перезагрузить АРМ

Проверить срок истечения лицензии можно командой:

409971 и в Справочном центре Linux для Astra

Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455

В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34. 10-2012 до 1 января 2019 года попытка использования ГОСТ Р 34. 10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3. 9, 4. 0 и КриптоПро JCP 2. 0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34. 10-2001. В случае если ваша система использует ключи ГОСТ Р 34. 10-2001, просим принять во внимание  инструкцию.

Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64. ini в существующую секцию Parameters:

На данный момент завершается сертификация обновленной версии КриптоПро CSP 4. 0 R4. Для наиболее безболезненного продолжения работы с ГОСТ Р 34. 10-2001 в 2019 году мы рекомендуем обновиться до этой версии. В более ранних версиях КриптоПро CSP, а также Клиент HSM 2. 0 присутствуют технические ограничения формирования подписи по ГОСТ Р 34. 10-2001 после 1 января 2019 года в виде соответствующих предупреждающих окон.

Установка КриптоПро CSP

Архив с программным обеспечением (КриптоПро CSP) можно загрузить c официального сайта www. cryptopro. ru, предварительно зарегистрировавшись на сайте.

Для ОС Astra Linux следует загрузить пакет КриптоПро CSP 4 и выше версии –  пакет для 64 разрядной системы.

Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.

Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4. 0 R4». При этом был выполнен следующий алгоритм действий:

1) загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb. tgz»;

2) открыть “Терминал Fly” (alt+T);

3) разархивировать полученный архив в терминале командой:

tar -zxf linux-amd64_deb. tgz

5) перейти в каталог с ПО:

6) выполнить установку ПО с помощью запуска сценария “install. sh” или  “instal_gui. sh” командой:

409971 и в Справочном центре Linux для Astra

* Выбрать необходимые модули, библиотеки.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector