‎App Store: myDSS

‎App Store: myDSS Электронная цифровая подпись
Содержание
  1. Что делать если перестало работать
  2. Что нужно для работы с кэп под macos:
  3. Описание принципов работы плагина
  4. Выясняем название контейнера КЭП
  5. Выясняем хэш сертификата КЭП
  6. Подпись файла командой из terminal
  7. Смена PIN командой из terminal
  8. 1. Удаляем все старые ГОСТовские сертификаты
  9. 2. Устанавливаем корневые сертификаты
  10. 3. Скачиваем сертификаты удостоверяющего центра
  11. 4. Устанавливаем сертификат с Рутокен
  12. 4. Активируем расширения
  13. 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  14. 1. Заходим на тестовую страницу КриптоПро
  15. 3. Заходим на Госуслуги
  16. ‎crypto converter
  17. ‎mydss
  18. Vipnet client ios: защищенный на российском алгоритме шифрования удаленный доступ к корпоративным ресурсам для пользователей ipad и iphone | инфотекс
  19. Авторизация при помощи приватного ключа
  20. Импорт «криптопро» в мобильное приложение
  21. Контейнер закрытого ключа для работы с «криптопро»
  22. Подпись файлов в macos
  23. Полезные ссылки
  24. Работа с «криптопро»
  25. Смена pin-кода контейнера
  26. Установка контейнера закрытого ключа в приложение

Что делать если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

Что нужно для работы с кэп под macos:

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Описание принципов работы плагина

КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:

Поддерживаемые операционные системы:

КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:

С точки зрения бизнес-функций, плагин позволяет использовать ЭП:

Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.

КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:

Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).

КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

.Aktiv Rutoken liteXXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

‎crypto converter

Crypto Converter is a beautiful, incredibly simple, cryptocurrency and fiat currency exchange converter.

Features:

– Instantly convert exchange rates between over 1500 cryptocurrencies and over 30 fiat currencies!
– Watch your fiat currency amounts and cryptocurrency quantities update in real-time!

Instructions:

– Tap on the fiat currency amount or cryptocurrency quantity to edit it’s respective value.
– White and bold text indicates the amount or quantity you are entering and gray and light text indicates the converted amount or quantity.
– Double tap on the fiat currency amount or cryptocurrency quantity to reset to 0.
– Shake your device to manually refresh cryptocurrency prices.
– Swipe anywhere on the screen for shortcuts!

‎mydss

myDSS позволяет подтверждать создание «облачной» электронной подписи и действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах документооборота, электронных торговых площадках и других сервисах.

Как использовать myDSS:
• Получите у организации, использующей «облачную» электронную подпись на базе КриптоПро DSS, специальный QR-код.
• Отсканируйте QR-код в приложении myDSS.
• Подписывайте документы, используя сервисы организации. myDSS пришлет PUSH-уведомление, когда создание электронной подписи нужно будет подтвердить.

Безопасность myDSS:
• Отображение в myDSS документов, которые Вы подписываете, позволяет защитить их от подмены.
• Поддержка TouchID и FaceID для доступа к Вашему ключу.
• Криптографически строгое подтверждение электронной подписи с привязкой к документу и устройству.

Vipnet client ios: защищенный на российском алгоритме шифрования удаленный доступ к корпоративным ресурсам для пользователей ipad и iphone | инфотекс

Компания ИнфоТеКС, продолжая расширять возможности программного комплекса ViPNet CUSTOM, представляет новый продукт — программное обеспечение ViPNet Client iOS — это приложение, работающее под управлением операционной системы Apple iOS и предназначенное для обеспечения шифрования информации по ГОСТ 28147-89 при удаленном доступе к ресурсам корпоративной сети с устройств iPhone и iPad для любых приложений: интернет-браузер, почтовый клиент, терминальные клиенты и т.п.

Ставшие популярными относительно недавно Apple iPhone и iPad уже широко используются сотрудниками российских компаний и госучреждений для удаленного доступа к ресурсам корпоративных сетей. Однако, не секрет, что ни сами упомянутые устройства, ни программное обеспечение для них, включая операционную систему Apple iOS, не проходили проверок на наличие недекларированных возможностей и функций обеспечения безопасности информации в системах сертификации ФСБ России и ФСТЭК России. Политика компании Apple, направленная на максимальное сокрытие архитектуры и низкоуровневых сервисов операционной системы iOS, также не способствует повышению доверия к данным продуктам. Поэтому обращения к корпоративным базам данных, почтовым серверам, порталам через Интернет или корпоративные WiFi-сети, в которых обрабатывается информация ограниченного доступа (включая и персональные данные), с iPad и iPhone являются небезопасными, а в некоторых случаях ‑ нарушают действующие требования ФСБ России и ФСТЭК России по защите конфиденциальной информации.

В сложившейся ситуации корпоративные службы, отвечающие за информационную безопасность, вынуждены или запрещать использование iPhone и iPad при работе с корпоративными ресурсами, или, что происходит гораздо чаще, разрешать их использование под давлением аргументов «модности и продвинутости» этих устройств, рискуя утратить или скомпрометировать защищаемую информацию.

ViPNet Client iOS обеспечивает защиту (конфиденциальность, подлинность и контроль целостности) любого вида IP-трафика (приложений, систем управления и служебного трафика ОС), передаваемого между iPhone/iPad и корпоративными ресурсами, защищенными сертифицированными СКЗИ ViPNet: криптошлюзами ViPNet Coordinator в программном или программно-аппаратном исполнении, VPN-клиентами ViPNet Client для ОС Windows. При этом неважно, каким способом и из какой точки мира, мобильное устройство было подключено к сети Интернет.

Криптодрайвер ViPNet Client iOS перехватывает любой IP трафик, обеспечивая его прозрачное шифрование на криптографическом алгоритме ГОСТ 28147-89, а специальный режим работы через защищенный Proxy-сервер позволяет удобно управлять открытым трафиком, не ограничивая пользователя в работе с открытыми ресурсами Интернет.

  • Высокая производительность шифрующего драйвера позволяет в реальном времени защищать трафик служб голосовой связи в сетях TCP/IP.
  • Поддерживается прозрачная работа через устройства динамической NAT/PAT маршрутизации при любых способах подключения к сети.
  • При работе с почтой, веб- и терминальными серверами, удаленным документооборотом, ViPNet Client iOS позволяет сохранить время работы мобильного устройства практически без изменений.

Используя технологию ViPNet VPN, ViPNet Client iOS обеспечивает безопасный доступ к важным ресурсам корпоративной сети следующим образом:

На защищенных ViPNet Client iOS устройствах iPad и iPhone входящий открытый трафик блокируется, чем обеспечивается защищенность устройств от сетевых атак. Исходящий открытый трафик в защищенном виде посредством ViPNet-туннеля пробрасывается до корпоративного Proxy сервера, где подвергается обработке в соответствии с установленными политиками безопасности. Ответный открытый трафик, так же после обработки на Proxy сервере, шифруется и в защищенном виде доставляется до устройства.

relis1.jpg

Рисунок 1. Управление открытым трафиком в ViPNet Client iOS

ViPNet Client iOS позволяет удаленно использовать ресурсы информационной безопасности корпоративной сети: нет необходимости устанавливать дополнительные программы на iPhone и iPad, можно пользоваться корпоративным антивирусом, контролем и пресечением вторжений, контентной фильтрацией трафика. Это позволяет работать с мобильным устройством без ухудшения показателей его автономного использования.

Сегодня ViPNet Client iOS активно развивается в направлении расширения прикладных функций продукта — создается криптопровайдер для Apple iOS, который позволит реализовывать в приложениях для этой ОС функции шифрования и электронной цифровой подписи данных, например, в системах юридически значимого документооборота.

В настоящий момент ведутся работы по сертификации ViPNet Client iOS в ФСБ России по требованиям к СКЗИ класса КС1.

О компании ИнфоТеКС
ОАО «Информационные Технологии и Коммуникационные Системы» — одна из старейших high-tech компаний России. В настоящее время является лидером отечественного рынка софтверных VPN решений и средств защиты информации в сетях TCP/IP.
Компания развивает собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляет управление крупными проектами по созданию корпоративных сетей и сетей связи общего пользования. Создает продуктовый ряд под торговой маркой ViPNet, учитывающий интересы всех категорий пользователей, от крупных корпораций до индивидуальных заказчиков.

ОАО «ИнфоТеКС»

127287, Москва, Старый Петровско-Разумовский проезд, 1/23,

Тел.: (495) 737-6192, ф: (495) 737-7278
http://www.ecpexpert.ru

Авторизация при помощи приватного ключа

Для авторизации с использованием приватного ключа нам понадобится сам ключ, установленный вышеописанным образом, установленный корневой сертификат УЦ, настроенный сервер с «КриптоПро» и с добавленным в доверенные нашим ключом. Сервер должен поддерживать работу по TLS версии 1.2 для всех устройств с iOS 9 и выше, а также иметь ГОСТовые cipher suites от «КриптоПро».

Импорт «криптопро» в мобильное приложение

Первый шаг для использования «КриптоПро» в своем приложении — это внедрить фреймворк, скачанный с сайта компании. В пакете для iOS помимо самого фреймворка содержатся также три примера — создание электронной подписи (ЭЦП), создание ssl-тоннеля и пример, позволяющий собрать браузер, обладающий функциональностью создания и проверки ЭЦП на веб-страницах.

Подробное описание содержится внутри примеров, в файлах Readme. На их основе легче понять алгоритм действий. Очень поможет пакет для MacOS: в нем содержится много полезных примеров с подробными комментариями. После его установки все примеры будут находиться на диске в разделе opt/cprocsp/src/doxygen/CSP.

Инструкция по импортированию самого фреймворка находится в CPROCSP.framework в файле ReadMe, разберем его по пунктам.

1. От вас требуется зайти в консоль и прописать путь к скаченному фреймворку, далее запустить утилиту, как описано ниже:

Контейнер закрытого ключа для работы с «криптопро»

На момент написания статьи «КриптоПро CSP 4.0» не поддерживает работу с сертификатами *.pfx, которые содержат и публичный, и приватный ключ. Необходимо использовать контейнеры *.000, которые можно получить только при использовании «КриптоПро»; их формат нигде не описан, и записываются они, как правило, на ключевых носителях, токенах (флешках, дискетах).

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Полезные ссылки

— подробное описание всех функций, входящих в них параметров, а также рабочие примеры.

Форум — форум «КриптоПро», на котором сотрудники ежедневно отвечают на вопросы. Многие ответы на вопросы уже даны, и, несмотря на их давность (порою около 6 лет), они все еще могут вам помочь.

Руководство разработчика — написанное компанией руководство, которое содержит в себе перечень входящих в состав криптопровайдера функций с кратким описанием и примерами.

Описание ошибок — большой список возможных ошибок, возникающих в функциях С , с их кодом и кратких описанием. Чтобы получить код ошибки, используйте в коде приложения функцию CSP_GetLastError, входящей в состав фреймворка. Она хранит в себе код последней полученной ошибки.

Работа с «криптопро»

Сразу хотелось бы сказать, что осуществление такого уровня защиты и функционала в мобильных приложениях в принципе не может быть столь же простым, как сверстать страницу или отправить запрос на сервер. Читать и изучать придется в любом случае, особенно если вы никогда прежде не работали с криптографией и безопасным соединением через TLS.

Компания «КриптоПро» предоставляет мобильным разработчикам мощный инструмент для внедрения в свое приложение такого сложного функционала совершенно бесплатно, но есть и ложка дегтя. К сожалению, за долгое время существования компании не было сделано удобной и понятной документации. Отдельно для мобильных разработчиков ее нет в принципе.

Разработка рано или поздно приведет вас на форум, и вам придется его перелопатить, чтобы найти ответ. Наибольшую сложность составляет отсутствие информации о том, что и как делать, — это мы и постараемся исправить в нашей статье. Все ссылки на ресурсы, которые могут быть полезными, будут оставлены в конце статьи.

Также придется поработать с С и самостоятельно заботиться о выделении и очистке памяти.Стоит отметить, что статья написана при актуальной версии «КриптоПро CSP 4.0», поэтому описанные ниже пакеты для разработчиков в будущем могут отличаться.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Установка контейнера закрытого ключа в приложение


Как пишут сами сотрудники «КриптоПро», есть три варианта установки контейнера на устройство:

• Через iTunes File Sharing.• Использовать отдельное приложение для записи файлов на iOS, типа iExplorer.• Написать собственный экспорт ключа в блоб (PRIVATEKEYBLOB) и импортировать его в коде приложения. Пример такого способа находится в вышеупомянутом пакете для MacOS под названием EncryptKey/DecryptKey.

Мы использовали первый вариант — как самый быстрый и удовлетворяющий требованиям заказчика. Именно для его реализации при импорте был выбран флаг USE_CACHE_DIR = false; если iTunes File Sharing вами использоваться не будет или вы хотите скрыть от пользователя возможность заглянуть в папку с ключами, то лучше скройте ее, выставив флаг true.После первого запуска с установленным фреймворком в папке Documents приложения будет создана папка cprocsp:

Внутри этой папки и хранятся все контейнеры ключей. Устанавливаемые сертификаты и контейнеры хранятся и относятся к приложению, а не к ключевому хранилищу устройства, поэтому после его удаления будет необходимо установить их заново.

Далее существует два пути: написать все функции самому или использовать уже готовый контроллер, и так как его хватит для решения большинства задач, о нем и поговорим.Фреймворк содержит в себе хедер-файл с названием PaneViewController.h. Если вы не обременены строгостью по дизайну, то можете импортировать предложенные xib-файлы (находятся в CPROCSP.framework/Resources) и инициализировать криптопанель через них — к примеру, таким образом:

Читайте также:  Как отключить проверку цифровой подписи драйвера в Windows 7
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector