- Что делать если перестало работать
- Что нужно для работы с кэп под macos:
- Описание принципов работы плагина
- Выясняем название контейнера КЭП
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Смена PIN командой из terminal
- 1. Удаляем все старые ГОСТовские сертификаты
- 2. Устанавливаем корневые сертификаты
- 3. Скачиваем сертификаты удостоверяющего центра
- 4. Устанавливаем сертификат с Рутокен
- 4. Активируем расширения
- 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- 1. Заходим на тестовую страницу КриптоПро
- 3. Заходим на Госуслуги
- crypto converter
- mydss
- Vipnet client ios: защищенный на российском алгоритме шифрования удаленный доступ к корпоративным ресурсам для пользователей ipad и iphone | инфотекс
- Авторизация при помощи приватного ключа
- Импорт «криптопро» в мобильное приложение
- Контейнер закрытого ключа для работы с «криптопро»
- Подпись файлов в macos
- Полезные ссылки
- Работа с «криптопро»
- Смена pin-кода контейнера
- Установка контейнера закрытого ключа в приложение
Что делать если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserData
Переустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Что нужно для работы с кэп под macos:
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Описание принципов работы плагина
КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:
Поддерживаемые операционные системы:
КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:
С точки зрения бизнес-функций, плагин позволяет использовать ЭП:
Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.
КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:
Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).
КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).
Выясняем название контейнера КЭП
На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
Команда должна вывести минимум 1 контейнер и вернуть
[ErrorCode: 0x00000000]
Нужный нам контейнер имеет вид
.Aktiv Rutoken liteXXXXXXXX
Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -list
Команда должна вывести минимум 1 сертификат вида:
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE
где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Смена PIN командой из terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).
Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.
1. Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
В ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
2. Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
3. Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
4. Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Команда должна вернуть:
OK.
[ErrorCode: 0x00000000]
4. Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/
Включаем оба установленных расширения:
5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.html
На появившейся странице в список доверенных узлов по-очереди добавляем сайты:
1. Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
3. Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
crypto converter
Crypto Converter is a beautiful, incredibly simple, cryptocurrency and fiat currency exchange converter.
Features:
– Instantly convert exchange rates between over 1500 cryptocurrencies and over 30 fiat currencies!
– Watch your fiat currency amounts and cryptocurrency quantities update in real-time!
Instructions:
– Tap on the fiat currency amount or cryptocurrency quantity to edit it’s respective value.
– White and bold text indicates the amount or quantity you are entering and gray and light text indicates the converted amount or quantity.
– Double tap on the fiat currency amount or cryptocurrency quantity to reset to 0.
– Shake your device to manually refresh cryptocurrency prices.
– Swipe anywhere on the screen for shortcuts!
mydss
myDSS позволяет подтверждать создание «облачной» электронной подписи и действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах документооборота, электронных торговых площадках и других сервисах.
Как использовать myDSS:
• Получите у организации, использующей «облачную» электронную подпись на базе КриптоПро DSS, специальный QR-код.
• Отсканируйте QR-код в приложении myDSS.
• Подписывайте документы, используя сервисы организации. myDSS пришлет PUSH-уведомление, когда создание электронной подписи нужно будет подтвердить.
Безопасность myDSS:
• Отображение в myDSS документов, которые Вы подписываете, позволяет защитить их от подмены.
• Поддержка TouchID и FaceID для доступа к Вашему ключу.
• Криптографически строгое подтверждение электронной подписи с привязкой к документу и устройству.
Vipnet client ios: защищенный на российском алгоритме шифрования удаленный доступ к корпоративным ресурсам для пользователей ipad и iphone | инфотекс
Ставшие популярными относительно недавно Apple iPhone и iPad уже широко используются сотрудниками российских компаний и госучреждений для удаленного доступа к ресурсам корпоративных сетей. Однако, не секрет, что ни сами упомянутые устройства, ни программное обеспечение для них, включая операционную систему Apple iOS, не проходили проверок на наличие недекларированных возможностей и функций обеспечения безопасности информации в системах сертификации ФСБ России и ФСТЭК России. Политика компании Apple, направленная на максимальное сокрытие архитектуры и низкоуровневых сервисов операционной системы iOS, также не способствует повышению доверия к данным продуктам. Поэтому обращения к корпоративным базам данных, почтовым серверам, порталам через Интернет или корпоративные WiFi-сети, в которых обрабатывается информация ограниченного доступа (включая и персональные данные), с iPad и iPhone являются небезопасными, а в некоторых случаях ‑ нарушают действующие требования ФСБ России и ФСТЭК России по защите конфиденциальной информации.
В сложившейся ситуации корпоративные службы, отвечающие за информационную безопасность, вынуждены или запрещать использование iPhone и iPad при работе с корпоративными ресурсами, или, что происходит гораздо чаще, разрешать их использование под давлением аргументов «модности и продвинутости» этих устройств, рискуя утратить или скомпрометировать защищаемую информацию.
ViPNet Client iOS обеспечивает защиту (конфиденциальность, подлинность и контроль целостности) любого вида IP-трафика (приложений, систем управления и служебного трафика ОС), передаваемого между iPhone/iPad и корпоративными ресурсами, защищенными сертифицированными СКЗИ ViPNet: криптошлюзами ViPNet Coordinator в программном или программно-аппаратном исполнении, VPN-клиентами ViPNet Client для ОС Windows. При этом неважно, каким способом и из какой точки мира, мобильное устройство было подключено к сети Интернет.
Криптодрайвер ViPNet Client iOS перехватывает любой IP трафик, обеспечивая его прозрачное шифрование на криптографическом алгоритме ГОСТ 28147-89, а специальный режим работы через защищенный Proxy-сервер позволяет удобно управлять открытым трафиком, не ограничивая пользователя в работе с открытыми ресурсами Интернет.
- Высокая производительность шифрующего драйвера позволяет в реальном времени защищать трафик служб голосовой связи в сетях TCP/IP.
- Поддерживается прозрачная работа через устройства динамической NAT/PAT маршрутизации при любых способах подключения к сети.
- При работе с почтой, веб- и терминальными серверами, удаленным документооборотом, ViPNet Client iOS позволяет сохранить время работы мобильного устройства практически без изменений.
Используя технологию ViPNet VPN, ViPNet Client iOS обеспечивает безопасный доступ к важным ресурсам корпоративной сети следующим образом:
На защищенных ViPNet Client iOS устройствах iPad и iPhone входящий открытый трафик блокируется, чем обеспечивается защищенность устройств от сетевых атак. Исходящий открытый трафик в защищенном виде посредством ViPNet-туннеля пробрасывается до корпоративного Proxy сервера, где подвергается обработке в соответствии с установленными политиками безопасности. Ответный открытый трафик, так же после обработки на Proxy сервере, шифруется и в защищенном виде доставляется до устройства.
Рисунок 1. Управление открытым трафиком в ViPNet Client iOS
ViPNet Client iOS позволяет удаленно использовать ресурсы информационной безопасности корпоративной сети: нет необходимости устанавливать дополнительные программы на iPhone и iPad, можно пользоваться корпоративным антивирусом, контролем и пресечением вторжений, контентной фильтрацией трафика. Это позволяет работать с мобильным устройством без ухудшения показателей его автономного использования.
Сегодня ViPNet Client iOS активно развивается в направлении расширения прикладных функций продукта — создается криптопровайдер для Apple iOS, который позволит реализовывать в приложениях для этой ОС функции шифрования и электронной цифровой подписи данных, например, в системах юридически значимого документооборота.
В настоящий момент ведутся работы по сертификации ViPNet Client iOS в ФСБ России по требованиям к СКЗИ класса КС1.
О компании ИнфоТеКС
ОАО «Информационные Технологии и Коммуникационные Системы» — одна из старейших high-tech компаний России. В настоящее время является лидером отечественного рынка софтверных VPN решений и средств защиты информации в сетях TCP/IP.
Компания развивает собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляет управление крупными проектами по созданию корпоративных сетей и сетей связи общего пользования. Создает продуктовый ряд под торговой маркой ViPNet, учитывающий интересы всех категорий пользователей, от крупных корпораций до индивидуальных заказчиков.
ОАО «ИнфоТеКС»
127287, Москва, Старый Петровско-Разумовский проезд, 1/23,
Тел.: (495) 737-6192, ф: (495) 737-7278
http://www.ecpexpert.ru
Авторизация при помощи приватного ключа
Для авторизации с использованием приватного ключа нам понадобится сам ключ, установленный вышеописанным образом, установленный корневой сертификат УЦ, настроенный сервер с «КриптоПро» и с добавленным в доверенные нашим ключом. Сервер должен поддерживать работу по TLS версии 1.2 для всех устройств с iOS 9 и выше, а также иметь ГОСТовые cipher suites от «КриптоПро».
Импорт «криптопро» в мобильное приложение
Первый шаг для использования «КриптоПро» в своем приложении — это внедрить фреймворк, скачанный с сайта компании. В пакете для iOS помимо самого фреймворка содержатся также три примера — создание электронной подписи (ЭЦП), создание ssl-тоннеля и пример, позволяющий собрать браузер, обладающий функциональностью создания и проверки ЭЦП на веб-страницах.
Подробное описание содержится внутри примеров, в файлах Readme. На их основе легче понять алгоритм действий. Очень поможет пакет для MacOS: в нем содержится много полезных примеров с подробными комментариями. После его установки все примеры будут находиться на диске в разделе opt/cprocsp/src/doxygen/CSP.
Инструкция по импортированию самого фреймворка находится в CPROCSP.framework в файле ReadMe, разберем его по пунктам.
1. От вас требуется зайти в консоль и прописать путь к скаченному фреймворку, далее запустить утилиту, как описано ниже:
Контейнер закрытого ключа для работы с «криптопро»
На момент написания статьи «КриптоПро CSP 4.0» не поддерживает работу с сертификатами *.pfx, которые содержат и публичный, и приватный ключ. Необходимо использовать контейнеры *.000, которые можно получить только при использовании «КриптоПро»; их формат нигде не описан, и записываются они, как правило, на ключевых носителях, токенах (флешках, дискетах).
Подпись файлов в macos
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Полезные ссылки
— подробное описание всех функций, входящих в них параметров, а также рабочие примеры.
Форум — форум «КриптоПро», на котором сотрудники ежедневно отвечают на вопросы. Многие ответы на вопросы уже даны, и, несмотря на их давность (порою около 6 лет), они все еще могут вам помочь.
Руководство разработчика — написанное компанией руководство, которое содержит в себе перечень входящих в состав криптопровайдера функций с кратким описанием и примерами.
Описание ошибок — большой список возможных ошибок, возникающих в функциях С , с их кодом и кратких описанием. Чтобы получить код ошибки, используйте в коде приложения функцию CSP_GetLastError, входящей в состав фреймворка. Она хранит в себе код последней полученной ошибки.
Работа с «криптопро»
Сразу хотелось бы сказать, что осуществление такого уровня защиты и функционала в мобильных приложениях в принципе не может быть столь же простым, как сверстать страницу или отправить запрос на сервер. Читать и изучать придется в любом случае, особенно если вы никогда прежде не работали с криптографией и безопасным соединением через TLS.
Компания «КриптоПро» предоставляет мобильным разработчикам мощный инструмент для внедрения в свое приложение такого сложного функционала совершенно бесплатно, но есть и ложка дегтя. К сожалению, за долгое время существования компании не было сделано удобной и понятной документации. Отдельно для мобильных разработчиков ее нет в принципе.
Разработка рано или поздно приведет вас на форум, и вам придется его перелопатить, чтобы найти ответ. Наибольшую сложность составляет отсутствие информации о том, что и как делать, — это мы и постараемся исправить в нашей статье. Все ссылки на ресурсы, которые могут быть полезными, будут оставлены в конце статьи.
Также придется поработать с С и самостоятельно заботиться о выделении и очистке памяти.Стоит отметить, что статья написана при актуальной версии «КриптоПро CSP 4.0», поэтому описанные ниже пакеты для разработчиков в будущем могут отличаться.
Смена pin-кода контейнера
Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.
Установка контейнера закрытого ключа в приложение
Как пишут сами сотрудники «КриптоПро», есть три варианта установки контейнера на устройство:
• Через iTunes File Sharing.• Использовать отдельное приложение для записи файлов на iOS, типа iExplorer.• Написать собственный экспорт ключа в блоб (PRIVATEKEYBLOB) и импортировать его в коде приложения. Пример такого способа находится в вышеупомянутом пакете для MacOS под названием EncryptKey/DecryptKey.
Мы использовали первый вариант — как самый быстрый и удовлетворяющий требованиям заказчика. Именно для его реализации при импорте был выбран флаг USE_CACHE_DIR = false; если iTunes File Sharing вами использоваться не будет или вы хотите скрыть от пользователя возможность заглянуть в папку с ключами, то лучше скройте ее, выставив флаг true.После первого запуска с установленным фреймворком в папке Documents приложения будет создана папка cprocsp:
Внутри этой папки и хранятся все контейнеры ключей. Устанавливаемые сертификаты и контейнеры хранятся и относятся к приложению, а не к ключевому хранилищу устройства, поэтому после его удаления будет необходимо установить их заново.
Далее существует два пути: написать все функции самому или использовать уже готовый контроллер, и так как его хватит для решения большинства задач, о нем и поговорим.Фреймворк содержит в себе хедер-файл с названием PaneViewController.h. Если вы не обременены строгостью по дизайну, то можете импортировать предложенные xib-файлы (находятся в CPROCSP.framework/Resources) и инициализировать криптопанель через них — к примеру, таким образом: