‎App Store: myDSS

Что делать если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

Что нужно для работы с кэп под macos:

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Описание принципов работы плагина

КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:

Поддерживаемые операционные системы:

КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:

С точки зрения бизнес-функций, плагин позволяет использовать ЭП:

Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.

КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:

Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).

КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

.Aktiv Rutoken liteXXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

‎crypto converter

Crypto Converter is a beautiful, incredibly simple, cryptocurrency and fiat currency exchange converter.

Features:

– Instantly convert exchange rates between over 1500 cryptocurrencies and over 30 fiat currencies!
– Watch your fiat currency amounts and cryptocurrency quantities update in real-time!

Instructions:

– Tap on the fiat currency amount or cryptocurrency quantity to edit it’s respective value.
– White and bold text indicates the amount or quantity you are entering and gray and light text indicates the converted amount or quantity.
– Double tap on the fiat currency amount or cryptocurrency quantity to reset to 0.
– Shake your device to manually refresh cryptocurrency prices.
– Swipe anywhere on the screen for shortcuts!

‎mydss

myDSS позволяет подтверждать создание «облачной» электронной подписи и действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах документооборота, электронных торговых площадках и других сервисах.

Как использовать myDSS:
• Получите у организации, использующей «облачную» электронную подпись на базе КриптоПро DSS, специальный QR-код.
• Отсканируйте QR-код в приложении myDSS.
• Подписывайте документы, используя сервисы организации. myDSS пришлет PUSH-уведомление, когда создание электронной подписи нужно будет подтвердить.

Безопасность myDSS:
• Отображение в myDSS документов, которые Вы подписываете, позволяет защитить их от подмены.
• Поддержка TouchID и FaceID для доступа к Вашему ключу.
• Криптографически строгое подтверждение электронной подписи с привязкой к документу и устройству.

Vipnet client ios: защищенный на российском алгоритме шифрования удаленный доступ к корпоративным ресурсам для пользователей ipad и iphone | инфотекс

Компания ИнфоТеКС, продолжая расширять возможности программного комплекса ViPNet CUSTOM, представляет новый продукт — программное обеспечение ViPNet Client iOS — это приложение, работающее под управлением операционной системы Apple iOS и предназначенное для обеспечения шифрования информации по ГОСТ 28147-89 при удаленном доступе к ресурсам корпоративной сети с устройств iPhone и iPad для любых приложений: интернет-браузер, почтовый клиент, терминальные клиенты и т.п.

Ставшие популярными относительно недавно Apple iPhone и iPad уже широко используются сотрудниками российских компаний и госучреждений для удаленного доступа к ресурсам корпоративных сетей. Однако, не секрет, что ни сами упомянутые устройства, ни программное обеспечение для них, включая операционную систему Apple iOS, не проходили проверок на наличие недекларированных возможностей и функций обеспечения безопасности информации в системах сертификации ФСБ России и ФСТЭК России. Политика компании Apple, направленная на максимальное сокрытие архитектуры и низкоуровневых сервисов операционной системы iOS, также не способствует повышению доверия к данным продуктам. Поэтому обращения к корпоративным базам данных, почтовым серверам, порталам через Интернет или корпоративные WiFi-сети, в которых обрабатывается информация ограниченного доступа (включая и персональные данные), с iPad и iPhone являются небезопасными, а в некоторых случаях ‑ нарушают действующие требования ФСБ России и ФСТЭК России по защите конфиденциальной информации.

В сложившейся ситуации корпоративные службы, отвечающие за информационную безопасность, вынуждены или запрещать использование iPhone и iPad при работе с корпоративными ресурсами, или, что происходит гораздо чаще, разрешать их использование под давлением аргументов «модности и продвинутости» этих устройств, рискуя утратить или скомпрометировать защищаемую информацию.

ViPNet Client iOS обеспечивает защиту (конфиденциальность, подлинность и контроль целостности) любого вида IP-трафика (приложений, систем управления и служебного трафика ОС), передаваемого между iPhone/iPad и корпоративными ресурсами, защищенными сертифицированными СКЗИ ViPNet: криптошлюзами ViPNet Coordinator в программном или программно-аппаратном исполнении, VPN-клиентами ViPNet Client для ОС Windows. При этом неважно, каким способом и из какой точки мира, мобильное устройство было подключено к сети Интернет.

Криптодрайвер ViPNet Client iOS перехватывает любой IP трафик, обеспечивая его прозрачное шифрование на криптографическом алгоритме ГОСТ 28147-89, а специальный режим работы через защищенный Proxy-сервер позволяет удобно управлять открытым трафиком, не ограничивая пользователя в работе с открытыми ресурсами Интернет.

  • Высокая производительность шифрующего драйвера позволяет в реальном времени защищать трафик служб голосовой связи в сетях TCP/IP.
  • Поддерживается прозрачная работа через устройства динамической NAT/PAT маршрутизации при любых способах подключения к сети.
  • При работе с почтой, веб- и терминальными серверами, удаленным документооборотом, ViPNet Client iOS позволяет сохранить время работы мобильного устройства практически без изменений.

Используя технологию ViPNet VPN, ViPNet Client iOS обеспечивает безопасный доступ к важным ресурсам корпоративной сети следующим образом:

На защищенных ViPNet Client iOS устройствах iPad и iPhone входящий открытый трафик блокируется, чем обеспечивается защищенность устройств от сетевых атак. Исходящий открытый трафик в защищенном виде посредством ViPNet-туннеля пробрасывается до корпоративного Proxy сервера, где подвергается обработке в соответствии с установленными политиками безопасности. Ответный открытый трафик, так же после обработки на Proxy сервере, шифруется и в защищенном виде доставляется до устройства.

relis1.jpg

Рисунок 1. Управление открытым трафиком в ViPNet Client iOS

ViPNet Client iOS позволяет удаленно использовать ресурсы информационной безопасности корпоративной сети: нет необходимости устанавливать дополнительные программы на iPhone и iPad, можно пользоваться корпоративным антивирусом, контролем и пресечением вторжений, контентной фильтрацией трафика. Это позволяет работать с мобильным устройством без ухудшения показателей его автономного использования.

Сегодня ViPNet Client iOS активно развивается в направлении расширения прикладных функций продукта — создается криптопровайдер для Apple iOS, который позволит реализовывать в приложениях для этой ОС функции шифрования и электронной цифровой подписи данных, например, в системах юридически значимого документооборота.

В настоящий момент ведутся работы по сертификации ViPNet Client iOS в ФСБ России по требованиям к СКЗИ класса КС1.

О компании ИнфоТеКС
ОАО «Информационные Технологии и Коммуникационные Системы» — одна из старейших high-tech компаний России. В настоящее время является лидером отечественного рынка софтверных VPN решений и средств защиты информации в сетях TCP/IP.
Компания развивает собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляет управление крупными проектами по созданию корпоративных сетей и сетей связи общего пользования. Создает продуктовый ряд под торговой маркой ViPNet, учитывающий интересы всех категорий пользователей, от крупных корпораций до индивидуальных заказчиков.

ОАО «ИнфоТеКС»

127287, Москва, Старый Петровско-Разумовский проезд, 1/23,

Тел.: (495) 737-6192, ф: (495) 737-7278
http://www.ecpexpert.ru

Авторизация при помощи приватного ключа

Для авторизации с использованием приватного ключа нам понадобится сам ключ, установленный вышеописанным образом, установленный корневой сертификат УЦ, настроенный сервер с «КриптоПро» и с добавленным в доверенные нашим ключом. Сервер должен поддерживать работу по TLS версии 1.2 для всех устройств с iOS 9 и выше, а также иметь ГОСТовые cipher suites от «КриптоПро».

Импорт «криптопро» в мобильное приложение

Первый шаг для использования «КриптоПро» в своем приложении — это внедрить фреймворк, скачанный с сайта компании. В пакете для iOS помимо самого фреймворка содержатся также три примера — создание электронной подписи (ЭЦП), создание ssl-тоннеля и пример, позволяющий собрать браузер, обладающий функциональностью создания и проверки ЭЦП на веб-страницах.

Подробное описание содержится внутри примеров, в файлах Readme. На их основе легче понять алгоритм действий. Очень поможет пакет для MacOS: в нем содержится много полезных примеров с подробными комментариями. После его установки все примеры будут находиться на диске в разделе opt/cprocsp/src/doxygen/CSP.

Инструкция по импортированию самого фреймворка находится в CPROCSP.framework в файле ReadMe, разберем его по пунктам.

1. От вас требуется зайти в консоль и прописать путь к скаченному фреймворку, далее запустить утилиту, как описано ниже:

Контейнер закрытого ключа для работы с «криптопро»

На момент написания статьи «КриптоПро CSP 4.0» не поддерживает работу с сертификатами *.pfx, которые содержат и публичный, и приватный ключ. Необходимо использовать контейнеры *.000, которые можно получить только при использовании «КриптоПро»; их формат нигде не описан, и записываются они, как правило, на ключевых носителях, токенах (флешках, дискетах).

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Полезные ссылки

— подробное описание всех функций, входящих в них параметров, а также рабочие примеры.

Форум — форум «КриптоПро», на котором сотрудники ежедневно отвечают на вопросы. Многие ответы на вопросы уже даны, и, несмотря на их давность (порою около 6 лет), они все еще могут вам помочь.

Руководство разработчика — написанное компанией руководство, которое содержит в себе перечень входящих в состав криптопровайдера функций с кратким описанием и примерами.

Описание ошибок — большой список возможных ошибок, возникающих в функциях С , с их кодом и кратких описанием. Чтобы получить код ошибки, используйте в коде приложения функцию CSP_GetLastError, входящей в состав фреймворка. Она хранит в себе код последней полученной ошибки.

Работа с «криптопро»

Сразу хотелось бы сказать, что осуществление такого уровня защиты и функционала в мобильных приложениях в принципе не может быть столь же простым, как сверстать страницу или отправить запрос на сервер. Читать и изучать придется в любом случае, особенно если вы никогда прежде не работали с криптографией и безопасным соединением через TLS.

Компания «КриптоПро» предоставляет мобильным разработчикам мощный инструмент для внедрения в свое приложение такого сложного функционала совершенно бесплатно, но есть и ложка дегтя. К сожалению, за долгое время существования компании не было сделано удобной и понятной документации. Отдельно для мобильных разработчиков ее нет в принципе.

Разработка рано или поздно приведет вас на форум, и вам придется его перелопатить, чтобы найти ответ. Наибольшую сложность составляет отсутствие информации о том, что и как делать, — это мы и постараемся исправить в нашей статье. Все ссылки на ресурсы, которые могут быть полезными, будут оставлены в конце статьи.

Также придется поработать с С и самостоятельно заботиться о выделении и очистке памяти.Стоит отметить, что статья написана при актуальной версии «КриптоПро CSP 4.0», поэтому описанные ниже пакеты для разработчиков в будущем могут отличаться.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Установка контейнера закрытого ключа в приложение


Как пишут сами сотрудники «КриптоПро», есть три варианта установки контейнера на устройство:

• Через iTunes File Sharing.• Использовать отдельное приложение для записи файлов на iOS, типа iExplorer.• Написать собственный экспорт ключа в блоб (PRIVATEKEYBLOB) и импортировать его в коде приложения. Пример такого способа находится в вышеупомянутом пакете для MacOS под названием EncryptKey/DecryptKey.

Мы использовали первый вариант — как самый быстрый и удовлетворяющий требованиям заказчика. Именно для его реализации при импорте был выбран флаг USE_CACHE_DIR = false; если iTunes File Sharing вами использоваться не будет или вы хотите скрыть от пользователя возможность заглянуть в папку с ключами, то лучше скройте ее, выставив флаг true.После первого запуска с установленным фреймворком в папке Documents приложения будет создана папка cprocsp:

Внутри этой папки и хранятся все контейнеры ключей. Устанавливаемые сертификаты и контейнеры хранятся и относятся к приложению, а не к ключевому хранилищу устройства, поэтому после его удаления будет необходимо установить их заново.

Далее существует два пути: написать все функции самому или использовать уже готовый контроллер, и так как его хватит для решения большинства задач, о нем и поговорим.Фреймворк содержит в себе хедер-файл с названием PaneViewController.h. Если вы не обременены строгостью по дизайну, то можете импортировать предложенные xib-файлы (находятся в CPROCSP.framework/Resources) и инициализировать криптопанель через них — к примеру, таким образом:

Читайте также:  Электронная подпись для чайников: с чем ее есть и как не подавиться. Часть 2 / Хабр

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector