Для вашей цели, пик криптопро и электронная подпись

Для вашей цели, пик криптопро и электронная подпись Электронная цифровая подпись

На чтение 4 мин Просмотров 3.9к. Обновлено 18.03.2022

О том, как правильно настроить рабочее место для работы в госзакупках, чтобы не возникало ошибок, читайте в нашей новой статье.

Рассмотрим пример Единого агрегатора торговли «Березка», с которым разработчики рекомендуют работать в Спутнике.  Браузера Спутник — работает без ошибок и полностью исключит ваши волнения.

Инструкция подходит также и для работы с ЕИС (zakupki.gov.ru) в этом браузере, так как все действия аналогичны и отличаются незначительно.

Содержание

  1. Установка сертификатов и КриптоПро CSP
  2. Настройка браузера Спутник
  3. Как сформировать список доверенных узлов?
  4. Настройка параметров браузера
  5. Установка и настройка КриптоПро ЭЦП Browser plug-in

КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:

  • электронный документ;
  • данные веб-формы;
  • файл, загруженный с компьютера пользователя;
  • текстовое сообщение и т.д.

КриптоПро ЭЦП Browser plug-in позволяет использовать электронную подпись:

  • на клиентских порталах;
  • в интернет-банкинге;
  • в электронных офисах с доступом через web и т.д.

Версия 2.0 КриптоПро ЭЦП Browser plug-in:

  • Поддерживает работу с ГОСТ 2012 (при использовании КриптоПро CSP 4.0 и выше);
  • Для работы в браузере Firefox Mozilla версии 52 и выше требуется дополнительно установить расширение для браузера CryptoPro Extension for CAdES Browser Plug-in.

Необходимо запустить установочный файл КриптоПро ЭЦП Browser plug-in 2.0.

В первом появившемся окне нажмите кнопку «Запустить».

КриптоПро ЭЦП Browser plug-in версии 2.0 (CadesPlugin) скачать. Инструкция по установке

Соглашаемся с установкой КриптоПро ЭЦП Browser plug-in 2.0. Нажимаем «Да».

КриптоПро ЭЦП Browser plug-in версии 2.0 (CadesPlugin) скачать. Инструкция по установке

Дальше остается нажать «ОК».

КриптоПро ЭЦП Browser plug-in версии 2.0 (CadesPlugin) скачать. Инструкция по установке

КриптоПро ЭЦП Browser plug-in установлен.

Обновлено 13.01.2022

КриптоПро CSP — лидер среди криптопровайдеров (Cryptography Service Provider, CSP) в России. Используется для создания электронной подписи (ЭП), работы с сертификатами и т.д.

Лицензия (лицензионный ключ) платна, но предоставляется демо/пробный период 90 дней (3 месяца) во время которого функционал не ограничен. Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям и т.д. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.

Если лицензия КриптоПро истекла, то работать с электронной подписью невозможно — ни зайти на сайт по сертификату, ни подписать документ нельзя.

Здесь доступны дистрибутивы КриптоПро CSP 4, 5 версии полученные с официального сайта. Мы избавляем вас от необходимости регистрироваться на официальном сайте для скачивания дистрибутивов.

Содержание

  • 1 Скачать КриптоПро CSP 4.0.9975, 4.0.9974, 4.0.9969, 4.0.9963, 4.0.9944
  • 2 Лицензия ключ КриптоПро 4
  • 3 Скачать КриптоПро CSP 5.0.12222, 5.0.12000, 5.0.11944, 5.0.11732, 5.0.11455
  • 4 Лицензия ключ КриптоПро 5
  • 5 Инструкция по установке КриптоПро 4.0

Для вашей цели, пик криптопро и электронная подпись

ОАО АльфаСтрахование

Для вашей цели, пик криптопро и электронная подпись

АО “ТРАНСНЕФТЬ ВЕРХНЯЯ ВОЛГА”

Для вашей цели, пик криптопро и электронная подпись

АО “ОБЪЕДИНЕННАЯ ЭНЕРГЕТИЧЕСКАЯ КОМПАНИЯ”

Для вашей цели, пик криптопро и электронная подпись

ПАО БИНБАНК

Для вашей цели, пик криптопро и электронная подпись

ОАО “Сбербанк России”

Для вашей цели, пик криптопро и электронная подпись

ООО “КРОСТ-Д”

Для вашей цели, пик криптопро и электронная подпись

ООО “ГАЗПРОМ ТРАНСГАЗ МОСКВА”

Для вашей цели, пик криптопро и электронная подпись

АО “КРАСНАЯ ЗВЕЗДА”

Для вашей цели, пик криптопро и электронная подпись

АО ИД “КОМСОМОЛЬСКАЯ ПРАВДА”

Для вашей цели, пик криптопро и электронная подпись

АО “МОСЭЛЕКТРО”

Для вашей цели, пик криптопро и электронная подпись

ООО “ТЕХКОМПАНИЯ ХУАВЭЙ”

Для вашей цели, пик криптопро и электронная подпись

ЗАО “ИД “НОВАЯ ГАЗЕТА”

Для вашей цели, пик криптопро и электронная подпись

ООО “ИНТЕЛЛЕКТУАЛЬНАЯ ЛИТЕРАТУРА”

Для вашей цели, пик криптопро и электронная подпись

ООО “МАНН, ИВАНОВ И ФЕРБЕР”

Для вашей цели, пик криптопро и электронная подпись

ООО “Мэйджор Авто Транс”

Для вашей цели, пик криптопро и электронная подпись

ООО “ЕВРОСЕТЬ-РИТЕЙЛ”

Для вашей цели, пик криптопро и электронная подпись

ООО “КУПИШУЗ”

Для вашей цели, пик криптопро и электронная подпись

ЗАО “ГЕЛИЯ”

Для вашей цели, пик криптопро и электронная подпись

ООО “Данон Индустрия”

Для вашей цели, пик криптопро и электронная подпись

ЗАО “МОСРЕГИОНСТРОЙ”

Для вашей цели, пик криптопро и электронная подпись

ООО УК “РЭЙЛТРАНСХОЛДИНГ”

Для вашей цели, пик криптопро и электронная подпись

ООО “МАНГО ТЕЛЕКОМ”

Для вашей цели, пик криптопро и электронная подпись

ОАО “НИИ “ДЕЛЬТА

Для вашей цели, пик криптопро и электронная подпись

АО “СКО”

Для вашей цели, пик криптопро и электронная подпись

ЗАО “ИНГЕОКОМ КРК”

Для вашей цели, пик криптопро и электронная подпись

ОАО “Химкинский водоканал”

Для вашей цели, пик криптопро и электронная подпись

ПАО “НПП”САПФИР”

Для вашей цели, пик криптопро и электронная подпись

АО “ВНИИНМ”

Для вашей цели, пик криптопро и электронная подпись

ОАО “КОМБИНАТ “МОСИНЖБЕТОН”

Для вашей цели, пик криптопро и электронная подпись

ОАО “НПП “Аэросила”

Для вашей цели, пик криптопро и электронная подпись

АО “НОВОЗЫБКОВСКИЙ МАШИНОСТРОИТЕЛЬНЫЙ ЗАВОД”

Для вашей цели, пик криптопро и электронная подпись

ОАО “ХОЛДИНГ “ЭДАС”

Для вашей цели, пик криптопро и электронная подпись

ЗАО “УМАЛАТ”

Для вашей цели, пик криптопро и электронная подпись

ООО “ГТСтелеком”

Для вашей цели, пик криптопро и электронная подпись

ООО “ДЯДЯ ВАНЯ Трейдинг”

Для вашей цели, пик криптопро и электронная подпись

МВД РОССИИ

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “МФК МИНФИНА РОССИИ”

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “ГОССОРТКОМИССИЯ”

Для вашей цели, пик криптопро и электронная подпись

МГУ ИМЕНИ М.В.ЛОМОНОСОВА

Для вашей цели, пик криптопро и электронная подпись

ГУП “Мосгортранс”

Для вашей цели, пик криптопро и электронная подпись

МОО ЕАГО

Для вашей цели, пик криптопро и электронная подпись

МГО ВФСО “Динамо”

Для вашей цели, пик криптопро и электронная подпись

ИНГЕОКОМ КРК

Для вашей цели, пик криптопро и электронная подпись

ООО “СОЮЗ КИНЕМАТОГРАФИСТОВ РОССИИ”

Для вашей цели, пик криптопро и электронная подпись

ФГУП “РОСРАО”

Для вашей цели, пик криптопро и электронная подпись

ФГУП “ГКНПЦ ИМ.М.В.ХРУНИЧЕВА”

Для вашей цели, пик криптопро и электронная подпись

ФГУП “НИЦ “ПЭУ”

Для вашей цели, пик криптопро и электронная подпись

ФГУП “ИМГРЭ”

Для вашей цели, пик криптопро и электронная подпись

ФГБНИУ “ГОСНИИР”

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “КЛИНИЧЕСКАЯ БОЛЬНИЦА №1”

Для вашей цели, пик криптопро и электронная подпись

Исторический музей

Для вашей цели, пик криптопро и электронная подпись

ГБУ “АВТОМОБИЛЬНЫЕ ДОРОГИ”

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “ГНЦ ИНСТИТУТ ИММУНОЛОГИИ” ФМБА РОССИИ

Для вашей цели, пик криптопро и электронная подпись

НОУ ЦИРОТ ДОСААФ РОССИИ

Для вашей цели, пик криптопро и электронная подпись

ФГБУК “РОСКОНЦЕРТ”

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “3 ЦВКГ ИМ. А.А. ВИШНЕВСКОГО” МИНОБОРОНЫ РОССИИ

Для вашей цели, пик криптопро и электронная подпись

ФГБНУ НЦПЗ

Для вашей цели, пик криптопро и электронная подпись

ФГУП “ГОСКОРПОРАЦИЯ ПО ОРВД”

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “ГЛАВРЫБВОД”

Для вашей цели, пик криптопро и электронная подпись

ЦРООИ “КЕРООР”

Для вашей цели, пик криптопро и электронная подпись

АНО “ОИТ”

Для вашей цели, пик криптопро и электронная подпись

ФГУП «ГосНИИОХТ»

Для вашей цели, пик криптопро и электронная подпись

ГБУ “КРОЦ”

Для вашей цели, пик криптопро и электронная подпись

НП «НОЛВ»

Для вашей цели, пик криптопро и электронная подпись

ФГБУ “ГНЦ ИНСТИТУТ ИММУНОЛОГИИ” ФМБА РОССИИ

Привет!

Мы работаем в компании крупнейшего девелопера страны, ориентируемся на будущее, живем digital-амбициями.

Если вам по душе всегда двигаться вперед, искать новое и профессионально развиваться, тогда наши задачи ждут вас.

Будущие задачи:

1. Сопровождение клиентов на этапе заселения:

  • оперативные ответы на обращения, дистанционно,

  • качественная работа с входящими/ исходящими звонками клиентов

2. Присутствие на проекте и оперативная помощь клиенту при запросе

3. Онлайн-консультация клиентов по процессу и решение сложных вопросов

4. Работа в crm-16, TESSA, Технадзор

Ты нам точно подойдешь, если:

  • Обладаешь грамотной и четкой речью, хорошей дикцией

  • Имеете навыки телефонных переговоров

  • Умеете работать с большим объёмом информации

  • Способны работать в режиме многозначности

  • У тебя есть опыт работы с возражениями и ты их не боишься

  • Стрессоустойчив и организован

  • Энергичен, доброжелателен, умеешь проявлять эмпатию в голосе

  • Не первый год работаешь с клиента

Почему тебе понравится работать в нашей команде:

  • Безопасные условия — подписываем трудовой договор

  • Команда, которая всегда поможет и поддержит

  • Крутой опыт и новые вызовы

  • Карьерный рост, который зависит только от твоих желаний и стремлений

Что мы предлагаем:

  • Официальное трудоустройство + бонус;

  • График работы 2/2;

  • Формат работы: удаленно/офис/объект

  • Работу в крупной и стабильной компании с инновационными проектами

Заинтересовала вакансия? Тогда скорее жми «откликнуться» и мы тебя найдем!

Для вашей цели, пик криптопро и электронная подпись

FYI. Статья написана в далеком 2019 году, но актуальна и на ноябрь 2021.

Каждый предприниматель и руководитель ООО пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные УКЭП на защищенных токенах. Такие сертификаты позволяют только логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.

Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.

Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.

Содержание

Что нужно для работы с КЭП под macOS:

Устанавливаем и настраиваем КЭП под macOS

  1. Устанавливаем КриптоПро CSP
  2. Устанавливаем драйверы Рутокен
  3. Устанавливаем сертификаты
    3.1. Удаляем все старые ГОСТовские сертификаты
    3.2. Устанавливаем корневые сертификаты
    3.3. Скачиваем сертификаты удостоверяющего центра
    3.4. Устанавливаем сертификат с Рутокен
  4. Устанавливаем специальный браузер Chromium-GOST
  5. Устанавливаем расширения для браузера
    5.1 КриптоПро ЭЦП Browser plug-in
    5.2. Плагин для Госуслуг
    5.3. Настраиваем плагин для Госуслуг
    5.4. Активируем расширения
    5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  6. Проверяем что все работает
    6.1. Заходим на тестовую страницу КриптоПро
    6.2. Заходим в Личный Кабинет на nalog.ru
    6.3. Заходим на Госуслуги
  7. Что делать если перестало работать

Смена PIN-кода контейнера

  1. Выясняем название контейнера КЭП
  2. Смена PIN командой из terminal

Подпись файлов в macOS

  1. Выясняем хэш сертификата КЭП
  2. Подпись файла командой из terminal
  3. Установка Apple Automator Script

Проверить подпись на документе

Вся информация ниже получена из авторитетных источников (КриптоПро #1, #2 и #3, Рутокен, Корус-Консалтинг, УФО Минкомсвязи), а скачивать ПО предлагается с доверенных сайтов. Автор является независимым консультантом и не связан ни с одной из упомянутых компаний. Следуя данной инструкции, всю ответственность за любые действия и последствия вы принимаете на себя.

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).

Для вашей цели, пик криптопро и электронная подпись

Спецификация
ПлатформыСемейство Windows, GNU\Linux, OS X. На базе СПО iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX.509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦППодпись WEB-форм при прохождении траффика
WEB API
Механизмы аутентификацииклиентская аутентификация в рамках TLS
Механизмы “гостирования” TLSЧерез механизм проксирования
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузеромЧерез механизм проксирования
Мобильные платформыiiOS, Android на базе СПО sTunnel
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, PC/SC, APDU
ПриложенияБраузеры
WEB-сервера
RDP
Почтовые клиенты и сервера
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование, запуск
Запуск с FLASH-памяти USB-токена
Примеры (ГОСТ)МагПро КриптоТуннель
Inter-PRO
VPNKey-TLS
LirTunnel
КриптоПро sTunnel
sTunnel

Проблемы:

  • прокси должен быть запущен;
  • приложение должно работать через прокси, нужно «научить» его этому;
  • могут использоваться нестандартные порты, отсюда проблемы в файрволом
  • если приложение «ходит» через localhost, то, например, в адресной строке браузера прописано localhost… — нестандартно
  • дополнительные ограничения на разработку web-сайта — в ряде случаев использование только относительных ссылок, чтобы не «вылететь» из туннеля
  • прокси сконфигурирован на проксирование конечной группы сайтов, расширение группы — это обновление клиентского конфига
  • работа через внешний прокси требует дополнительного конфигурирования локального прокси, при этом могут быть проблемы с аутентификацией пользователя на внешнем прокси

Плюсы:

  • решение использует универсальную технологию, поэтому можно не бояться его устаревания;
  • решение может применяться на большом числе платформ, в том числе на мобильных платформах;
  • кроссбраузерность, поддержка всех WEB-серверов без модификации;
  • не требует инсталляции;
  • поддержка различных прикладных протоколов.

Браузерные плагины

Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.

Читайте также:  КриптоПро ЭЦП Browser plugin для Opera

Кроссбраузерные плагины

Для вашей цели, пик криптопро и электронная подпись

Спецификация
ПлатформыСемейство Windows, GNU\Linux, OS X
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC
Интеграция с PKIX.509, PKCS#10, CMS, CRL, OCSP (КриптоПро ЭЦП Browser plugin), TSP (КриптоПро ЭЦП Browser plugin)
Механизмы ЭЦППрограммный интерфейс для использования в JavaScript
Механизмы аутентификацииЭЦП случайных данных
Механизмы “гостирования” TLS
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (КриптоПро ЭЦП Browser plugin), CADES (КриптоПро ЭЦП Browser plugin)
Интеграция с браузеромActiveX (для IE)
NPAPI
Мобильные платформыне поддерживаются
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, через CryptoAPI
ПриложенияБраузеры
ИнсталляцияПрограмма установки, не требуются права системного администратора
Примеры (ГОСТ)КриптоПро ЭЦП Browser plugin
eSign-PRO
КриптоПлагин Лисси
Плагин портала госуслуг
JC-WebClient
Рутокен Плагин
Плагин BSS
КриптоАРМ Browser plugin

Проблемы:

  • отсутствие TLS
  • удаление NPAPI из Chromium
  • браузеры на мобильных платформах не поддерживают плагины
  • настройки безопасности IE могут блокировать исполнение плагина

Плюсы:

  • кроссплатформенность для плагинов на базе PKCS#11
  • кроссбраузерность
  • плагины на базе PKCS#11 не требуют установки СКЗИ
  • прозрачное использование для пользователя

ActiveX

Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.

Для вашей цели, пик криптопро и электронная подпись

В следующих статьях будут подробно рассмотрены оставшиеся решения.

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.

Для вашей цели, пик криптопро и электронная подпись

СпецификацияMicrosoft CSP, Microsoft CNG, CryptoAPI 1.0 -> CryptoAPI 2.0
ПлатформыСемейство Windows. Есть порт на GNU\Linux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS, EAP-TLS, Kerberos
Интеграция с PKIX.509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦПНативный программный интерфейс, Си-style;
Встраивание в приложения
Механизмы аутентификацииКлиентская аутентификация в рамках TLS.
KERBEROS-аутентификация в домене Windows.
Собственные механизмы аутентификации на базе ЭЦП случайных данных
Механизмы “гостирования” TLSВстраивание в системный TLS
Поддержка прикладных протоколовHTTPS, SMTPS, IMAPS, POP3S, RDP, NNTPS, FTPS, LDAPS
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec, S/MIME;
CADES (КриптоПро ЭЦП), PDF signature (КриптоПро PDF), MS Office Signature (КриптоПро Office Signature)
Интеграция с браузеромЭЦП в IE через ActiveX CAPICOM, PKCS#10 через ActiveX XEnroll/CertEnrool
TLS в IE через встраивание в SSPI-провайдер
ЭЦП в различных браузерах через проприетарные плагины (КриптоПро ЭЦП Browser Plugin)
TLS-прокси (КриптоПро sTunnel)
Кастомные браузеры (КриптоПро Fox, Защищенный браузер Digital Design)
Интеграция со службой каталоговMS Active Directory; клиентская часть с произвольным LDAP-каталогом
Мобильные платформыПорт КриптоПро CSP на iOS, Android
Команднострочная утилитаЕсть
Хранилища ключейРеестр, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, PC/SC, APDU
ПриложенияIE, Microsoft Office, Microsoft Outlook Express, Microsoft Outlook, Microsoft Word/Excel, Microsoft Authenticode, Microsoft RDP, Microsoft Certification Authority, Microsoft IIS, Microsoft Exchange, Microsoft Terminal Server, Winlogon, Microsoft EFC
Проприетарные приложения
СПО (sTunnel, FireFox, Apache через Trusted TLS, патч для OpenVPN)
Adobe Reader
SAP
Интеграция с фреймворкамиMicrosoft.NET (КриптоПро.NET)
ИнсталляцияПрограмма установки, требуются права системного администратора
Примеры (ГОСТ)КриптоПро CSP
ViPNet CSP
Signal-COM CSP
Лисси CSP
КриптоПро Рутокен CSP
Валидата CSP

Проблемы:

  • Отсутствие нормальной кроссплатформенности;
  • Установка с правами администратора, настройка;
  • Установка обновления Windows может потребовать обновления провайдера;
  • Необходимость встраивания в приложения посредством модификации кода «на лету»;
  • CSP — неродной интерфейс для не-Windows-приложений.

Плюсы:

  • Широкий охват Windows-приложений;
  • Богатый инструментарий для разработчиков защищенных систем;
  • Апробированная на большом количестве проектов технология.

Устанавливаем и настраиваем КЭП под macOS

Очевидные вещи

  • все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
  • во всех установщиках ничего не меняем, все оставляем по-умолчанию;
  • если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

Устанавливаем КриптоПро CSP

Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOSскачать.

Устанавливаем драйверы Рутокен

На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain)скачать.

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

/opt/cprocsp/bin/csptest -card -enum

В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

Устанавливаем сертификаты

Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.

Скриншоты

Для вашей цели, пик криптопро и электронная подпись

Для вашей цели, пик криптопро и электронная подпись

На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:

  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Скачанные сертификаты УЦ устанавливаем командами из terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:

Команды в terminal:

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'

Команды ничего не возвращают.

Устанавливаем специальный браузер Chromium-GOST

Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.

Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

killall Chromium-Gost

Устанавливаем расширения для браузера

1 КриптоПро ЭЦП Browser plug-in

Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователейскачать.

Плагин для Госуслуг

Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS)скачать.

Настраиваем плагин для Госуслуг

Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.

Выполняем команды в terminal:

sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Проверяем что все работает

Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Заходим в Личный Кабинет на nalog

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

  • Личный кабинет ИП: https://lkipgost.nalog.ru/lk
  • Личный кабинет ЮЛ: https://lkul.nalog.ru

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Для вашей цели, пик криптопро и электронная подпись

Что делать, если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

  4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Настройка параметров браузера

В том же разделе «Безопасность» потребуется установить и другие настройки для стабильной работы Спутника. Для лучшего понимания все действия показываем на картинках. Следуйте инструкции по включению/отключению необходимых параметров.

нужные параметры
надежные сайты

Теперь настраиваем всплывающие окна.

В свойствах браузера Спутник заходим в поле «Конфиденциальность». Отмечаем «галочкой» блокировку всплывающих окон.

спутник

Можно пойти другим путем — скопировать адрес ЕАТ в список исключений в настройках всплывающих окон.

список исключения

Включаем переопределение автоматической обработки cookie-файлов. Для этого откройте вкладку «Конфиденциальность» и нажмите кнопку «Дополнительно».

дополнительные настройки

Далее устанавливаем настройки браузера Спутник по умолчанию так:

сброс настроек
прокси сервер
безопасность

По окончании настройки удаляем временные интернет-файлы, истории обзора и cookie-файлы. Заходим на вкладку «Общие» и нажимаем «Удалить».

удалить
очистка

КриптоПро

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 3 января 2017 года; проверки требуют 34 правки.

КриптоПро — разработанная одноименной компанией линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются в других программах для генерации электронной подписи (ЭП), работы с сертификатами, организации структуры PKI и т.д.

Установка и настройка КриптоПро ЭЦП Browser plug-in

Это важный компонент, который нужен для формирования и проверки электронной подписи для пользователей ЕАТ. Скачать дистрибутив можно по ссылке.

открытие программы

Откройте плагин по установке от имени администратора.

от имени администратора

Подтвердите свое действие и начните установку плагина.

подтверждение установки

После завершения операции убедитесь, что ЕАТ находится в зоне надежных узлов.

надежный узел

Если установка прошла успешно, то в окне выбранного браузера появится поле настроек плагина КриптоПро. Для Спутника во  всплывающем окне подтвердите выполнение сценариев и элементов ActiveX — нажмите «Разрешите заблокированное содержимое».

Разрешите заблокированное содержимое

Проверьте список доверенных узлов и сохраните настройки.

сохранить настройки

Теперь вы подкованы в теме, а, значит, торги не будут сорваны по причине постоянных сбоев браузера. Желаем успешной работы в Спутнике, и как можно больше побед в тендерах.

Как вам статья?

Шинина Анастасия

Шинина Анастасия

Закажите бесплатную консультацию у нашего ведущего эксперта

Заказать консультацию

Поддержка КриптоПро различными платформамиПравить

Продукты КриптоПроПравить

Средства криптографической защиты информацииПравить

  • КриптоПро CSP 1.1
  • КриптоПро CSP 2.0
  • КриптоПро CSP 2.0 Solaris
  • КриптоПро CSP 3.0
  • КриптоПро CSP 3.6
  • КриптоПро CSP 3.9
  • КриптоПро CSP 4.0
  • КриптоПро CSP 5.0[5]
  • Атликс HSM
  • КриптоПро HSM
  • КриптоПро JCP
  • КриптоПро Sharpei

Средства криптографической защиты информации со смарткартами и USB ключами

  • Магистра – CSP
  • КриптоПро Рутокен CSP
  • КриптоПро eToken CSP

Инфраструктура открытых ключейПравить

  • Удостоверяющий центр КриптоПро УЦ
  • КриптоПро TSP
  • КриптоПро OCSP
  • АРМ разбора конфликтных ситуаций
  • КриптоПро Revocation Provider
  • КриптоПро ЭЦП
  • КриптоПро PDF
  • Сервер электронной подписи КриптоПро DSS

Защита от несанкционированного доступа с использованием КриптоПро CSPПравить

  • КриптоПро TLS
  • КриптоПро Winlogon
  • КриптоПро EAP-TLS
  • КриптоПро IPSec
  • КриптоПро NGate
  • Secure Pack Rus

Программы и утилитыПравить

  • Приложение командной строки cryptcp
  • ЭЦП процессор
  • cptools – графические инструменты КриптоПро

Комментарии к публикации «Пермский краевой суд отказался от отечественного ПО — с ним не может работать ГАС «Правосудие»

ВСЕ КОММЕНТАРИИ26

КриптоПро же допилили под линукс, надо было раньше чесаться, а не когда локальный вендекапец замаячил. Как бы ремешком не а-та-та за непатриотичное решение.

Переходите на бумажные картотеки, санкции нам на пользу!

Судьи решили нарушить закон, потому что они работают не над его соблюдением, а над его нарушением. Встали на сторону монопольной незаконной программы, вместо того, чтобы заказать новую отечественную. Что тут сказать? Судьи наши – это даже не дышло, это – набор кривых флюгеров!

А если я буду очень смеяться – это считается дискредитацией российской армии?

Мало ли что не может запустить запуск!!! Непатриотично однако!! Это саботаж!

Вот и импортозаместились. А дальше-больше.

так мозгов нет соорудить отечественное

из за дыр в операционке вся омерика будет знать что там в правосудии творится

Подождите, они и от отечественных автомобилей откажутся и тоже весьма убедительно обоснуют.

>> Обоснование невозможности соблюдения запрета

А чё, так можно было?

А теперь тех, кто придумывает запреты, которые “невозможно соблюдать”, как-то накажут?

Леня Голубков

27 мая 2022 в 22:12

И как это понимать??

паралельный

27 мая 2022 в 22:18

а я слышал что не так давно в Челябинске бульдозером давили партию компов(больше сотни вроде там было) вот лучше бы сюда или в школы отдали

Уважаемый

28 мая 2022 в 07:00

Довольно скромная закупка. По 50 т за 1 моноблок. На таких не поиграешь.

Хорошо

28 мая 2022 в 18:16

сало перепрятать…

Судьям все можно – они оплот путинской тоталитарной системы!

Надо требовать компы с трофейным софтом(трофейное – не купленное), и по прецеденту разрешить это всем.

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © “Crypto-Pro”, 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…
Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Container: SCARD\rutoken_lt_00000000\0000\0000

= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken…. Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.

  1. Распаковываем архив ‘Sign with CryptoPro.zip’
  2. Запускаем Automator
  3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
  4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
  5. Сохраняем скрипт: ⌘Command + S
  6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
  7. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
  8. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
  9. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Скриншоты

Окно Apple Automator:

System Preferences:
Для вашей цели, пик криптопро и электронная подпись

Контекстное меню Finder:

Для вашей цели, пик криптопро и электронная подпись

Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10

Версия КриптоПроСертификацияПоддержка ГОСТ-2012ПримечаниеСсылка для скачивания
КриптоПро 4.0 R5 (4.0.9975 Euclid)Сертифиция не планируется.Поддерживает ГОСТ-2012Разработка КриптоПро CSP 4.0 прекращена! Рекомендуем начинать планирование миграции на КриптоПро CSP 5.0.Скачать КриптоПро 4.0 R5 (4.0.9975 Euclid)
Размер: 5,7 Мб
КриптоПро 4.0 R5 (4.0.9974 Diophantus)Версия промежуточная.Поддерживает ГОСТ-2012Решена проблема входа по электронной подписи на порталы в Windows 10Скачать КриптоПро 4.0 R5 (4.0.9974 Diophantus) от 30.08.2020.)
Размер: 5,7 Мб
КриптоПро 4.0 R5 (4.0.9969 Bayes)Версия промежуточная.Поддерживает ГОСТ-2012Решена проблема входа по электронной подписи на порталы в Windows 10Скачать КриптоПро 4.0 R5 (4.0.9969 Bayes)
КриптоПро 4.0 R4 (4.0.9963 Abel)Сертификаты соответствия СКЗИ Криптопро CSP 4.0.9963:

СФ/114-3610 от 10 января 2019 до 15 января 2021,

СФ/124-3611 от 10 января 2019 до 15 января 2021,
СФ/124-3612 от 10 января 2019 до 10 января 2022
СФ/114-3613 от 10 января 2019 до 15 января 2021
СФ/124-3614 от 10 января 2019 до 15 января 2021
Поддерживает ГОСТ-2012Отключен запрет на подписание с использованием ГОСТ Р 34.10-2001 в 2019 годуСкачать КриптоПро 4.0 R4 (4.0.9963 Abel)
КриптоПро 4.0 R3 (4.0.9944 Xenocrates)Сертификаты соответствия СКЗИ КриптоПро CSP 4.0.9944:

СФ/114-3379, СФ/124-3380, СФ/114-3382, СФ/124-3383
действительны от 11.05.2018 до 15.01.2021
Поддерживает ГОСТ-2012Необходимо отключение блокировки использования ГОСТ Р 34.10-2001 в 2019 годуСкачать КриптоПро 4.0 R3 (4.0.9944 Xenocrates)

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

4040A-Q000K-9KAC2-9A6QR-6FCZN

4040Y-Q0000-02Q6T-NFYX9-24Z86

40400-00000-11111-101EB-G2EM0

40400-00000-11111-00NHL-372FM

40400-00000-UKAC8-00PRU-B8HE6

40400-00000-UKAC2-00QP8-MT29G

ПримечанияПравить

  1. Руководство пользователя Системы Интернет-платежей Сбербанка России Архивная копия от 21 сентября 2004 на Wayback Machine(pdf)
  2. Требования к аппаратно-программному Обеспечению Клиента для работы ПО АС «Банк-Клиент» (BSS). Приложение № 1 (недоступная ссылка)(doc)
  3. Старт проекта Универсальная электронная карта – YouTube. Дата обращения: 26 марта 2013. Архивировано 30 июня 2014 года.
  4. Сертификаты ФСБ на продукты КриптоПро. Дата обращения: 14 сентября 2010. Архивировано 19 сентября 2010 года.
  5. СКЗИ КриптоПро CSP 5.0. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
  6. Лицензионное соглашение с ООО “КРИПТО-ПРО” Архивная копия от 14 января 2018 на Wayback Machine
  7. КриптоПро – Поддержка ОС, аппратных платформ и отделяемых носителей. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
  8. Инструменты КриптоПро – кроссплатформенный графический интерфейс. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.

Что нужно для работы с КЭП под macOS

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Установка сертификатов и КриптоПро CSP

Для корректной работы в сфере госзаказа вам нужно приобрести ключ электронной подписи и сертификат. Отдельный дистрибутив получать не нужно, все действия по установке проходят в режиме онлайн. Алгоритм загрузки сертификата выглядит так:

сведенья
  1. Заходим на официальный сайт Федерального казначейства и скачиваем два сертификата: сертификат удостоверяющего центра ФК и сертификат Головного удостоверяющего центра.
  2. Устанавливаем сертификаты на компьютер. Для этого нужно найти файлы с разрешением .cer и в открывшемся окне нажать строку «Установить сертификат».
  3. В окне мастера импорта сертификатов выбираем тип хранилища. Мастер предлагает выбрать действие автоматически, но нам нужно не это. Отмечаем строку «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор».
хранилище сертефикатов

Если все сделано правильно, сертификат будет установлен.

Переходим к этапу установки или обновления КриптоПро CSP. Программное обеспечение КриптоПро CSP создано, чтобы обезопасить информацию о пользователе. Без этой программы не обойтись ни одному участнику государственных закупок.

Государственные и муниципальные заказчики пользуются бесплатными версиями КриптоПро CSP, которые предоставляют им территориальные подразделения Федеральных казначейств. Участнику торгов потребуется установка КриптоПро CSP версии не ниже 4.0 (4.0.9842). Детальную инструкцию по скачиванию и установке можно найти на официальном ресурсе разработчика.

Далее выполняем настройку рабочего места и браузера Спутник.

Криптографические решения. От криптопровайдеров до браузерных плагинов

Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.

В данном материале сделана попытка классифицировать средства криптографической защиты информации.

  • Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
  • Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
  • Отдельно выделены аппаратные криптографические устройства.

Классификация построена на основе:

  • технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
  • интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.

Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах

Общая схема классификации приведена в таблице:

КриптопровайдерыНативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы)Локальные проксиБраузерные плагиныОблачная подписьБраузеры с российской криптографией
Почтовые клиенты с российской криптографиейРоссийская криптография в фреймворках, платформах, интерпретаторахНастольные криптографические приложенияКриптография в BIOS UEFIСервис-провайдеры ЭЦПЭмуляторы доверенной среды
Аппаратные средства

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.

Нативные библиотеки

OpenSSL-style

Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.

После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.

Для вашей цели, пик криптопро и электронная подпись

СпецификацияOpenSSL API — один из де-факто стандартов для СПО
ПлатформыСемейство Windows, GNU\Linux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX.509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦПНативный программный интерфейс, Си-style;
Механизмы аутентификацииклиентская аутентификация в рамках TLS
собственные механизмы на базе ЭЦП случайных данных
Механизмы “гостирования” TLSTLS с российской криптографией поддержан в библиотеке (в случае использования OpenSSL в качестве браузерного криптодвижка)
TLS-прокси на базе OpenSSL (например, sTunnel)
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (при использовании с библиотекой www.aleksey.com/xmlsec, в том числе ГОСТ), S/MIME
Интеграция с браузеромЧерез TLS-прокси
Через проприетарные плагины
В Chromium OpenSSL один из возможных криптодвижков
Интеграция со службой каталоговOpenLDAP
Мобильные платформыiOS, Android
Команднострочная утилитаЕсть
Хранилища ключейФайлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11
ПриложенияOpenVPN, Apache, sTunnel, Nginx, Postgre SQL, postfix, dovecot
Проприетарные приложения
Интеграция с фреймворкамиOpenSSL интегрирован в большое количество фреймворков (PHP, Python, .NET и др.), но ГОСТа нет. Требуется выпускать патчи к фреймворкам
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование
Запуск использующих rкриптосредства приложений с FLASH-памяти USB-токена
Примеры (ГОСТ)МагПро КриптоПакет
ЛирССЛ
OpenSSL (несерт.)
OpenSSL + engine PKCS11_GOST + Рутокен ЭЦП

Проблемы:

  • OpenSSL и его аналоги не поддерживается приложениями Microsoft;
  • Необходимость патчить СПО, которое поддерживает OpenSSL, для включения ГОСТов.

Плюсы:

  • Кроссплатформенность;
  • Использование в огромном количестве проектов, открытые исходники большей части проекта — выявление и устранение уязвимостей (как пример, недавнее выявление heartbleed);
  • Распространяется копированием — можно делать приложения, не требующие инсталляции;
  • Широкий охват приложений СПО, на базе которых можно делать защищенные сертифицированные продукты;
  • Широкая интеграция в фреймворки, но при этом проблемы с ГОСТами.

PKCS#11

Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.

Функции делятся на:

  • Функции доступа к устройству;
  • Функции записи/чтения произвольных данных;
  • Функции работы с ключами (поиск, создание, удаление, импорт, экспорт);
  • Функции работы с сертификатами (поиск, импорт, экспорт);
  • Функции ЭЦП;
  • Функции хэширования;
  • Функции шифрования;
  • Функции вычисления имитовставки;
  • Функции выработки ключа согласования (Диффи-Хeллман);
  • Функции экспорта/импорта сессионного ключа;

Таким образом, стандарт PKCS#11 поддерживает полный набор криптопримитивов, пригодный для реализации криптографических форматов (PKCS#7/CMS/CADES, PKCS#10, X.509 и др.) и протоколов (TLS, IPSEC, openvpn и др.).

Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.

В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.

Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.

Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.

Для вашей цели, пик криптопро и электронная подпись

PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.

Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.

У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:

Для вашей цели, пик криптопро и электронная подпись

Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.

NSS

NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.

В данный момент существуют два проекта по «гостификации» NSS:

  • Компания Лисси периодически публикует на своем сайте доступные для скачивания актуальные версии Mozilla Firefox и Mozilla Thunderbird, пересобранные с поддержкой российской криптографии. Кроме того, существует ряд продуктов этой компании, построенный на базе модифицированной библиотеки NSS — высокоуровневая библиотека NSSCryptoWrapper, плагин LCSignPlugin, десктопное приложение для ЭЦП под Android SignMaker-A.
    Следует отметить, что модифицированный специалистами этой компании NSS позволяет использовать как программные PKCS#11-токены, так и аппаратные (Рутокен ЭЦП, eToken ГОСТ, JaCarta ГОСТ, MS_KEY).
  • Atoken — это open source проект компании R-Альфа. В рамках проекта создан программный PKCS#11-токен с российской криптографией и выложены патчи для определенной версии NSS и компонента Security Manаger, позволяющие использовать в продуктах Mozilla россиийскую криптографию (TLS, ЭЦП, PKI). Кроме того R-Альфа предлагает реализацию программного PKCS#11-токена с поддержкой сертифицированной библиотеки Агава-С под названием Агава-Про.

Библиотеки c собственным интерфейсом

Проприетарные библиотеки предоставляют собственный API для встраивания в приложения. В данный список можно внести:

  • Агава-С
  • Крипто-C
  • Крипто-КОМ

Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10

Версия КриптоПроСертификацияПоддержка ГОСТ-2012ПримечаниеСсылка для скачивания
КриптоПро 5.0.12222 (Lilith)Промежуточная версияПоддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.12222 Lilith)
Размер: 7,33 Мб
КриптоПро 5.0.12000 (Kraken)Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.1200:
1-Base: СФ/114-4064 от 20.05.2021 до 01.05.2024
2-Base: СФ/124-4065 от 20.05.2021 до 01.05.2024
3-Base: СФ/124-4066 от 20.05.2021 до 01.05.2024
Поддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.12000 Kraken)
Размер: 7,3 Мб
КриптоПро 5.0.11944 (Jackalope)Версия предварительная, не сертифицирована!Поддерживает ГОСТ-2012Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.Скачать КриптоПро 5.0.11944 (Jackalope)
Размер: 7,43 Мб
КриптоПро 5.0.11732 (Heimdallr Update 1)Версия предварительная, не сертифицирована!Поддерживает ГОСТ-2012Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.Скачать КриптоПро 5.0.11732 (Heimdallr Update 1)
Размер: 7,45 Мб
КриптоПро 5.0.11455 (Fury)Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.11455:
1-Base: СФ/114-3726 от 13.08.2019 до 13.08.2022
2-Base: СФ/124-3727 от 13.08.2019 до 13.08.2022
3-Base: СФ/124-3728 от 13.08.2019 до 13.08.2022
Поддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.11455 Fury)
Размер: 6,85 Мб

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Скриншот

Для вашей цели, пик криптопро и электронная подпись

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.

Скриншоты

Для вашей цели, пик криптопро и электронная подпись

Для вашей цели, пик криптопро и электронная подпись

Инструкция по установке КриптоПро 4

Запустите установочный файл CSPSetup_4.0.xxxx.exe

В первом появившемся окне нажмите кнопку «Запустить».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Принимаем условия лицензионного соглашения, нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Выбираем обычную установку. Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Ждем пока программа установится.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Дальше остается нажать «Готово». КриптоПро установлено.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Настройка браузера Спутник

Работа в браузере Спутник значительно облегчит ваше участие в торгах. Разработчик советуют работать с Единым агрегатором торговли в браузере Спутник. Если вы работаете в другом браузере, то выполняйте действия по аналогии с нашей инструкцией. Команды браузеров имеют незначительные отличия. Для участия в государственных торгах настраивайте браузер Спутник следующим образом:

  1. Включите ссылку ЕАТ в список доверенных узлов.
  2. Установите последнюю версию программного обеспечения КриптоПро CSP.
  3. Загрузите КриптоПро ЭЦП Browser plug-in.
  4. Настройте считыватели КриптоПро CSP.
  5. Добавьте сертификаты КриптоПро CSP.

Расскажем подробно о каждом действии пользователя.

Сферы применения электронной подписи для отчетности

Для вашей цели, пик криптопро и электронная подпись


Электронная




отчетность


Сдавайте отчетность через сайт госоргана

или с помощью программы


Срок действия:


1 год


Такснет-Референт




для уполномоченных представителей
Если вы оказываете консалтинговые услуги по сдаче отчетности в гос.органы предлагаем для Вас и ваших клиентов комплекс Такснет-Референт для уполномоченных представителей

1. Единоразовый платеж за подключение программного комплекса “Такснет-Референт”-

4 500 руб

.

2. Пакет “Фиксированный-100” (лимит 100 отчетов ФНС,ФСС,ПФР,Росстат и т.д на 12 месяцев) –

4 500 руб.


Количество юридических лиц или ИП неограниченно.

3. Годовая лицензия на ПО “КриптоПро” –

1000 руб.

(для одного рабочего места).

Для взаимодействия с данным комплексом необходима электронная подпись,стоимость электронной подписи составляет

1500 руб.

(на одного ИП или одно юридическое лицо).

В стоимость входит носитель

JaCarta

.


8300 руб.



Комплект для сдачи отчетности




ФНС,ФСС,ПФР,Росстат и т.д
электронная подпись для сдачи отчетности
1500 руб.
электронный носитель
1 000 руб.
годовая лицензия на программу КриптоПро CSP (КриптоПро, это программа,которая обрабатывает подпись на компьютере)
1000 руб.
годовое обслуживание комплекса “Такснет-Референт”
3 900 руб.


7400 руб.

Как сформировать список доверенных узлов?

ЕАТ не будет «сбоить», если  его официальный сайт добавить в список доверенных узлов Спутника. Добавлять необходимый адрес в перечень надежных узлов в Спутнике нужно так:

  1. Откройте блок «Сеть» и нажмите строку «Изменить настройки прокси-сервера».
настройки сети
  1. Во вкладке «Свойства» найдите в раздел «Безопасность».
безопасность
  1. В окне «Надежные сайты» зайдите в блок «Сайты». В появившуюся строку вставьте ссылку на официальный сайт https://agregatoreat.ru/.
доверенный сайт

По аналогии вместо адреса ЕАТ можете добавить в зону надежных узлов официальный сайт zakupki.gov.ru.

добавить сайт

Функционально настройка браузера Спутник для ЕИС мало отличается от действий пользователя при запуске работы Единого агрегатора торговли «Березка».

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector