- Что делать если перестало работать
- Что нужно для работы с кэп под macos:
- Выясняем название контейнера КЭП
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Смена PIN командой из terminal
- 1. Удаляем все старые ГОСТовские сертификаты
- 2. Устанавливаем корневые сертификаты
- 3. Скачиваем сертификаты удостоверяющего центра
- 4. Устанавливаем сертификат с Рутокен
- 4. Активируем расширения
- 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- 1. Заходим на тестовую страницу КриптоПро
- 3. Заходим на Госуслуги
- Авторизация при помощи приватного ключа
- Включение доверия для профилей сертификатов в ios и ipados, установленных вручную
- Импорт «криптопро» в мобильное приложение
- Как загрузить эцп на айфон
- Контейнер закрытого ключа для работы с «криптопро»
- Подпись файлов в macos
- Полезные ссылки
- Проверка установки сертификата эцп
- Работа с «криптопро»
- Смена pin-кода контейнера
- Установка s/mime сертификата на ios
- Установка контейнера закрытого ключа в приложение
- Электронная подпись для apple ios (ipad, iphone) #безопасность #сэд #ecmj
Что делать если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserData
Переустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Что нужно для работы с кэп под macos:
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Выясняем название контейнера КЭП
На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
Команда должна вывести минимум 1 контейнер и вернуть
[ErrorCode: 0x00000000]
Нужный нам контейнер имеет вид
.Aktiv Rutoken liteXXXXXXXX
Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -list
Команда должна вывести минимум 1 сертификат вида:
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE
где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Смена PIN командой из terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).
Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.
1. Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
В ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
2. Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
3. Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
4. Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Команда должна вернуть:
OK.
[ErrorCode: 0x00000000]
4. Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/
Включаем оба установленных расширения:
- CryptoPro Extension for CAdES Browser Plug-in
- Расширение для плагина Госуслуг
5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.html
На появившейся странице в список доверенных узлов по-очереди добавляем сайты:
1. Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
3. Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
Авторизация при помощи приватного ключа
Для авторизации с использованием приватного ключа нам понадобится сам ключ, установленный вышеописанным образом, установленный корневой сертификат УЦ, настроенный сервер с «КриптоПро» и с добавленным в доверенные нашим ключом. Сервер должен поддерживать работу по TLS версии 1.2 для всех устройств с iOS 9 и выше, а также иметь ГОСТовые cipher suites от «КриптоПро».
Включение доверия для профилей сертификатов в ios и ipados, установленных вручную
В iOS 10.3 и более поздних версий, а также в iPadOS при ручной установке профиля, содержащего полезную нагрузку сертификата, этот сертификат не становится доверенным для SSL автоматически.
Эта статья предназначена для системных администраторов учебных учреждений, предприятий и других организаций.
При установке профиля, полученного по электронной почте или загруженного с веб-сайта, доверие для SSL необходимо включать вручную.
Если требуется включить доверие SSL для такого сертификата, перейдите в раздел «Настройки» > «Основные» > «Об этом устройстве» > «Настройки доверия сертификатов». В разделе «Включить полное доверие для корневых сертификатов» включите доверие для сертификата.
Apple рекомендует развертывать сертификаты с помощью средств Apple Configurator или Mobile Device Management (MDM). Доверие полезных нагрузок сертификатов автоматически включается для SSL при их установке с помощью средств Configurator, MDM или в качестве части профиля регистрации MDM.
Источник
Импорт «криптопро» в мобильное приложение
Первый шаг для использования «КриптоПро» в своем приложении — это внедрить фреймворк, скачанный с сайта компании. В пакете для iOS помимо самого фреймворка содержатся также три примера — создание электронной подписи (ЭЦП), создание ssl-тоннеля и пример, позволяющий собрать браузер, обладающий функциональностью создания и проверки ЭЦП на веб-страницах.
Подробное описание содержится внутри примеров, в файлах Readme. На их основе легче понять алгоритм действий. Очень поможет пакет для MacOS: в нем содержится много полезных примеров с подробными комментариями. После его установки все примеры будут находиться на диске в разделе opt/cprocsp/src/doxygen/CSP.
Инструкция по импортированию самого фреймворка находится в CPROCSP.framework в файле ReadMe, разберем его по пунктам.
1. От вас требуется зайти в консоль и прописать путь к скаченному фреймворку, далее запустить утилиту, как описано ниже:
Как загрузить эцп на айфон
Как установить сертификат в Safari на Iphone iOS (для webmoney и прочего)
EGOV.KZ вход с телефона и получение адресной справки 2021 год
Установка сертификата ЭЦП. Способ 1
Получение адресной справки через мобильное приложение в iOS
ЭЦП для iPad. crypto mobail
https://www.youtube.com/watch?v=CdaodJvoZMA
Как пользоваться мобильной электронной подписью показали в Астане
Регистрация на портале госзакупок
Сертификаты в iPhone
Установка сертификата на IOS 5 iPhone 4
Использование Егов без ЭЦП через мобильный телефон
Источник
Контейнер закрытого ключа для работы с «криптопро»
На момент написания статьи «КриптоПро CSP 4.0» не поддерживает работу с сертификатами *.pfx, которые содержат и публичный, и приватный ключ. Необходимо использовать контейнеры *.000, которые можно получить только при использовании «КриптоПро»; их формат нигде не описан, и записываются они, как правило, на ключевых носителях, токенах (флешках, дискетах).
Подпись файлов в macos
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Полезные ссылки
— подробное описание всех функций, входящих в них параметров, а также рабочие примеры.
Форум — форум «КриптоПро», на котором сотрудники ежедневно отвечают на вопросы. Многие ответы на вопросы уже даны, и, несмотря на их давность (порою около 6 лет), они все еще могут вам помочь.
Руководство разработчика — написанное компанией руководство, которое содержит в себе перечень входящих в состав криптопровайдера функций с кратким описанием и примерами.
Описание ошибок — большой список возможных ошибок, возникающих в функциях С , с их кодом и кратких описанием. Чтобы получить код ошибки, используйте в коде приложения функцию CSP_GetLastError, входящей в состав фреймворка. Она хранит в себе код последней полученной ошибки.
Проверка установки сертификата эцп
В окне настроек нажмите на кнопку «Сертификат ЭЦП». В открывшемся окне будут указаны сведения о владельце сертификата, о выдавшем Удостоверяющем центре и о сроке действия сертификата.
Для того, чтобы в приложении «Мобильный офис» появилась возможность подписывать резолюции и документы с помощью ЭЦП, зайдите в настройки приложения и включите режим «Подписывать резолюции».
ВНИМАНИЕ! ПОСЛЕ УСТАНОВКИ ЭЦП ОБЯЗАТЕЛЬНО В ОКНЕ НАСТРОЕК ВКЛЮЧИТЕ ФУНКЦИЮ «ПОДПИСЫВАТЬ ЭЦП».
Источник
Работа с «криптопро»
Сразу хотелось бы сказать, что осуществление такого уровня защиты и функционала в мобильных приложениях в принципе не может быть столь же простым, как сверстать страницу или отправить запрос на сервер. Читать и изучать придется в любом случае, особенно если вы никогда прежде не работали с криптографией и безопасным соединением через TLS.
Компания «КриптоПро» предоставляет мобильным разработчикам мощный инструмент для внедрения в свое приложение такого сложного функционала совершенно бесплатно, но есть и ложка дегтя. К сожалению, за долгое время существования компании не было сделано удобной и понятной документации. Отдельно для мобильных разработчиков ее нет в принципе.
Разработка рано или поздно приведет вас на форум, и вам придется его перелопатить, чтобы найти ответ. Наибольшую сложность составляет отсутствие информации о том, что и как делать, — это мы и постараемся исправить в нашей статье. Все ссылки на ресурсы, которые могут быть полезными, будут оставлены в конце статьи.
Также придется поработать с С и самостоятельно заботиться о выделении и очистке памяти.Стоит отметить, что статья написана при актуальной версии «КриптоПро CSP 4.0», поэтому описанные ниже пакеты для разработчиков в будущем могут отличаться.
Смена pin-кода контейнера
Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.
Установка s/mime сертификата на ios
Сегодня я расскажу, как установить S/MIME сертификат на iOS 11 и выше.
Для начала, небольшое вступление. Что такое S/MIME сертификат , для чего он нужен и как его получить?
S/MIME – стандарт для шифрования и подписи в электронной почте с помощью открытого ключа. Подпись необходима для обеспечения целостности сообщения и гарантия сохранения авторства. Получая подписанное автором письма его цифровой подписью, можно быть уверенным в том, что информация в письме не изменена третьими лицами.
Хотя цифровые подписи обеспечивают целостность данных, они не обеспечивают конфиденциальность. Что бы защитить содержимое сообщения электронной почты, применяют его шифрование. Перед отправкой письма, его текст шифруется открытым ключом (его еще часто называют публичным) и делает этот текст нечитаемым. И только получатель данного письма, с помощью своего закрытого ключа, сможет расшифровать и прочитать текст сообщения.
Выдаются S/MIME сертификаты удостоверяющими центрами. Удостоверяющие центры выполняют роль “нотариуса”, чья честность неоспорима, а открытый ключ широко известен. Задача удостоверяющих центров — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Как правило, сертификаты шифрования и подписи стоят денег. Но существует удостоверяющий центр, который выдает бесплатные сертификаты для персональной электронной почты сроком на один год. Название этой компании Comodo .
Внимание! После переименования Comodo в Sectigo, компания перестала выдавать бесплатные сертификаты S/MIME.
Давайте приступим к практике. Получить сертификат проще чем кажется.
Важно! Необходим браузер Internet Explorer 11 или Mozilla Firefox 59. Т.к. в Chromium после версии 49 функция «Генерация ключей» больше не поддерживается. Поэтому, не используйте браузер на базе Chromium для регистрации сертификатов S/MIME.
Откройте браузер Firefox последней версии и перейдите по ссылке ,что бы попасть на страницу удостоверяющего центра Comodo, изображенную на скриншоте ниже:
Нажмите на зеленую кнопку ” Зарегистрироваться бесплатно “
Далее, вы попадаете на страницу генерации сертификата. Где необходимо указать ваши имя и фамилию, страну, а так же электронную почту, на которую вы генерируете сертификат. Не забудьте указать размер ключа, я выбираю High grade.
Revocation Password – это пароль для отзыва сертификата, на случай если у вас его украдут или вы его сами потеряете.
Ставьте галочку, с тем что вы согласны с правилами и положениями и жмите кнопку Next.
Если все прошло удачно, вы увидите сообщение о том, что сертификат отправлен вам на указанную электронную почту.
Важно! Дальнейшие действия нужно выполнять также в браузере Firefox.
Проверьте свой почтовый ящик, наверняка вы уже получили письмо от Comodo такого вида:
Необходимо нажать на кнопку “Click & Install Comodo Email Certifiacate” и дождаться сообщения что сертификат установлен
Затем нужно экспортировать сертификат и закрытый ключ. Для этого необходимо открыть настройки Firefox, затем открыть пункт Приватность и защита. Нажать на кнопку “Просмотр сертификатов”
Затем во кладке “Ваши сертификаты” необходимо выбрать сертификат, который соответствует вашей электронной почте, и нажать кнопку “Сохранить копию”
Введите пароль для резервной копии и сохраните файл экспорта закрытого ключа
Теперь отправьте себе на электронную почту этот файл резервной копии, и получите его на своем устройстве с iOS.
Нажмите на вложенный файл экспорта и нажмите кнопку “Установить”
Далее снова “Установить”, введите пин-код устройства.
Источник
Установка контейнера закрытого ключа в приложение
Как пишут сами сотрудники «КриптоПро», есть три варианта установки контейнера на устройство:
• Через iTunes File Sharing.• Использовать отдельное приложение для записи файлов на iOS, типа iExplorer.• Написать собственный экспорт ключа в блоб (PRIVATEKEYBLOB) и импортировать его в коде приложения. Пример такого способа находится в вышеупомянутом пакете для MacOS под названием EncryptKey/DecryptKey.
Мы использовали первый вариант — как самый быстрый и удовлетворяющий требованиям заказчика. Именно для его реализации при импорте был выбран флаг USE_CACHE_DIR = false; если iTunes File Sharing вами использоваться не будет или вы хотите скрыть от пользователя возможность заглянуть в папку с ключами, то лучше скройте ее, выставив флаг true.После первого запуска с установленным фреймворком в папке Documents приложения будет создана папка cprocsp:
https://www.youtube.com/watch?v=cReqPwL64F4
Внутри этой папки и хранятся все контейнеры ключей. Устанавливаемые сертификаты и контейнеры хранятся и относятся к приложению, а не к ключевому хранилищу устройства, поэтому после его удаления будет необходимо установить их заново.
Далее существует два пути: написать все функции самому или использовать уже готовый контроллер, и так как его хватит для решения большинства задач, о нем и поговорим.Фреймворк содержит в себе хедер-файл с названием PaneViewController.h. Если вы не обременены строгостью по дизайну, то можете импортировать предложенные xib-файлы (находятся в CPROCSP.framework/Resources) и инициализировать криптопанель через них — к примеру, таким образом:
Электронная подпись для apple ios (ipad, iphone) #безопасность #сэд #ecmj
Алексей Александров
30 января 2021 г. 11:57 5 комментариевДобавить в закладки
Алексей Александров Руководитель направления по работе с тех.
партнерами ЗАО “Аладдин
Р.Д.”
Одной из
тенденций на сегодняшний день является BYOD (Bring Your Own Device) – использование сотрудниками собственных устройств в
рабочих целях. По оценкам Gartner, к 2021 году примерно
90% компаний будут поддерживать корпоративные приложения на устройствах,
которые находятся в собственности работников. Мобильность сотрудников неизменно
растёт за счёт повсеместного использования смартфонов и планшетов, в том числе
производства компании Apple. Если в компании
реализована система электронного документооборота, то возникает задача
обеспечить возможность её полноценного использования и с личных мобильных
устройств сотрудников. Однако разработчики, пытающиеся адаптировать устройства iPad и iPhone для корпоративного использования и обеспечить легитимность
таких бизнес-процессов, сталкиваются со множеством проблем.
Во-первых,
это закрытость платформы iOS. У Apple есть два типа комплектов разработчика: общий для создания
разнообразных приложений и SDK нижнего,
“системного” уровня, позволяющий реализовать функционал на уровне ОС,
работать с аппаратной составляющей, обращаться к файлам, SIM-карте
и коммуникационным порталам напрямую. Его корпорация Apple предоставляет только ограниченному кругу компаний-партнёров.
Вторая
проблема – это отсутствие USB-портов, к которым
подключаются электронные ключи. Существуют переходники типа “Apple Dock to USB”, но полноценно работать с электронным ключом с их помощью
нельзя.
Наконец,
разработчики сталкиваются с архитектурными ограничениями iOS (монолитность и изолированность приложений), политикой Apple в отношении публикации в AppStore
приложений, реализующих криптографические алгоритмы, а также законодательными
ограничениями РФ на экспорт криптографии.
Нам видится правильным подход, при котором криптография реализована на
смарт-карте, подключаемой к iPad или
iPhone с помощью совместимого с
ней считывателя.
Оно должно подключаться
к iPad/iPhone через
разъём Apple Dock.
Дополнительно считыватель должен иметь microUSB-разъём и
может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки
драйверов.
Для
современного сотрудника корпорации «соединенного» с компьютером и программами,
которые стали уже частью его жизни, удостоверение личности и связанные с этим
вопросы безопасности для организации становятся весьма важными. И одним из
решений являются – смарт-карты.
Во-первых, это
PKI-карты для корпоративных пользователей,
обеспечивающие вход в домен, работу с УЦ, хранение ключевых контейнеров на
карте и т.д. В них на аппаратном уровне может быть реализована электронная
подпись (ЭП). Карты должны быть сертифицированы ФСБ России по классу КС2.
Во-вторых – электронные
удостоверения сотрудников (ID-карты). Они используются
как бейдж для визуальной идентификации сотрудников, легко интегрируются со СКУД,
а также могут выполнять “социальную” функцию, например, использоваться
для льготного проезда в транспорте. Поддерживается и функция строгой
двухфакторной аутентификации пользователей и формирования ЭП.
И еще более
интересный вариант решения, который будет хорошо воспринят пользователями, так
как он избавляет сразу от пачки карточек – это комбинированные международные платёжные
карты. Сейчас в России уже созданы комбинированные платёжные карты с наличием платёжных
приложений MasterCard и Visa на одном чипе с аппаратной
реализацией российской криптографии, сертифицированной ФСБ России. Такую карту можно
использовать для работы с “облачными” сервисами, портальными
системами, для аутентификации, цифровой подписи, обеспечения юридической
значимости электронного документооборота и пр.
Такое решение
будет востребовано, и, в первую очередь, корпоративными пользователями iPhone и iPad,
т.к. оно позволяет решить множество проблем и рисков BYOD,
а также обеспечивает полноценное участие сотрудников в корпоративном
электронном документообороте даже при работе с личных мобильных устройств.