Ключ 9708

Инструменты криптопро — кроссплатформенный графический интерфейс (cptools)[править]

В версии КриптоПРО 5 появилась графическая утилита для работы с сертификатами — cptools. Для использования cptools необходимо установить пакет cprocsp-cptools-gtk из скачанного архива:

После этого её можно запустить из консоли:

С её помощью можно установить сертификат из токена в хранилище uMy:

Установка крипто про 4. 0 для линукс и других операционных систем

КриптоПро CSP — самый популярный российский криптопровайдер (СКЗИ, криптографическая утилита) для генерации квалифицированной электронно-цифровой подписи (КЭЦП, КЭП). СКЗИ сертифицировано ФСБ и соответствует обновленному стандарту формирования и проверки ЭЦП — ГОСТ Р 34. 10-2021.

В настоящее время есть три актуальных версии этого софта — 3. 8, 4. 0 и 5. Срок действия сертификата v. 8 заканчивается в сентябре текущего года. Релиз 5. 0 с расширенным набором опций на конец июля 2021 г. еще не сертифицирован и используется в тестовом режиме. Версия 4. 0 регулярно обновляется и на текущий момент представлена уже 4-я сертифицированная сборка этого релиза (R4).

Криптографическая утилита функционирует в широком спектре операционных систем, и для каждой из них есть свои специфические нюансы. В этой статье подробно рассмотрим особенности использования Крипто Про для Линукс, Windows и Mac OS.

Создание и проверка эцп в gost-crypto-gui[править]

gost-crypto-gui — средство для создания электронной подписи и шифрования файлов.

Установить пакет gost-crypto-gui из репозитория можно, выполнив команду:

Запустить программу можно:

С её помощью можно подписывать и проверять подписи файлов:

Для создания электронной подписи файла необходимо:

• Нажать кнопку «Подписать файл(ы)».
• Выбрать файл, который необходимо подписать.
• Выбрать сертификат и нажать кнопку «Далее»:
• Ввести пароль на контейнер (если он был установлен):
• Появится сообщение о подписанном файле:

Опции ЭП настраиваются в меню «Опции» (параметр «Отсоединенная подпись» не работает???):

Для проверки электронной подписи следует:

• Нажать кнопку «Проверить подпись».
• Выбрать подписанный файл.
• Появится информация о сертификате подписи:

Можно ли восстановить сертификат после удаления

Электронная подпись — важный инструмент, который хранит конфиденциальные данные пользователя. Чтобы защитить эти данные, удаленные сертификаты стираются из памяти компьютера безвозвратно. Они не попадут в «Корзину», и восстановить их с помощью специальных программ не получится. Таким образом производитель защищает пользователя от действий мошенников.

Восстановить можно только открытую часть сертификата ЭП которая хранилась в контейнере вместе с закрытым ключом. Например, если вы случайно удалили сертификат из браузера, то можете переустановить его с помощью программы КриптоПро.

Если же вы случайно удалили закрытый ключ ЭП, восстановить его не получится. Однако, если у вас есть копия сертификата ЭП и закрытого ключа на токене или флешке, вы можете заново записать их на компьютер.

Если же копии файлов подписи нет, то придется получать новый сертификат подписи в УЦ. В этом случае придется посетить офис УЦ лично. Если в вашем тарифе нет услуги перевыпуска сертификата, получение нового сертификата будет платным.

Обратите внимание, что открыть зашифрованный документ можно только тем сертификатом, которым его подписывали. Перевыпущенный сертификат ЭП не откроет старые документы.

Резюме

Подведем итог. В конце 2021 — начале 2021 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

Наверняка есть немало пользователей, особенно пользователей Linux, кто считает, что консольных утилит достаточно. А также специалистов по информационной безопасности, которые считают, что дизайн и удобство — излишество в ИБ. Но я не могу с ними согласиться.

Операционные системы astra linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа; 2) в соответствии с Федеральным законом от 27. 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

КриптоПро CSP

Срок использования демонстрационной версии КриптоПро CSP ограничен 90 днями с момента установки.

Передача прав на использование программного обеспечения производства ООО “КРИПТО-ПРО” осуществляется на основании Лицензионного соглашения.

Лицензии на использование продукта необходимо приобретать в ООО “КРИПТО-ПРО” или у официального дилера.

Лицензии на право использования программного обеспечения оформляются на бумажном носителе формата А4.

Для штатной эксплуатации средств криптографической защиты информации (СКЗИ) они должны быть установлены с дистрибутива.

Дистрибутив может быть:

• Приобретен у производителя или у официального дилера производителя на материальном носителе.
• Получен с сайта производителя или официального дилера.

Порядок получения дистрибутива с сайта:

Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34. 11 94 с учётом RFC 4357, а так же md5.

Установка СКЗИ на рабочее место пользователя может быть осуществлена только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.

Использование программного обеспечения регламентируется приведенным ниже Лицензионным соглашением с ООО “КРИПТО-ПРО”:

Ключ для КриптоПро 4. 0 9944 и варианты лицензий

В зависимости от вида лицензии, продавец предоставляет определенный ключ для КриптоПро 4. 0 9944 или других версий программы. Стоимость и функции разрешения также зависят от его типа. Виды лицензий:

• По типу операционной системы: разрешения, которые подбирают в зависимости от ОС компьютера покупателя. Например, CSP 4 релиза подходит для 32- и 64-разрядных Windows версии XP, Vista, 7, 8, 8.1 и 10.
• По длительности периода действия: с ограниченным сроком (на год) и бессрочные.
• По применению: серверная — устанавливают на сервер, разрешено применение для неограниченного количества пользователей. Клиентская или автономная — разрешение для одного ПК. Встроенная — реализуется в составе электронной подписи на носителе.

Применять можно на любом ПК, так как самостоятельная установка не нужна, но только в комплекте с ЭП.

За 30 минут настроим ЭЦП для работы под ключ.

Оставьте заявку и получите консультацию в течение 5 минут.

Ввод лицензии через портал диагностики

• Нажать кнопку «Далее».
• После завершения проверки выбрать «Установить».
• После установки компонентов ввести в поле номер лицензии и нажать «
  Ввести».

Ручной ввод лицензии

Порядок ручного ввода лицензии КриптоПро зависит от установленной версии криптопровайдера. Проверить версию криптопровайдера можно, открыв меню «Пуск» > «Панель управления» > «КриптоПро CSP». Версия продукта указана на вкладке «Общие».

Ниже приведены настройки для версий:

Полное удаление криптопро с очисткой реестра и следов в системе

С причинами мы с вами разобрались, переходим от теории к практике. Как я и писал в заголовке статьи, сам процесс не займет много времени и с ним можно справиться и за 1-2 минуты, если есть все подготовительные действия и набор утилит.

Что будет в нашем арсенале для очистки следов от CryptoPRO CSP:

Чтобы удалить КриптоПРО CSP полностью с компьютера, откройте “Программы и Компоненты”, этот пункт находится в панели управления Windows. Быстро в него попасть можно нажав клавиши WIN и R одновременно, вызвав тем окно выполнить, введя в нем сокращенное название, этой оснастки:

Находим в списке установленных программ КриптоПРО CSP, у меня это версия 4. 9842, и выбираем пункт “Удалить”.

Ставим галку “Больше не показывать это диалоговое окно” и нажимаем да.

Начнется процесс удаления программы КриптоПРО с компьютера. По окончании которого вас уведомят, что необходима перезагрузка системы,

отправляем ваш Windows 10 или какой там у вас в ребут.

Будьте внимательны и сохраните заранее все ваши данные, так как перезагрузка будет сразу

Далее продолжаем удаление КриптоПРО полностью и без остатков, для этого мы воспользуемся утилитой Ccleaner. Открываем ее, оставляем режим “Очистка” и нажимаем кнопку “Очистка”, проставьте галки в пункте система как у меня.

Утилита отработает и удалит оставшиеся файлы от CryptoPRO CSP, до которых сможет достать. Далее переходим в пункт “Реестр”.

Нажимаем кнопку “Поиск проблем”, этим мы сможем отыскать оставшиеся кусты в реестре Windows, относящиеся к КриптоПРО.

Будет произведен поиск и представлены результаты, что можно исправить и удалить, нажимаем “Исправить выбранное”.

Нажимаем кнопку “Исправить отмеченные”, как только Ccleaner все удалит, повторите поиск до тех пор пока не будет все чисто, это позволит произвести полное удаление КриптоПРО CSP с очисткой реестра.

Ну и осталось пройтись еще специальной утилитой от разработчиков. Качать ее можно по ссылке ниже ,единственное нужна регистрация.

Запускаем утилиту cspclean. exe (Аварийного удаления КриптоПро CSP). У вас откроется окно командной строки, в которой вам предложат полностью удалить КриптоПРО в Windows 10, соглашаемся с этим и нажимаем да.

Утилита cspclean. exe начнет очищать все следы данной утилиты, по завершению чего она просто закроется, не показав ни какое сообщение.

Если вы думаете, что удаление КриптоПРО завершено, то еще нет остался один шаг, так сказать шлифовка. У нас еще остался кэш установки данной утилиты. Чтобы его найти, вам необходимо включить скрытые папки Windows и перейти в папку:

Вроде бы папка весит 37 мегабайт, но зачем нам лишний мусор. На этом полное удаление КриптоПРО CSP, можно считать оконченным. Остались вопросы пишите их в комментариях.

Стоимость и сроки доставки

Бесплатная доставка осуществляется только до грузового терминала ТК СДЭК, если клиент находится в городе, где нет пункта самовывоза ТК СДЭК, до бесплатно доставляем до ближайшего терминала данной компании (СДЭК). Сроки по данной доставке устанавливаются согласно тарифам ТК и на усмотрение отправителя.

Срочного тарифа и адресной доставки, в услуге «Бесплатная доставка» нет.

Бесплатной доставкой можно воспользоваться только при заказе ККТ с полным комплектом услуг (касса под ключ). При данном условии, бесплатно доставляется только касса.

Если клиент покупает ККТ с полным комплектом услуг + другой товар (весы, денежный ящик, счетчик банкнот, принтер этикеток, 10 коробок чековой ленты и т. д), то бесплатно доставляем только ККТ, доставку на все остальное клиент оплачивает отдельно.

Условия бесплатной доставки по Москве и МО Ваш заказ доставляет курьерская служба:

• — Грастин (Москва и МО до 25 км от МКАД);
• — ETGO (Москва и МО до 25 км от МКАД)
• — Алгоритм (Москва и МО до 25 км от МКАД);
• — CDEK (от 25км от МКАД и более);

Бесплатной доставкой можно воспользоваться только при заказе ККТ с полным комплектом услуг (касса под ключ)! При данном условии, бесплатно доставляется только касса.

Бесплатная доставка осуществляется по Москве на следующий день после её оформления. По МО (до 25 км от МКАД) — 1-2 дня. В день планируемой доставки Вам необходимо ответить на звонок курьера, иначе он будет вынужден перенести доставку на следующий день.

Если Вы находитесь более чем 25 км от МКАД, то доставку осуществляет ТК CDEK до ближайшего к Вам пункта выдачи данной компании, согласно параметрам для данного направления (сроки сообщаются логистом при оформлении заказа на доставку).

Выбор ТК, по условиям бесплатной доставки, производится на усмотрение отправителя.

Бессрочный серийный номер КриптоПро 4. 0 9944

Лицензия КриптоПро 4. 0 9944 имеет бессрочный серийный номер — это значит, что разрешение не ограничено периодом действия, и его не нужно обновлять. Пользователю достаточно один раз установить программу и оплатить ключ. Устанавливать утилиту можно только на один компьютер. Она имеет ряд преимуществ по сравнению с предыдущими версиями ПО:

• Установлен диверсификационный алгоритм KDF_TREE_GOSTR3411_2012_256 для симметрического формирования ключей CALG.
• Полностью поддерживает алгоритмы проверки и генерации ЭЦП по ГОСТам Р 34.10-2001, Р 34.10-2012, Р 34.11-94, Р 34.11-2012 и 28147-89.
• Расширен список совместимости с носителями, как Esmart, eToken, Рутокен, JaCarta и т. д.

Описание и списки возможностей опубликованы на сайте разработчика в таблице сравнения версий ПО.

Проверка подписи эцп

Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов,либо настроенный для этого revocation provider.

Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.

Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн. Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто. Net

Проверка конкретной подписи из локального хранилища по его хешу:

cryptcp 255c249150efe3e48f1abb3bc1928fc8f99980c4 test. txt. sig

Проверить, взяв сертификат из file1. sig, подпись файла file2. sig. Практически, надо использовать один и тот же файл:

cryptcp file1. sig file2. sig

Криптопро для windows 10

Программа CryptoPro CSP от российского разработчика ПО «КРИПТО-ПРО» признана лидером в сегменте криптографического ПО (наряду с ViPNet).

СКЗИ обеспечивает выполнение процессов криптошифрования, которые и лежат в основе генерации КЭП. Без этой вспомогательной программы невозможно создать ЭЦ, зашифровать файл, защитить от последующих корректив посторонними лицами, обеспечить целостность и предотвратить компрометацию важных сведений.

Бесплатный дистрибутив с утилитой можно получить на официальном ресурсе:

В течение 90 дней с момента инсталляции программы доступен бесплатный пробный период, чтобы пользователь смог оценить возможности ПО. По окончании демо-периода необходимо купить лицензию (на 12 месяцев или бессрочную). Заказать ее можно непосредственно у разработчика или дистрибьютора в своем регионе.

Одну лицензию можно использовать только на одном АРМ.

Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8. 1, Windows 10

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Подпись средствами «криптопро csp»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

Подписать можно с помощью команды:

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Экспорт сертификатов на другую машину[править]

Закрытые ключи к сертификатам находятся в /var/opt/cprocsp/keys.

Для экспорта сертификатов необходимо:

• Перенести ключи из на нужную машину в тот же каталог.
• Экспортировать сертификаты (их, количество можно определить, выполнив: certmgr -list, в примере сертификатов 3):
• Перенести файлы сертификатов (1.cer, 2.cer, 3.cer) на нужную машину.
• На машине, куда переносятся сертификаты, просмотреть какие контейнеры есть (должны появится контейнеры с первой машины):
• Связать сертификат и закрытый ключ:Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:Cannot install certificate
  Public keys in certificate and container are not identical
• Если закрытого ключа нет, то просто поставить сертификат:

Добавление сертификатов через криптопро

Для корректной реализации КЭЦП персональные сертификаты квалифицированной электронно-цифровой подписи (СКЭЦП, СЭЦП), полученные в УЦ и записанные на ключевой носитель (токен), необходимо добавить в хранилище на своем компьютере.

На одном ПК может находиться несколько ваших личных сертификатов. Всякий раз, когда нужно поставить ЭП, система будет открывать каталог со списком, откуда пользователь сам выбирает нужный СКЭЦП.

Последние релизы CryptoPro наделены функцией автоматической установки персональных сертификатов на жесткий диск компьютера:

• зайдите в систему под правами администратора и подключите к ПК USB-носитель;
• в рабочем окне программы откройте закладку «Сервис» и выберите опцию просмотра СКЭЦП в контейнере;

Далее открывается Мастер импорта сертификатов. Подтвердите согласие на операцию кнопкой «Далее». В следующей форме установите в настройках автоматический выбор хранилища для записи сертификата. Личные СКЭЦП сохраняются в папку «Личное», корневые сертификаты от УЦ — в «Доверенные».

Для завершения процедуры нажмите «Готово» и закройте окно кнопкой «Ок».

Установка криптопро в astra linux

В последние годы многие госслужбы и частные компании взяли курс на импортозамещение, все чаще выбирая Линукс в качестве операционной системы. Особую популярность среди российских пользователей получили аналоги этой ОС — Astra Linux, Rosa Linux, ГосЛинукс и др.

Процедуру установки КриптоПро рассмотрим на примере Astra Linux (ОС на базе ядра Линукс, используемая преимущественно в бюджетных учреждениях).

Чтобы загрузить дистрибутив для инсталляции СКЗИ, зайдите в «Центр загрузок», выберите сертифицированный релиз КриптоПро и deb-пакет для скачивания (с учетом разрядности ОС).

На СКЗИ для Линукс распространяются стандартные правила лицензирования и 3-месячный демо-период для ознакомления.

Распакуйте сохраненный на ПК архив с расширением tgz. Процесс установки осуществляется через консоль с помощью ввода специальных текстовых команд. Для инсталляции в Linux есть два варианта: вручную или автоматически. Рассмотрим второй способ:

• перейдите в папку с распакованным архивом и через контекстное меню выберите команду «Открыть в терминале»;
• запустите автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
• навигацию в окне Мастера осуществляйте с помощью кнопки Tab — отметьте все доступные к установке компоненты клавишей Next и нажмите «Install».

По завершении процедуры в окне Терминала появится уведомление об успешной инсталляции.

Когда закончится демо-период, купите лицензию и введите ее номер в настройках с помощью команды:

Вместо Х укажите серийный номер из лицензионного соглашения.

Процедура инсталляции криптопровайдера для других версий ОС семейства Linux предполагает аналогичный порядок действий.

Проверка сертификата

certmgr file. sig

Управление считывателями[править]

Просмотр доступных (настроенных) считывателей:

Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):

Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/.

Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):

Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):

Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd, которую необходимо запустить перед началом работы с соответствующими устройствами:

Можно включить службу pcscd в автозапуск при загрузке системы:

Экспорт контейнера и сертификата на другую машину[править]

Если при создании контейнера он был помечен как экспортируемый (ключ -exportable), то его можно экспортировать на USB-диск:

При этом потребуется ввести пароль от контейнера ‘. HDIMAGEtest_export’ и задать пароль на новый контейнер ‘. FLASHtest_new’.

Просмотр списка контейнеров:

Экспортировать сертификат из локального хранилища в файл:

Скопировать сертификат на USB-диск:

Экспорт контейнера с USB-диска на жесткий диск:

Примечание: Экспорт сертификата на жесткий диск необходимо выполнять под пользователем, который будет использовать данный контейнер для подписи.

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

Если сертификат без встроенной лицензии (приобретали серийный номер на рабочее место)

Прежде всего, следует найти приложение к договору «Лицензия на использование программного продукта КриптоПро CSP». В нем будет содержаться серийный номер, который необходимо внести одним из способов, описанных ниже.

Внести серийный номер лицензии можно с помощью портала диагностики или вручную.

Удаление средствами программы «криптопро»

Приложение «КриптоПро CSP» предоставляет все возможности для работы с ЭЦП. Оно устанавливает, стирает, копирует и скрывает файлы сертификатов и ключей. Удаление просроченных и ненужных файлов с расширением “. key” требует выполнения следующих действий:

• запустить приложение «КриптоПро»;
• перейти на вкладку «Сервис» в окне программы;
• развернуть список ключей ЭЦП;
• отметить нужную запись;
• нажать на «Удалить» либо «Удалить контейнер» (определяется версией ПО);
• подтвердить действие.

Преимуществом этого способа является то, что «КриптоПро» удаляет каждую запись по отдельности либо сразу все вместе с корневым сертификатом УЦ.

Если сертификат со встроенной лицензией

Открытый ключ обязательно должен быть установлен в закрытый (см. в инструкции ).

На рабочем месте должна быть установлена версия Крипто-Про не ниже 3. 6 R2 (3. 6497). Проверить версию криптопровайдера можно, открыв меню «Пуск» > «Панель управления» >

Для работы с такими сертификатами иметь действующую лицензию на рабочее место не требуется.

Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455

Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP».

В окне «Свойства КриптоПро CSP» кликните по ссылке «КриптоПро PKI».

В КриптоПро CSP 3. 6 R3 процедура ввода лицензии значительно упрощена. Вместо ссылки «КриптоПро PKI» следует нажать на кнопку «Ввод лицензии» и в открывшемся окне внести серийный номер из бланка. Нажать «Ок», ввод лицензии завершен.

В окне консоли PKI необходимо выбрать пункт «Управление лицензиями» и раскрыть его, щелкнув по значку слева.

Необходимо кликнуть правой кнопкой мыши на пункт «КриптоПро CSP» и выбрать «Все задачи» > «Ввести серийный номер».

В открывшемся окне необходимо внести серийный номер из бланка лицензии и кликнуть по кнопке «Ок».

Импорт персонального сертификата[править]

Вы можете импортировать собственный сертификат в локальный считыватель HDIMAGE.

Если у вас нет сертификата, самое время его создать:

Допустим, мы пошли по первому пути и создали сертификат web-server (делать это строго под правами root):

Сертификат по умолчанию будет лежать в /var/lib/ssl/certs/web-server. cert, а ключ ­— в /var/lib/ssl/private/web-server. key

Создадим для нашего ключа и сертификата необходимый контейнер:

Примечание: При создании контейнера будет дважды запрошен пароль для экспорта. По соображениям безопасности вводимые символы не показываются. После ввода каждого пароля нажимайте Enter.

Проверка созданного контейнера (при запросе введите пароль, введённый в предыдущей команде):

И сертификат и ключ попали в контейнер.

После генерации сертификата проверим наличие считывателя:

Для импорта сертификата в КриптоПро используйте программу certmgr. В нашем случае:

Если Вам необходимо импортировать сертификат с токена:

Если контейнер защищен паролем используйте ключ -pin <пароль>

Проверка цепочки сертификатов[править]

Внимание! В кэше сертификатов для выпущенного сертификата должны присутствовать корневые сертификаты удостоверяющих центров. В противном случае он будет недоступен в плагине для браузера!

Таблица 4. Сертификаты популярных удостоверяющих центров.

Для проверки можно скопировать персональный сертификат в файл:

Из вывода следует, что все сертификаты есть в цепочке сертификатов.

Если же команда возвращает «Цепочка сертификатов не проверена для следующего сертификата:» или другую ошибку:

(нажмите C и Enter, чтобы выйти).

Можно запустить вышеуказанную команду с отладкой цепочки:

То есть нам надо установить сертификат УЦ с CN=uc skb kontur (root):

Всё в порядке и сертификат виден в плагине Cades.

Управление сертификатами

Чтобы просмотреть сертификаты на подключенных физических носителях, задайте в Терминале следующую команду:

/opt/cprocsp/bin/amd64/csptest -keyset-enum_cont -fqcn -verifyc

Для импорта персональных СЭЦП со всех ключевых USB-носителей выполняем команду:

Убедитесь, что сертификаты добавлены в хранилище с помощью команды:

/opt/cprocsp/bin/amd64/certmgr -list -store uMy

Сохраненные СЭЦП отобразятся в окне Терминала в виде списка.

Удаление сертификата из реестра:

/opt/cprocsp/bin/amd64/certmgr -delete -store umy

Подробные рекомендации по установке и настройке СКЗИ в Линукс представлены в разделе «Документация».

Установка криптопро csp[править]

Архив с программным обеспечением (КриптоПро CSP 4. 0 R4 — сертифицированная версия, КриптоПро CSP 5. 0 — несертифицированная) можно загрузить после предварительной регистрации:

• linux-ia32.tgz (19,3 МБ, для i586) — для 32-разрядных систем (x86, rpm);
• linux-amd64.tgz (20,1 МБ, для x86_64) — для 64-разрядных систем (x64, rpm).

Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца

Установите пакет cryptopro-preinstall:

Этот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).

Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.

Распакуйте архив, скачанный с официального сайта КриптоПро:

Таблица 1. Описание необходимых пакетов КриптоПро.

Установите пакеты КриптоПро:

Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*

Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct

Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.

Также можно выполнить установку КриптоПро, запустив. /install_gui. sh в распакованном каталоге и выбрав необходимые модули:

Внимание! Пакеты КриптоПро после обновления утрачивают работоспособность, так что рекомендуется удалить все пакеты и установить их заново.

Для обновления КриптоПро необходимо:

• Запомнить текущую конфигурацию:
• Удалить штатными средствами ОС все пакеты КриптоПро:
• Установить аналогичные новые пакеты КриптоПро.
• При необходимости внести изменения в настройки (можно просмотреть diff старого и нового ).
• Ключи и сертификаты сохраняются автоматически.

Создание и проверка эцп с использованием cptools[править]

Запустить программу можно из консоли (должен быть установлен cprocsp-cptools-gtk из скачанного архива КриптоПро):

С помощью cptools можно подписывать и проверять подписи файлов.

• В левом меню выбрать пункт «Создание подписи».
• Выбрать файл, который необходимо подписать, нажав кнопку «Выбрать файл для подписи» (или ввести адрес файла в текстовое поле под кнопкой «Выбрать файл для подписи»).
• Изменить имя файла подписи, если оно вас не устраивает:
• Нажать кнопку «Подписать».
• Ввести пароль на контейнер (если он был установлен).
• Появится сообщение о подписанном файле: «Создание подписи завершилось успехом».

• В левом меню выбрать пункт «Проверка подписи».
• Выбрать файл с подписью, нажав кнопку «Выбрать файл с подписью для проверки» (или ввести адрес файла в текстовое поле под этой кнопкой).
• Нажать кнопку «Проверить подпись».
• Появится информация о результате проверки:

Информацию о создании и проверки ЭЦП на веб-сайтах с помощью плагина КриптоПро можно найти в руководстве разработчика КриптоПро ЭЦП Browser plug-in:

Как удалить сертификат встроенными средствами windows

Удалить сертификат электронной подписи с помощью средств Windows можно двумя способами: в браузере Internet Explorer и в менеджере сертификатов.

Чтобы удалить сертификат в интернет-браузере:

Зайдите в Internet Explorer.

Откройте раздел «Сервис» и выберите в нем пункт «Свойства браузера».

Перейдите во вкладку «Содержание» и нажмите на кнопку «Сертификаты».

В списке сертификатов выберите нужный и удалите его с помощью одноименной кнопки.

В этом случае удаляется только сертификат открытого ключа — общедоступная часть ЭП, а закрытый ключ останется на носителе (токене или компьютере). Система не будет показывать этот сертификат в общем списке, но при желании его можно вернуть. Для этого запросите сертификат открытого ключа в удостоверяющем центре, в котором получали электронную подпись.

Если же вы хотите удалить сертификат ЭП полностью, используйте менеджер сертификатов:

Откройте меню «Пуск».

В строке «Выполнить» введите команду «certmgr. exe» и нажмите кнопку ввода.

В списке сертификатов выберите тот, который хотите удалить и нажмите на него правой кнопкой мыши.

В контекстном меню выберите пункт «Удалить» и подтвердите это действие.

Инструкция по установке КриптоПро 4

Запустите установочный файл CSPSetup_4. xxxx. exe

В первом появившемся окне нажмите кнопку «Запустить».

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

Нажимаем «Далее».

Принимаем условия лицензионного соглашения, нажимаем «Далее».

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

Выбираем обычную установку. Нажимаем «Далее».

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

Ждем пока программа установится.

Дальше остается нажать «Готово». КриптоПро установлено.

Plug-in для windows

Перед тем как загрузить КриптоПро ЭЦП Browser plug in для Windows, убедитесь, что на вашем АРМ активировано сертифицированное СКЗИ, и закройте все окна веб-браузера.

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

https://youtube.com/watch?v=nPNa11c3QRo%3Ffeature%3Doembed

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2021 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать;— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:abf. io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Особенности работы с токенами[править]

При входе в ЕСИА с помощью Rutoken S не находится приватная часть ключа. В журнале ifc появляется строка:

Для этого надо перенести приватный ключ в локальное хранилище и задействовать его:

для AltLinux9. 2 КриптоПро5 Rutoken S – если cptools не читает ключ.

Добавить группу, если в журнале ошибки по отсутствию групп

добавить в файл

И закоментировать в файле

После внесения изменений перезагрузить службу

Когда сертификаты лучше не удалять

Удалять сертификат ЭП можно по разным причинам, например, когда его хозяин планирует сменить компьютер и стирает с него все личные данные. Однако, в некоторых случаях этого лучше не делать. Либо перед удалением скопировать сертификат на другой носитель.

Если у сертификата ЭП истек срок действия, не спешите его удалять. Подписать документ таким сертификатом не получится, но с его помощью по-прежнему можно расшифровать старые документы.

Правительство регулирует сроки хранения некоторых бухгалтерских, кадровых и налоговых документов. Например, договоры, счета-фактуры и налоговые декларации нужно хранить пять лет. Если эти документы электронные, то вместе с ними нужно хранить и сертификат ЭП, которым они подписаны.

Открыть документы, зашифрованные старым сертификатом ЭП, с помощью нового сертификата не получится — даже если новый сертификат выдан на того же человека.

Создание контейнера[править]

Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).

Внимание! C 1 января 2022 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001. Ключи и запрос на сертификат необходимо формировать ГОСТ 2022.

Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):

После указания пароля снова будет предложено перемещать указатель мыши.

Локальный контейнер создан.

В КриптоПро 5 появилась возможность интерактивно выбирать носитель и тип создаваемого контейнера. Теперь можно создавать неизвлекаемые контейнеры. Для этого необходимо выполнить команду, где testinside_2022 — имя контейнера:

Откроется окно выбора носителя и способа создания контейнера. Для некоторых носителей нет возможности выбрать способ создания контейнера (Рутокен S, JaCarta PKI):

Для некоторых носителей можно выбрать способ создания контейнера (Рутокен ЭЦП, JaCarta-2 PKI/ГОСТ). Создание неизвлекаемого контейнера:Создание обычного контейнера:

Криптопро эцп browser plug-in[править]

Внимание! Последняя доступная версия плагина КриптоПро ЭЦП Browser plug-in 2. 0 требует КриптоПро 4. С более ранними версиями КриптоПро плагин не работает и конфликтует.

КриптоПро ЭЦП Browser plug-in предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах с использованием СКЗИ «КриптоПро CSP».

Плагин проверки ЭЦП для браузера требует установленного КриптоПро CSP, пакета cprocsp-rdr-gui-gtk из его комплекта и расширения для браузера CryptoPro Extension for CAdES Browser Plug-in (для работы в Firefox версии 52 и выше).

Для установки плагина:

Настройка работы с рутокен эцп 2

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

apt-get install libpcsclite1 pcscd libccid

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

dpkg -i. /cprocsp-rdr-gui-gtk-64_4. 0-4_amd64. deb. /cprocsp-rdr-rutoken-64_4. 0-4_amd64. deb. /cprocsp-rdr-pcsc-64_4. 0-4_amd64. deb. /lsb-cprocsp-pkcs11-64_4. 0-4_amd64. deb

Удаление «криптопро» с очисткой следов установки

Устранение всех следов пребывания программы на компьютере осуществляется в 3 этапа:

• удаление приложения;
• очистка реестра утилитой Ccleaner;
• устранение остаточных следов установки «КриптоПро».

• клавишами Win R вызывается командный интерпретатор;
• запускается appwiz.cpl;
• отмечается галочкой отказ от повторного вывода этого окна;
• находится нужная версия «КриптоПро CSP» и дается команда удалить ее;
• производится перезагрузка компьютера, система выдаст сообщение о необходимости этой операции;
• далее из командной строки вызывается утилита Ccleaner и галочкой отмечается пункт «Очистка»;
• после выполнения задания выделяются галочкой «Реестр» и «Поиск проблем»;
• на экран будет выведен список параметров, оставшихся в реестре;
• последние 2 действия Ccleaner повторяются до полной деинсталляции файлов;
• в завершение очищается кеш установки, для этого делаются видимыми скрытые каталоги и удаляется папка «C:ProgramDataCryptoPRO».

По завершении всех действий в компьютере не остается следов пребывания криптографического пакета в реестре и на диске.

С какими криптографическим ПО можно работать в РФ

Использовать стандартные средства Windows CSP в России нет возможности в связи с тем, что у продуктов Майкрософт нет российской сертификации. Это значит, что их нельзя применять для документооборота с госорганами.

Поэтому в РФ используется ПО сторонних криптосервисов. В число наиболее распространённых входят следующие программы:

Большинство удостоверяющих центров выдаёт сертификаты и ключи электронных подписей, которые сформированы на платформах КриптоПро, а некоторые электронные торговые площадки работают только с продуктами КриптоПро. Более подробно о программном обеспечении КриптоПро CSP и о работе с ним мы рассказывали в одной из наших статей.

Как удалить сертификат эп в linux

В отличие от Windows, на Linux нет встроенного менеджера сертификатов, и, чтобы удалить сертификат ЭП, нужно использовать специальные программы. Порядок действий в таких программах схожий, однако некоторые команды, которые нужно ввести в терминал, могут отличаться. Мы расскажем, как удалить сертификат с помощью одной из самых распространенных программ — Mono.

Запустите терминал (командную строку) и введите команду certmgr –list.

В списке сертификатов найдите тот, который хотите удалить и скопируйте его название.

Введите команду «certmgr -del -c -m» и через пробел вставьте название нужного сертификата. Например, certmgr -del -c -m 0000. cer, где «0000. cer» — название сертификата.

Настройка оборудования[править]

Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.

Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.

Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др. ), смарт-карта, флэш-накопитель, дискета.

Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).

Встроенный в «КриптоПро CSP» датчик случайных чисел (далее ДСЧ) используется для генерации ключей.

Установка сертификатов используя криптопро в linux

Описание процесса установки приведено на примере дистрибутива семейства Debian (x64). Названия файлов и директорий могут варьироваться от системы к системе.

При установке личных сертификатов не нужны права суперпользователя, и наоборот, при установке сертификатов УЦ(корневых и промежуточных) могут потребоваться такие права.

Подключите USB носитель с ключевыми контейнерами и проверьте результат команды:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
CSP (Type:80) v4. 9009 KC1 Release Ver:4. 9797 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 16188003. FLASHivanov. FLASHpetrov. FLASHsidorov. FLASHvasiliev. FLASHsmirnov
OK. Total: SYS: 0,020 sec USR: 0,060 sec UTC: 0,180 sec

Можно сразу установить личные сертификатов из всех доступных контейнеров одной командой:

/opt/cprocsp/bin/amd64/csptestf -absorb -certsПроизойдет установка сертификатов, находящихся во всех доступных в момент запуска команды контейнерах(съемных флэш-носителях, жесткого диска и т. ) в хранилище uMy.

При необходимости скопируйте ключевой контейнер. FLASH. sidorov на жесткий диск:

Проверьте наличие нового контейнера. HDIMAGEsidor:

Установите личный сертификат:

cp ~/Загрузки/estp. crt ~/estp. crt