Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11

Содержание
  1. КриптоПро CSP 5. 0 R2
  2. Внимание:
  3. Документация:
  4. Для Windows:
  5. Для macOS:
  6. Поддерживаемые операционные системы Windows
  7. Подписание документа ЭЦП
  8. Подпись файлов (присоединённая)
  9. Подпись файлов(отсоединённая)
  10. Установка КриптоПро CSP
  11. Диагностический архив для обращения в тех. поддержку
  12. Полезные ссылки
  13. КриптоПро CADES ЭЦП Browser plug-in
  14. Таблица поддерживаемых устройств Крипто-Про CSP
  15. База знаний КриптоПро
  16. Обсуждение КриптоПро CSP на форуме astralinux
  17. Chromium+КриптоПРО
  18. Список ГИС и ЭТП использующих cades-bes plugin
  19. Перечень аккредитованных удостоверяющих центров
  20. Необходимое программное обеспечение
  21. Установка Крипто про CSP 5 версии
  22. Ввод лицензии КриптоПро
  23. Установка драйверов Рутокен
  24. Установка специального браузера Chromium-GOST
  25. Установка расширений для браузера.
  26. КриптоПро ЭЦП Browser plug-in
  27. Плагин для Госуслуг
  28. Устанавливаем сертификат с Рутокен
  29. Настройка браузера Chromium-Gost
  30. Полезные дополнения
  31. Устранение сбоев
  32. Подпись файла командой из Терминал (Terminal)
  33. Установка Apple Automator Script
  34. Проверить подпись на документе
  35. Копирование ключевого носителя из ключа в файлы
  36. Новости и статьи
  37. PKCS#11 и токены с аппаратной криптографией
  38. Как работают обычные токены?
  39. Как работают токены ЭЦП/ГОСТ?
  40. Что же такое PKCS#11?
  41. PKCS#11 и токены с аппаратной криптографией
  42. Как работают обычные токены?
  43. Как работают токены ЭЦП/ГОСТ?
  44. Что же такое PKCS#11?
  45. PKCS#11 и токены с аппаратной криптографией
  46. Как работают обычные токены?
  47. Как работают токены ЭЦП/ГОСТ?
  48. Что же такое PKCS#11?
  49. PKCS#11 и токены с аппаратной криптографией
  50. Как работают обычные токены?
  51. Как работают токены ЭЦП/ГОСТ?
  52. Что же такое PKCS#11?
  53. Менеджер сертификатов КриптоПро в Linux
  54. Категории сертификатов
  55. Просмотр
  56. Удаление
  57. Экспорт сертификатов на другую машину
  58. Проверка цепочки сертификатов
  59. Проверка подписи в файле
  60. Для прикрепленной подписи
  61. естественный
  62. обучающий
  63. Поддерживаемые алгоритмы
  64. Установка драйвера для токена
  65. Настройка браузера
  66. Ключи пользователей
  67. Установка КриптоПРО CSP
  68. КриптоПро CSP 4. 0 R4 (исполнения 1-Base/2-Base и 1-Lic/2-Lic)
  69. Внимание:
  70. Документация:
  71. Для Windows:
  72. Для macOS:
  73. Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  74. Отключение сообщений о необходимости перехода на ГОСТ Р 34. 10-2012
  75. Установка дополнительных пакетов с модулем поддержки для токена
  76. Идентификация токена
  77. Информация о контейнерах
  78. Проверка работы контейнера
  79. Удаление контейнера
  80. Копирование контейнера
  81. Смена пароля на контейнер (снятие паролей с контейнера)
  82. Назначение
  83. Поддерживаемые носители
  84. PKCS11

КриптоПро CSP 5. 0 R2

Сертифицированная версия КриптоПро CSP 5.0.12000 (Kraken) от 24.11.2020.

Сертификаты соответствия:1-Base: СФ/114-4064 от 20.05.2021 до 01.05.20242-Base: СФ/124-4065 от 20.05.2021 до 01.05.20243-Base: СФ/124-4066 от 20.05.2021 до 01.05.2024

Внимание:

  • Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. TLS-сервер на *nix теперь требует особую лицензию.
  • Дистрибутивы подписаны, что позволяет доверенно распространять их через Интернет. Проверить подпись можно с помощью обновленной утилиты cpverify,
  • команды для проверки
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  • Некоторые носители требуют дополнительное программное обеспечение.
  • Вопросы можно задать в нашем форуме в ветке КриптоПро CSP 5.0 и на портале технической поддержки.

Документация:

  • Список изменений (changelog)
  • Список известных ошибок (errata)
  • Документация по установке и использованию КриптоПро CSP 5.0 (KC1)
  • Документация по установке и использованию КриптоПро CSP 5.0 (KC2)
  • SDK для Windows (для *nix — в devel-пакете в дистрибутиве)

Для Windows:

КриптоПро CSP 5.0 для Windows

Контрольная сумма
ГОСТ: 55DEBC7250BC5C09428FA7085CA6D51EC8282879DB56D084859CFDEBC8EC542B
MD5: 1069fa904005f8ec3951ec6fb49dd7b4

КриптоПро CSP 5.0 для Windows с pkcs#11 модулями компаний Актив, Аладдин Р.Д. и ISBC

Контрольная сумма
ГОСТ: A0DED17BA0AED924606399728BE4BF1A5D6BB7608B1D0BCE998AD576B3AE5B5A
MD5: 75b1bdcb98b71c2c9869f5a189a7a831

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Для macOS:

КриптоПро CSP 5.0 для OS X 10.9+ (x64), с поддержкой macOS 10.15 Catalina

Контрольная сумма
ГОСТ: D854BA1B4C1BFB1DF4EAC5E656B068D9167EB40582425540C74803C4E51F98E0
MD5: 8957569794aa4a97799b6e543f092bbd

Поддерживаемые операционные системы Windows

CSP 3.6CSP 3.9CSP 4.0CSP 5.0
Windows Server 2019x64
Windows Server 2016x64*x64**x64
Windows 10x86 / x64*x86 / x64**x86 / x64
Windows Server 2012 R2x64x64x64
Windows 8.1x86 / x64x86 / x64x86 / x64
Windows Server 2012x64x64x64x64
Windows 8x86 / x64x86 / x64x86 / x64x86 / x64
Windows Server 2008 R2x64 / itaniumx64x64x64
Windows 7x86 / x64x86 / x64x86 / x64x86 / x64
Windows Server 2008x86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows Vistax86 / x64x86 / x64
Windows Server 2003 R2x86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows Server 2003x86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows XPx86 / x64
Windows 2000x86

* Начиная с версии КриптоПро CSP 3.9 R2.

** Начиная с версии КриптоПро CSP 4.0 R2.

Подписание документа ЭЦП


Подпись можно делать двумя способами:

* attached (присоединённая), тогда результирующий файл – это CMS-сообщение, внутрь которого упакованы данные и атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows).

* detached (отсоединённая), тогда результирующий файл – это CMS-сообщение БЕЗ исходных данных, но с атрибутами (типа подписи). В этом случае для проверки надо “принести” исходный файл. Разумеется он остаётся неизменным и его можно смотреть cat-ом

Про CMS-сообщения, есть хорошая статья на Хабре

Подпись файлов (присоединённая)

CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018.Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект: “АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru

Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочки сертификатов проверены.
Папка ‘./’: raport.pdf…
Подпись данных…

Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]

Подпись файлов(отсоединённая)

CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018.Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат: Субъект:”АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru

Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочки сертификатов проверены.
Папка ‘./’: raport.pdf… Подпись данных…

Подписанное сообщение успешно создано.
[ErrorCode: 0x00000000]

Установка КриптоПро CSP


Архив с программным обеспечением (КриптоПро CSP) можно загрузить c официального сайта www.cryptopro.ru, предварительно зарегистрировавшись на сайте.

Для ОС Astra Linux следует загрузить пакет КриптоПро CSP 4 и выше версии – пакет для 64 разрядной системы.

Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.

Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4.0 R4». При этом был выполнен следующий алгоритм действий:

1) загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;

2) открыть “Терминал Fly” (alt+T);

3) разархивировать полученный архив в терминале командой:

tar -zxf linux-amd64_deb.tgz

5) перейти в каталог с ПО:

6) выполнить установку ПО с помощью запуска сценария “install.sh” или “instal_gui.sh” командой:

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2021-9-8_15-49-44.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2021-9-8_15-49-44.png” data-image-height=”393″ data-image-width=”776″>

* Выбрать необходимые модули, библиотеки.

Диагностический архив для обращения в тех. поддержку


По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку Astra Linux и КриптоПро.

Для создания диагностического архива, можно воспользоваться следующей командой:

sudo /opt/cprocsp/bin/amd64/curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

В результате должен получится cprodiag_день_месяц_год.tar.gz архив, который следует прислать в техническую поддержку Astra Linux и КриптоПро.

Полезные ссылки


КриптоПро CADES ЭЦП Browser plug-in

КриптоПро CADES ЭЦП Browser plug-in

Таблица поддерживаемых устройств Крипто-Про CSP

На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:

https://www.cryptopro.ru/products/csp/compare

База знаний КриптоПро

https://support.cryptopro.ru/index.php?/Knowledgebase/List

Обсуждение КриптоПро CSP на форуме astralinux

https://forum.astralinux.ru/threads/419/

Chromium+КриптоПРО

https://www.cryptopro.ru/news/2018/12/zashchishchennyi-brauzer-dlya-gosudarstvennykh-elektronnykh-ploshchadok-teper-i-na-linu

https://astralinux.ru/news/category-news/2018/brauzeryi-%C2%ABastra-linux-special-edition%C2%BB-adaptirovanyi-dlya-rabotyi/

Список ГИС и ЭТП использующих cades-bes plugin

ЭЦП в государственных информационных системах и электронно торговых площадках

Перечень аккредитованных удостоверяющих центров

https://e-trust.gosuslugi.ru/CA/

Необходимое программное обеспечение

Минимальные требования:

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

  • КриптоПРО CSP 5.0.12000
  • Драйвер Рутокен
  • Браузер Chromium-GOST
  • КриптоПро ЭЦП Browser plug-in
  • Плагин для Госуслуг
  • Конфигурационный файл плагина госуслуг

Установка Крипто про CSP 5 версии

1. Скачайте архив Крипто про CSP 5 версии.

2. Нажимаем «Разрешить» в окне запроса загрузки.

1

3. Перейдите на вкладку Загрузки → двойным нажатием распакуйте скачанный архив CSP5.0macos-uni.tgz → откройте распакованную папку macos-uni.

4. В папке найдите файл с расширением *.dmg → кликните на него 2 раза.

5. В новом окне нажмите правой кнопкой мыши на файл с расширением *.mpkg Открыть.

2

6. Затем в предупреждающем окне нажмите Открыть.

7. Если система выдает предупреждение на автора программы, попробуйте открыть файл с зажатой клавишей «ctrl» на клавиатуре.

8. Далее в трёх последующих окнах нажмите на кнопку Продолжить, чтобы запустить ПО для установки.

9. Далее необходимо принять условия лицензионного соглашения, для этого нажать на кнопки Принимаю, затем Продолжить и Установить.

3

10. Если потребуется, введите пароль учетной записи Администратора и нажмите на кнопку Установить ПО.

4

11. Дождитесь установки компонентов и нажмите на кнопку Закрыть. Криптопро CSP установлено!

Ввод лицензии КриптоПро

1. Откройте Terminal .

Запуск приложения macOS Терминал (Terminal).

Открыть стандартное приложение macOS Терминал (Terminal) возможно одним из способов:

  • Выберите Spotlight (кнопка лупы в правом верхнем углу экрана) и введите в строку поиска «Терминал».
  • Сверните все запущенные приложения, в верхнем меню выбирайте вкладку «Переход», в открывшемся меню нажимаете раздел «Утилиты».
5
  • Запускаем «Терминал».
6

В окне Терминала необходимо будет вводить команды.

!!!ВАЖНО при вводе команд возможно придется вводить пароль «Password» как на изображении выше, при вводе символы НЕ БУДУТ отображаться. После ввода символов пароля необходимо нажать клавишу «Enter».

7

2. Введите команду: sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии_с_дефисами.

7

!!!ВАЖНО: номер лицензии необходимо вводить с дефисами. Для подтверждения ввода необходимо ввести пароль администратора. Ввод пароля не отображается в окне терминала. После ввода пароля нажмите Enter.

Установка драйверов Рутокен

1. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain) – скачать.

2. Далее подключаем к компьютеру usb-токен, запускаем Terminal (см. пункт «Запуск приложения macOS Терминал (Terminal)») и выполняем команду:

/opt/cprocsp/bin/csptest -card -enum

3. В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

Установка специального браузера Chromium-GOST

1. Для работы с государственными порталами потребуется браузер – Chromium-GOST.

По ссылке скачивается определенная сборка браузера (71.0.3578.98), так как в более новых версиях не гарантируется корректная работа в ЛК ФНС.

2. После скачивания файл браузера появится в папке Downloads (Загрузки), запускать его не требуется, просто перетаскиваем на панель уведомлений для удобства.

8

3. Переходим к настройке плагинов ниже.

Установка расширений для браузера.

КриптоПро ЭЦП Browser plug-in

1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

9

3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

10

9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Плагин для Госуслуг

1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 по ссылке

2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

3. Для начала установки нажимаете Установить.

11

4. Начнется установка, необходимо действовать, согласно сообщениям программы.

5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

8. Скачиваем и оставляем его в папке Download/Загрузки.

12

9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

123

10. Вводим последовательно команды:

sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

Устанавливаем сертификат с Рутокен

1. Подключаем usb-токен, переходим в Терминал (Terminal) и выполняем команду:

/opt/cprocsp/bin/csptest -card –enum

13

2. Устанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb -certs

Конфигурируем CryptoPro для работы c сертификатами ГОСТ Р 34.10-2012

Читайте также:  Как настроить Яндекс браузер для работы с электронной подписью

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, необходимо выполнить следующие команды в Терминал (Terminal):

sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2012 256 bit’

sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.2!3’ -add string ‘Name’ ‘GOST R 34.10-2012 512 bit’

14

Настройка браузера Chromium-Gost

1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

2. Включаем оба установленных расширения, с помощью выключателя (включен).

  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг
15

3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

15

4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

16

5. Жмем кнопку Сохранить. Должна появиться запись на зелёном фоне: «Список доверенных узлов успешно сохранен».

17

Полезные дополнения

Заходим в Личный Кабинет на nalog.ru.

Вход необходимо осуществлять по следующим прямым ссылкам:

  • Личный кабинет ИП: https://lkipgost.nalog.ru/lk
  • Личный кабинет ЮЛ: https://lkul.nalog.ru
17

Устранение сбоев

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в Терминал (Terminal):

sudo /opt/cprocsp/bin/csptest -card -enum

2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

chrome://settings/clearBrowserData

3. Переустанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb –certs

4. Проверить статус лицензии КриптоПро CSP можно командой:

/opt/cprocsp/sbin/cpconfig -license –view

5. Активировать лицензию КриптоПро CSP можно командой:

sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии

Подпись файла командой из Терминал (Terminal)

1. В Терминал (Terminal) переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

2. Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого

1. Скачиваем архив – скачать.

2. Распаковываем архив ‘Sign with CryptoPro.zip’.

3. Запускаем Automator.

4. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’.

5. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.

6. Сохраняем скрипт: ⌘Command + S

7. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.

8. Идем в System Preferences —> Extensions —> Finder и проверяем, что Sign with CryptoPro quick action отмечено.

9. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro.

10. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП.

11. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все в порядке.

Копирование ключевого носителя из ключа в файлы

Копирование ключевого носителя из ключа в файлы, в данном случае в/var/opt/cprocsp/keys/user/key0.000

optcprocspbinamd64csptest   '\\.\Aktiv Co. Rutoken S 00 00e7adc7-83aa-4508-be35-5e875cf36121'          

Новости и статьи

  • Все статьи
  • Новости
  • Обзоры
  • Инструкции

Показать теги

PKCS#11 и токены с аппаратной криптографией

В последние годы оба ведущих производителя выпустили токены с аппаратной поддержкой электронной подписи, шифрования и хеширования. В линейке Рутокен такие токены назваются Рутокен ЭЦП, а в линейке eToken – eToken ГОСТ. Чем они отличаются от обычных и для чего их лучше использовать мы и попробуем разобраться.

Как работают обычные токены?

Многие используют обычные токены, не особенно вдаваясь в детали их работы. Обычно на них размещают сертификаты электронной подписи, и впоследствии при необходимости что-то подписать, вставляют токен в компьютер и набирают выбранный пин-код.

Преимущество таких токенов перед обычными флешками состоит в том, что сертификат на токене надежно защищен и без знания пин-кода получить к нему доступ практически невозможно. Это значит, что если вы потеряете такой токен, то ничего страшного в принципе не произойдет – злоумышленник не сможет ничего подписать, не зная пин-кода.

Как работают токены ЭЦП/ГОСТ?

Токены с аппаратной реализацией электронной подписи, шифрования и хеширования обладают всеми преимуществами обычных токенов. Но самым важным преимуществом таких токенов является возможность подписывать и шифровать документы прямо на токене, не используя установленный на рабочей станции криптопровайдер. Это позволяет:

  • Безопасно подписывать и шифровать: ваша подпись(закрытый ключ) не покидают ваш токен
  • Подписывать и шифровать документы, не покупая криптопровайдер

Если первый пункт говорит о повышение безопасности процесса подписи (закрытый ключ не покидает токен, а значит его значительно сложнее перехватить), то второй пункт позволяет вам сэкономить.

Если обычно для подписи требуется приобрести, к примеру Токен + КриптоПро CSP + КриптоАрм, то с такими токенами вам будет достаточно купить Токен ЭЦП/ГОСТ + КриптоАрм.

Что же такое PKCS#11?

PKCS #11 – это протокол, благодаря которому программы для подписи и шифрования могут работать с токенами или смарт-картами с аппаратной реализацией электронной подписи и шифрования (ЭЦП/ГОСТ). Если вы хотите использовать такие токены, вам следует выяснить, поддерживает ли ваша программа протокол PKCS #11.

Мы рекомендуем использовать программу КриптоАРМ Стандарт Плюс, которая с версии 5 поддерживает этот протокол.

Поделиться

PKCS#11 и токены с аппаратной криптографией

В последние годы оба ведущих производителя выпустили токены с аппаратной поддержкой электронной подписи, шифрования и хеширования. В линейке Рутокен такие токены назваются Рутокен ЭЦП, а в линейке eToken – eToken ГОСТ. Чем они отличаются от обычных и для чего их лучше использовать мы и попробуем разобраться.

Как работают обычные токены?

Многие используют обычные токены, не особенно вдаваясь в детали их работы. Обычно на них размещают сертификаты электронной подписи, и впоследствии при необходимости что-то подписать, вставляют токен в компьютер и набирают выбранный пин-код.

Преимущество таких токенов перед обычными флешками состоит в том, что сертификат на токене надежно защищен и без знания пин-кода получить к нему доступ практически невозможно. Это значит, что если вы потеряете такой токен, то ничего страшного в принципе не произойдет – злоумышленник не сможет ничего подписать, не зная пин-кода.

Как работают токены ЭЦП/ГОСТ?

Токены с аппаратной реализацией электронной подписи, шифрования и хеширования обладают всеми преимуществами обычных токенов. Но самым важным преимуществом таких токенов является возможность подписывать и шифровать документы прямо на токене, не используя установленный на рабочей станции криптопровайдер. Это позволяет:

  • Безопасно подписывать и шифровать: ваша подпись(закрытый ключ) не покидают ваш токен
  • Подписывать и шифровать документы, не покупая криптопровайдер

Если первый пункт говорит о повышение безопасности процесса подписи (закрытый ключ не покидает токен, а значит его значительно сложнее перехватить), то второй пункт позволяет вам сэкономить.

Если обычно для подписи требуется приобрести, к примеру Токен + КриптоПро CSP + КриптоАрм, то с такими токенами вам будет достаточно купить Токен ЭЦП/ГОСТ + КриптоАрм.

Что же такое PKCS#11?

PKCS #11 – это протокол, благодаря которому программы для подписи и шифрования могут работать с токенами или смарт-картами с аппаратной реализацией электронной подписи и шифрования (ЭЦП/ГОСТ). Если вы хотите использовать такие токены, вам следует выяснить, поддерживает ли ваша программа протокол PKCS #11.

Мы рекомендуем использовать программу КриптоАРМ Стандарт Плюс, которая с версии 5 поддерживает этот протокол.

Поделиться

PKCS#11 и токены с аппаратной криптографией

В последние годы оба ведущих производителя выпустили токены с аппаратной поддержкой электронной подписи, шифрования и хеширования. В линейке Рутокен такие токены назваются Рутокен ЭЦП, а в линейке eToken – eToken ГОСТ. Чем они отличаются от обычных и для чего их лучше использовать мы и попробуем разобраться.

Как работают обычные токены?

Многие используют обычные токены, не особенно вдаваясь в детали их работы. Обычно на них размещают сертификаты электронной подписи, и впоследствии при необходимости что-то подписать, вставляют токен в компьютер и набирают выбранный пин-код.

Преимущество таких токенов перед обычными флешками состоит в том, что сертификат на токене надежно защищен и без знания пин-кода получить к нему доступ практически невозможно. Это значит, что если вы потеряете такой токен, то ничего страшного в принципе не произойдет – злоумышленник не сможет ничего подписать, не зная пин-кода.

Как работают токены ЭЦП/ГОСТ?

Токены с аппаратной реализацией электронной подписи, шифрования и хеширования обладают всеми преимуществами обычных токенов. Но самым важным преимуществом таких токенов является возможность подписывать и шифровать документы прямо на токене, не используя установленный на рабочей станции криптопровайдер. Это позволяет:

  • Безопасно подписывать и шифровать: ваша подпись(закрытый ключ) не покидают ваш токен
  • Подписывать и шифровать документы, не покупая криптопровайдер

Если первый пункт говорит о повышение безопасности процесса подписи (закрытый ключ не покидает токен, а значит его значительно сложнее перехватить), то второй пункт позволяет вам сэкономить.

Если обычно для подписи требуется приобрести, к примеру Токен + КриптоПро CSP + КриптоАрм, то с такими токенами вам будет достаточно купить Токен ЭЦП/ГОСТ + КриптоАрм.

Что же такое PKCS#11?

PKCS #11 – это протокол, благодаря которому программы для подписи и шифрования могут работать с токенами или смарт-картами с аппаратной реализацией электронной подписи и шифрования (ЭЦП/ГОСТ). Если вы хотите использовать такие токены, вам следует выяснить, поддерживает ли ваша программа протокол PKCS #11.

Мы рекомендуем использовать программу КриптоАРМ Стандарт Плюс, которая с версии 5 поддерживает этот протокол.

Поделиться

PKCS#11 и токены с аппаратной криптографией

В последние годы оба ведущих производителя выпустили токены с аппаратной поддержкой электронной подписи, шифрования и хеширования. В линейке Рутокен такие токены назваются Рутокен ЭЦП, а в линейке eToken – eToken ГОСТ. Чем они отличаются от обычных и для чего их лучше использовать мы и попробуем разобраться.

Как работают обычные токены?

Многие используют обычные токены, не особенно вдаваясь в детали их работы. Обычно на них размещают сертификаты электронной подписи, и впоследствии при необходимости что-то подписать, вставляют токен в компьютер и набирают выбранный пин-код.

Преимущество таких токенов перед обычными флешками состоит в том, что сертификат на токене надежно защищен и без знания пин-кода получить к нему доступ практически невозможно. Это значит, что если вы потеряете такой токен, то ничего страшного в принципе не произойдет – злоумышленник не сможет ничего подписать, не зная пин-кода.

Как работают токены ЭЦП/ГОСТ?

Токены с аппаратной реализацией электронной подписи, шифрования и хеширования обладают всеми преимуществами обычных токенов. Но самым важным преимуществом таких токенов является возможность подписывать и шифровать документы прямо на токене, не используя установленный на рабочей станции криптопровайдер. Это позволяет:

  • Безопасно подписывать и шифровать: ваша подпись(закрытый ключ) не покидают ваш токен
  • Подписывать и шифровать документы, не покупая криптопровайдер

Если первый пункт говорит о повышение безопасности процесса подписи (закрытый ключ не покидает токен, а значит его значительно сложнее перехватить), то второй пункт позволяет вам сэкономить.

Если обычно для подписи требуется приобрести, к примеру Токен + КриптоПро CSP + КриптоАрм, то с такими токенами вам будет достаточно купить Токен ЭЦП/ГОСТ + КриптоАрм.

Что же такое PKCS#11?

PKCS #11 – это протокол, благодаря которому программы для подписи и шифрования могут работать с токенами или смарт-картами с аппаратной реализацией электронной подписи и шифрования (ЭЦП/ГОСТ). Если вы хотите использовать такие токены, вам следует выяснить, поддерживает ли ваша программа протокол PKCS #11.

Мы рекомендуем использовать программу КриптоАРМ Стандарт Плюс, которая с версии 5 поддерживает этот протокол.

Поделиться

Менеджер сертификатов КриптоПро в Linux


Категории сертификатов

Сертификаты делятся на четыре категории:

  • личные сертификаты (устанавливаются в хранилище umy, где u = User, my – имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл;
  • корневые сертификаты – краеугольный камень безопасности, так как цепочки доверия строятся от них. Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);
  • сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;
Читайте также:  Смарт-карта Рутокен ЭЦП 2.0 2100, серт. ФСБ / Каталог продуктов / Продукты / Рутокен

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации:

Установка всех личных сертификатов со всех контейнеров в uMy :

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Установка определенного сертификата с определенного контейнера в uMy:

/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘\\.\Aktiv Rutoken ECP 00 00\Ivanov’

Установка сертификата удостоверяющего центра ГУЦ в mRoot:

Установка списка отозванных сертификатов (CRL), ставим его с того же сайта в mca:

В опции -pattern >>> ‘rutoken’ может быть другим в зависимости от подключенного токена.

В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует сохранить сертификаты в файлах, перенести их на рабочую станцию. и в команде установки заменить параметр -stdin заменить на параметр -file с указанием имени файла. Например:

  1. Перенести файлы на рабочую станцию;
  2. Установить файлы на рабочей станции:

    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020.cersudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20.crl -crl

1) Имена хранилищ указаны в формате certmgr, у cryptcp похожий формат: -mroot и -uAddressBook

2) Из под учетной записи пользователя ставится в uca, из под учетной записи администратора ставить в mca:

3) В опции -pattern можно указать пустые < ‘ ‘ > чтобы установить все сертификаты в uMy. Пример:

/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ”

4) В случае, если личный сертификат извлечен, следует использовать опцию -file :

certmgr -inst -file cert.cer -store uMy

5) Хранилища пользователей хранятся в /var/opt/cprocsp/users

Просмотр

Для просмотра выше установленных сертификатов можно воспользоваться :

/opt/cprocsp/bin/amd64/certmgr -list

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2018-10-15_18-42-53.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2018-10-15_18-42-53.png” data-image-height=”763″ data-image-width=”1131″>

Удаление

Удаление сертификата из хранилища КриптоПро:

/opt/cprocsp/bin/amd64/certmgr -delete

после чего на экран будет выведен весь список сертификатов и предложение ввести номер удаляемого сертификата.

Или удаление всех сертификатов:

/opt/cprocsp/bin/amd64/certmgr -del -all

Экспорт сертификатов на другую машину

Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys.

Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

Экспорт сертификата:

/opt/cprocsp/bin/amd64/certmgr -export -dest cert.cer

Переносим эти файлы на машину и смотрим, какие контейнеры есть:

csptest -keyset -enum_cont -verifycontext -fqcn

И как обычно, связываем сертификат и закрытый ключ:

certmgr -inst -file 1.cer -cont ‘\\.\HDIMAGE\container.name’

Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

Can not install certificate
Public keys in certificate and container are not identical

Проверка цепочки сертификатов

Для примера: чтобы проверить цепочку сертификатов, можно скопировать персональный сертификат в файл:

/opt/cprocsp/bin/amd64/cryptcp -copycert -dn ‘CN=Имя_вашего_сертификата’ -df /temp/сертификат.cer

Можно указать другое поле сертификата: CN, E, SN, OGRN, SNILS и тд.

CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:

Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочка сертификатов не проверена для следующего сертификата:

Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Пустовой, Виктор Иванович, "АКЦИОНЕРНОЕ 
ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Генеральный директор, Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, 5087746137023, 007726604816, 
13407634844, mail@rusbitech.ru

Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:396: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])? С

Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно запустить вышеуказанную команду в режиме debug(отладки):

$ CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn 'CN=Имя_вашего_сертификата' -df  /temp/сертификат.cer
...
----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
1. 
 Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:IS_UNTRUSTED_ROOT
...
CP_PRINT_CHAIN_DETAIL=1 --> включает режим отладки

В нашем примере, из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:

/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file minoboron-root-2018.crt

Для того, чтобы убедиться в устранении ошибки, можно повторно в режиме отладки запустить команду. При правильно установленной цепочке сертификатов, статус у сертификата будет = CERT_TRUST_NO_ERROR

....
Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:CERT_TRUST_NO_ERROR
...
Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]

Проверка подписи в файле


Для прикрепленной подписи

Для проверки прикрепленной подписи выполните:

CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018.Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 4
Цепочки сертификатов проверены.
Папка ‘./’:
raport.pdf.sig … Проверка подписи…

Автор подписи: “АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Подпись проверена.
[ErrorCode: 0x00000000]

естественный

использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:

CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Папка ‘/home/shuhrat/smolensk/’: /home/shuhrat/smolensk/raport.pdf… Проверка подписи…

Автор подписи: “АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочки сертификатов проверены.
Папка ‘./’: raport.pdf… Проверка подписи…

Подпись проверена.
[ErrorCode: 0x00000000]

обучающий

указать в качестве хранилища сертификатов само сообщение (ключ -f):

CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018.Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:”АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочки сертификатов проверены.
Папка ‘./’: raport.pdf…
Проверка подписи..

Автор подписи: “АКЦИОНЕРНОЕ ОБЩЕСТВО “”НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ”””, Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Подпись проверена.
[ErrorCode: 0x00000000]

Поддерживаемые алгоритмы

CSP 3.6CSP 3.9CSP 4.0CSP 5.0
ГОСТ Р 34.10-2012 Создание подписи512 / 1024 бит512 / 1024 бит
ГОСТ Р 34.10-2012 Проверка подписи512 / 1024 бит512 / 1024 бит
ГОСТ Р 34.10-2001 Создание подписи512 бит512 бит512 бит512 бит**
ГОСТ Р 34.10-2001 Проверка подписи512 бит512 бит512 бит512 бит***
ГОСТ Р 34.10-94 Создание подписи1024 бит*
ГОСТ Р 34.10-94 Проверка подписи1024 бит*
ГОСТ Р 34.11-2012256 / 512 бит256 / 512 бит
ГОСТ Р 34.11-94256 бит256 бит256 бит256 бит
ГОСТ Р 34.12-2015256 бит****
ГОСТ Р 34.13-2015256 бит****
ГОСТ 28147-89256 бит256 бит256 бит256 бит

* До версии КриптоПро CSP 3.6 R2 (сборка 3.6.6497 от 2010-08-13) включительно.

** До 31 декабря 2019 года включительно.

*** До окончания действия сертификатов, содержащих указанный алгоритм ключа проверки электронной подписи.

**** Начиная с версии КриптоПро CSP 5.0 R2.

Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях или на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Визуально определите ваш носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

Настройка браузера

После установки Плагинов, их необходимо активировать в Вашем браузере. Ниже приведен пример активации плагина КриптоПро ЭЦП Browser plug-in в самых распространенных браузерах:

  • Internet Explorer
  • Google Chrome
  • Яндекс.Браузер
  • Microsoft Edge
  • Mozilla Firefox
  • Opera
  • Спутник

Остались вопросы? Как мы можем помочь?

Ключи пользователей

Ключи скопированные с внешних хранилищ в систему хранятся по следующему пути:

/var/opt/cprocsp/keys

Для установки ЭЦП необходимо скопировать контейнер/папку вида: key.000 в папку keys

Пример:

/var/opt/cprocsp/keys/user/key0.000

  1. header.key

  2. masks.key

  3. masks2.key

  4. name.key

  5. primary.key

  6. primary2.key

Права:

Владелец user
Маска для папок 0700/drwx
Маска для файлов 0600/drwx

Установка КриптоПРО CSP

В случае, если у вас отсутствуют предустановленные криптопровайдеры, нажмите на ссылку «КриптоПРО 5.0» ниже для загрузки файла установки КриптоПРО на компьютер.

·КриптоПро CSP 5.0.12000 для Windows 7 / 8 / 10

После окончания загрузки, откройте zip-архив с помощью соответствующей программы-архиватора (например, Win—RAR). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

ввод лицензии крипто про

Рис.1 – Установка КриптоПРО

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

КриптоПро CSP 4. 0 R4 (исполнения 1-Base/2-Base и 1-Lic/2-Lic)

Сертифицированная версия КриптоПро CSP 4.0.9963 (Abel) от 23.11.2018.Сертификаты соответствия:1-Base: СФ/114-3970 от 15 января 2021 до 15 января 20242-Base: СФ/124-3971 от 15 января 2021 до 15 января 20243-Base: СФ/124-3972 от 15 января 2021 до 15 января 20241-Lic: СФ/114-3973 от 15 января 2021 до 15 января 20242-Lic: СФ/124-3974 от 15 января 2021 до 15 января 2024

Внимание:

  • Дистрибутивы подписаны, что позволяет доверенно распространять их через Интернет. Проверить подпись можно с помощью обновленной утилиты cpverify,
    команды для проверки
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE.
  • Вопросы можно задать на форуме КриптоПРО в ветке КриптоПро CSP 4.0 и на портале технической поддержки.

Документация:

  • Список изменений (changelog)
  • Список известных ошибок (errata)
  • Документация по установке и использованию КриптоПро CSP 4.0 (KC1)
  • Документация по установке и использованию КриптоПро CSP 4.0 (KC2)
  • Инструкция по использованию КриптоПро CSP 4.0 на английском языке (KC1)
  • Инструкция по использованию КриптоПро CSP 4.0 на английском языке (KC2)
  • SDK для Windows (для *nix — в devel-пакете в дистрибутиве)

Для Windows:

КриптоПро CSP 4.0 для Windows

Контрольная сумма
ГОСТ: CDF7B587A56A488916DB961630B419285918DABD60EE67CBD18D41B04FC18A49
MD5: 76ce60a06c3cb0a36356c9534650fbe9

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Дистрибутивы в формате Windows Installer

Для macOS:

КриптоПро CSP 4.0 для OS X 10.9+ (x64), без поддержки macOS 10.15 Catalina

Контрольная сумма
ГОСТ: 7BAF9CF5D969320E2ACB72A18A64EFCD7DC4105C402CFDB8BC70F1E33C6E6AAE
MD5: 3f8332245aff7bb425f1ce7c288e9a23

Архивные и несертифицированные версии Вы можете скачать с официального сайта КриптоПРО.

Ключ для работы в режиме замкнутой программной среды Astra Linux SE.


  • Перед импортом ключа, следует предварительно установить пакет
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию:/etc/digsig/keys/legacy/cryptopro
  • После чего выполнить команду:

    sudo update-initramfs -uk all

  • и перезагрузить АРМ

Проверка лицензии

Проверить срок истечения лицензии можно командой:

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2018-10-24_13-51-43.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2018-10-24_13-51-43.png” data-image-height=”108″ data-image-width=”687″>

Отключение сообщений о необходимости перехода на ГОСТ Р 34. 10-2012


В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание инструкцию.

Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters:

[Parameters]
#Параметрыпровайдера
warning_time_gen_2001=ll:9223372036854775807
warning_time_sign_2001=ll:9223372036854775807

На данный момент завершается сертификация обновленной версии КриптоПро CSP 4.0 R4. Для наиболее безболезненного продолжения работы с ГОСТ Р 34.10-2001 в 2019 году мы рекомендуем обновиться до этой версии. В более ранних версиях КриптоПро CSP, а также Клиент HSM 2.0 присутствуют технические ограничения формирования подписи по ГОСТ Р 34.10-2001 после 1 января 2019 года в виде соответствующих предупреждающих окон.

Установка дополнительных пакетов с модулем поддержки для токена

Для корректной работы с токеном/смарт-картой обязательно требуется установить:

библиотека libccid, libgost-astra , пакеты pcscd

sudo apt install libccid pcscd libgost-astra

Пакеты с модулем поддержки:

  • Для Рутокен: https://www.rutoken.ru/support/download/nix/
  • Для Алладин: https://www.aladdin-rd.ru/support/downloads/jacarta
Читайте также:  Криптоком: Основные понятия PKI

После установки пакетов с модулем поддержки токена следует перезагрузить службу pcscd:

sudo service pcscd restart

Начиная с версии КриптоПро 4.0 R4 и выше, модули поддержки смарт-карт входят в состав пакета.

Идентификация токена

Для просмотра списка настроенных считывателей можно воспользоваться командой:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2020-12-21_15-42-41.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2020-12-21_15-42-41.png” data-image-height=”334″ data-image-width=”681″>

Чтобы узнать модель подключенного токена, следует ввести команду:

/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройстве:

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2018-10-17_21-52-42.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2018-10-17_21-52-42.png” data-image-height=”119″ data-image-width=”658″>

Проверить наличие носителей с контейнерами можно с помощью команды:

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique

в формате FQCN, отображается имя носителя:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

В этом случае будет выведен список носителей с контейнерами в следующем формате:

Конфигурация компьютера Windows для совместимости с КЭП и криптопро pkcs11 Работа с КриптоПро CSP > image2018-10-18_10-57-11.png” data-location=”Справочный центр > Работа с КриптоПро CSP > image2018-10-18_10-57-11.png” data-image-height=”205″ data-image-width=”1012″>

Где \\.\HDIMAGE – локальный носитель, \\.\HDIMAGE\TestCont123 – название контейнера, \\.\Aktiv Rutoken ECP 00 00 – название носителя (токена).

Подробная информация про “Имена контейнеров”

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘ИМЯ’ -info

Пример работы команды:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘Shuhrat’ -infoCSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 8981043GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSPContainer name: “Shuhrat”Signature key is available. HCRYPTKEY: 0x8f3b03Exchange key is available. HCRYPTKEY: 0x8f9883Symmetric key is not available.UEC key is not available.

CSP algorithms info: Type:Encrypt Name:’GOST 28147-89′(14) Long:’GOST 28147-89′(14) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142

Type:Hash Name:’GR 34.11-2012 256′(18) Long:’GOST R 34.11-2012 256′(22) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

Type:Signature Name:’GR 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256′(22) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

Type:Exchange Name:’DH 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256 DH'(25) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590

Type:Exchange Name:’DH 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256 DH'(25) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591

Type:Hash Name:’GOST 28147-89 MAC'(18) Long:’GOST 28147-89 MAC'(18) DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799

Type:Encrypt Name:’GR 34.12 64 M'(14) Long:’GOST R 34.12-2015 64 Magma'(27) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160

Type:Encrypt Name:’GR 34.12 128 K'(15) Long:’GOST R 34.12-2015 128 Kuznyechik'(33) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161

Type:Hash Name:’GR 34.13 64 M MAC'(18) Long:’GOST R 34.13-2015 64 Magma MAC'(31) DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid:00032828

Type:Hash Name:’GR 34.13 128 K MAC'(19) Long:’GOST R 34.13-2015 128 Kuznyechik MAC'(37) DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid:00032829

Type:Hash Name:’GR34.11-12 256 HMAC'(20) Long:’GOST R 34.11-2012 256 HMAC'(27) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820

Status: Provider handles used: 6 Provider handles max: 1048576 CPU Usage: 6 % CPU Usage by CSP: 0 % Measurement interval: 119 ms

Virtual memory used: 15281652 KB Virtual memory used by CSP: 116572 KB Free virtual memory: 26053680 KB Total virtual memory: 41335332 KB

Physical memory used: 14602360 KB Physical memory used by CSP: 12576 KB Free physical memory: 5857712 KB Total physical memory: 20460072 KB

Key pair info: HCRYPTKEY: 0x8f3b03 AlgID: CALG_GR3410_12_256 = 0x00002e49 (00011849): AlgClass: ALG_CLASS_SIGNATURE AlgType: ALG_TYPE_GR3410 AlgSID: 73 KP_HASHOID: 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит) KP_DHOID: 1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию) KP_SIGNATUREOID: 1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию) Permissions: CRYPT_READ CRYPT_WRITE CRYPT_IMPORT_KEY 0x800 0x2000 0x20000 0x100000KP_CERTIFICATE: Not set.

Key pair info:
HCRYPTKEY: 0x8f9883
AlgID: CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
AlgClass: ALG_CLASS_KEY_EXCHANGE
AlgType: ALG_TYPE_DH
AlgSID: 70
KP_HASHOID:
1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
KP_DHOID:
1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
KP_SIGNATUREOID:
1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
Permissions:
CRYPT_READ
CRYPT_WRITE
CRYPT_IMPORT_KEY
0x800
0x10000
0x20000
0x100000
KP_CERTIFICATE:
Subject: INN=007814508921, E=user@astralinux.ru, C=RU, CN=Махмадиев Шухрат, SN=Махмадиев
Valid : 18.10.2018 12:07:24 – 18.01.2019 12:17:24 (UTC)
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2

Container version: 2Carrier flags: This reader is removable. This reader supports unique carrier names. This carrier does not have embedded cryptography.Keys in container: signature key exchange keyExtensions (maxLength: 1435): ParamLen: 46 OID: 1.2.643.2.2.37.3.9 Critical: FALSE Size: 19 Decoded size: 24 PrivKey: Not specified – 18.01.2020 07:31:07 (UTC)

ParamLen: 47
OID: 1.2.643.2.2.37.3.10
Critical: FALSE
Size: 19
Decoded size: 24
PrivKey: Not specified – 18.01.2020 07:31:12 (UTC)
Total: SYS: 0,020 sec USR: 0,180 sec UTC: 2,180 sec
[ErrorCode: 0x00000000]

При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Чтобы получить уникальные идентификаторы ключевых контейнеров используйте команду:

/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un

Следует учесть про PIN-коды в контейнерах:

  • если само устройство осуществляет аутентификацию (как, например, токен), то PIN при создании контейнера не создаётся, а предъявляется, так как он – свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN.
  • если устройство аутентификацию не осуществляет (как HDIMAGE), то при создании контейнера создаётся и PIN-код. Следствие: у всех контейнеров, PIN-код на HDIAMGE может быть разным.

Проверка работы контейнера

Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ИМЯ -check

Пример работы команды:

/opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check

CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 28224051

GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP

Container name: “Shuhrat”

Check header passed.

Signature key is available. HCRYPTKEY: 0x1b53883

Exchange key is available. HCRYPTKEY: 0x1b57e23

Symmetric key is not available.

UEC key is not available.

License: Cert without license

Check container passed.

Check sign passed.

Check verify signature on private key passed.

Check verify signature on public key passed.

Check import passed (import restricted).

Check sign passed.

Check verify signature on private key passed.

Check verify signature on public key passed.

Check import passed.

Certificate in container matches AT_KEYEXCHANGE key.

Keys in container:

signature key

exchange key

Extensions:

OID: 1.2.643.2.2.37.3.9

PrivKey: Not specified – 18.01.2020 07:31:07 (UTC)

OID: 1.2.643.2.2.37.3.10

PrivKey: Not specified – 18.01.2020 07:31:12 (UTC)

Total: SYS: 0,030 sec USR: 0,140 sec UTC: 2,430 sec

[ErrorCode: 0x00000000]

Удаление контейнера

Для удаления контейнера следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\\.\Aktiv Rutoken ECP 00 00\TestCont’ -deletek

Копирование контейнера

Для примера скопируем контейнер из локального хранилища в хранилище Рутокена ЕЦП:

csptestf -keycopy -contsrc ‘\\.\HDIMAGE\Контейнер_оригинал’ -contdest ‘\\.\Aktiv Rutoken ECP 00 00\Контейнер_копия’

Смена пароля на контейнер (снятие паролей с контейнера)

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\\.\Aktiv Rutoken ECP 00 00\TestContainer’ -change ‘новый_пароль’ -passwd ‘старый_пароль

В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\\.\Aktiv Rutoken ECP 00 00\TestContainer’ -change ‘Ваш_новый_пароль’

Назначение

Криптопровайдер КриптоПро CSP предназначен для:

  • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
  • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  • контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

https://www.cryptopro.ru/products/csp

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

  • КриптоПро CSP версии 4.0 R4;
  • КриптоПро CSP версии 5.0;

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Поддерживаемые носители

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

  • П – пассивный носитель – флеш-память с защитой PIN-ом от записи.
  • А – активный носитель – неизвлекаемые ключи без защиты канала связи с носителем.
  • PKCS – активный носитель, для которого в криптопровайдере присутствует поддержка PKCS#11
  • ФКН – функциональный ключевой носитель – неизвлекаемые ключи с защитой канала связи с носителем.

Подробней о типах носителей – в нашем блоге.

CSP 3.6CSP 3.9CSP 4.0CSP 5.0CSP 5.0 R2
КриптоПро
Реестр Windows*ППППП
Жёсткий дискППППП
USB-флеш дискППППП
Alioth
SCOne Series (v5/v6)ПППП
Gemalto
Optelio Contactless Dxx RxППППП
Optelio Dxx FXR3 JavaППППП
Optelio G257ПППП
Optelio MPH150ПППП
ISBC
Esmart TokenППППП
Esmart Token ГОСТПП / АП / А / PKCS
MorphoKST
MorphoKSTПППП
NovaCard
CosmoПППП
Rosan
G&D element V14 / V15ППП
G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80ППП
Kona 2200s / 251 / 151s / 261 / 2320ППП
Kona2 S2120s / C2304 / D1080ППП
SafeNet *
eToken Java Pro JCППППП
eToken 4100ППП
eToken 5100ППП
eToken 5110ППП
eToken 5105ППП
eToken 5205ППП
Актив
Рутокен 2151ПП / АП / А / PKCS
Рутокен TLSPKCS
Рутокен SППППП
Рутокен КПФКНПП
Рутокен LiteППППП
Рутокен ЭЦП PKIП / АП / А / PKCS
Рутокен ЭЦППППП / АП / А / PKCS
Рутокен ЭЦП 2.0ППП / АП / А / PKCS
Рутокен ЭЦП 2.0 TouchППП / АП / А / PKCS
Рутокен ЭЦП 2.0 2100ППП / АП / А / PKCS
Рутокен ЭЦП 2.0 3000ППП / ФКНП / PKCS / ФКН
Рутокен ЭЦП BluetoothПП / АП / А / PKCS
Рутокен ЭЦП 2.0 BluetoothП / АП / А / PKCS
Рутокен ЭЦП 2.0 FlashПППП / АП / А / PKCS
Рутокен PINPadАА / PKCS
Смарт-карта Рутокен 2151ПП / АП / А / PKCS
Смарт-карта Рутокен ЭЦП SCППП / АП / А / PKCS
Смарт-карта Рутокен LiteПППП
Смарт-карта Рутокен ЭЦП 2.0 2100ППП / АП / А / PKCS
Смарт-карта Рутокен ЭЦП 3.0 (NFC)П / PKCS / ФКН
Аладдин Р.Д.
JaCarta ГОСТППППП
JaCarta PKIППППП
JaCarta PROППППП
JaCarta LTППППП
JaCarta SF/ГОСТП / А / PKCS
JaCarta-2 SEП / А / PKCS
JaCarta-2 ГОСТПП / АП / А / PKCS
Инфокрипт
InfoCrypt Token++ФКНФКН
InfoCrypt Token++ TLSАА
InfoCrypt Token++ liteППП
InfoCrypt VPN-Key-TLSАА
Мультисофт
MS_Key исп.8 АнгараПППП
MS_Key ESMART исп.5ПППП
СмартПарк
Форос / R301 ФоросППППП
Форос 2. БазисФКН
Форос 2П
Оскар / Оскар 2ППППП
Рутокен МагистраППППП
Dallas
Touch Memory, DS199x (в считывателях Соболь, Аккорд)ППППП

* Поддерживается только в ОС Windows.

  • Страница для печатиСтраница для печати

PKCS11

Для корректной работы pkcs11, настройку слотов следует сделать явной, для этого в файл /etc/opt/cprocsp/config64.ini в разделе PKCS11 после

# [PKCS11\slot0]
# ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP"
# ProvRSA = "Microsoft Strong Cryptographic Provider"
# reader = hdimage
нужно добавить:

  "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"
 
  

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector