- Назначение
- Windows или Unix
- Сравнение токенов с действующим сертификатом ФСБ России
- Установка необходимого программного обеспечения для работы с электронными торговыми площадками
- Извлечение ключа из токена с неизвлекаемым ключом
- Программное извлечение ключей
- Устанавливаем и настраиваем КЭП под macOS
- Устанавливаем КриптоПро CSP
- Устанавливаем драйверы Рутокен
- Устанавливаем сертификаты
- Удаляем все старые ГОСТовские сертификаты
- Устанавливаем корневые сертификаты
- Скачиваем сертификаты удостоверяющего центра
- Устанавливаем сертификат с Рутокен
- Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012
- Устанавливаем специальный браузер Chromium-GOST
- Устанавливаем расширения для браузера
- 1 КриптоПро ЭЦП Browser plug-in
- Плагин для Госуслуг
- Настраиваем плагин для Госуслуг
- Активируем расширения
- Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- Проверяем что все работает
- Заходим на тестовую страницу КриптоПро
- Заходим в Личный Кабинет на nalog
- Заходим на Госуслуги
- Что делать, если перестало работать
- Что нужно для работы с КЭП под macOS
- Методология сравнения токенов
- Как сделать, чтобы все было хорошо?
- Установка пакетов криптопро csp
- Подпись файлов в macOS
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Установка Apple Automator Script
- Функциональный ключевой носитель
- Установка личного сертификата электронной подписи с носителя – моя подпись
- Руководство по настройке
Назначение
СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии цифровой подписи. В том числе:
- в системах клиент-банк при подписи платежных поручений;
- в системах защищенного документооборота;
- в системах сбора отчетности для предоставления в электронном виде;
- в органах власти и управления на федеральном и региональном уровнях;
- во всех других случаях, где необходимо обеспечить повышенную защиту ключей пользователя.
Windows или Unix
Если вы выбираете версию 3.6, то нужно определиться, на какую операционную систему будет установлено ПО, – на Windows или Unix-подобную. Такое деление есть только в версии КриптоПро СSP 3.6 и более ранних. Если вы приобретаете версию или , то не имеет значения, на какую операционную систему вы планируете ее устанавливать – Windows или Unix-подобную.
Внедрение современных средств идентификации личности – огромный шаг в развитии электронного документооборота. Многие считают, что развитие подобного направления не имеет практического смысла, что использование подобных средств необходимо лишь небольшому количеству пользователей и ничто не превысит простую подпись в надёжности и удобстве, но это далеко не так.
Электронная цифровая подпись позволяет определить достоверность личности при цифровом документообороте, что существенно повышает его эффективность и позволяет экономить время и деньги.
Электронная цифровая подпись (или ЭЦП) – это, по сути, электронный реквизит
, который позволяет защитить цифровую версию какого-либо документа от подделки. Законодатель определяет ЭЦП как аналог собственноручной подписи, который используется с целью идентификации личности при электронном документообороте.
Сравнение токенов с действующим сертификатом ФСБ России
Параметр сравнения | MS_KEY K | MS_KEY K «Ангара» | ESMART Token ГОСТ | |
Сертификация | ||||
Изготовитель | ООО «МультиСофт Системз» | ООО «НТЦ Альфа-Проект» | ОАО «НИИ молекулярной электроники и завод «Микрон» и ISBC Group | |
Сертификат ФСБ России | Номер | СФ/124-2673 | СФ/124-3072 | СФ/124-3189 |
Дата выдачи | 30.07.2015 | 20.02.2017 | 01.09.2017 | |
Дата окончания действия | 01.08.2018 | 20.02.2020 | 31.12.2018 | |
Объект сертификации | СКЗИ MS_KEY K (варианты исполнения 5.1.1, 5.1.2, 5.1.3, 5.2.1, 5.2.2, 5.2.3, 5.2.4) | СКЗИ MS_KEY K — «Ангара» (вариант исполнения 8.1.1) | СКЗИ ESMART Token ГОСТ на базе отечественной микросхемы MIK51SC72DV6 (варианты исполнения 1,2,3) | |
Класс | КС1 (для вариантов исполнения 5.1.2 и 5.2.2), КС2 (для вариантов исполнения 5.1.1, 5.1.3, 5.2.1, 5.2.3, 5.2.4) | КС1, КС2 | KC1, KC2, КС3 | |
Общие функции криптографической защиты | Создание и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти СКЗИ, вычисление имитовставки для данных, содержащихся в областях оперативной памяти СКЗИ, вычисление значения хеш-функции для данных, содержащихся в областях оперативной памяти СКЗИ, реализация функций электронной подписи | |||
Реализация функций электронной подписи в соответствии с с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи» | Создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи | |||
Сертификат ФСТЭК России | Нет | Нет | По 4 уровню РД НДВ на ПО ESMART Token | |
Аппаратное обеспечение | ||||
Форм-фактор | Смарт-карта, USB-токен | |||
Используемая микросхема | Смарт-карточный микроконтроллер NXP P5CC081 | Нет данных | Отечественная сертифицированная ФСБ микросхема MIK51SC72Dv6 | |
Возможность встраивания радиометки (RFID) | Нет | Нет | EM-Marine, Mifare, ICODE, HID Prox, HID Indala, HID iClass | |
Объем защищенной памяти (EEPROM) | 80 КБ | 80 КБ | 72 КБ | |
Интерфейсы подключения | Для USB-токенов | USB 1.1, 2.0 и разъем типа А, требуется установка драйвера | USB 1.1, 2.0 и разъем типа А, CCID | USB 2.0 Full Speed, CCID |
Для смарт-карт | ISO7816 | ISO7816 | ISO 7816-2, ISO 18000-2, ISO 14443, ISO 15693 | |
Датчик случайных чисел | Да | Да | Да | |
Защита от проникновения | Нет данных | Нет данных | Датчики вскрытия, света, импульсной помехи, напряжения, температуры, аппаратный контроль целостности и возможность быстрого стирания EEPROM | |
Программное обеспечение | ||||
Операционная система смарт-карты и ее функциональность | ОС «Вигрид» (VIGRID — Verification Interoperability GRID) 1.0 | ОС «Вигрид» (VIGRID — Verification Interoperability GRID) 1.0 | Trust 2.05 (ВМ Java Card 3.0 Classic. Платежное приложение EMV (MasterCard M/Chip 4.1)) | |
Поддерживаемые операционные системы для эксплуатации токена | Microsof Windows | Microsoft Windows XP/2003/ Vista/2008/7 | Microsoft Windows XP/2003/ Vista/2008/7 | Microsoft Windows XP/2003/Vista/2008/7/8/10 (32/64-бит) |
macOS | macOS 10.7.3 (Lion) и выше | macOS | ||
Linux | GNU/Linux | AltLinux 7 (x86/x64), Debian 7 (x86/x64), Mint 13 (x86/x64), SUSE Linux Enterprise Desktop 12 (x64), openSUSE 13 (x86/x64), Ubuntu 12.04 (x86/x64) | GNU/Linux | |
Поддерживаемые интерфейсы встраивания, стандарты и криптографические спецификации | PKCS#11 v2.30 и APDU (ISO7816), Microsoft CryptoAPI, веб-криптоплагины и прочие | APDU, PKCS#11 и интерфейсы верхнего уровня | PKCS#11 версии 2.30, Microsoft CryptoAPI PC/SC, Microsoft CCID, Сертификаты X.509 v3, SSL v3, IPSec/IKE, ISO 7816, ISO 14443 | |
Функциональное обеспечение | ||||
Аппаратная поддержка криптографических алгоритмов | Электронная подпись | ГОСТ Р 34.10-2001; RSA-1024 (только для 5.1.х) | ГОСТ Р 34.10-2012 | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, RSA-1024, RSA-2048, ECDSA-256 |
Шифрование | ГОСТ 28147-89; DES/3DES, AES (только для 5.1.х) | ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 | ГОСТ 28147-89, DES, Triple DES, AES-128, AES-192, AES-256 | |
Хеширование | ГОСТ Р 34.11-94; SHA-1 (только для 5.1.х) | ГОСТ Р 34.11-2012 | ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012, SHA-1, SHA-256, SHA-224, SHA-384, SHA-512 | |
Электронная подпись | Генерация ключей | Генерация ключевых пар ЭП | Генерация ключевых пар ЭП | |
Неизвлекаемые ключи | Да | Да | Да | |
Шифрование | Режимы шифрования | Нет данных | Нет данных | Нет данных |
Генерация ключей | Генерация ключа парной связи (в соответствии с RFC 4357); генерация симметричных (сессионных) ключей шифрования | Генерация симметричных (сессионных) ключей шифрования | Генерация ключевой пары для асимметричного и симметричного шифрования, Выработка сессионных ключей по схеме VKO GOST R 34.10-2001 (RFC4357) и VKO GOST R34.10-2012 | |
Неизвлекаемые ключи | Да | Да | Да | |
Аутентификация | Двухфакторная аутентификация | Предъявление токена и ввод PIN-кода | ||
Ограничение числа попыток ввода неверного PIN-кода/пароля | Да | Да | Да | |
Биометрическая аутентификация | Нет | Нет | Аппаратная поддержка биометрической аутентификации по отпечаткам пальцев | |
Особенности функционирования | ||||
Основные данные о совместимости со сторонними СЗИ | КриптоПро CSP (3.9 R2, 4.0 R2, 4.0 R3) — для Windows и Linux | КриптоПро CSP (3.9 R2, 4.0 R2, 4.0 R3) — для Windows и Linux | С-Терра Клиент 4.1 и 4.2; СКЗИ VipNet CSP, начиная с 4.0; ЛИССИ-CSP; СКЗИ «КриптоПро CSP» — для Windows, Linux, macOS; СКЗИ «Бикрипт 4.0» | |
Декларируемые изготовителем конкурентные преимущества | multisoft.ru/katalog/zawita-informacii/skzi-mskey-k/mskey-k-isp5-1-1 multisoft.ru/katalog/zawita-informacii/skzi-mskey-k/smart-karta-mskey-k-isp5-2-1 | multisoft.ru/katalog/zawita-informacii/skzi-mskey-k/skzi-mskey-k-angara-ispolnenie-811 | esmart.ru/product/esmart-token-gost |
Параметр сравнения | JaCarta ГОСТ | JaCarta-2 ГОСТ | Рутокен S | ||
Сертификация | |||||
Изготовитель | ЗАО «АЛАДДИН Р.Д.» | ЗАО «Актив-софт» и ООО Фирма «АНКАД» | |||
Сертификат ФСБ России | Номер | СФ/111-2750 | СФ/124-2963 | СФ/124-3112 | СФ/124-2904 |
Дата выдачи | 01.12.2015 | 09.09.2016 | 25.04.2017 | 02.07.2016 | |
Дата окончания действия | 01.12.2018 | 31.12.2018 | 31.12.2018 | 15.03.2018 | |
Объект сертификации | Персональное средство ЭП «Криптотокен ЭП» (исполнения 1, 2) в комплектации согласно формуляру 46538383.50 1430 007-01 30 01-1, предназначенное для использования совместно со СКЗИ «Криптотокен» в составе JaCarta ГОСТ (eToken ГОСТ) | СКЗИ «Криптотокен 2» в составе JaCarta ГОСТ (варианты исполнения 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12) | СКЗИ «Криптотокен 2 ЭП» в составе JaCarta ГОСТ (варианты исполнения 9, 10) | ruToken | |
Класс | КС1 (для варианта исполнения 1), КС2 (для варианта исполнения 2) | КС1 (для вариантов исполнения 1, 2, 3, 7, 9, 11), КС2 (для вариантов исполнения 4, 5, 6, 8, 10, 12) | КС1 (для варианта исполнения 9), КС2 (для варианта исполнения 10) | КС2 | |
Общие функции криптографической защиты | Реализация функций электронной подписи | Создание и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных в областях оперативной памяти, вычисление значения хеш-функции для данных, содержащихся в областях оперативной памяти, создание и проверка ЭП для данных, содержащихся в областях оперативной памяти | Шифрование файлов и данных, содержащихся в областях оперативной памяти СКЗИ, вычисление имитовставки для файлов и данных, содержащихся в областях оперативной памяти СКЗИ | ||
Реализация функций ЭП в соответствии с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи» | Создание, проверка, создание ключа ЭП, создание ключа проверки ЭП | Нет | Создание, проверка, создание ключа ЭП, создание ключа проверки ЭП | Нет | |
Сертификат ФСТЭК России | По 4 уровню РД НДВ на программный комплекс JaCarta версии 1.5 | По 4 уровню РД НДВ на программно-аппаратный комплекс RUTOKEN; по 3 уровню РД НВД на специальное ПО RUTOKEN | |||
Аппаратное обеспечение | |||||
Форм-фактор | JaCarta ГОСТ и PKI/ГОСТ: смарт-карта, USB-токен, USB-токен с дополнительным модулем Flash-памяти, MicroUSB; JaCarta PKI/ГОСТ/Flash: USB-токен; JaCarta PRO/ГОСТ: смарт-карта, USB-токен, MicroUSB | JaCarta-2 ГОСТ: смарт-карта, USB-токен, MicroUSB-токен, SIM-модуль, чип для монтажа на печатную плату, модуль смарт-карт; JaCarta-2 PKI/ГОСТ: смарт-карта, USB-токен, MicroUSB-токен; JaCarta-2 PRO/ГОСТ: смарт-карта, USB-токен; JaCarta-2 PKI/BIO/ГОСТ: смарт-карта, USB-токен | USB-токен | ||
Используемая микросхема | Защищенные сертифицированные смарт-карточные микроконтроллеры разных производителей (международные сертификаты на уровень Common Criteria EAL 5+ по SICAPPP): Inside Secure, Infineon, NXP, ST Microelectronics | 32-разрядные высокопроизводительные микропроцессоры архитектуры ARM | |||
Возможность встраивания радиометки (RFID) | До 2 меток, для смарт-карт и USB-токенов в корпусе XL (классический USB-токен): EM-Marine, Mifare, ICODE, HID Prox, HID Indala, HID iClass | EM-Marine, Mifare, ProxCard II, ISOProx II, Indala (на заказ) | |||
Объем защищенной памяти (EEPROM) | 80 КБ | 80/144 КБ | 32, 64 и 128 КБ | ||
Интерфейсы подключения | Для USB-токенов | USB 1.1 (compatible) и USB 2.0 Full speed, разъем типа А, CCID | USB 1.1+, разъем типа А | ||
Для смарт-карт | ISO 7816-3: T=0 (для опции EMV-совместимость); T=1 (по умолчанию). ISO/IEC 7816-4, PC/SC | Нет | |||
Датчик случайных чисел | Да | Да | |||
Защита от проникновения | Активная аппаратная защита от чтения областей RАM, EEPROM, ROM; применение дополнительных промежуточных слоев металлизации; перемешивание структуры функциональных блоков микроконтроллера, размещение отдельных блоков внутри чипа и между его слоями; усовершенствованные датчики безопасности; контроль тактовой частоты, температуры, напряжения питания; датчики света; активное экранирование; фильтр на входе для защиты от скачков; включение и выключение сброса; блок управления памятью; возможность отключения чтения ROM; возможность отключения выполнения кода, записанного в RAM; система защиты от накопления статистических данных по времени выполнения команд и энергопотреблению; специализированные механизмы противодействия атакам простого анализа энергопотребления; специализированные механизмы противодействия атакам дифференциального анализа энергопотребления | Контроль целостности встроенного ПО и системных областей памяти; проверка правильности функционирования криптографических алгоритмов | |||
Программное обеспечение | |||||
Операционная система смарт-карты и ее функциональность | ОС на основе Java Card | ОС Рутокен | |||
Поддерживаемые операционные системы для эксплуатации токена | Microsof Windows | Microsoft Windows XP SP3/2003 SP2/Vista SP2/2008 R2 SP1/2008 SP2/2012/2012 R2/7 SP1/8/8.1/10 (32/64-бит) | Сертифицированная версия: Microsoft Windows XP SP3 (32-бит)/XP SP2 (64-бит), Microsoft Windows 2003 SP2/Vista SP2/2008 R2/2008/2012/7/8/8.1/10 (32/64-бит) Поддерживаемые ОС: Microsoft Windows XP SP3/2003 SP2/Vista SP2/2008 R2 SP1/2008 SP2/2012/2012 R2/7 SP1/8/8.1/10/2016 (32/64-бит) | Microsoft Windows 10/2016/8.1/2012 R2/8/2012/7/2008 R2/ Vista/2008/XP/2003/2000 | |
macOS | macOS 10.9+ | Сертифицированная версия: macOS 10.10 Yosemite/10.11 El Capitan Поддерживаемые ОС: macOS 10.9+ | macOS | ||
Linux | Red Hat Linux Enterprise Linux 6.3 Desktop, OpenSUSE 12.2, Ubuntu Desktop 12.04.1 LTS, CentOS 6, Альт Линукс СПТ 6.0 (32/64-бит) | Astra Linux Common и Special Edition, CentOS 7, Debian 8.4, Mandriva Enterprise Server 5, openSUSE 13.2, Leap 42.1, Oracle Linux 5 Update 5&6, Oracle Linux 6,Red Hat Enterprise Linux 5.6/6.0/7.0/7.2, ROSA Enterprise Desktop X1 (Marathon)/Linux Server, SUSE Linux Enterprise Server 11 SP4, Ubuntu 14.04,МСВС 3.0/ 5.0, МСВСфера, Ред ОС,РОСА DX КОБАЛЬТ 1.0/ SX КОБАЛЬТ 1.0 | GNU/Linux | ||
Поддерживаемые интерфейсы встраивания, стандарты и криптографические спецификации | APDU, PKCS #11, PKCS #11 (JC-Mobile), Криптотокен ЭП, JavaScript (JC-WebClient) | PKCS #11, Интерфейсная криптобибилотека (APDU), PC/SC (APDU), JavaScript (JC-WebClient) | APDU, Microsoft SmartCard API, PKCS#11 | ||
Функциональное обеспечение | |||||
Аппаратная поддержка криптографических алгоритмов | Электронная подпись | ГОСТ Р 34.10-2001 (комбинированные модели также поддерживают RSA (512, 1024, 2048 бит)) | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 (комбинированные модели также поддерживают RSA (512, 1024, 2048 бит) и ECC (160, 192 бит)) | Нет | |
Шифрование | ГОСТ 28147-89 (комбинированные модели также поддерживают AES (128, 192, 256 бит), DES (56 бит), 3DES (112, 168 бит), 3DES (168)) | ГОСТ 28147-89 (комбинированные модели также поддерживают AES (128, 192, 256 бит), DES (56 бит), 3DES (112, 168 бит)) | ГОСТ 28147-89 | ||
Хеширование | ГОСТ Р 34.11-94 (комбинированные модели также поддерживают SHA-1, SHA-224, SHA-256) | ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 (комбинированные модели также поддерживают SHA-1, SHA-224 SHA-256) | Нет | ||
Электронная подпись | Генерация ключей | Генерация ключевых пар ЭП | Генерация ключевых пар ЭП | Генерация ключевых пар ЭП | Нет |
Неизвлекаемые ключи | Да | Нет | |||
Шифрование | Режимы шифрования | Нет данных | Гаммирование с обратной связью; выработка имитовставки | Простая замена; гаммирование, гаммирование с обратной связью | |
Генерация ключей | Генерация ключа парной связи (в соответствии с RFC 4357), по схеме VKO GOST R 34.10-2001 (RFC 4357); генерация ключевых пар с проверкой качества | Генерация ключа парной связи (в соответствии с RFC 4357), по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO_GOSTR3410_2012_256 (рекомендации ТК26); генерация ключевых пар с проверкой качества; возможность создания специальной неудаляемой ключевой пары устройства; генерация ключей шифрования по ГОСТ 28147-89 и выработки имитовставки; генерация ключей для HMAC | Генерация и импорт ключей шифрования | ||
Неизвлекаемые ключи | Да | Да | |||
Аутентификация | Двухфакторная аутентификация | Предъявление токена и ввод PIN-кода | |||
Ограничение числа попыток ввода неверного PIN-кода/пароля | Да | Да | Да | ||
Биометрическая аутентификация | Нет | Аппаратная поддержка биометрической аутентификации по отпечаткам пальцев Match-on-Card | Нет | ||
Особенности функционирования | |||||
Основные данные о совместимости со сторонними СЗИ | Криптопровайдеры КриптоПро CSP, ViPNet CSP, Signal-COM CSP, Lissi CSP | КриптоПро CSP. Предоставляется комплект средств разработки (SDK) для интеграции JaCarta-2 ГОСТ со сторонними СЗИ и СКЗИ без потери сертификата ФСБ России | Интеграция с KeePass; интеграция в smartcard-ориентированные продукты | ||
Декларируемые изготовителем конкурентные преимущества | aladdin-rd.ru/catalog/jacarta-gost/index | aladdin-rd.ru/catalog/jacarta-2_gost/index | rutoken.ru/products/all/rutoken-s |
Параметр сравнения | VPN-Key-TLS | Токен++ | РУТОКЕН ЭЦП 2.0 | |||||
Сертификация | ||||||||
Изготовитель | ООО «АМИКОН» | ООО Фирма «Инфокрипт» | ЗАО «Актив-софт» и ООО Фирма «АНКАД» | |||||
Сертификат ФСБ России | Номер | СФ/124-3000 | СФ/124-2999 | На сертификации | СФ/124-2771 | СФ/124-3063 | СФ/124-3061 | СФ/124-3062 |
Дата выдачи | 05.12.2016 | 05.12.2016 | 25.12.2015 | 07.02.2017 | 07.02.2017 | 07.02.2017 | ||
Дата окончания действия | 31.12.2018 | 31.12.2018 | 25.12.2018 | 31.12.2018 | 31.12.2018 | 31.12.2018 | ||
Объект сертификации | VPN-Key-TLS (варианты исполнения 2, 4) | VPN-Key-TLS Int (варианты исполнения 2, 4) | «Токен++» | «Рутокен ЭЦП 2.0» (исполнения 1, 2) | «Рутокен ЭЦП 2.0 Flash» | «Рутокен ЭЦП 2.0 Touch» | «Рутокен ЭЦП 2.0 Micro» | |
Класс | КС1, КС2 | КС1, КС2 | КС1, КС2 | КС1 (для варианта исполнения 1), КС2 (для варианта исполнения 2) | КС1, КС2 | КС1, КС2 | КС1, КС2 | |
Общие функции криптографической защиты | Cоздание ключевой информации, шифрование данных и вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хеш-функции для данных, содержащихся в областях оперативной памяти, защита TLS-соединений | Cоздание ключевой информации | Создание и управление ключевой информацией, шифрование данных и вычисление имитовставки для данных, содержащихся в областях оперативной памяти СКЗИ, вычисление значения хеш-функции для данных, содержащихся в областях оперативной памяти СКЗИ, реализация функций электронной подписи | |||||
Реализация функций электронной подписи в соответствии с с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи» | Cоздание, проверка, создание ключа ЭП, создание ключа проверки ЭП | Создание, проверка, создание ключа ЭП, создание ключа проверки ЭП | ||||||
Сертификат ФСТЭК России | Нет | Нет | По 4 уровню РД НДВ на программно-аппаратный комплекс «Рутокен» версии 4 | |||||
Аппаратное обеспечение | ||||||||
Форм-фактор | USB-токен, USB-токен с сенсорной кнопкой | USB-токен | USB-токен | USB-токен с модулем Flash-памяти | USB-токен с модулем Flash-памяти сенсорной кнопкой | USB-токен | ||
Используемая микросхема | 32-разрядные микропроцессоры архитектуры ARM | |||||||
Возможность встраивания радиометки (RFID) | Нет | Нет | EM-Marine, Mifare, ProxCard II, ISOProx II, Indala (на заказ) | Нет | EM-Marine, Mifare, ProxCard II, ISOProx II, Indala (на заказ) | |||
Объем защищенной памяти (EEPROM) | 1536 КБ | 200 КБ | 64 КБ | 128 КБ | 128 КБ | 64 КБ | ||
Интерфейсы подключения | Для USB-токенов | USB 2.0 и выше, CCID | USB 2.0 и выше, CCID | USB 1.1 (compatible) и 2.0 (FullSpeed), CCID, разъем типа А | ||||
Для смарт-карт | Нет | Нет | Нет | |||||
Датчик случайных чисел | Да | Да | Да | |||||
Защита от проникновения | Контроль целостности встроенного ПО и системных областей памяти | Контроль целостности встроенного ПО и системных областей памяти | Контроль целостности встроенного ПО и системных областей памяти; проверка правильности функционирования криптографических алгоритмов | |||||
Программное обеспечение | ||||||||
Операционная система смарт-карты и ее функциональность | Собственная | Собственная | ОС Рутокен | |||||
Поддерживаемые операционные системы для эксплуатации токена | Microsof Windows | Microsoft Windows XP/2003/2008/Vista/7/8/10 (32/64-бит) | Microsoft Windows XP/2003/2008/Vista/7/8/10 (32/64-бит) | Microsoft Windows 10/2016/8.1/2012 R2/8/2012/7/2008 R2/ Vista/2008/XP/2003/2000 | ||||
macOS | macOS 10.10 и выше (для модификации №1) | macOS 10.10 и выше | macOS | |||||
Linux | Нет | GNU/Linux | GNU/Linux | |||||
Поддерживаемые интерфейсы встраивания, стандарты и криптографические спецификации | Нет данных | Нет данных | Microsoft Crypto API, Microsoft SmartCard API, PKCS#11 (включая российский профиль), PKI-Core (C++), Pkcs11Interop(С#), JRT11(Java), Рутокен Плагин (Javascript) | |||||
Функциональное обеспечение | ||||||||
Аппаратная поддержка криптографических алгоритмов | Электронная подпись | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 (256 и 512 бит) | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 (256 и 512 бит) | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 (256 и 512 бит), RSA-2048 | ||||
Шифрование | ГОСТ 28147-89 | Нет | ГОСТ 28147-89 | |||||
Хеширование | ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 | Нет | Аппаратно: ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 (256 и 512 бит), программно: MD5, SHA1, SHA256 | |||||
Электронная подпись | Генерация ключей | Генерация ключевых пар ЭП | Генерация ключевых пар ЭП с проверкой качества; возможность создания специальной неудаляемой ключевой пары устройства | |||||
Неизвлекаемые ключи | Да | Да | Да | |||||
Шифрование | Режимы шифрования | Простая замена; гаммирование, гаммирование с обратной связью | Нет | Простая замена; гаммирование, гаммирование с обратной связью | ||||
Генерация ключей | Выработка сессионных ключей по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836), Генерация ключей для реализации функций абонентского шифрования и TLS (в соответствии с RFC 4357) | Генерация сессионных ключей по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836) | Генерация ключей шифрования по ГОСТ 28147-89, Выработка сессионных ключей (ключей парной связи) по схеме VKO GOST R 34.10-2001 (RFC 4357) и VKO GOST R 34.10-2012 (RFC 7836) | |||||
Неизвлекаемые ключи | Да | Нет | Да | |||||
Аутентификация | Двухфакторная аутентификация | Предъявление токена и ввод PIN-кода | Предъявление токена и ввод PIN-кода, аутентификация по протоколу SESPAKE, SecureMessaging по ГОСТ 28147 | Предъявление токена и ввод PIN-кода | ||||
Ограничение числа попыток ввода неверного PIN-кода/пароля | Да | Да | Да | |||||
Биометрическая аутентификация | Нет | Нет | Нет | |||||
Особенности функционирования | ||||||||
Основные данные о совместимости со сторонними СЗИ | КриптоПро CSP 5.0 (для модификации №1) | КриптоПро CSP 5.0 (ФКН) | Интеграция с OpenSSL; интеграция в любые smartcard-ориентированные программные продукты (e-mail, internet, платежные системы и т. п.); Microsoft Base SmartCard Cryptoprovider | |||||
Декларируемые изготовителем конкурентные преимущества | amicon.ru/page.php?link=VPN-Key-TLS | Нет данных | rutoken.ru/products/all/rutoken-ecp |
Параметр сравнения | VdToken | |||||||||||||
Сертификация | ||||||||||||||
Изготовитель | ООО «Валидата» | |||||||||||||
Сертификат ФСБ России | Номер | СФ/124-2810 | СФ/114-3102 | СФ/124-2812 | СФ/114-3187 | СФ/114-3185 | СФ/124-2811 | СФ/114-3103 | СФ/124-2813 | СФ/114-3186 | СФ/124-2681 | СФ/114-3188 | ||
Дата выдачи | 28.01.2016 | 20.04.2017 | 28.01.2016 | 17.08.2017 | 17.08.2017 | 28.01.2016 | 20.04.2017 | 28.01.2016 | 17.08.2017 | 30.06.2015 | 17.08.2017 | |||
Дата окончания действия | 31.12.2018 | 31.12.2018 | 31.12.2018 | 17.08.2020 | 01.07.2020 | 31.12.2018 | 31.12.2018 | 31.12.2018 | 01.07.2020 | 30.06.2018 | 01.07.2020 | |||
Объект сертификации | АПК «Клиент удостоверяющего центра «Валидата УЦ 2.0» (исполнение 1) | АПК «Клиент МБ 2.0» (исполнение 1) | АПК «СКАД Сигнатура-L» (исполнение 1) | АПК «Сигнатура-клиент 5» (исполнение 1) | АПК «Клиент удостоверяющего центра «Валидата УЦ 2.0» (исполнение 2) | АПК «Клиент МБ 2.0» (исполнение 2) | АПК «Сигнатура-клиент 5» (исполнение 2) | АПК «СКАД Сигнатура-L» (исполнение 2) | ||||||
Класс | КС1 | КС1 | КС1 | КС1 | КС1 | КС2 | КС2 | КС2 | КС2 | КС2 | КС2 | |||
Общие функции криптографической защиты | Создание и управление ключевой информацией, шифрование файлов и данных, содержащихся в областях оперативной памяти, вычисление имитовставки для файлов и данных, содержащихся в областях оперативной памяти, вычисление значения хеш-функции для файлов и данных, содержащихся в областях оперативной памяти, защита TLS-соединений | |||||||||||||
Реализация функций электронной подписи в соответствии с с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи» | Создание, проверка, создание ключа ЭП, создание ключа проверки ЭП | |||||||||||||
Сертификат ФСТЭК России | Нет | |||||||||||||
Аппаратное обеспечение | ||||||||||||||
Форм-фактор | USB-токен | |||||||||||||
Используемая микросхема | Нет данных | |||||||||||||
Возможность встраивания радиометки (RFID) | Нет | |||||||||||||
Объем защищенной памяти (EEPROM) | 256 КБ | |||||||||||||
Интерфейсы подключения | Для USB-токенов | USB, CCID | ||||||||||||
Для смарт-карт | Нет | |||||||||||||
Датчик случайных чисел | Да (доступен только СКЗИ разработки ООО «Валидата») | |||||||||||||
Защита от проникновения | Контроль целостности встроенного программного обеспечения (frmware) | |||||||||||||
Программное обеспечение | ||||||||||||||
Операционная система смарт-карты и ее функциональность | Собственная | |||||||||||||
Поддерживаемые операционные системы для эксплуатации токена | Microsof Windows | Microsoft Windows Vista/2008/7/2008R2/8/2012/8.1/2012R2/10 | ||||||||||||
macOS | Нет | |||||||||||||
Linux | Ubuntu (x86Ubuntu (x86 и x64) 14.04, 14.04.1, 14.04.2, 14.04.3, 14.04.4, 14.04.5, 16.04, 16.04.1; OpenSUSE (x86 и x64) 13.2, 42.1 (x64), 42.2 (x64); Debian (x86 и x64) 8.2, 8.3, 8.4, 8.5, 8.6; Red Hat Enterprise Linux (x64) 7.1, 7.2, 7.3; Thinstation (x86) 6.0; Astra Linux Common Edition (x64) 1.10, 1.11 | |||||||||||||
Поддерживаемые интерфейсы встраивания, стандарты и криптографические спецификации | Нет данных | |||||||||||||
Функциональное обеспечение | ||||||||||||||
Аппаратная поддержка криптографических алгоритмов | Электронная подпись | ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 | ||||||||||||
Шифрование | ГОСТ 28147-89 | |||||||||||||
Хеширование | ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 | |||||||||||||
Электронная подпись | Генерация ключей | Нет | ||||||||||||
Неизвлекаемые ключи | Да | |||||||||||||
Шифрование | Режимы шифрования | Нет данных | ||||||||||||
Генерация ключей | Нет данных | |||||||||||||
Неизвлекаемые ключи | Да | |||||||||||||
Аутентификация | Двухфакторная аутентификация | Предъявление токена и ввод PIN-кода | ||||||||||||
Ограничение числа попыток ввода неверного PIN-кода/пароля | Да | |||||||||||||
Биометрическая аутентификация | Нет | |||||||||||||
Особенности функционирования | ||||||||||||||
Основные данные о совместимости со сторонними СЗИ | Нет, только СКЗИ производства ООО «Валидата» | |||||||||||||
Декларируемые изготовителем конкурентные преимущества | x509.ru/vdtoken.shtml |
В сравнении мы намеренно не делаем выводов, не выделяем продукты и производителей. Этот материал следует расценивать как сводку информации о токенах, без замалчиваний и преувеличений. Окончательный выбор всегда остается за потребителем, поскольку только он способен адекватно оценить значимость каждого показателя в выборе токена в своем, частном случае.
Благодарим за активное участие в создании статьи:
Владимира Иванова, директора по развитию компании «Актив»
Антона Кузнецова, ведущего менеджера по развитию продуктов компании «Аладдин Р.Д.»
Максима Садовского, ведущего специалиста компании «Валидата»
Илью Моргасова, генерального директора компании «Инфокрипт»
Установка необходимого программного обеспечения для работы с электронными торговыми площадками
- Установка КриптоПРО CSP
Нажмите на одну из ссылок ниже для загрузки файла установки КриптоПРО на компьютер.
- КриптоПро CSP 3.9 – версия для ОС WinXP
- КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10
- КриптоПРО CSP последний релиз
После окончания загрузки откройте zip-архив с помощью соответствующей программы (например Win-RAR). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:
Пропустите окно нажав «Далее». Установка КриптоПРО завершена.
- Установка драйвера для токена
Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в следующей таблице.
Тип USB-носителя | Внешний вид USB-носителя | Ссылка на загрузку драйверов | PIN-код |
ruToken | Драйверы Рутокен для Windows | 12345678 | |
eToken | Драйверы eToken для Windows | 1234567890 | |
JaCarta LT | Единый клиент JC | 1234567890 | |
MS-Key | MSKey Driver | 11111111 | |
Esmart* | ESMART PKI Client | 12345678 | |
JaCarta LT Nano JaCarta ГОСТ JaCarta S/E | Единый клиент JC | 1234567890 |
Визуально определите какой у Вас носитель.
Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.
- Установка корневых сертификатов УЦ
Скачайте корневые сертификаты перейдя по ссылкам ниже.
- Корневой сертификат для неквалифицированных сертификатов
- Корневой сертификат для квалифицированных сертификатов
Все сертификаты в архивах имеют соответствующие названия аналогично хранилищам, в которых их нужно установить. Откройте нужный сертификат двойным нажатием ЛКМ и установите по нижеследующему примеру.
При возникновении предупреждения как на скриншоте ниже:
Нужно согласиться с предупреждением, нажав «ДА». Ниже следует пример установки промежуточного сертификата.
- Установка личного сертификата
Подключите USB-токен для хранения электронных подписей (Rutoken, eToken и т.д.);
Нажмите кнопку «ПУСК» > «Программы». Откройте папку КриптоПРО и запустите программу КриптоПРО CSP. В открывшемся окне программы перейдите на вкладку «Сервис». На вкладке «Сервис» нажмите на кнопку «Просмотреть сертификаты в контейнере». Нажмите «Далее» > «Обзор». Вы увидите имеющиеся у вас контейнеры.
Выберите нужный вам контейнер, нажмите «ОК» > «Далее».
Введите pin от USB-токена. Нажмите «ОК» > «Установить».
- Установка плагинов для работы с КЭП
- Крипто-Про ЭЦП Browser plugin 2.0 – стандартный плагин КриптоПро ЭЦП Browser plug-in.
Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Во всех окнах подтверждения жмите «ДА» и дождитесь завершения установки.
- capicom2102.msi – стандартная библиотека CAPICOM от Microsoft.
Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Примите лицензионное соглашение, во всех окнах подтверждения жмите «Далее» и дождитесь завершения установки.
У некоторых площадок/порталов/сервисов есть собственные плагины, необходимые для работы с ЭП. Рекомендуется ознакомится с регламентом интересующей вас площадки перед началом работы. Например, для портала ГОСУСЛУГ необходим этот плагин, а для ЭТП ГУП Татарстана криптографический плагин.
- Настройка браузера
Для настройки браузера Internet Explorer откройте «Панель управления» > «Показывать значки» > «Свойства браузера». Перед вами откроется окно, нажмите на вкладку «Безопасность»
Нажмите на кнопку «Надёжные узлы» > «Узлы»
Снимите галочку «Для всех узлов этой зоны требуется проверка серверов (https:)». В поле «Добавить узел в зону» напишите адреса всех необходимых вам площадок по нижеследующим примерам:
*.sberbank-ast.ru > нажимаем на кнопку «Добавить»;
«Добавить узел в зону» напишите «*.roseltorg.ru» > нажмите на кнопку «Добавить»;
«Добавить узел в зону» напишите «*.etp-micex.ru» > нажмите на кнопку «Добавить»;
«Добавить узел в зону» напишите «*.rts-tender.ru» > нажмите на кнопку «Добавить»;
«Добавить узел в зону» напишите «*.zakazrf.ru» > нажмите на кнопку «Добавить». Нажимаем кнопку «Ок».
Этими действиями Вы добавите 5 федеральных электронных торговых площадок в доверенные веб-узлы. Если Вы планируете работать с КЭП на других порталах, тогда добавьте необходимые Вам сайты аналогичным образом в надежные веб-узлы.
Во вкладке «Безопасность», нажать кнопку «Другой», перед вами открывается окно, спуститесь по полосе прокрутки вниз списка.
Нужно включить или разрешить все элементы ActiveX, после проделанных операций нажать ОК. Пункт «Блокировать всплывающие окна» тут же установить в положение «Отключить».
Зайдите на вкладку «Конфиденциальность», поставьте «Низкий уровень» и уберите галочку «Включить блокирование всплывающих окон». Далее нажмите ОК для сохранения всех настроек.
Для подписания договора на сайте ОФД, настраивать необходимо другой браузер. Скачайте и установите браузер Google Chrome. После установки откройте браузер, нажмите на три вертикальных точки в верхнем правом углу окна. Выберите пункт меню «Дополнительные инструменты» > «Расширения»
Откроется меню расширений, найдите CryptoPro Extension for CAdES Browser Plug-in и поставьте галочку напротив «Включить». Браузер настроен для использования КЭП на сервисах ОФД.
Извлечение ключа из токена с неизвлекаемым ключом
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Программное извлечение ключей
В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:
то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.
Устанавливаем и настраиваем КЭП под macOS
Очевидные вещи
- все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
- во всех установщиках ничего не меняем, все оставляем по-умолчанию;
- если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.
Устанавливаем КриптоПро CSP
Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOS – скачать.
Устанавливаем драйверы Рутокен
На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain) – скачать.
Далее подключаем usb-токен, запускаем terminal и выполняем команду:
/opt/cprocsp/bin/csptest -card -enum
В ответе должно быть:
Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]
Устанавливаем сертификаты
Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
В ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.
Скриншоты
На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
- https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF
Скачанные сертификаты УЦ устанавливаем командами из terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer
где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Команда должна вернуть:
OK.
[ErrorCode: 0x00000000]
Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012
Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:
Команды в terminal:
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'
Команды ничего не возвращают.
Устанавливаем специальный браузер Chromium-GOST
Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.
Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):
killall Chromium-Gost
Устанавливаем расширения для браузера
1 КриптоПро ЭЦП Browser plug-in
Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователей – скачать.
Плагин для Госуслуг
Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS) – скачать.
Настраиваем плагин для Госуслуг
Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.
Выполняем команды в terminal:
sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg
sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts
Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/
Включаем оба установленных расширения:
- CryptoPro Extension for CAdES Browser Plug-in
- Расширение для плагина Госуслуг
Скриншот
Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.html
На появившейся странице в список доверенных узлов по-очереди добавляем сайты:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru
Жмем “Сохранить”. Должна появиться зеленая плашка:
Список доверенных узлов успешно сохранен.
Скриншот
Проверяем что все работает
Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться
Подпись сформирована успешно
Скриншот
Заходим в Личный Кабинет на nalog
По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:
- Личный кабинет ИП: https://lkipgost.nalog.ru/lk
- Личный кабинет ЮЛ: https://lkul.nalog.ru
Скриншот
Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
Скриншот
Что делать, если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserData
Переустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.
Что нужно для работы с КЭП под macOS
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Методология сравнения токенов
Сведения, представленные в рамках сравнения, включают:
- реестр токенов;
- перечень параметров, по которым они могут быть сопоставлены;
- оценка токенов по представленным параметрам.
Номенклатура токенов, имеющих действующий сертификат ФСБ России, составлена преимущественно на основе данных «Перечня средств защиты информации, сертифицированных ФСБ России». Этот перечень регулярно обновляется, и разумно рассматривать его в качестве достоверного источника информации с поправкой на некоторую задержку в части обновления сведений.
Параметры сравнения выбирались таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывалось как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:
- PKCS #15 v1.1: Cryptographic Token Information Syntax Standard; RSA Laboratories; June 6, 2000;
- Department of Defense Public Key Infrastructure and Key Management Infrastructure Token Protection Profile (Medium Robustness), Version 3.0, 22 March 2002, Common Criteria for Information Technology Security Evaluation, Prepared by Booz Allen Hamilton Prepared for National Security Agency (NSA);
- Серия европейских стандартов Protection profiles for Secure signature creation device;
- GlobalPlatform Device Technology. Secure Element Access Control, Version 1.0, Public Release, May 2012;
- NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management, June 2017», введенный в действие в июне 2017 года и заменяющий значимые для поставленной цели разделы документа «NIST Special Publication (SP) 800-63-2. Electronic Authentication Guideline, August 2013.
Оценка токенов согласно выбранным параметрам производилась на основании сведений из открытых источников, уточненных производителями решений по нашей просьбе. Авторы сравнения старались, чтобы сведения были максимально полными и достоверными. Но реалии таковы, что полностью исключить возможность ошибки нельзя. Поэтому мы готовы внести в материал коррективы, которые помогут повысить его качество.
При использовании сравнительной таблицы следует принять в расчет ряд оговорок частного характера:
- «РУТОКЕН ЭЦП» в исполнениях «РУТОКЕН ЭЦП», «РУТОКЕН ЭЦП micro» и «РУТОКЕН ЭЦП Flash» снят с продаж (при этом соответствующие сертификаты действуют до конца 2018 года).
- С начала 2017 года прекращены процедуры продажи, поддержки и сопровождения USB-токенов семейства eToken PRO (Java), eToken и СКЗИ «Криптотокен» в составе изделий eToken ГОСТ. По этой причине eToken ГОСТ исключен из рассмотрения в рамках настоящего сравнительного анализа.
- В сертификате на «Криптотокен ЭП» (JaCarta ГОСТ и соответствующие комбинированные модели) не указаны отечественные стандарты в области криптографической защиты информации.
- На отечественном рынке есть решения, оценка которых с учетом нюансов сертификации может быть затруднительна для потребителя. Примером является функциональный ключевой носитель (ФКН) vdToken производства компании «Валидата». ФКН vdToken не сертифицирован как самостоятельное изделие, но поддержка его заявлена в сертификатах соответствия аппаратно-программных комплексов производства компании «Валидата». Это обстоятельство отражено в значении параметра «Объект сертификации» в таблице сравнения токенов.
- Имеются решения, сертификация которых на момент написания статьи еще не закончена, но проходит завершающую стадию. Одно из таких решений, «Токен++», с оговоркой включено в таблицу сравнения сертифицированных решений.
- Имеется решение, сведения о котором получены уже после подготовки данного материала. Речь идет об изделии Рутокен ЭЦП 2.0 исполнение А, регистрационный номер сертификата СФ / 121-3241 от 21 ноября 2017 года, действительный до 31 декабря 2018. Данное изделие соответствует требованиям к СКЗИ классов КС1, КС2; Требованиям Приказа ФСБ № 796 для классов КС1, КС2 и может использоваться в том числе для реализации функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63 ФЗ «Об электронной подписи». Информация об этом решении не включена в сравнительную таблицу, читатель может ознакомиться с его возможностями самостоятельно на сайте производителя.
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Установка пакетов криптопро csp
При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.
Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP
zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm
Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:
Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:
zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm
zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm
Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:
zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
Проверяем итоговую конфигурацию КриптоПро CSP:
S | Name | Summary | Type — —————————— —————————————————- ——— i | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package i | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package i | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package i | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package i | cprocsp-rdr-mskey-64 | Mskey support module | package i | cprocsp-rdr-novacard-64 | Novacard support module | package i | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package i | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package i | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package i | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package i | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package i | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package i | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package
https://youtube.com/watch?v=QKwP007ZBhY%3Ffeature%3Doembed
Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:
Подпись файлов в macOS
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -list
Команда должна вывести минимум 1 сертификат вида:
Certmgr 1.1 © “Crypto-Pro”, 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: [email protected],… CN=ООО КОРУС Консалтинг СНГ…
Subject: [email protected],… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
…
Container: SCARD\rutoken_lt_00000000\0000\0000
…
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]
У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken…. Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE
где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Установка Apple Automator Script
Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.
- Распаковываем архив ‘Sign with CryptoPro.zip’
- Запускаем Automator
- Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
- В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
- Сохраняем скрипт: ⌘Command + S
- Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
- В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
- В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
- В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.
Скриншоты
Окно Apple Automator:
System Preferences:
Контекстное меню Finder:
Функциональный ключевой носитель
Архитектура ФКН реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе.
Кроме формирования электронной подписи и генерации ключей шифрования непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи.
Установка личного сертификата электронной подписи с носителя – моя подпись
Ручная установка личного сертификата электронной подписи с носителя Рутокен, E–token, JaСarta, Реестра, USB-флешки.
В большинстве случаев с ключевых носителей Рутокен, Ja Сarta сертификаты устанавливаются автоматически в течение минуты после подключения к компьютеру, если установлены драйверы.
Если вы устанавливаете сертификат с РЕСТРА или обычной USB-флешки, то пункты 1,2 вам не нужны, переходите сразу к пункту 3.
1. Проверка наличия установленных драйверов на ключевой носитель:
1.1 Присоедините ключевой носитель JaCartaRutoken к USB-порту Вашего компьютера
1.2 Подождите минуту
1.3 Выберите пункт меню Пуск -> Настройка -> Панель управления либо найдите Панель управления через Поиск, откройте Крипто Про CSP.
1.4 В появившемся окне Крипто Про CSP перейдите на вкладку Сервис
1.5 Нажмите на кнопку Просмотр/просмотреть сертификаты в контейнере
1.6 В появившемся окне нажмите кнопку Обзор
1.7 Если в окне выбора есть надпись JaCartaRutoken, как показано на рисунке ниже, значит, драйверы на JaCartaRutoken уже установлены и пункты 2 и 3 выполнять не нужно. Обратите внимание, что на Вашем компьютере может быть установлено большое число контейнеров и для того, чтобы найти надпись JaCartaRutoken, необходимо прокрутить окно с помощью колесика мыши до конца вниз
Если искомой надписи в окне нет, пункт 2 обязателен к исполнению.
2.Установка драйверов на ключевые носители
!!! Отсоедините все ключевые контейнеры ОТ USB-портов компьютера.
если у вас носитель JaCarta (носитель черного цвета):
2.1 Запустите соответствующую программу установки драйверов в зависимости от версии Windows, установленной на компьютере:
Ссылка – JaCartax86zip Единый Клиент JaCarta для windows 32x Ссылка – JaCartax64zip Единый Клиент JaCarta для windows 64x
и следуйте ее указаниям. После установки драйверов может потребоваться перезагрузка компьютера.
2.2 После перезагрузки подсоедините ключевой носитель к USB-порту.
2.3 После подключения на ключевом носителе загорается светодиод, это говорит о том, что JaCarta корректно распознан операционной системой и готов к работе.
если у вас носитель Rutoken (прозрачный или белого/красного цвета):
2.4 Единый файл драйверов для носителей Rutoken rtDrivers.exe работает в любой версии Windows от XP до 10, на 32 и 64 битных версиях.
2.5 После окончания установки перезагрузите компьютер и подключите Рутокен к USB-порту компьютера. Если на нём загорелся красный светодиод — значит установка произведена корректно.
3. Добавление считывателя
!!! Добавление ruToken, JaCarta происходит при подключенном носителе.
3.1 Выберите пункт меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP»
3.2 В появившемся окне перейдите на вкладку «Оборудование»
3.3 Нажмите кнопку «Настроить считыватели» и проверьте наличие в списке считывателей пункта «Все считыватели смарт-карт» (см. рисунок на следующей странице)
3.4 Если пункт отсутствует, требуется установка считывателя, для этого нажмите кнопку «Добавить» и следуйте инструкциям мастера по установке считывателей.
!!! Обратите внимание, что добавление считывателей возможно только в случае, если у пользователя есть права администратора и программа Крипто Про запущена от имени администратора. Если кнопка «Добавить» неактивна, как в случае на рисунке, обратитесь к своему системному администратору.
4. Установка личного сертификата
!!! При установке личного сертификата к компьютеру должен быть подключен только тот ключевой носитель, с которого производится установка. Остальные носители должны быть отключены
4.1 Выберите пункт меню «Пуск» -> «Панель Управления» либо найдите Панель управления через Поиск, выберете «Крипто Про CSP»
4.2 В появившемся окне перейдите на вкладку «Сервис»
4.3 Нажмите на кнопку «Просмотреть сертификаты в контейнере…»
4.4 В поле «Имя ключевого контейнера» нажмите «Обзор»
4.5 В списке доступных контейнеров выберите нужный вам контейнер, он может быть записан на «Aktiv Co. ruToken 0», ARDS Ja Carta или USB-Флешку (определяется как Диск E/D и т.п.) и подтвердите выбор нажатием кнопки «ОК»
4.6 В поле «Имя ключевого контейнера» появится нужный вам контейнер нажать «Далее»
4.7 В ответ на запрос КриптоПро CSP ввода pin-кода на контейнер необходимо указать значение 12345678 (это стандартный pin-код на ключевой носитель ruToken, JaCarta). Если вы меняли пин-код, то введите именно его.
4.8 В открывшемся окне «Сертификат для просмотра» нажать кнопку «Свойства»
4.9 Нажать кнопку «Установить сертификат»
4.10 В появившемся мастере импорта сертификатов нажмите «Далее», укажите пункт «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор»
4.11 В появившемся списке хранилищ выберите «Личные» подтвердите выбор нажатием кнопки «ОК» нажмите «Далее» -> «Готово» -> «ОК» -> «ОК» -> «Готово».
Краткая инструкция по установке сертификата:
В меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP» -> на вкладке «Сервис» нажать на кнопку «Просмотреть сертификаты в контейнере…»
-> в поле «Имя ключевого контейнера» нажать «Обзор»
-> в списке доступных контейнеров выбрать нужный Вам (по названию либо по наименованию носителя)
-> подтвердить выбор нажатием кнопки «ОК» -> в поле «Имя ключевого контейнера» появиться нужный Вам контейнер (ЭП)
-> нажать «Далее» -> на просьбу Крипто Про CSP ввести pin-код на контейнер необходимо указать значение вашего PIN (может и не потребоваться)
-> в окне «Сертификат для просмотра» нажать кнопку «Установить сертификат»
Руководство по настройке
После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:
В нашем случае это Bus 004 Device 003: ID 24dc:0101
Пока не установлены все необходимые пакеты, информация о токене не отобразится.