КриптоПро апи и проверка подписи

Введение.

В одной из поддерживаемых мной систем цифровая подпись сообщений проверялась с помощью КриптоПро CSP и библиотека отвечающая за это функцию периодически падала с ошибкой. Библиотека эта писалась в спешке и не мной, поэтому я решил переделать ее “по-человечески” и оформить в виде python модуля. Ниже я опишу процесс разработки и опишу с какими трудностями я столкнулся.

Catch__The___Wave
Оставлено
:
7 апреля 2021 г. 20:11:56(UTC)

Добрый день!Планируется интеграция с dss криптопро по rest api из desktop-приложения на с# (. net core3. 1)задача такая: подписывать из нашего приложения (windows,. net core3. 1) файлы через dss. Сервер подписи развернут и там применяется ГОСТ ssl. Подскажите, пожалуйста, что должно быть установлено на хосте, который обращается к dss? Я так поняла, что точно должен быть КриптоПРО CSP. Еще что-то?

Андрей Солдатов
Оставлено
:
12 апреля 2021 г. 11:05:08(UTC)

Добрый день. Отвечено в рамках отдельной переписки.

djuwa4
Оставлено
:
16 августа 2021 г. 11:52:23(UTC)

Ситдиков Денис
Оставлено
:
16 августа 2021 г. 15:25:56(UTC)

Добрый день!pycades и SSL через гостовые алгоритмы никак не связаны. Возможно, вам стоит искать, как добавить поддержку ГОСТ в openssl. На форуме есть обсуждение.

КриптоПро DSS предоставляет программные интерфейсы автоматизации, которые позволяют интегрировать использование сервера электронной подписи в существующие бизнес-процессы и системы. Ниже представлены типовые схемы использования КриптоПро DSS на примере систем дистанционного банковского обслуживания (ДБО).

Интеграция посредством HTTP API

• Пользователь отправляет сформированный платежный документ в систему ДБО.
• Для подтверждения подписания документа КриптоПро DSS направляет пользователю SMS-сообщение, содержащее код подтверждения подписания и значимые поля документа (например, получатель, сумма и т.п.), на номер мобильного телефона полученный в маркере доступа.
• Пользователь вводит полученный код подтверждения в поле формы веб-интерфейса КриптоПро DSS.
• КриптоПро DSS, используя документированные функции ПАКМ «КриптоПро HSM», отправляет запрос на подписание документа с использованием закрытого ключа пользователя и получает подписанный документ.
• КриптоПро DSS перенаправляет пользователя на веб-интерфейс системы ДБО, передавая в перенаправлении подписанный документ.

Интеграция посредством SOAP

• Пользователь отправляет сформированный платежный документ в систему ДБО.
• Система ДБО, используя штатные документированные механизмы КриптоПро DSS (SOAP), передает подписываемый документ и подписанный маркер доступа (SAML-токен), содержащий информацию о пользователе (имя пользователя, номер мобильного телефона и т.п.).
• Для подтверждения подписания документа КриптоПро DSS направляет пользователю SMS-сообщение, содержащее код подтверждения подписания и значимые поля документа (например, получатель, сумма и т.п.), на номер мобильного телефона полученный в маркере доступа.
• Пользователь вводит полученный код подтверждения в поле формы веб-интерфейса системы ДБО.
• Система ДБО передает полученный код подтверждения КриптоПро DSS.
• КриптоПро DSS, используя документированные функции ПАКМ «КриптоПро HSM», отправляет запрос на подписание документа с использованием закрытого ключа пользователя и получает подписанный документ.
• КриптоПро DSS передает подписанный документ в систему ДБО.

Масштабируемость и отказоустойчивость

Для повышения производительности и отказоустойчивости сервиса электронной подписи на базе КриптоПро DSS может использоваться как вертикальное (увеличение производительности каждого сервера путем наращивания вычислительной мощности), так и горизонтальное (увеличение количества серверов и балансировка сетевой нагрузки) масштабирование. Поддерживается также отказоустойчивая конфигурация КриптоПро HSM.

Общее описание

КриптоПро PKI-Кластер — комплекс программного обеспечения для централизованного и унифицированного обмена сообщениями между различными компонентами PKI-инфраструктуры организации, обеспечивающей управление жизненным циклом сертификатов ключей проверки электронной подписи и применение электронной подписи.

КриптоПро PKI-Кластер используется для решения задачи интеграции различных информационных систем PKI-инфраструктуры в единый программный комплекс с применением сервис-ориентированного подхода.

Основной принцип: интеграция различных приложений путем установки коммуникационной шины (брокера сообщений) между ними и настройка «общения» этих приложений через шину. Шина отделяет приложения друг от друга, позволяя им коммуницировать независимо от других приложений и даже «не зная» о существовании друг друга.

Назначение КриптоПро PKI-Кластер

• Единый API для доступа к PKI-сервисам
• Понятный и удобный веб-интерфейс для Операторов и Пользователей
• Аутентификация и авторизация вызывающих сторон
• Гарантированная передача данных/сообщений между PKI-сервисами
• «Парсинг» входящих запросов и перенаправление их к целевым PKI-сервисами
• Интеграция со СМЭВ для проверки сведений заявителей
• Интеграция с корпоративными ИС для получения дополнительных данных (опционально)
• Поддержка отечественных криптографических алгоритмов в части взаимодействия по протоколу TLS
• Обеспечение информационной безопасности на всех этапах информационного взаимодействия
• Сбор данных и статистический анализ
• Балансировка нагрузки
• Централизованный мониторинг PKI-инфраструктуры

Потребители сервисов PKI-Кластера

• Пользователи
• Вызывающие информационные системы (Порталы, Личные кабинеты, СДО)
• Операторы выдачи сертификатов, Операторы аудита, Администраторы

Пользователи — владельцы сертификатов, обращающиеся непосредственно к PKI-инфраструктуре или посредством внешних ИС для создания/проверки ЭП и управления жизненным циклом сертификатов.

Вызывающие ИС — информационные системы, предоставляющие пользователям или другим системам возможности PKI-сервисов.

Оператор выдачи сертификатов — сотрудник, ответственный за идентификацию заявителя, проверку предоставленных сведений, направления запроса на создание/отзыв сертификата в УЦ, выдачу сертификата.

Оператор аудита — сотрудник, ответственный за сбор и анализ статистической информации, построение отчетов и осуществляющий мониторинг работоспособности PKI-инфраструктуры.

Администратор — сотрудник, ответственный за настройку системы, управление Операторами и вызывающими системами.

Компоненты PKI-Кластера

• Шлюз прикладного уровня
• Сервис обеспечения работы Операторов УЦ
• Сервис проверок
• Сервис взаимодействия с УЦ
• Центр Статистики

Интеграция с другими PKI-сервисами

• Сервис проверки ЭП
• Сервис штампов времени
• Сервис предоставления информации о статусе сертификата
• Сервис централизованного хранения КЭП и создания ЭП
• Сервис долгосрочно хранения документов
• Сервисы СМЭВ
• Системы учёта и управления ключевыми носителями

Дополнительные материалы

Документация
Дистрибутивы (для скачивания обязательна регистрация на сайте)

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище “Промежуточные центры сертификации”.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2. 0 и/или Криптопро OCSP Client 2.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2. 0, КриптоПро OCSP Client 2

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку “Протестировать”, выберите контейнер с закрытым ключом кнопкой “Обзор” или “По сертификату” и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3. 9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Проверка пакета перед публикацией в NPM

Необходимо протестировать работу в заявленных браузерах, сделав это на локально запакованной версии пакета. Для этого собираем пакет:

npm run package
mv package.

Важно переместить папку package куда-нибудь выше для избежания конфликтов при линковке с текущим package. json.

Переходим в любую директорию с примером и создаем там ссылку на только что собранный пакет:

examples/script-tag
npm link. /package

Проверяем работу примеров в режимах разработки и продакшн.

После завершения экспериментов можно удалить глобальную ссылку из директории. /package таким образом:

Примеры

Для их запуска необходим NodeJS LTS.

Тэг script (UMD)

examples/script-tag
npm i
npm start

Angular (ES Modules + Typescript)

Запуск в режиме разработки:

Запуск в продакшн режиме:

npm run build
npm run serve

React (ES Modules + JavaScript)

В OSX процесс схож с Linux.

Подключите USB носитель с ключевыми контейнерами и проверьте результат команды:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc

CSP (Type:80) v4. 9009 KC1 Release Ver:4. 9797 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 16188003
\. FLASHivanov
\. FLASHpetrov
\. FLASHsidorov
\. FLASHasiliev
\. FLASHsmirnov
OK. Total: SYS: 0,020 sec USR: 0,060 sec UTC: 0,180 sec

Скопируйте ключевой контейнер \. FLASH. sidorov на жесткий диск:

Проверьте наличие нового контейнера \. HDIMAGEsidor:

Установите личный сертификат:

/opt/cprocsp/bin/amd64/certmgr -inst -cont

Возможно в выводе вы ссылку на сертификат УЦ

При необходимости загрузите сертификат удостоверяющего центра и установите его командой:

После чего, при проверке установленного личного сертификата вы увидите PrivateKey Link: Yes:

/opt/cprocsp/bin/amd64/certmgr -list -store uMy

Реализация взаимодействия с КриптоПро CSP на C.

Так как КриптоПро CSP(CPCSP) является доработкой CryptoApi от Microsoft, то большая часть примеров из официальной документации подходит идля “КриптоПро”. Чем я собствеено говоря и пользовался при написании модуля, так как с примерами у самого КриптоПро не очень все хорошо.

Загрузка сертификата в хранилище.

Для того, чтобы загрузить сертификат в хранилище нужно выполнить следующие шаги:

• Считать сертификат из файла
• Открыть хранилище сертификатов
• Положить в него сертификат
• Закрыть хранилище

Тут меня ждал первый ньюанс, что в CPCSP нет функции для чтения сертификата из файла, поэтому ее нужно будет написать вручную. Она выглядит следующим образом:

В коде выше файл считывается специальную структуру CERT, которая содержит размер и содержимое сертификата. Затем на основе этой информации формируется структура PCCERT_CONTEXT, которая в дальнейшем будет загружаться в хранилище CPCSP.

Далее в описании функций будут использоваться следующие коды ошибок:

# define OPERATION_SUCCESS 0
# define OPEN_STORE_ERROR 1
# define ADD_CERT_TO_STORE_ERROR 2
# define CLOSE_STORE_ERROR 3
# define ADD_CRL_TO_STORE_ERROR 4
# define STR_TO_BIN_LEN_ERROR 5
# define STR_TO_BIN_CONTENT_ERROR 6
# define VERIFY_MSG_SIGNATURE 7
# define GET_CERT_CHAIN_ERROR 8
# define READ_CERT_ERROR 9
# define READ_CRL_ERROR 10

Функция загрузки сертификата в хранилище будет выглядеть следующим образом:

В этой функции считывается файл сертификата (функция ReadCertificateFromFile), затем открываем системное хранилище методом CertOpenSystemStore. Если системное хранилище открылось успешно, то с помощью метода CertAddCertificateContextToStore, сертификат загрузается в хранилище. И в заключении хранилище закрывается функцией CertCloseStore.

Нужно отметить что функция CertOpenSystemStore ипользуется только для чтения системных хранилищ (root, ca, my), для остальных надо использовать CertOpenStore.

Загрузка файла отозванных сертификатов.

Функции чтения списка отозванных сертификатов(CRL) и загрузки их в хранилище идентичны функциям работы с сертификатами, за тем исключением, что для их чтения и загрузки используются функции CPCSP c CRL вместо Certificate в названии функции. Например CertAddCertificateContextToStore будет выглядеть как CertAddCRLContextToStore.

Таким образом код для загруки CRL будет таким:

Постороение цепочки сертификата.

Код функции проверки цепочки сертификатов выглядит следующим образом

Помимо настроек цепочки, тут вызывается функция CertGetCertificateChain, которая формирует собственно цепочку сертификатов и записывает ее в структуру PCCERT_CHAIN_CONTEXT. В данной структуре поле TrustStatus отвечает за статус опреации, если цепочка построена корректно, то dwErrorStatus будет 0, иначе будет записан код ошибки.

Прверка подписи.

Для начала я подумал сорфировать самоподписной сертификат для проверки функционирования функции, но оказалось, что CPCSP не поддерживает их, поэтому я создал сертификат в Тестовом УЦ КриптоПро. Я не буду описывать данный процесс, так как к библиотике он имеет посредственное отношение. Только скажу, что файл подписи я генерировал под Windows, потому как это было проще сделать через КриптоПро ЭЦП Browser plug-in.

Код снабжен коментариями, которые поясняют за что какой кусок кода отвечает.

Также надо отметить что функция CryptStringToBinaryA вызывается 2 раза, первый для получения размер подписи, а второй, чтобы получить данные раскодированные из base64 данные. Ну и затем подпись соответственно проверяется.

После того, как все функции написаны, то можно приступуть к реализации С обертки для python библиотеки и написанию тестов. Для начала опишем заголовочный файл, который будет содержать описание вызываемых функций и исключений:

Как видно из этого файла, на каждый код ошибки С функций, будет соответствовать свое исключение. Реализацию самих функций можно посмотреть в файле py_cpcsp. c репозитория.

Код оберки для библиотеки выглядит следующим образом:

Что делается в этом файле подробно описано здесь.

Для проверки работоспособности питоновской библиотеки, напишем следующий тест:

Теперь все готово, и можно запусть команду make test для проверки работоспособности.

• getCertificate – возвращает сертификат по отпечатку
• createAttachedSignature – создает совмещенную (присоединенную) подпись сообщения
• createDetachedSignature – создает отсоединенную (открепленную) подпись сообщения
• createXMLSignature – создает XML подпись для документа в формате XML
• createHash – создает хеш сообщения по ГОСТ Р 34.11-2012 256 бит
• createSignature – создает подпись сообщенияЯвляется устаревшим и будет убран из будущих версий.
  Используйте “createAttachedSignature” и “createDetachedSignature”.
• getSystemInfo – возвращает информацию о CSP и плагине
• isValidSystemSetup – возвращает флаг корректности настроек ЭП на машине
• execute – компилирует и выполняет переданную функцию для доступной браузерной среды (синхронной/асинхронной)

Методы объекта сертификата

Сертификат предоставляет следущее API:

• isValid – возвращает флаг действительности сертификата
• getCadesProp – возвращает указанное внутренее свойство у сертификата в формате Cades
• exportBase64 – возвращает сертификат в формате base64
• getAlgorithm – возвращает информацию об алгоритме сертификата
• getOwnerInfo – возвращает расшифрованную информацию о владельце сертификата
• getIssuerInfo – возвращает расшифрованную информацию об издателе сертификата
• getExtendedKeyUsage – возвращает ОИД’ы сертификата
• getDecodedExtendedKeyUsage – возвращает расшифрованные ОИД’ы
• hasExtendedKeyUsage – проверяет наличие ОИД’а (ОИД’ов) у сертификата

Установка КриптоПРО CSP в Linux / OSX

Процесс установки в OSX незначительно отличается от Linux, поэтому описание приведено на примере дистрибутива семейства Debian (x64).

Некоторые команды могут потребовать запуска с sudo. Названия файлов и директорий могут отличаться из-за различий в версиях.

После загрузки КриптоПРО CSP для нужной платформы, распакуйте архив:

tar -xzvf linux-amd64_deb. tgz
chmod 777 -R linux-amd64_deb/

Запустите скрипт установки:

Проверьте отсутствие cprocsp-rdr-gui:

Установите дополнительно cprocsp-rdr-gui-gtk:

dpkg -i linux-amd64_deb/cprocsp-rdr-gui-gtk-64_4. 0-4_amd64. deb

Дополнительная информация по установке

Миграция с версии 1 на 2

Внесены следующие изменения:

• Пакет собран в форматах:UMD, в папке dist/, для подключения через тэг script. Объект window.cryptoPro доступен глобально.ES Modules, в папке lib/, для использования с разными системами сборки.
  Методы API импортируются напрямую из npm пакета.
• UMD, в папке dist/, для подключения через тэг script. Объект window.cryptoPro доступен глобально.
• ES Modules, в папке lib/, для использования с разными системами сборки.
  Методы API импортируются напрямую из npm пакета.
• В UMD версии переименован глобальный объект с window.CryptoPro на window.cryptoPro
• Убран метод signDataXML
• Переименованы методы сертификата:
• Принципиальная реализация методов, обращающихся к Крипто ПРО не изменилась.
  Получение сертификатов, создание подписи, проверка корректности настроек работают по-прежнему.
• Убрана поддержка IE8 (Крипто ПРО его больше не поддерживает)
• Убрана поддержка КриптоПРО CSP версий ниже 4.0
• Убрана поддержка КриптоПРО ЭЦП browser plug-in версий ниже 2.0
• Доработана обработка ошибок, выбрасываемых из Крипто ПРО
• При написании кода будут работать автодополнения и подсказки
• Исправлена проблема работы библиотеки с UglifyJs
• Методы API доступны напрямую:

В версии 1:

Установка КриптоПРО ЭЦП browser plugin в Linux

Загрузите КриптоПРО ЭЦП browser plug-in и распакуйте его:

mkdir cades_linux_amd64
tar -xzvf cades_linux_amd64. tar. gz -C cades_linux_amd64

Сконвертируйте rpm в deb пакеты при помощи утилиты alien:

apt-get update && apt-get install alien
cades_linux_amd64
alien *

dpkg -i cprocsp-pki-cades_2. 0-2_amd64. deb
dpkg -i cprocsp-pki-plugin_2. 0-2_amd64. deb

Проверьте наличие файлов плагина:

Настройка плагина для Firefox (до версии 52)

После настройки плагина на страницах, запрашивающих работу с ЭП в панели навигации, рядом с url будет кнопка,
позволяющая “разрешить и запомнить” использование установленного плагина.

/usr/lib/mozilla/plugins

cp /opt/cprocsp/lib/amd64/libnpcades. /
ldd libnpcades. 0

cp /opt/cprocsp/lib/amd64/libnpcades. /libnpcades. so
ldd libnpcades

Перезапустите Firefox, и убедитесь в наличии CryptoPRO Cades plugin (см. Menu -> Addons).

Проверка работы примеров с React и Angular

React и Angular используют версию сборки пакета в формате ES модулей из директории lib/. Для их запуска необходимо сначала собрать пакет выполнив:

После этого из папки examples/angular или examples/react залинковать пакет:

examples/angular
npm i
npm link

И запустить пример в одном из двух режимов. В режиме разработки:

или в режиме продакшн:

Установка и настройка

npm install crypto-pro

Bower

bower install crypto-pro

Для корректной работы используйте:

• КриптоПРО CSP (v3.6+) рекомендуется использование только сертифицированных версий. Инструкция по установке:
  Linux / OSX(в Windows следуйте указаниям программы-установщика)
• Linux / OSX
• (в Windows следуйте указаниям программы-установщика)
• КриптоПРО ЭЦП browser plug-in (v1.5+). Инструкция по установке:
  Linux(в Windows и OSX следуйте указаниям программы-установщика)
• Linux
• (в Windows и OSX следуйте указаниям программы-установщика)

Затем установите необходимые сертификаты в систему. Инструкция для Linux / OSX.

Установка КриптоПРО ЭЦП browser plug-in в Linux

apt-get update && apt-get install alien
cd cades_linux_amd64
alien *

cd /usr/lib/mozilla/plugins

cp /opt/cprocsp/lib/amd64/libnpcades. /
ldd libnpcades. 0

cp /opt/cprocsp/lib/amd64/libnpcades. /libnpcades. so
ldd libnpcades

/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘\. HDIMAGEsidor’

Пример работы с API лежит в папке example.

Доступные методы

Список доступных методов можно посмотреть в файле src/api.

License

Во время работы с кодом необходим запущенный сборщик:

И пример, на котором можно тестировать изменения. Удобнее всего тестировать на примере с тэгом script, тк он отвязан от фреймворков
и использует сборку в формате UMD из папки dist/, постоянно обновляемую пока работает
сборщик. Запускаем его таким образом:

examples/script-tag
npm i
npm link. /
npm start

После выполнения npm link. / в директории examples/script-tag/node_modules папка crypto-pro станет ярлыком,
указывающим на папку содержащую локально собранный пакет.

Поддерживаемые СКЗИ

КриптоПРО CSP (v4. 0+) рекомендуется использование только сертифицированных версий. Инструкция по установке:

• Linux / OSX
• (в Windows следуйте указаниям программы-установщика)

КриптоПРО ЭЦП browser plug-in (v2. 12438+).

Инструкция по установке плагина в Linux. В Windows и OSX следуйте указаниям программы-установщика.

Инструкция по установке сертификатов в систему для Linux / OSX.

CryptoPro

Единое, асинхронное API для взаимодействия с КриптоПРО ЭЦП Browser Plug-In

v45+ с расширением CryptoPro Extension for CAdES Browser Plug-inv43+. Начиная с версии 52, с расширениемv9+ с установленным КриптоПро ЭЦП Browser plug-inv40+ с расширением CryptoPro Extension for CAdES Browser Plug-in

• cryptoPro
• Тем, кто хочет помочь
• Полезная информация
• Лицензия

Зачем мне этот пакет?

КриптоПРО ЭЦП Browser Plug-In доступен в разных браузерах в двух версиях. Асинхронной (в современных браузерах) и синхронной (в браузерах постарше). С помощью этого пакета можно не писать реализацию под каждую версию плагина дважды. И вместо этого
и этого
написать это (UMD):

или это (ES Modules + Typescript):

yarn add crypto-pro

Подключение пакета как UMD модуля через тэг script:

Подключение пакета как ES модуля с Typescript или JavaScript:

Список требуемых полифиллов (если необходимы, подключаются самостоятельно):

• Promise
• Array.prototype.find

Теоритическая часть.

Для того чтобы проверить подпись какого-то конкретного сообщения на необходимо само сообщение с подписью, а также цепочка сертификатов, которые помогут проверить данную подпись. Подробнее об этом можно узнать в здесь.

Все ключи крипто про хранит в своих хранилищах, таких как root, ca, my. Чтобы в них загрузить сертификат в поставке Криптопро CSP идет специальная утилита certmgr. Синтаксих ее работы таков:

Также для корректной цепочки надо загрузить список отозванных сертификатов. Сделать это можно командой:

Побробную информацию по работе этой утилиты можно получить вызвав:

Для конкретного сертификата также можно проверить цепочку. Делается это командой:

Соответственно закрытым ключок соответсвующем проверяемому сертификату и можем подписать сообщение, а с помощью цепочки сертификатов из хранилища, мы сможем ее проверить.

Из всего вышесказанного я подумал, что в библиотеке мне нужны будут следующие функции:

• Загрузка сертификата в хранилище;
• Загрузка файла отозванных сертификатов;
• Постороение цепочки сертификата;
• Проверка подписи.

Поддерживаемые браузеры

• Google Chrome (v45+) с расширением CryptoPro Extension for CAdES Browser Plug-in
• Opera (v40+) с расширением CryptoPro Extension for CAdES Browser Plug-in
• Mozilla Firefox (v43+). Начиная с версии 52, с расширением.
• Internet Explorer (v8+).

Список необходимых полифиллов (подключаются самостоятельно):

• Promise
• EventTarget.addEventListener
• Array.prototype.forEach
• Array.prototype.map

Заключение.

Процесс создания библиотеки получился трудоемкий, но на выходе получилась рабочая библиотека, которой можно пользоваться. В репозиотории можете найти пакет для работы из python, но также можно использовать только C-ную часть. Для работы С библиотеки нужно выполнить make build_c.