Криптопро квз

Криптопро квз Электронная цифровая подпись


Offline

Monteur

Оставлено
:
12 мая 2022 г. 18:39:54(UTC)

Настраивали КриптоПро CSP c доступом к локальным смарт-картам по RDP, по этой статьеПровайдер “Crypto-Pro GOST R 34.10-2012 System CSP” установился, но пункте 4 указанной статьи, при выборе ЭЦП программа запрашивает лицензию на КриптоПро CSP. Лицензия есть, при работе с другими провайдерами запрос лицензии не происходит.

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Удаленный доступ в локальную машину с Rutoken lite через RDP


Offline

Сергей Александрович

 

Оставлено
:

29 марта 2022 г. 12:00:55(UTC)

Требуется выполнить настройку таким образом, что бы пользователь для работы подключался к машине для сдачи отчетности.
Физически Rutoken lite установлен в машине к которой происходит подключение по RDP.
В диспетчере устройств Rutoken lite есть.

Использовались настройки с сайта Контур. В панели управление Рутокен – Служба смарт карт не запущена.

Прошу написать эти настройки…


Offline

Максим Коллегин

 

Оставлено
:

30 марта 2022 г. 11:40:45(UTC)

  Банк для аутентификации использует JC-Webclient. При установке этого “ПО” на сервер, по умолчанию в RDP сессии, оно не пашет.
Сайт рутокена говорит нам, что чтобы JC-Webclient работал в терминальной сессии, он (JC-WebClient) должен быть запущен в контексте текущей сессии. Т.е. в пользовательской сессии открываем терминал и запускаем ручками JC-WebClient.exe -p 24738. Эта хренотень виснет на 127.0.0.1:24738 и вуаля – мы смогли зайти в Банк-клиент….

  А теперь начинается геморрой: внезапно оказывается, что на нашем терминальном сервере работает не один а 5 бухгалтеров и у каждого есть пачка рутокенов и каждый хочет из своей сессии попасть в банк (рутокены разные, логины в банк тоже). И получается, что попасть в банк может только тот, кто первым запустил из терминала JC-WebClient, потому как 127.0.0.1 с#ка один на весь сервер! Грохнув процесс в первой сессии можно открыть его в любой другой и пользоваться там… Но это не выход: бухгалтеров не научишь пользоваться терминалом, искать запущенный процесс в диспетчере задач и выяснять какая с#ка уже запустила его и когда освободит…

Как быть? Как подружить эту хрень с RDP? Как вы понимаете тех. поддержка банка и рутокена не помогли.

P.S. Ключ конечно не rutoken, а алладиновский JaCarta. Пардон за невнимательность.


Offline

miandrru

 

Оставлено
:

25 марта 2022 г. 11:41:54(UTC)

КриптоПро 5.0.12000 КС1 установлен и настроен по статье https://support.cryptopr…loklnym-smrt-krtm-po-rdp
При попытке обратиться из RDP сеанса к криптопровайдеру Crypto-Pro GOST R 34.10-2012 System CSP (который, судя по инструкции, и должен уметь работать в сеансе RDP) получаем ошибку обращения Криптопро квз Screenshot_1.png (25kb) загружен 5 раз(а).. Другие провайдеры токен (Рутокен) не видят. Как только подключаемся к этому сеансу не по RDP, а локально – отрабатывают стандартные провайдеры и начинают видеть токен. Мы что-то упустили, почему токен не работает в RDP сеансе?


Offline

nickm

 

Оставлено
:

25 марта 2022 г. 11:47:58(UTC)

Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии.
Скорее всего у Вас вариант (2), поэтому доступа к токену в RDP сессии Вы не получаете и не получите.


Offline

miandrru

 

Оставлено
:

25 марта 2022 г. 12:06:08(UTC)

Автор: nickm Перейти к цитате

Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии.
Скорее всего у Вас вариант (2), поэтому доступа к токену в RDP сессии Вы не получаете и не получите.

В указанной статье речь идет как раз об использовании подключенных локально к серверу ключей в RDP сессиях


Offline

ivstark

 

Оставлено
:

16 августа 2022 г. 19:27:21(UTC)

Как получилось у меня:
Выполнить все пункты, указанные в статье https://support.cryptopr…loklnym-smrt-krtm-po-rdp
не забыть создать группу с именем “CryptoPro CSP Power Users” и добавить в неё удалённых пользователей, кому нужен доступ к эцп.

Далее проделать это:
Локально зайти в КриптоПро CSP.

1. Под полными правами: закладка Сервис – Посмотреть сертификаты в контейнере,
в выпадающем списке выбрать провайдер “Crypto-Pro GOST R 34.10-2012 System CSP”,
– Обзор – выбрать нужный контейнер – Далее – Установить – Да. Готово.

2. Под полными правами: закладка Безопасность (Криптопровайдеры для 5 версии) – во втором выпадающем списке (256) выбрать “Crypto-Pro GOST R 34.10-2012 System CSP”.
Проверить настройку CSP в самом нижнем списке выбрать “Crypto-Pro GOST R 34.10-2012 System CSP” (закладка Безопасность для 5 версии),
переключатель должен быть включен на “Использовать службу хранения ключей”.
Применить, ок.

После этого в RDP сеансе перезапустить приложение, для которого нужна эцп (например, сбис плагин).
И выбранная эцп станет доступна.

Также п.1 проделать под каждым удалённым пользователем в rdp сеансе.

Отредактировано пользователем 18 августа 2022 г. 14:04:47(UTC)
 | Причина: дополнено

thanks 1 пользователь поблагодарил ivstark за этот пост.


Offline

access1961

 

Оставлено
:

22 июля 2021 г. 16:05:58(UTC)

Добрый день. При переходе на удаленку во весь рост встал вопрос проброса ключевой USB-флэшки в RDP-сессии.
Т.е. ключевой носитель-обычная флэшка. При локальной работе все прекрасно, но при подключении к серверу по RDP возникают проблемы.
Ключевые токены пробрасываются прекрасно, флэшка в принципе при нужных настройках сессии пробрасывается тоже, сервер ее видит,
но не как съемный диск, а как сетевой диск. При этом Крипто-Про CSP 4.0 сервера этот сетевой диск в упор не видит, нет сетевых дисков
и в списке ключевых носителей Крипто-Про. Как разрешить эту проблему (переход на токен не предлагать)?


Offline

Grey

 

Оставлено
:

22 июля 2021 г. 18:01:21(UTC)

Добрый день.

Пробросом на удаленную машину устройств занимается операционная система. То, что туда отображаются токены и смарт-карты, – заслуга службы WinScard, где данная функциональность реализована.
Если примонтировать флешку как сетевой диск, ключ на ней не будет виден, т.к. провайдер в качестве ключевых хранилищ рассматривает только те разделы файловой системы, для которых функция GetDriveTypeA возвращает DRIVE_REMOVABLE (или DRIVE_FIXED, но не является разделом с системой). Полагаю, для сетевых расположений это будет DRIVE_REMOTE.

Так что, раз вы просили не советовать использовать токены, могу только предложить скопировать ключ в пользовательскую ветку реестра удаленной машины.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.


Offline

access1961

 

Оставлено
:

22 июля 2021 г. 18:34:46(UTC)

Большое спасибо за быстрый ответ. Как я понял, подобные проблемы есть у многих. Я все примерно так и представлял, Ваш ответ утвердил меня в моих подозрениях. Придется, видимо, все-таки переходить на токен. Подскажите, функция копирования ключевого носителя в КриптоПро мне в этом поможет? И как подготовить сам токен, если он б/у?


Offline

Grey

 

Оставлено
:

23 июля 2021 г. 12:55:48(UTC)

Автор: access1961 Перейти к цитате

Большое спасибо за быстрый ответ. Как я понял, подобные проблемы есть у многих. Я все примерно так и представлял, Ваш ответ утвердил меня в моих подозрениях. Придется, видимо, все-таки переходить на токен. Подскажите, функция копирования ключевого носителя в КриптоПро мне в этом поможет? И как подготовить сам токен, если он б/у?

Для успеха должно быть выполнено три условия:

1) Ключ на флешке должен быть создан как экспортируемый. Это легко можете сейчас проверить, открыв Панель управления – КриптоПро CSP – Сервис – Копировать. Если панель даст выбрать контейнер, значит, всё ок. Если ключ неэкспортируемый, перенести его не получится.
2) Токен должен поддерживать “пассивный” режим. На подавляющем большинстве токенов с неизвлекаемыми ключами из соображений безопасности нет функции импорта. Вам подойдет любой носитель, у которого стоит буква “П”: https://www.cryptopro.ru…/compare#supported_media
3) На токене должно быть достаточно свободного места. Если он б/у и существующая информация вам не нужна, проще всего будет его отоформатировать штатной утилитой (Драйверы Рутокен / Единый Клиент JaCarta, ESmart PKI Client и т.п.).

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.


Offline

access1961

 

Оставлено
:

23 июля 2021 г. 23:52:04(UTC)

Спасибо большое за пояснения. В понедельник буду пробовать.

Skip to end of metadata

  • Created by , last modified on Jul 28, 2021

Go to start of metadata

КриптоПро CSP

Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.

На устройстве можно хранить до 15 ключевых контейнеров.

Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.

Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).

Совместимость подтверждается сертификатами совместимости.

В КриптоПро CSP 5.0 появился режим, в котором Рутокен выступает как средство формирования электронной подписи –  «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.

Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.

Полезные знания и руководства:

КриптоПро CSP версии 5

В этой версии криптопровайдера поддерживается три режима работы с Рутокенами:

Работа с внутренним криптоядром Рутокена

В режиме «ФКН без защиты канала» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства.

Подписание документов теперь возможно и на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

С ключами и сертификатами в контейнерах, созданными в режиме “ФКН без защиты канала”, возможна работа практически во всех продуктах КриптоПро.

Поддерживаемые модели Рутокен

  • Рутокен ЭЦП 2.0 2100;
  • Рутокен ЭЦП 2.0 (micro);
  • Рутокен ЭЦП 2.0 3000 (Type-C/micro);
  • Рутокен ЭЦП 2.0 Flash/Touch;
  • Рутокен ЭЦП Bluetooth;
  • Рутокен ЭЦП PKI;
  • Смарт-карты Рутокен ЭЦП 2.0 2100;
  • Смарт-карты Рутокен ЭЦП SC.

Чтобы на токене был создан ключ в режиме “ФКН без защиты канала”, при генерации в окне выбора носителя надо выбирать режим работы: “Активный токен без защиты канала (rutoken_crypt_xxxx)”.

Криптопро квз

Работа с внутренним криптоядром Рутокена с обеспечением защиты канала

В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который так же поддерживается в сертифицированной модели Рутокен ЭЦП 2.0 3000.

Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: “ФКН с защитой канала (rutoken_fkc_xxxxxxxx)”.

Хранение в защищенной файловой системе Рутокен

Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.

Поддерживаемые модели Рутокен

  • Рутокен ЭЦП 2.0 2100 (Type-C/micro)
  • Рутокен S (micro)
  • Рутокен Lite (micro)
  • Рутокен ЭЦП Flash
  • Рутокен ЭЦП 2.0 (micro)
  • Рутокен ЭЦП 2.0 Touch
  • Рутокен ЭЦП 2.0 3000 (Type-C/micro)
  • Рутокен ЭЦП PKI
  • Рутокен ЭЦП Bluetooth
  • Смарт-карта Рутокен ЭЦП SC
  • Смарт-карта Рутокен ЭЦП 2.0

Для генерации такого типа ключей надо выбирать режим работы: “CSP (rutoken_xxxx_xxxxxxxx)”.

Криптопро квз

  • No labels

КриптоПро ЭЦП Browser plug-in предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах и поддерживает работу с широким набором алгоритмов, как встроенных в операционную систему, так и доустановленных дополнительно.

Вниманию пользователей браузеров на основе ChromiumДля стабильной работы браузерного расширения рекомендуется обновить браузер до последней версии (104+). Причина описана на форуме.

Для работы плагина выполните следующие шаги

1 Установите криптопровайдер

Для создания и проверки электронных подписей по алгоритмам ГОСТ требуется обязательная установка криптопровайдера, поддерживающего ГОСТ (мы рекомендуем КриптоПро CSP).

Скачать КриптоПро CSP

2 Установите КриптоПро ЭЦП Browser plug-in

Приложение осуществляет взаимодействие веб-страниц в вашем браузере с криптопровайдером в операционной системе и предназначено для создания и проверки электронной подписи на веб-страницах. Рекомендуем воспользоваться инструкцией по установке

Скачать КриптоПро ЭЦП Browser plug-in

3 Проверьте работу установленного плагина

Чтобы убедиться, что всё установлено верно и все элементы системы надёжно взаимодействуют, мы создали специальную площадку для тестирования и проверки создания электронной подписи.

Проверить работу плагина

Описание принципов работы плагина

Криптопро квз

КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:

  • Яндекс.Браузер
  • Internet Explorer
  • Microsoft Edge (на базе Chromium версии 104+)
  • Mozilla Firefox
  • Google Chrome (в том числе Chromium-Gost. На базе Chromium версии 104+)
  • Apple Safari
  • Opera

Криптопро квз

Поддерживаемые операционные системы:

  • Microsoft Windows (инструкция по установке);
  • Linux (инструкция по установке);
  • Apple MacOS (инструкция по установке).

КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:

  • электронный документ;
  • данные веб-формы;
  • файл, загруженный с компьютера пользователя;
  • текстовое сообщение и т.п.

С точки зрения бизнес-функций, плагин позволяет использовать ЭП:

  • на клиентских порталах;
  • в системах интернет-банкинга;
  • в электронных офисах с доступом через web и т.п.

Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.

КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:

  • доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент;
  • отсутствие необходимости сетевых (онлайн) обращений при проверке подписи;
  • архивное хранение электронных документов.

Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).

КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).


На нашем сайте доступна демо-страница для пробной работы с КриптоПро ЭЦП Browser plug-in. Полная инструкция по установке доступна по ссылке.

Скачать актуальную версию КриптоПро ЭЦП Browser plug-in:

  • версия 2.0 для пользователей (автоматическая загрузка версии плагина, соответствующей Вашей ОС)
    • Актуальная, развивающаяся версия.
    • Поддерживает работу с алгоритмами ГОСТ Р 34.10/11-2012 (при использовании с КриптоПро CSP 4.0 и выше).
    • Для Microsoft Windows совместима с КриптоПро CSP версии 3.6 R4 и выше, для других ОС – с КриптоПро CSP версии 4.0 и выше.
    • Компоненты КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0, входящие в данную версию, не принимают лицензию от версий 1.x.
    • Для работы в Firefox версии 52 и выше требуется дополнительно установить расширение для браузера.
  • все версии для разработчиков (полный комплект дистрибутивов КриптоПро ЭЦП Browser plug-in).

Подробное описание КриптоПро ЭЦП Browser plug-in приведено в Руководстве разработчика КриптоПро ЭЦП SDK.

    • Страница для печатиСтраница для печати

    Криптопро квз

    Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

    Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

    Опубликовать данное руководство побудило несколько причин:

    Причина 1

    Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.

    Причина 2

    Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

    Причина 3

    UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

    UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

    UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

    В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

    Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
    После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

    Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

    В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

    Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

    Проявлялось это следующим образом, на команду:

    csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (205D325E5842) 00 00\alfa_shark' -check 

    Выдавался ответ, что все хорошо:

    [ErrorCode: 0x00000000]

    Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

    [ErrorCode: 0x8009001a]

    Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

    NTE_KEYSET_ENTRY_BAD
    0x8009001A
    Keyset as registered is invalid.

    «Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

    В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

    Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

    Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.

    Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

    Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

    Причина 4

    Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

    Skip to end of metadata

    • Created by , last modified by Ксения Шаврова on Aug 19, 2022

    Go to start of metadata

    Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.

    На устройстве объемом 64 Кб можно хранить до 15 ключевых контейнеров.

    Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.

    Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).

    Совместимость подтверждается сертификатами совместимости.

    В КриптоПро CSP 5.0 и новее появился режим, в котором Рутокен выступает как средство формирования электронной подписи – «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.

    Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.

    Режимы работы с Рутокенами, доступные в КриптоПро 5.0 R2

    Работа с внутренним криптоядром Рутокена через библиотеку PKCS#11

    Установка на Windows

    • Если на компьютере с ОС Windows установлены Драйверы Рутокен, и производитсяпервичная установкаКриптоПро CSP 5.0 R2, то необходимая настройка системы будет выполнена автоматически.
    • При обновлении программы с предыдущих версий КриптоПро CSP, нужно:

    1) Установить актуальную версию «Драйверов Рутокен» (или библиотеку rtpkcs11ecp для Linux и macOS)

    2) Запустить «КриптоПро CSP» с правами Администратора

    3) Выбрать «Оборудование» – «Настроить считыватели» – «Считыватель смарт-карт PKCS#11»

    Установка на Linux

    Перед инсталляцией КриптоПро необходимо установить библиотеку rtpkcs11ecp.so. Доступна по ссылке https://www.rutoken.ru/support/download/pkcs/

    • Если установка КриптоПро происходит скриптом install_gui.sh, то необходимо отметить пункт “Поддержка токенов и смарт-карт”.
    • Если установка КриптоПро происходит скриптом install.sh, то после установки основных пакетов необходимо установить пакеты cprocsp-rdr-cryptoki и cprocsp-rdr-rutoken.

    Поддерживаемые модели Рутокен

    • Рутокен ЭЦП 3.0 3100
    • Рутокен ЭЦП 3.0 3100 NFC
    • Рутокен ЭЦП 2.0 2100
    • Рутокен ЭЦП 2.0 (micro)
    • Рутокен ЭЦП 2.0 3000 (Type-C/micro)
    • Рутокен ЭЦП 2.0 Flash/Touch
    • Рутокен ЭЦП Bluetooth
    • Рутокен ЭЦП PKI
    • Смарт-карты Рутокен ЭЦП 2.0 2100
    • Смарт-карты Рутокен ЭЦП SC
    • Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению

    Работа теперь возможна через библиотеку rtpkcs11ecp. В этом режиме ключи создаются сразу в защищенной памяти устройства.

    Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

    Ключи и сертификаты, созданные в этом режиме полностью совместимы с ключами, созданными, например, через Рутокен Плагин.

    При создании ключей необходимо выбирать считыватель PKCS#11.

    Криптопро квз

    Для работы со смарт-картой Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать режим “Работа с внутренним криптоядром Рутокена с обеспечением защиты канала”.

    Работа с внутренним криптоядром Рутокена с обеспечением защиты канала

    В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который поддерживается во всех моделях линейки Рутокен ЭЦП 3.0 и в модели Рутокен ЭЦП 2.0 3000.

    Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: “ФКН с защитой канала (rutoken_fkc_xxxxxxxx)”.

    Для работы с Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать данный режим.

    Криптопро квз

    Криптопро квз

    Хранение в защищенной файловой системе Рутокен

    Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.

    Поддерживаемые модели Рутокен

    • Рутокен ЭЦП 3.0 3100
    • Рутокен ЭЦП 3.0 3100 NFC
    • Рутокен ЭЦП 2.0 2100 (Type-C/micro)
    • Рутокен S (micro)
    • Рутокен Lite (micro)
    • Рутокен ЭЦП Flash
    • Рутокен ЭЦП 2.0 (micro)
    • Рутокен ЭЦП 2.0 Touch
    • Рутокен ЭЦП 2.0 3000 (Type-C/micro)
    • Рутокен ЭЦП PKI
    • Рутокен ЭЦП Bluetooth
    • Смарт-карта Рутокен ЭЦП SC
    • Смарт-карта Рутокен ЭЦП 2.0
    • Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению

    Для генерации такого типа ключей надо выбирать режим работы: “CSP (rutoken_xxxx_xxxxxxxx)”.

    Криптопро квз

    4. Прежний режим работы с внутренним криптоядром Рутокена

    Данный режим по умолчанию отключен в этой версии криптопровайдера и оставлен для совместимости.

    Этот режим не совместим с Рутокен ЭЦП 2.0 3000 и смарт-картой Рутокен ЭЦП 3.0 NFC.

    Для включения этого режима необходимо выполнить следующие действия:

    В операционной системе Windows
    1. Нажать «Запустить с правами администратора».
    2. Перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей…».
    3. В списке выбрать «Рутокен ECP» и нажать кнопку «Свойства».
      Криптопро квз
    4. Перейти на вкладку «Настройки» и установить галочку «Включить режим совместимости со старыми ключами».
      Криптопро квз
    В операционной системе Linux

    Запустить терминал и выполнить следующую команду:

    sudo /opt/cprocsp/sbin/amd64/cpconfig -ini “\config\Parameters” -add long EnableNativeTokenCryptMode 1

    В операционной системе macOS

    Запустить терминал и выполнить следующую команду:

    sudo /opt/cprocsp/sbin/cpconfig -ini ‘\config\Parameters’ -add long EnableNativeTokenCryptMode 1

    В режиме «ФКН без защиты канала» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства.

    Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

    Ключи, созданные в этом режиме, частично совместимы с режимом считывателя PKCS#11.

    С ключами и сертификатами в контейнерах, созданными в режиме “ФКН без защиты канала”, возможна работа практически во всех продуктах КриптоПро.

    Поддерживаемые модели Рутокен

    • Рутокен ЭЦП 2.0 2100
    • Рутокен ЭЦП 2.0 (micro)
    • Рутокен ЭЦП 2.0 Flash/Touch
    • Рутокен ЭЦП Bluetooth
    • Рутокен ЭЦП PKI
    • Смарт-карты Рутокен ЭЦП 2.0 2100
    • Смарт-карты Рутокен ЭЦП SC

    Чтобы на токене был создан ключ в режиме “ФКН без защиты канала”, при генерации в окне выбора носителя надо выбирать режим работы: “Активный токен без защиты канала (rutoken_crypt_xxxx)”.

    Криптопро квз

    Полезные знания и руководства:

    • No labels

    Добрый день, при включении защиты LSA на рабочей станции при установленном CryptoPro 5.0 (разных версий, включая последнюю сборку) перестают работать сетевые подключения и RDP к целевому компьютеру.

    В соответствии со статьей Microsoft https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

    For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria:

    Signature verification

    Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters.

    LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. For more information, see WHQL Release Signature.

    LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA.

    Recommended practices

    Use the following list to thoroughly test that LSA protection is enabled before you broadly deploy the feature:

    Identify all of the LSA plug-ins and drivers that are in use within your organization. This includes non-Microsoft drivers or plug-ins such as smart card drivers and cryptographic plug-ins, and any internally developed software that is used to enforce password filters or password change notifications.

    Ensure that all of the LSA plug-ins are digitally signed with a Microsoft certificate so that the plug-in will not fail to load.

    =======================

    После включения аудита lsass.exe (до включения защиты LSA) в журнале есть следующие события (ID 3066):

    Код:

    Level,Date and Time,Source,Event ID,Task Category
    Information,29.04.2022 16:04:47,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpmsi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpsuprt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcspi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcsp.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpcng.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpsspap.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpschan.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpkrb.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpadvai.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\detoured.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
    Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpcrypt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."

    В первую очередь полагаю, что проблема в cpsspap.dll

    Планируется ли решение? Для корпоративных сред использование дополнительной защиты LSA критично.

    Форум КриптоПро
     » 
    Общие вопросы
     » 
    Общие вопросы
     » 
    Проблема с установкой сертификата на CSP4 выпущенного с помощью CSP5.


    Offline

    polkiloo

     

    Оставлено
    :

    24 мая 2021 г. 13:50:45(UTC)

    Выпустил тестовый сертификат через https://www.cryptopro.ru/certsrv/certrqma.asp на win10 c установленным csp5.
    При установке сертификата на
    Distributor ID: Ubuntu
    Description: Ubuntu 16.04.6 LTS
    Release: 16.04

    и CryptoPro CSP ver. 4.0.0.0.9963.

    возникает следующая ошибка:
    Certmgr 1.1 (c) “Crypto-Pro”, 2007-2018.
    program for managing certificates, CRLs and stores

    Error while importing pfx

    The object identifier is poorly formatted.


    Offline

    Александр Лавник

     

    Оставлено
    :

    24 мая 2021 г. 13:57:57(UTC)

    Автор: polkiloo Перейти к цитате

    Выпустил тестовый сертификат через https://www.cryptopro.ru/certsrv/certrqma.asp на win10 c установленным csp5.
    При установке сертификата на
    Distributor ID: Ubuntu
    Description: Ubuntu 16.04.6 LTS
    Release: 16.04

    и CryptoPro CSP ver. 4.0.0.0.9963.

    возникает следующая ошибка:
    Certmgr 1.1 (c) “Crypto-Pro”, 2007-2018.
    program for managing certificates, CRLs and stores

    Error while importing pfx

    The object identifier is poorly formatted.

    Здравствуйте.

    RSA пакет из состава дистрибутива КриптоПро CSP 4.0 установлен?


    Offline

    polkiloo

     

    Оставлено
    :

    24 мая 2021 г. 16:31:32(UTC)

    Да, пакет установлен:

    Код:

    ii  cprocsp-cpopenssl-64                   4.0.9963-5                                      amd64        OpenSSL. Build 9963.
    ii  cprocsp-cpopenssl-base                 4.0.9963-5                                      all          Openssl common Build 9963.
    ii  cprocsp-cpopenssl-gost-64              4.0.9963-5                                      amd64        OpenSSL capi_gost engine. Build 9963.
    ii  cprocsp-curl-64                        4.0.9963-5                                      amd64        CryptoPro Curl shared library and binaris. Build 9963.
    ii  cprocsp-rdr-emv-64                     4.0.9963-5                                      amd64        EMV/Gemalto support module
    ii  cprocsp-rdr-gui-gtk-64                 4.0.9963-5                                      amd64        GUI components for CryptoPro CSP readers. Build 9963.
    ii  cprocsp-rdr-inpaspot-64                4.0.9963-5                                      amd64        Inpaspot support module
    ii  cprocsp-rdr-mskey-64                   4.0.9963-5                                      amd64        Mskey support module
    ii  cprocsp-rdr-novacard-64                4.0.9963-5                                      amd64        Novacard support module
    ii  cprocsp-rdr-pcsc-64                    4.0.9963-5                                      amd64        PC/SC components for CryptoPro CSP readers. Build 9963.
    ii  cprocsp-rdr-rutoken-64                 4.0.9963-5                                      amd64        Rutoken support module
    ii  cprocsp-rsa-64                         4.0.9963-5                                      amd64        CryptoPro RSA CSP. Build 9963.
    ii  cprocsp-stunnel-64                     4.0.9963-5                                      amd64        Universal SSL/TLS tunnel.
    ii  lsb-cprocsp-base                       4.0.9963-5                                      all          CryptoPro CSP directories and scripts. Build 9963.
    ii  lsb-cprocsp-ca-certs                   4.0.9963-5                                      all          CA certificates.  Build 9963.
    ii  lsb-cprocsp-capilite-64                4.0.9963-5                                      amd64        CryptoAPI lite. Build 9963.
    ii  lsb-cprocsp-kc1-64                     4.0.9963-5                                      amd64        CryptoPro CSP KC1. Build 9963.
    ii  lsb-cprocsp-pkcs11-64                  4.0.9963-5                                      amd64        CryptoPro PKCS11. Build 9963.


    Offline

    polkiloo

     

    Оставлено
    :

    25 мая 2021 г. 17:42:44(UTC)

    Параметры сертификат:

    Код:

    4-------
    Issuer              : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
    Serial              : 0x120052566B205CD474754DF5CF00010052566B
    SHA1 Hash           : 7c95e830ca016753ccb1401d68a4468044605bb3
    SubjKeyID           : 727d83491fed449a2515a2b7c5ba8e41887c1aca
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : RSA (2048 bits)
    Not valid before    : 12/04/2021  06:24:50 UTC
    Not valid after     : 12/07/2021  06:34:50 UTC
    PrivateKey Link     : Yes
    Container           : HDIMAGE\\f57bf9bd.000CB2
    Provider Name       : Crypto-Pro Enhanced RSA and AES CSP
    Provider Info       : ProvType: 24, KeySpec: 1, Flags: 0x0
    CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202(1).crt
    OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
    CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202(1).crl   
    Extended Key Usage  : 1.3.6.1.5.5.7.3.2

    Отредактировано пользователем 26 мая 2021 г. 10:14:09(UTC)
     | Причина: Не указана


    Offline

    Александр Лавник

     

    Оставлено
    :

    25 мая 2021 г. 18:36:13(UTC)

    Автор: polkiloo Перейти к цитате

    Параметры сертификат:

    Код:

    4-------
    Issuer              : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
    Subject             : CN=Levitskiy, O=ОБУЗ 1 ГКБ, L=Иваново
    Serial              : 0x120052566B205CD474754DF5CF00010052566B
    SHA1 Hash           : 7c95e830ca016753ccb1401d68a4468044605bb3
    SubjKeyID           : 727d83491fed449a2515a2b7c5ba8e41887c1aca
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : RSA (2048 bits)
    Not valid before    : 12/04/2021  06:24:50 UTC
    Not valid after     : 12/07/2021  06:34:50 UTC
    PrivateKey Link     : Yes
    Container           : HDIMAGE\\f57bf9bd.000CB2
    Provider Name       : Crypto-Pro Enhanced RSA and AES CSP
    Provider Info       : ProvType: 24, KeySpec: 1, Flags: 0x0
    CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202(1).crt
    OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
    CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202(1).crl   
    Extended Key Usage  : 1.3.6.1.5.5.7.3.2

    Здравствуйте.

    КриптоПро CSP 4.0 не поддерживает провайдер Crypto-Pro Enhanced RSA and AES CSP.

    Какая у Вас конечная цель?


    Offline

    polkiloo

     

    Оставлено
    :

    26 мая 2021 г. 10:40:23(UTC)

    Нужен сертификат для использования с алгоритмом RS256 и RS512.


    Offline

    Александр Лавник

     

    Оставлено
    :

    26 мая 2021 г. 12:26:33(UTC)

    Автор: polkiloo Перейти к цитате

    Нужен сертификат для использования с алгоритмом RS256 и RS512.

    Здравствуйте.

    Если не хотите переходить на CSP 5.0 на Ubuntu, то попробуйте использовать криптопровайдер Crypto-Pro RSA CSP.


    Offline

    polkiloo

     

    Оставлено
    :

    26 мая 2021 г. 18:44:35(UTC)

    Обнаружилась новая проблема при генерации ключевой пары.

    Код:

    /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont rs256  -length 1024  -provtype 1 -silent
    CSP (Type:1) "Crypto-Pro RSA CSP" v2.0
    AcquireContext: OK. HCRYPTPROV: 17876387
    GetProvParam(PP_NAME): Crypto-Pro RSA CSP
    Container name: "rs256"
    Signature key is not available.
    Attempting to create a signature key...
    An error occurred in running the program.
    /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2177:GenKey()
    Error number 0x80090020 (2148073504).
    Внутренняя ошибка.
    Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec
    [ErrorCode: 0x80090020]


    Offline

    Александр Лавник

     

    Оставлено
    :

    26 мая 2021 г. 19:21:52(UTC)

    Автор: polkiloo Перейти к цитате

    Обнаружилась новая проблема при генерации ключевой пары.

    Код:

    /opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont rs256  -length 1024  -provtype 1 -silent
    CSP (Type:1) "Crypto-Pro RSA CSP" v2.0
    AcquireContext: OK. HCRYPTPROV: 17876387
    GetProvParam(PP_NAME): Crypto-Pro RSA CSP
    Container name: "rs256"
    Signature key is not available.
    Attempting to create a signature key...
    An error occurred in running the program.
    /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2177:GenKey()
    Error number 0x80090020 (2148073504).
    Внутренняя ошибка.
    Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec
    [ErrorCode: 0x80090020]

    Если нет графики (например, работаете через ssh), то удалите пакет cprocsp-rdr-gui-gtk-64 и попробуйте еще раз.


    Offline

    polkiloo

     

    Оставлено
    :

    28 мая 2021 г. 13:59:43(UTC)

    Зачем тогда нужен параметр silent?
    Сценарии работы с конкретной машиной разные: кто-то заходит по ssh, кто-то по rdp.
    На сколько я понимаю, для Crypto-Pro RSA CSP нет поддержки sha 256 ?


    Offline

    Александр Лавник

     

    Оставлено
    :

    28 мая 2021 г. 14:28:06(UTC)

    Автор: polkiloo Перейти к цитате

    Зачем тогда нужен параметр silent?
    Сценарии работы с конкретной машиной разные: кто-то заходит по ssh, кто-то по rdp.
    На сколько я понимаю, для Crypto-Pro RSA CSP нет поддержки sha 256 ?

    Здравствуйте.

    Если у Вас нет аппаратного датчика случайных чисел или гаммы для генерации ключа, то флаг -silent тут явно лишний.

    Да, для Crypto-Pro RSA CSP нет поддержки sha 256.

    Руководство по настройке

    После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

    lsusb

    Криптопро квз

    В нашем случае это Bus 004 Device 003: ID 24dc:0101

    Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software.opensuse.org).

    Запускается командой:

    pcsc_scan

    Криптопро квз

    Пока не установлены все необходимые пакеты, информация о токене не отобразится.

    Установка драйверов и ПО для работы с JaCarta PKI

    На странице Поддержки сайта «Аладдин Р.Д.» загружаем Документацию и программное обеспечение для работы только с JaCarta PKI

    Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

    Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

    • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
    • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

    Выполняем проверку наличия этих пакетов и установку:

    zypper search pcsc-lite

    Криптопро квз

    zypper search libusb

    Криптопро квз

    zypper install pcsc-lite

    Криптопро квз

    Криптопро квз

    zypper search CCID

    Криптопро квз

    zypper install pcsc-ccid

    Криптопро квз

    zypper search CCID

    Криптопро квз

    zypper install libusb

    Криптопро квз

    В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

    Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

    zypper install idprotectclientlib-637.03-0.x86_64.rpm

    Криптопро квз

    zypper install idprotectclient-637.03-0.x86_64.rpm

    Криптопро квз

    Проверяем, что драйверы и ПО для JaCarta PKI установились:

    zypper search idprotectclient

    Криптопро квз

    При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

    zypper search openct

    Криптопро квз

    Поэтому пакет openct удаляем:

    rpm -e openct

    Теперь все необходимые драйверы и ПО для работы с токеном установлены.

    Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

    pcsc_scan

    Криптопро квз

    Установка пакетов КриптоПро CSP

    При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

    zypper search cprocsp

    Криптопро квз

    Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

    zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

    Криптопро квз

    Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

    zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
    Loading repository data...
    Reading installed packages...
    Resolving package dependencies...
    
    Problem: nothing provides cprocsp-rdr-pcsc-64 >= 4.0 needed by cprocsp-rdr-emv-64-4.0.9944-5.x86_64
     Solution 1: do not install cprocsp-rdr-emv-64-4.0.9944-5.x86_64
     Solution 2: break cprocsp-rdr-emv-64-4.0.9944-5.x86_64 by ignoring some of its dependencies
    
    Choose from above solutions by number or cancel [1/2/c] (c): c
    

    Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

    zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

    Криптопро квз

    zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

    Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

    zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

    Криптопро квз

    zypper install cprocsp-rdr-novacard-64-4.0.9944-5.x86_64.rpm
    zypper install cprocsp-rdr-mskey-64-4.0.9944-5.x86_64.rpm
    zypper install cprocsp-rdr-gui-gtk-64-4.0.9944-5.x86_64.rpm
    

    Криптопро квз

    Проверяем итоговую конфигурацию КриптоПро CSP:

    zypper search cprocsp
    Loading repository data...
    Reading installed packages...
    

    S | Name | Summary | Type
    ---+-----------------------------+----------------------------------------------------+--------
    i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
    i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
    i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
    i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
    i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
    i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
    i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
    i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
    i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
    i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
    i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
    i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
    i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

    Криптопро квз

    Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

    /etc/init.d/cprocsp restart
    /etc/init.d/cprocsp status
    

    Криптопро квз

    Настройка и диагностика КриптоПро CSP

    Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

    /opt/cprocsp/bin/amd64/csptest -card -enum -v –v

    Криптопро квз

    /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

    Криптопро квз

    /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

    Криптопро квз

    Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

    Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

    /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add "Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"

    Криптопро квз

    В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
    в раздел [KeyDevices\PCSC] будет добавлена запись:

    [KeyDevices\PCSC\"Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"\Default]

    Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

    Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

    Необходимо включить режим усиленного контроля использования ключей:

    /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1

    Проверяем, что режим включен:

    cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

    Криптопро квз

    Выполняем перезапуск службы криптографического провайдера:

    /etc/init.d/cprocsp restart
    /etc/init.d/cprocsp status
    

    После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

    /opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

    Криптопро квз

    /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

    CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:REA
    AcquireContext: OK. HCRYPTPROV: 16052291
    alfa_shark1                        |SCARD\JACARTA_4E3900154029304C\CC00\E9F6
    OK.
    Total: SYS: 0.000 sec USR: 0.000 sec UTC: 4.560 sec
    [ErrorCode: 0x00000000]
    

    Работа с токеном JaCarta PKI

    Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

    Криптопро квз

    После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

    Athena-IDProtectClient.desktop
    Athena-IDProtectManager.desktop

    Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

    Запустим утилиту IDProtectPINTool.

    С помощью нее задаются и меняются PIN-коды доступа к токену.

    /usr/bin/IDProtectPINTool

    Криптопро квз

    При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

    Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

    /usr/bin/IDProtect_Manager

    Криптопро квз

    Для доступа к контейнеру с ключами нужно ввести пароль:

    Криптопро квз

    Криптопро квз

    Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

    /usr/bin/SACMonitor
    /usr/bin/SACTools
    

    Криптопро квз

    Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

    /jdk1.8.0_181/jre/bin/java ru.CryptoPro.JCP.ControlPane.MainControlPane

    Криптопро квз

    Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

    /opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark1' -info

    Для диагностики контейнера используется эта же команда с ключом –check

    /opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark' –check

    Потребуется ввести пароль от контейнера:

    Криптопро квз

    Криптопро квз

    Программное извлечение ключей

    В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

    import ru.CryptoPro.JCP.KeyStore.JCPPrivateKeyEntry;
    import ru.CryptoPro.JCP.params.JCPProtectionParameter;
    
    
     KeyStore keyStore = KeyStore.getInstance("Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00", "JCSP");
                keyStore.load(null, null);
    
            JCPPrivateKeyEntry entry = null;
            X509Certificate certificate = null;
            PrivateKey privateKey = null;
    
            try {
             
                entry = (JCPPrivateKeyEntry) keyStore.getEntry(keyAlias,
                        new JCPProtectionParameter(pwd));
                
                certificate = (X509Certificate) entry.getCertificate();
                privateKey = entry.getPrivateKey();
             
            } catch (UnrecoverableEntryException | NullPointerException e) {
                LOGGER.log(Level.WARNING, PRIVATE_KEY_NOT_FOUND + keyAlias + ExceptionUtils.getFullStackTrace(e));
            }
    

    Если действовать так:

    Key key = keyStore.getKey(keyAlias, pwd);
    

    то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

    Результаты

    Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

    Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

    Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

    Полезные ссылки

    1. Документация Aladdin-RD JaCarta
    2. wiki.astralinux.ru — Работа с КриптоПро CSP
    3. Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
    4. СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
    5. Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
    6. КриптоПро CSP для Linux. Настройка.
    7. Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию

    Удаленная работа с токенами и смарт-картами

    Если устройство Рутокен подключено к вашему рабочему компьютеру, а для удаленного доступа к нему вы используете логин и пароль, то есть риск перехвата ваших учетных данных и PIN-кода Рутокена.

    Это может стать причиной несанкционированного использования вашей электронной подписи. Если токен подключен к удаленной машине, то возможность отключить его физически от компьютера отсутствует.

    Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.

    Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а подключение производится через “Удаленный рабочий стол” (Remote Desktop Protocol, RDP).

    Если же устройство Рутокен всё-таки нужно использовать удаленно, то для организации этого процесса существует несколько программ:

    Специальная сборка КриптоПро CSP 4.0.9973

    По RDP-подключению будет возможно работать с контейнерами “КриптоПро CSP”, хранящимися на Рутокенах, которые подключены к удаленной машине.

    Так как полноценная работа со смарт-картами по протоколу RDP невозможна, в “Панели управления Рутокен” сертификаты не отобразятся. Можно не обращать на это внимания.

    TeamViewerОдна из самых популярных программ для удаленного доступа, ее можно быстро загрузить и установить или сразу запустить, без установки, с этим сможет справиться даже не очень опытный пользователь. При запуске программы на экране отображается окно с ID и паролем для доступа к данному компьютеру. Также TeamViewer позволяет подключится к другому компьютеру после указания его ID и пароля. 
    RAdminПрограмма предназначена больше для системного администрирования, основной акцент сделан на безопасности. Программа состоит из двух компонентов: сервера и клиента. Требует установки, не опытному пользователю будет не просто с ней разобраться. Программа предназначена в основном для работы по IP адресу, что бывает не всегда удобно. Программа платная, но обладает бесплатным тестовым периодом.
    LiteManager

    Простая, но мощная по возможностям программа, состоит из двух частей. Первая – это Server который нужно установить или запустить на удаленном компьютере и Viewer, который позволяет управлять другим компьютером. Для работы программа требует больше навыков и опыта от пользователя. Сервер можно один раз установить и больше никаких действий от пользователя не нужно, ID будет всегда постоянный, его даже можно задать самому вручную, что очень удобно для запоминания. Версия LiteManager Free является бесплатной для личного и коммерческого использования.

    Ammyy Admin Программа в основном аналогична TeamViewer, но более простая. Присутствуют только основные режимы работы: просмотр и управление, передача файлов, чат. Программа может работать без установки.
    NoMachineБесплатный удаленный рабочий стол на русском языке, доступный для Windows, macOS, Linux (в том числе и на ARM), iPhone/iPad и Android.

    Рутокен и Удаленный рабочий стол (RDP)

    Возможно, эта информация будет интересна

    Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.

    Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а в программе терминального клиента (протокол RDP) настроен проброс смарт-карт.

    Если же устройство Рутокен все-таки нужно использовать удаленно, в этой статье мы описали способы, как это сделать.

    Если токен или смарт-карта подключены к локальному компьютеру, а в программе на локальном компьютере настроен проброс смарт-карт, токен будет работать.

    Криптопро квз

    Если токен или смарт-карта подключены к удаленному компьютеру и к нему пытаются обратиться удаленно, то такая схема не будет работать.

    Криптопро квз

    Убедитесь, что в программе удаленного рабочего стола включен проброс смарт-карт

    Криптопро квз
    Криптопро квз
    Криптопро квз

    При одновременном подключении пользователей по протоколу RDP, к удаленному компьютеру каждый пользователь работает только со своим Рутокеном и видит только свои ключи и сертификаты в Панели управлении Рутокен.

    Криптопро квз

    В рамках тестирования было проброшено 11 токенов с 11 разных компьютеров – в Панели управления Рутокен работа всех устройств одновременно была корректна.

    Установка драйверов Рутокен через RDP возможна на операционных системах, начиная с Windows Vista.

    На более ранних операционных системах будет выдаваться сообщение, что установка запущена через удаленное подключение, и драйверы Рутокен устанавливаться не будут.

    Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:

    “Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт” переведите в состояние “Отключить”

    При подключении к Citrix работа со смарт-картами и токенами, подключенными к удаленной машине, как и по протоколу RDP, невозможна.

    Читайте также:  Список аккредитованных удостоверяющих центров в Камышине.
    Оцените статью
    ЭЦП Эксперт
    Добавить комментарий