Pkcs 12: аналог криптопро бесплатно

На чтение 21 мин. Просмотров 412 Опубликовано
Содержание
  1. Что делать если перестало работать
  2. Что нужно для работы с кэп под macos:
  3. Выясняем название контейнера КЭП
  4. Выясняем хэш сертификата КЭП
  5. Подпись файла командой из terminal
  6. Смена PIN командой из terminal
  7. 1. Удаляем все старые ГОСТовские сертификаты
  8. 2. Устанавливаем корневые сертификаты
  9. 3. Скачиваем сертификаты удостоверяющего центра
  10. 4. Устанавливаем сертификат с Рутокен
  11. 4. Активируем расширения
  12. 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  13. 1. Заходим на тестовую страницу КриптоПро
  14. 3. Заходим на Госуслуги
  15. Pkcs 12: аналог криптопро бесплатно
  16. Rosa crypto tool
  17. Trusted esign
  18. Где купить криптопро
  19. Главные функции криптопро
  20. Как подписать документ эцп с помощью криптопро 5
  21. Как работает криптопро: функции программы
  22. Кому нужна программа криптопро
  23. Настройка «криптопро» csp
  24. Настройка работы с рутокен эцп 2.0
  25. Подпись средствами «криптопро csp»
  26. Подпись файлов в macos
  27. Получаем тестовый сертификат
  28. Преимущества компании криптопро
  29. Резюме
  30. Смена pin-кода контейнера

Что делать если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

Что нужно для работы с кэп под macos:

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

.Aktiv Rutoken liteXXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг

5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Pkcs 12: аналог криптопро бесплатно

В главе Часто задаваемые вопросы вы найдете информацию по следующим темам:

Регистрация программы «КриптоАРМ»

Ошибка при регистрации программного продукта (версии 2.5.1 и 3.1)! При вводе регистрационного ключа появляется сообщение: «Неверный лицензионный ключ».
В соответствии с лицензионным соглашением в течение 30 дней с момента установки ПО «КриптоАРМ» работа может осуществляться без наличия лицензии на программу.
Для дальнейшего использования программы ее необходимо зарегистрировать у поставщика или разработчика данного ПО.

При получении лицензионного ключа введите регистрационные данные в окне «Регистрация» (КриптоАРМ –> О программе –> Регистрация)
! Будьте внимательны при заполнении регистрационных данных ключа: вводите только ту информацию, которая была указана при получении лицензии (например, название организации, число лицензий и лицензионный ключ). При вводе дополнительных данных в форму регистрации лицензионный ключ окажется недействительным

Установили КриптоПроCSP 3.0 и КриптоАРМ, но без лицензионного ключа. Сейчас периодически появляется сообщение, что осталось 30…25…20 дней на пользование программой. Приобрели лицензию: требуется ли заново устанавливать программу для ее введения
Повторная установка программ не требуется. Вам следует зарегистрировать оба ключа:
Для ПО «КриптоПро CSP»: Панель Управления — КриптоПро CSP – Общее — Ввод лицензии
Для ПО «КриптоАРМ Стандарт»: КриптоАРМ – Помощь — О программе — Установить лицензию

Потребовалось заменить компьютер, на котором была установлена программа «КриптоАРМ». Поставили ограничение 30 дней. Работает нормально, но напоминает о сроке истечения временной лицензии. Можно ли сделать ее постоянной? Лицензия на 1 рабочее место куплена.
Если вы удалили программу с компьютера, на котором она стояла, введите имеющуюся лицензию заново на новом рабочем месте.

Приобретение программы «КриптоАРМ»

Требуется ли дополнительно покупать КриптоПро TSP Client или КриптоПро OCSP Client, для того чтобы работал модули TSP и OCSP?
При приобретении модулей TSP и OCSP покупателю будет предоставляться лицензия как на этот модуль, так и на КриптоПро TSP Client. Дополнительной оплаты не требуется.

Использование программы «КриптоАРМ»

Каков порядок действий при выходе из строя дискет, содержащих сертификат подписи или шифрования и ключевую пару сотрудников?
Такие дискеты, как правило, восстановлению не подлежат (нет никакой гарантии, что при попытке восстановления не будет сбить хотя бы один бит информации). Если дубля дискеты (точнее, контейнера с ключами) не имеется, единственное решение — формировать новую ключевую пару и получать новый сертификат.

В последующем необходимо (и всегда рекомендуется!) иметь резервную копию ключевого носителя, что позволяет делать программа «КриптоАРМ», создавая резервную копию контейнера, и хранить копию в каком-либо надежном месте.

Почему размер зашифрованного файла увеличивается почти в два раза?
Размер зашифрованного файла зависит от того, какой вариант шифрования вы выбираете. Если выбираете шифрование в p7s, то выходной файл будет в der-кодировке.
Если выбираете вариант pem, то он будет в кодировке Base 64, что естественно приводит к увеличению размера на 33%.
Если же вы подписываете и шифруете одновременно и в обоих случаях используете Base 64 кодировку, то выходной файл будет больше аналогичного бинарного в 1,33 * 1,33 = 1,77 раза.

Что такое mmc-оснастка (mmc-консоль) управления сертификатами и как ее запустить?
mmc-оснастка — это стандартный для Windows 2000 (и выше) механизм просмотра и управления компонентами системы. Для управления сертификатами необходимо:

  1. Запустить приложение mmc.exe: Пуск -> Выполнить -> mmc -> OK;
  2. Добавить оснастку: Главное меню -> Консоль -> Добавить или удалить оснастку… -> Добавить -> Сертификаты -> Добавить -> Выбрать «для моей учетной записи пользователя» -> Готово -> Закрыть -> OK;
  3. Развернуть в левой части узел «Сертификаты — текущий пользователь» и выбрать необходимый подузел с хранилищем.

On-line отправка запроса у Microsoft CA в одноранговой локальной сети

Для успешной отправки запроса в Microsoft CA в случае одноранговой сети необходимо, чтобы на сервере УЦ был зарегистрирован пользователь с такими же логином и паролем, как у пользователя, отправляющего запрос.

Возникающие ошибки в программе «КриптоАРМ»

В запросе на сертификат, создаваемом с использованием КриптоАРМ 2.5.0 (Build 2.5.0.90), порядок атрибутов DistinguishedName не совпадает с принятым в удостоверяющем центре «КриптоПро УЦ», соответственно запрос отклоняется.
Да, такая ошибка в версии 2.5.х присутствует. Она исправлена в «КриптоАРМ «Стандарт» версий 3.1 и выше.

Ошибка при получении дескриптора криптопровайдера, управляющего контейнером сертификата. В связи с этим использование выбранного сертификата невозможно.
Для корректной подписи и расшифрования в ПО «КриптоАРМ» личный сертификат должен иметь привязку к ключевому контейнеру (ключевой паре). Ее наличие можно проверить путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: Контекстное меню КриптоАРМ Агента -> Хранилища сертификатов -> Личное хранилище сертификатов -> Выбор сертификата -> Просмотреть.
Если привязка существует, то на закладке «Общие» («General») последней строкой (после срока действия сертификата) будет надпись «Есть закрытый ключ, соответствующий этому сертификату.» («You have a private key that corresponds to this certificate.»).

Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:

  1. Сохраните сертификат (например, в der-формате) в файл и удалите из личного хранилища;
  2. Откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления -> КриптоПро CSP -> Закладка «Сервис»;
  3. Нажмите на кнопку «Просмотреть сертификаты в контейнере», затем «Обзор», выберите контейнер и нажмите «ОК», должно заполниться поле с именем контейнера;
  4. Нажмите «Далее», при необходимости введите пароль (пин-код), откроется форма «Сертификаты в контейнере секретного ключа»;
  5. Нажмите на кнопку «Свойства», откроется стандартная форма просмотра сертификата;
  6. При необходимости сравните данный сертификат с сертификатом, сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и выберите другой контейнер;
  7. Нажмите на кнопку «Установить сертификат», затем «Далее», выберите «Автоматически выбирать хранилище на основе типа сертификата», снова «Далее» и «Готово».

См. также http://www.ecpexpert.ru/CryptoPro/forum/myforum.asp?q=396

и http://www.ecpexpert.ru/CryptoPro/forum/myforum.asp?q=1385.

При проверке подписи файла на рабочем столе под Windows XP с КриптоПро CSP 2.0 (2089) появляется ошибка «Произошла ошибка при загрузке подписанных данных. Указан неправильный алгоритм. (0x80090008)». При подписи файла в окне выбора сертификатов подписи все ГОСТовые сертификаты красные (ошибка «Произошла ошибка при построении пути сертификации»), а при их просмотре выдается «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен».

Данная ошибка проявляется в КриптоПро CSP 2.0 (в сборке 2089 включительно) при работе на Windows XP и связана с поздней загрузкой CSP. Для ее решения сохраните следующие строки в файл с расширением .reg и запустите его на исполнение или измените настройки в реестре вручную:
Код:
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicescprmcsp]
«Group»=»COM Infrastructure»
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicescpinit]
«Group»=»COM Infrastructure»

Программа «КриптоАРМ» сообщает, что «произошла ошибка при получении последней версии списка отзыва сертификатов (СОС) из Удостоверяющего центра»
Для использования возможности получения СОС из УЦ необходимо соблюдение следующих условий:

  1. В проверяемом сертификате должно присутствовать расширение «Точка распространения СОС / CRL Distribution Point (CDP)».

При этом если значений (URL’ов) в расширении несколько, то КриптоАРМ попытается скачать СОС по всем адресам до первого успешного скачивания. Правда, поддерживаются не все, но часто используемые протоколы, такие как «ftp», «http» и «file»

  1. По одной (оптимально, если по первой) из точек распространения СОС можно скачать СОС браузером, например, IE. При этом не вводя никакой дополнительной информации (имени пользователя, пароля, перехода по ссылкам)!

Протестировать можно следующим образом:
— закрыть все окна IE (т.к.

они могут хранить параметры доступа к серверу);
— запустить IE и вставить в поле адреса URL из точки распространения СОС (например, для сертификата тестового КриптоПро УЦ

(http://www.ecpexpert.ru/CertEnroll/Test Center CRYPTO-PRO.crl);
— нажать Enter, после чего IE должен сразу предложить сохранить скачанный файл СОС;
— сохранить СОС в файл и открыть его проводником Windows (должна без ошибок открыться форма просмотра СОС).

  1. Должна быть зарегистрирована библиотека CPCRLUpdate.dll, которая находится в каталоге установки КриптоАРМ. При правильной установке КриптоАРМ она регистрируется автоматически, но вы можете ее зарегистрировать дополнительно, например:

regsvr32 «D:Program FilesDigtTrustedDesktopcpcrlupdate.dll»
Последнюю версию библиотеки можно получить на сервере КриптоПро по адресу:
ftp://ecpexpert.ru/pub/CRLUpdate/cpcrlupdate.zip

Возможные ошибки обновления СОС:
1) 0x800401E4 (Синтаксическая ошибка / Invalid syntax) — может возникать в случае использования библиотеки CPCRLUpdate.dll версии 1.0.0.1, попробуйте ее обновить.
1) 0x800C0005 — ошибка скачивания СОС по сети, например, файл не найден или нет доступа.
2) 0x80092004 (Cannot find object or property.):
2.1) не найден издатель проверяемого сертификата;
2.2) файл СОС не соответствует проверяемому сертификату.
3) 0x80092007 (The specified certificate is self signed.) — проверяемый сертификат — самоподписанный. Нет смысла проверять самоподписанный сертификат по СОС, т.к. СОС подписывается тем же самым самоподписанным сертификатом.

КриптоАРМ не возвращает код ошибки. Чтобы его получить, надо выполнить следующие действия:

  1. Создать папку, в нее сохранить проверяемый сертификат в Base64 формате с именем cert.cer;
  2. Сохранить следующий код скрипта в файл с расширением .vbs:

Код:
Option Explicit

Dim fso, file
Set fso = CreateObject( «Scripting.FileSystemObject» )
Set file = fso.OpenTextFile( «cert.cer», 1, False, 0 )

Dim oCertBase64
oCertBase64 = file.ReadAll()
file.Close()

oCertBase64 = Right(oCertBase64, Len(oCertBase64) — 27)
oCertBase64 = Left(oCertBase64, Len(oCertBase64) — 27)
‘MsgBox CStr(oCertBase64)

Dim oCrlUpdate
Set oCrlUpdate = CreateObject(«CPCRLUPDATE.CRLUpdate»)
oCrlUpdate.StoreLocation = 0
oCrlUpdate.UpdateInterval = 10

Dim bResult
bResult = oCrlUpdate.Update_BASE64(oCertBase64)
MsgBox bResult

  1. Запустить файл скрипта из п.2.
  2. В результате должно появиться сообщение «True» в случае успешного обновления СОС, либо сообщение с кодом ошибки.

Примечание: Если в проверяемом сертификате отсутствует CDP, то метод проверки возвращает «True».

Вопросы сотрудничества

Программа «КриптоАРМ» — для использования учебными заведениями.

Что требуется указать в гарантийном письме, для того чтобы использовать программу?
Если вы предполагаете использовать программу «КриптоАРМ Старт», то она действительно бесплатна и вы можете использовать ее без предоставления каких-либо гарантийных писем. Речь по гарантийному письму может идти тогда, когда вы решите использовать версию «КриптоАРМ Стандарт» для работы с сертифицированными криптопровайдерами. (Версия «Старт» поддерживает работу только со стандартными Windows криптопровайдерами).

Rosa crypto tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2021 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать;— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:abf.io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted esign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

Где купить криптопро

Приобрести продукцию и актуальную лицензию КриптоПро можно в «Астрал-М». «Астрал-М» является официальным дилером продукции торговой марки КриптоПро. Этот статус даёт право на распространение, внедрение и сопровождение программ КриптоПро с круглосуточной поддержкой пользователей 24/7. Достаточно заполнить на сайте, вписав своё имя, телефон и адрес электронной почты.

Главные функции криптопро

  1. Защита информации. Для сохранности ЭЦП её надо правильно зашифровать. С последней задачей корректно справляется указанный софт. Последний релиз добавил множество полезных функций относительно степени защиты информации. Такие вещи, как хеширование и имитозащита, существовали и в старых версиях. Тестирования, проведённые независимыми экспертами, показывают хороший результат.
  2. Создание ключей шифрования. Допускается использование разных типов носителей.
  3. Формирование ПИН-кода. Эта функция используется, чтобы усложнить работу злоумышленнику и обеспечить пользователя дополнительной защитой.
  4. Защита информации от случайных или преднамеренных потерь. Последние версии КриптоПро показали надёжность софта.
  5. Защита от вредоносного кода, а также целенаправленного взлома.

Как подписать документ эцп с помощью криптопро 5

Для того чтобы подписать электронный документ, нужны установленные на компьютер СКЗИ Криптопро версии 5.0 и действующий сертификат электронной подписи.

Шаг 1. Найдите в списке установленных программ приложение «Инструменты КриптоПро». Для этого в строке поиска (1) введите название приложения (2) и выберите нужное из выпавшего списка (3).

Шаг 2.В главном окне нажмите на кнопку «Показать расширенные».

Шаг 3. Откроется список дополнительных разделов. В нём выберите «Создание подписи» (1). Справа откроется список сертификатов, в котором нужно выбрать вашу подпись (2). Затем нажмите на кнопку «Выбрать файл для подписи» (3).

Шаг 4. В открывшемся окне проводника выберите файл, который нужно подписать электронной подписью.

Шаг 5. В строке адреса отразится путь к выбранному файлу. Убедитесь, что выбрали правильный сертификат и файл для подписи, и нажмите на кнопку «Подписать».

Шаг 6. Если не возникло ошибок, внизу окна появится надпись «Создание подписи завершилось успехом».

Шаг 7. В папке, где хранится файл для подписи, появится зашифрованный файл с таким же названием, но с расшсайтирением *.P7S.

Как работает криптопро: функции программы

Первым делом пользователь устанавливает КриптоПро на компьютер, чтобы пользоваться подписью. Программа обращается к сертификату на ПК, флешке, токенах или других носителях, потом завершает работу установкой подписи на документе.
Электронная подпись не может корректно функционировать в условиях отсутствия закрытого ключа.

Кому нужна программа криптопро

Используют КриптоПро все, кому нужен криптографический сертификат для установки электронного реквизита в документ. Не обойтись без этой программы работникам на государственных площадках.

Законодатель определил требования для каждого участника производственного процесса на таких площадках. Обязательно нужен усиленный квалифицированный вариант. Для этого ставят КриптоПро даже в том случае, если предполагается работа всего с одного компьютера. Последние нововведения делают программу нужной в том числе тем, кто использует онлайн-кассы.

Сферы работы с электронным сертификатом со временем будут только увеличиваться.

Настройка «криптопро» csp

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например,

или

), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Настройка работы с рутокен эцп 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0: 

apt-get install libpcsclite1 pcscd libccid

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb

Подпись средствами «криптопро csp»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

  • Отсутствие хорошей документации;
  • Отсутствие графического интерфейса.

Подписать можно с помощью команды:

csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256


Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду: 

csptestf –sfsign

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Получаем тестовый сертификат


Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Преимущества компании криптопро

Общество с ограниченной ответственностью «КриптоПро» существует с 2000 года. Основная деятельность ООО — разработка средств криптографической защиты информации (СКЗИ) и электронной цифровой подписи.

Среди главных преимуществ КриптоПро выделяют:

  1. Опыт работы компании в информационной безопасности. Программа широко распространена — бизнес обычно ставит КриптоПро в качестве стандартного софта для работы с ЭЦП.
  2. Совместимость КриптоПро с альтернативным софтом. Прочитать сертификат можно даже в том случае, если для его установки использовалось другое ПО. Компания предлагает версию КриптоПро для операционных систем Mac, Linux и Windows. Для корректного использования не нужны эмуляторы или другие дополнительные способы запуска софта.
  3. Консультации. Если пользователь ЭЦП не знает, как обращаться с софтом, можно проконсультироваться с техподдержкой криптопровайдера.

Работа системы КриптоПро высоко оценена экспертами, поэтому разработчикам криптопровайдера было вручено множество наград и сертификатов. Количество достижений расширяется. Заинтересованные пользователи могут посмотреть дополнительную информацию у производителя криптографического софта.

Резюме

Подведем итог. В конце 2021 – начале 2021 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Читайте также:  Как установить корневой сертификат криптопро: инструкция
Rosa Crypto Tool Trusted eSign криптопро рутокен эцп
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт