- Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования
- Dns attacks are up 34%, according to idc’s annual threat report. here’s what to know about the growing need for domain safety.
- Dnssec
- Epm 11.1.2.4 configuration – deploy to application server failed
- The demand for registry locks is rising
- What is a domain or registry lock?
- Why registry locks are controversial
- Как настроить утилиты по работе с электронной подписью в linux
- Как установить крипто про и расширения для языка php
- Как установить криптопро на windows 10
- Крипто-про на linux centos 6
- Криптопро: linux — установка
- Криптопро: mac os — установка
- Настройка криптопровайдера[править]
- Настройка оборудования[править]
- Настройка работы с рутокен эцп 2.0
- Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0
- Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0
- Проверка лицензии[править]
- Проверяем лицензию
- Прописывание путей к исполняемым файлам[править]
- Просмотр списка настроенных считывателей:
- Работа с сертификатами в token-manager[править]
- Собираем libphpcades
- Создание контейнера[править]
- Удаление криптопро[править]
- Управление считывателями[править]
- Установка криптопро csp[править]
- Установка криптопро на windows, linux и mac os
- Установка не отличается сложностью
- Установка пакетов[править]
- Установка[править]
- Вставляем ключ etoken и проверяем вывод list_pcsc:
- Final thoughts
- C (cpp) netdata_mutex_init примеры использования – hotexamples
Cryptopro jcp на linux. как легко и безболезненно перейти на новый стандарт шифрования
С 2020 года использование шифрования по ГОСТ Р 34.10—2001 окажется под запретом, а значит, все организации, которые взаимодействуют с госструктурами, вынуждены срочно внедрять следующий стандарт — 2021 года. Если ты работаешь в одной из них, то не проходи мимо: в этой статье мы поговорим о том, как решить проблему, используя сервер на CentOS 7 и пакет CryptoPro JCP.
Если же ты впервые слышишь обо всем этом, то вот небольшая историческая справка.
В 1994 году в ФСБ разработали ряд стандартов и мер, призванных защитить обмен документами между организациями и другими участниками этого процесса. Одной из таких мер безопасности стала электронная цифровая подпись документов, а одним из стандартов — ГОСТ Р 34.
На смену пришел всем известный ГОСТ Р 34.10—2001 — улучшенный стандарт, разработанный для обеспечения большей стойкости алгоритма. Но время не стоит на месте, меняются алгоритмы и методы криптозащиты, и спустя одиннадцать лет ГОСТ Р 34.10—2001 меняют на ГОСТ Р 34.10—2021.
В новом стандарте первый вариант требований к параметрам остался прежним. Длина секретного ключа составляет порядка 256 бит, и предусмотрено использование хеш-функции с длиной хеш-кода 256 или 512 бит. Главное же отличие нового стандарта — варианты с дополнительными параметрами и схемами, в том числе хешированием по стандарту ГОСТ Р 34.11—2021 «Стрибог».
В феврале 2021 года ФСБ объявила о начале перехода на использование нового национального стандарта ГОСТ Р 34.10—2021 в средствах электронной подписи для информации, не содержащей сведений, составляющих государственную тайну. В свет вышел документ за номером 149/7/1/3-58 от 31 января 2021 года «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», он устанавливал следующие требования.
- После 31 декабря 2021 года прекратить сертификацию средств электронной подписи на соответствие требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27.12.2021 года №796, если в этих средствах не предусматривается реализация функций в соответствии с ГОСТ Р 34.10—2021.
- После 31 декабря 2021 года запретить использование ГОСТ Р 34.10—2001 для формирования электронной подписи.
Министерство связи даже создало план по переходу на стандарт (PDF). Однако на практике оказалось, что все не так просто, и переход пришлось отложить аж до 31 декабря 2021 года. Причины следующие.
- Многие государственные и муниципальные органы не готовы перейти на использование нового стандарта электронной подписи ГОСТ-2021 из-за отсутствия поддержки на уровне ПО.
- Чтобы выпускать сертификаты нового образца, необходимо оборудование, которое поддерживает новый ГОСТ, и сертификат Головного удостоверяющего центра, сформированный с использованием ГОСТ-2021. Удостоверяющие центры получили его только летом 2021 года. Необходимо дополнительное время, чтобы выпустить сертификаты для всех пользователей.
Сейчас в ходу два стандарта криптозащиты для работы ЭЦП, но тем, кто использует ГОСТ-2001, срочно нужно что-то предпринимать. Зима, как говорится, близко, а это значит, что нас ждет череда испытаний при внедрении поддержки ГОСТ-2021.
Я расскажу, как развернуть сертифицированное ФСБ средство СКЗИ (CryptoPro JCP) на сервере Linux под управлением Java JDK. Кстати, если ты до сих пор используешь ГОСТ-2001, на сайте CryptoPro есть замечательная статья, советую тебе ее прочесть, лишним не будет.
Весь документооборот между участниками обмена происходит по принципу СМЭВ (система межведомственного электронного взаимодействия). Приложение может быть участником такой системы, но может и не быть им вовсе, принцип обмена документами от этого не меняется. Для простоты понимания я нарисовал небольшую схему.
Взаимодействие приложений при обмене данными с криптографической защитой в рамках СМЭВ
Dns attacks are up 34%, according to idc’s annual threat report. here’s what to know about the growing need for domain safety.
In 2021, several leading security organizations, including corporations like Akamai, Cisco, FireEye, and Talos, joined forces to inform the public and private organizations of the growing threat of domain name systems (DNS) or DNS hijacking.
The targets of the most recent attacks were corporate, telecommunication, government, and other infrastructure entities — the main aim seemed to be a direct effort to redirect emails and website traffic to collect sensitive information. These attacks made headlines, but experts believe we are only seeing the tip of the iceberg concerning the number and breadth of these attacks.
But why are DNS hackings such an issue? And what can you do to protect your organization’s domain registry?
Let’s hash it out.
Dnssec
Shortly after pointing e-hawk.net’s DNS settings to a server they controlled, the attackers were able to obtain at least one encryption certificate for the domain, which could have allowed them to intercept and read encrypted Web and email communications tied to e-hawk.net.
But that effort failed because E-HAWK’s owners also had enabled DNSSEC for their domains (a.k.a. “DNS Security Extensions”), which protects applications from using forged or manipulated DNS data by requiring that all DNS queries for a given domain or set of domains be digitally signed.
Epm 11.1.2.4 configuration – deploy to application server failed
Hi All,
Trying to install an configure EPM 11.1.2.4, shared services only.
Install was ok but the configuration fails with “deploy to application server failed” messages.
I had a look at the log files found here “<EPM_path>Middlewareuser_projectsepmsystem1diagnosticslogsconfig” and the errors I found were:
Unable to reset lock on EPM Registry. Root cause: Closed Connection
( Mar 04, 2021 11.16.39 PM ): Pass [000 min 11 sec] [INI] Init Tool
( Mar 04, 2021 11.16.39 PM ): Pass [000 min 58 sec] [GUI] GUI Wizard
( Mar 04, 2021 11.22.52 PM ): Fail [006 min 02 sec] [APP] Hyperion Foundation – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Performance Management Architect – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Calculation Manager – Deploy to Application Server
( Mar 04, 2021 11.22.52 PM ): Fail [000 min 00 sec] [APP] Workspace – Deploy to Application Server
[2021-03-04T23:22:52.582 00:00] [EPMCFG] [ERROR] [EPMCFG-01020] [oracle.EPMCFG] [tid: 22] [ecid: 0000LD3umvjFw0WFLzjO8A1MqXSZ000005,0] [SRC_CLASS: com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper] Error: [[
java.lang.reflect.InvocationTargetException
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at com.hyperion.hit.tool.deploy.ant.wrappers.ScriptTaskWrapper.execute(ScriptTaskWrapper.java:72)
at org.apache.tools.ant.UnknownElement.execute(UnknownElement.java:288)
at sun.reflect.GeneratedMethodAccessor30.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.tools.ant.dispatch.DispatchUtils.execute(DispatchUtils.java:106)
at org.apache.tools.ant.Task.perform(Task.java:348)
at org.apache.tools.ant.Target.execute(Target.java:357)
at org.apache.tools.ant.Target.performTasks(Target.java:385)
at org.apache.tools.ant.Project.executeSortedTargets(Project.java:1337)
at org.apache.tools.ant.Project.executeTarget(Project.java:1306)
at com.hyperion.hit.tool.deploy.ant.engine.ProjectRunner.execAtNumber(ProjectRunner.java:137)
at com.hyperion.cis.config.AntDeploymentApiAdapter.deploy(AntDeploymentApiAdapter.java:192)
at com.hyperion.cis.config.AppServerDeployer.deploy(AppServerDeployer.java:239)
at com.hyperion.config.wizard.impl.RunAllTasks.executeAppDeploymentTask(RunAllTasks.java:627)
at com.hyperion.config.wizard.impl.RunAllTasks.execute(RunAllTasks.java:312)
at com.hyperion.config.wizard.impl.RunnAllTasksState.run(RunnAllTasksState.java:92)
at java.lang.Thread.run(Thread.java:662)
Caused by: java.lang.UnsupportedOperationException: WLST was not initialized, check logs for details
at com.hyperion.hit.tool.deploy.wlst.ScriptWlstConsole.execInternal(ScriptWlstConsole.java:146)
at com.hyperion.hit.tool.deploy.wlst.WlstConsole.endBatch(WlstConsole.java:282)
at com.hyperion.hit.tool.deploy.wlst.WlstStaticHelper.finishBatch(WlstStaticHelper.java:82)
at com.hyperion.hit.tool.deploy.ant.model.Domain.initFileSystem(Domain.java:354)
at com.hyperion.hit.tool.deploy.ant.model.Domain.openDomain(Domain.java:264)
at com.hyperion.hit.tool.deploy.ant.wrappers.DomainWrapper.openDomain(DomainWrapper.java:21)
… 22 more
So I have this error ‘11.1.2.4 WLST was not initialized’ and web logic folder țD:OraEPMMiddlewareuser_projectsdomainsEPMSystemserversț has no log files.
Would really appreciate some help on this,
Daniela
The demand for registry locks is rising
The demand for registry locks is on the rise, especially amongst larger corporations and businesses. This forms part of a broader move toward enhanced cybersecurity for businesses, which are implementing a range of tools to protect their online platforms.
The last few years have seen the use of enhanced SSL certificates and encryption become standard practice for helping to secure websites. Registry locks are likely to be the next key technology that helps to secure your website, but specifically on the domain front.
As cybersecurity awareness grows, the online community is increasingly becoming aware of the value a safe and secure domain name brings. As such, unprotected names are being recognized as vulnerabilities. Domain names are, quite interestingly, also being pledged as collateral for business loans — and in these instances, the domain owners are doing everything in their power to keep the domain names safe.
What is a domain or registry lock?
Though some new and innovative communications-solutions, such as business texting, have come to the foreground when it comes to an organization’s online communication strategies, the domain name is still the essence of an organization or business’s online operations.
In short, the consequences of a domain hijacking and the cost to the registered owner of a domain can be massive and far-reaching. And these hijackers know how to avoid detection. That is why domain security consists of “locks,” a variety of software rules that prevents changes to a domain’s registration unless a set of predetermined criteria is met.
There are various types of domain locks, and they can be implemented in different ways. The two main types are those that focus on the client, and those that focus on the server level. The fundamental idea, however, is the same in all types of domain lock: these will stop unauthorized deletion or manipulation of a domain.
With a registry lock in place, nothing on a domain name’s registration can be changed without registry approval by the registrant.
Why registry locks are controversial
Despite being a much-needed part of any organization’s online security measures, registry locks are not very popular within the domain name industry. In fact, it is much easier to find your perfect domain name through a domain name generator, than it is to secure a registrar that can cater to all your security needs.
Как настроить утилиты по работе с электронной подписью в linux
Наши коллеги из компании «Актив» подготовили и разместили в своем блоге на Хабре интересный кейс по программным средствам для создания и проверки электронной подписи на операционных системах. Получился интересный обзор, полезный, на наш взгляд, не только программистам.
Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.
Такое положение вещей сохранялось последние несколько лет. Но с конца 2021 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign.
«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто.
Для настройки нам понадобится:
- Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
- Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
- Рутокен ЭЦП 2.0.
Как установить крипто про и расширения для языка php
И так, напоминаю, что мы с вами уже слегка знакомились с crypto pro, точнее с его последствиями, после установки, а именно решалась ошибка 80072EE2 при обновлении Windows, где приходилось его удалять и вычищать систему, сегодня задача обратная, установка, да не просто, а в терминале Centos 7.
Расширение предоставляет программный интерфейс, аналогичный КриптоПро ЭЦП Browser plug-in, для выполнения следующих криптографических операций:
- работа с сертификатами;
- создание и проверка подписи форматов CAdES BES, CAdES-T, CAdES-X Long Type 1;
- шифрование и расшифрование данных.
Как установить криптопро на windows 10
Чтобы установить средство криптографической защиты информации необходимо найти папку с ПО на компьютере либо установить диск в дисковод. Запустив Мастер Установки, необходимо следовать указаниям, выбрать вид инсталляции, место размещения и другие стандартные действия.
Можно выбрать язык установки, уровень защиты, настроить ПО для использования службы хранения ключей. Рекомендуется после установки перезагрузить компьютер для корректной работы программы.
Крипто-про на linux centos 6
spions on 16 октября 2021
КриптоПро — набор криптографических утилит и вспомогательных программ, в основном использующихся в программах российских разработчиков для генерации ЭЦП, работы с сертификатами и шифрования передаваемых данных.
До определенного момента софт использовался преимущественно на windows, но с некоторых пор стал популярен и на других платформах, в частности Linux, в связи с вводом государством различных законов, требующих оперативности обмена и простоты последнего в плане автоматизации.
Например, провайдерам необходимо оперативно реагировать на «Черные списки рунета», логично, что решение должно быть автономным и максимально удобным — с этим замечательно справляется Linux.
В моем случае CryptoPro будет работать в паре с eToken.
Криптопро: linux — установка
Чтобы установить ПО вам необходимо обладать правами администратора. СКЗИ устанавливается в определенной последовательности: вначале необходимо установить провайдер, а затем дополнительные модули. При помощи менеджера пакетов, который используется в ОС Linux нужное ПО можно устанавливать, удалять, обновлять и корректировать сборки. Пакет с КриптоПро должен устанавливаться в /opt/cprocsp в четкой последовательности.
Чтобы собрать модуль для нужной версии ядра, воспользуйтесь командой rpmbuild —rebuild —define «kernel_release `uname -r`» . Не забудьте при начале работы убедиться в наличии компилятора и заголовочных файлов ядра. После установки можно приступать к настройке ПО.
Криптопро: mac os — установка
Установка ПО выполняется также, как и на другие ОС от имени администратора. Для Mac OS используются packages (пакета), которые содержат установочные файлы ПО. Инсталляционный пакет имеет расширение .dmg и поставляется в образе диска.
Чтобы установить пакет через графический интерфейс необходимо открыть образ пакета, а затем, открыв файл пакета. mpkg, можно запускать установку. Можно установить ПО из командной строки, для этого понадобится смонтировать диск. Сборка ПО представляет собой комплект из нескольких модулей, которые можно устанавливать выборочно.
Настройка криптопровайдера[править]
Просмотреть доступные типы криптопровайдеров можно командой cpconfig -defprov -view_type:
$ cpconfig -defprov -view_typeProvider type Provider Type Name_____________ _____________________________________ 75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange 80 GOST R 34.10-2021 (256) Signature with Diffie-Hellman Key Exchange 81 GOST R 34.10-2021 (512) Signature with Diffie-Hellman Key Exchange 16 ECDSA Full and AES 24 RSA Full and AES
Просмотр свойств криптопровайдера нужного типа:
$ cpconfig -defprov -view -provtype 80Listing Available Providers:Provider type Provider Name_____________ _____________________________________ 80 Crypto-Pro GOST R 34.10-2021 KC1 CSP 80 Crypto-Pro GOST R 34.10-2021 Cryptographic Service Provider Provider types and provider names have been listed.
Настройка оборудования[править]
Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.
Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.
Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др.), смарт-карта, флэш-накопитель, дискета.
Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).
Встроенный в «КриптоПро CSP» датчик случайных чисел (далее ДСЧ) используется для генерации ключей.
Для смарт-карт: ключи дополнительно защищаются кодом доступа к защищенной памяти смарт-карты (PIN). При всех операциях с защищенной памятью (чтение, запись, удаление…) требуется вводить PIN.Для других носителей: для повышения безопасности на контейнер можно установить пароль.
Настройка работы с рутокен эцп 2.0
Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.
Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.
Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:
apt-get install libpcsclite1 pcscd libccid
Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:
dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb
Поддерживаемые unix-подобные операционные системы для версий криптопро 3.6, 3.9, 4.0
iOS 10 | ARM32** / ARM64** | ARM32*** / ARM64*** | |
iOS 9 | ARM32** / ARM64** | ARM32 / ARM64 | |
iOS 8 | ARM32 / ARM64** | ARM32 / ARM64 | |
iOS 6 / 7 | ARM32 | ARM32 | ARM32 |
iOS 4.2 / 4.3 / 5 | ARM32 | ||
Mac OS X 10.12 | x64** | x64*** | |
Mac OS X 10.11 | x64** | x64 | |
Mac OS X 10.10 | x64** | x64 | |
Mac OS X 10.9 | x64 | x64 | |
Mac OS X 10.8 | x64 | x64 | x64 |
Mac OS X 10.7 | x64 | x64 | x64 |
Mac OS X 10.6 | x86 / x64 | x86 / x64 | |
Android 3.2 / 4 | ARM32 | ||
Solaris 10 / 11 | x86 / x64 / sparc | x86 / x64 / sparc | x86 / x64 / sparc |
Solaris 9 | x86 / x64 / sparc | ||
AIX 5 / 6 / 7 | PowerPC | PowerPC | PowerPC |
FreeBSD 10 | x86 / x64 | x86 / x64 | |
FreeBSD 8 / 9 | x86 / x64 | x86 / x64 | x86 / x64 |
FreeBSD 7 | x86 / x64 | ||
FreeBSD 6 | x86* | ||
LSB 4.0 | x86 / x64 | x86 / x64 | x86 / x64 |
LSB 3.0 / LSB 3.1 | x86 / x64 | ||
RHEL 7 | x64** | x64 | |
RHEL 4 / 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
RHEL 3.3 спец.сборка | x86 | x86 | x86 |
CentOS 7 | x86 / x64** | x86 / x64 | |
CentOS 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
CentOS 4 | x86 / x64 | ||
Ubuntu 15.10 / 16.04 / 16.10 | x86 / x64** | x86 / x64*** | |
Ubuntu 14.04 | x86 / x64** | x86 / x64 | |
Ubuntu 12.04 / 12.10 / 13.04 | x86 / x64 | x86 / x64 | |
Ubuntu 10.10 / 11.04 / 11.10 | x86 / x64 | x86 / x64 | |
Ubuntu 10.04 | x86 / x64 | x86 / x64 | x86 / x64 |
Ubuntu 8.04 | x86 / x64 | ||
Ubuntu 6.04 | x86 / x64* | ||
Linux Mint 18 | x86 / x64** | x86 / x64*** | |
Linux Mint 13 / 14 / 15 / 16 / 17 | x86 / x64** | x86 / x64 | |
Astra Linux | x86 / x64** | x86 / x64*** | |
ALTLinux 8 | x86 / x64** | x86 / x64*** | |
ALTLinux 7 | x86 / x64 | x86 / x64 | |
ALTLinux 6 | x86 / x64 | x86 / x64 | x86 / x64 |
ALTLinux 4 / 5 | x86 / x64 | ||
Debian 8 | x86 / x64** | x86 / x64 | |
Debian 7 | x86 / x64 | x86 / x64 | |
Debian 6 | x86 / x64 | x86 / x64 | x86 / x64 |
Debian 4 / 5 | x86 / x64* | ||
ТД ОС АИС ФССП России (GosLinux) | x86 / x64 | x86 / x64 | x86 / x64 |
Linpus Lite 1.3 | x86 / x64 | x86 / x64 | x86 / x64 |
Mandriva Server 5, Business Server 1 | x86 / x64 | x86 / x64 | x86 / x64 |
Oracle Enterprise Linux 5/6 | x86 / x64 | x86 / x64 | x86 / x64 |
ОpenSUSE 12.2/12.3 | x86 / x64 | x86 / x64 | x86 / x64 |
SUSE Linux Enterprise 11 | x86 / x64 | x86 / x64 | x86 / x64 |
Поддерживаемые операционные системы windows для версий криптопро 3.6, 3.9, 4.0
Windows 2021 | x64* | x64** | |
Windows 10 | x86 / x64* | x86 / x64 | |
Windows 2021 R2 | x64 | x64 | |
Windows 8.1 | x86 / x64 | x86 / x64 | |
Windows 2021 | x64 | x64 | x64 |
Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2008 R2 | x64 / itanium | x64 | x64 |
Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2008 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows Vista | x86 / x64 | x86 / x64 | x86 / x64 |
Windows 2003 R2 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows 2003 | x86 / x64 / itanium | x86 / x64 | x86 / x64 |
Windows XP | x86 / x64 | ||
Windows 2000 | x86 |
* Начиная с версии КриптоПро CSP 3.9 R2.
** Начиная с версии КриптоПро CSP 4.0 R2.
Проверка лицензии[править]
Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):
$ cpconfig -license -viewLicense validity:4040E-G0037-EK8R3-C6K4U-HCXQGExpires: 2 month(s) 23 day(s)License type: Server.
Примечание:Для версии КриптоПро CSP под Linux все лицензии считаются серверными, поэтому не смущайтесь строкой «License type: Server».
Для установки другой лицензии выполните (под root):
# cpconfig -license -set
Примечание:Серийный номер следует вводить с соблюдением регистра символов.
Проверяем лицензию
С сайта КриптоПро выдаётся лицензия на три месяца.
# cpconfig -license -viewServer license:36360-U0030-01C97-HQ92Y-#####Expires: 3 month(s) 0 day(s)Client license:36360-U0030-01C97-HQ92Y-#####Expires: 3 month(s) 0 day(s) |
# cpconfig -license -view Server license: 36360-U0030-01C97-HQ92Y-##### Expires: 3 month(s) 0 day(s) Client license: 36360-U0030-01C97-HQ92Y-##### Expires: 3 month(s) 0 day(s)
Прописывание путей к исполняемым файлам[править]
Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/ и /opt/cprocsp/bin/.
Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:
- после установки пакета cryptopro-preinstall начните новый сеанс пользователя в консоли;
Примечание:Не работает для суперпользователя.
- выполните от имени пользователя, который будет запускать команды (будет действовать до закрытия терминала):
Внимание! Если установлен пакет mono или mono4-devel, может быть конфликт по имени утилиты certmgr
Просмотр списка настроенных считывателей:
Nick name: AKS ifdh 00 00Connect name:Reader name: AKS ifdh 00 00 Nick name: FLASHConnect name:Reader name: FLASH Nick name: HDIMAGEConnect name:Reader name: ��������� ������� �� ������� ����� |
Nick name: AKS ifdh 00 00 Connect name: Reader name: AKS ifdh 00 00 Nick name: FLASH Connect name: Reader name: FLASH Nick name: HDIMAGE Connect name: Reader name: ��������� ������� �� ������� �����
Первый ридер «AKS ifdh 00 0» — это наш токен, последний — локальное хранилище. Контейнеры HDIMAGE живут по адресу «/var/opt/cprocsp/keys//»
Работа с сертификатами в token-manager[править]
token-manager предоставляет графический интерфейс управления ключевыми носителями и сертификатами. С помощью этой программы можно:
- просматривать подключенные ключевые носители (токены);
- изменять PIN-код ключевого носителя;
- устанавливать, просматривать и удалять сертификаты;
- просматривать и устанавливать лицензию КриптоПро.
Запустить token-manager можно:
Для просмотра корневых сертификатов, необходимо выбрать в меню token-manager пункт Операции ▷ Просмотр корневых сертификатов.
Сертификат будет установлен в локальное хранилище сертификатов и будет связан с закрытым ключом на токене.
Сертификат будет установлен в локальное хранилище сертификатов, но не будет связан ни с каким закрытым ключом. Этот сертификат можно использовать для проверки подписи.
Собираем libphpcades
Для того, чтобы собрать libphpcades, у вас во первых, должна быть установлена CentOS 7. Далее мы должны установить пакеты boost-devel и php-devel, приступаем, добавляем репозиторий и ставим boost-devel.
Следующим шагом, мы ставим пакет php-devel с помощью команды.
Далее ставим lsb пакет (Linux Standard Base)
Далее переходим в папку root, если вы не в ней, с помощью команды
И скачиваем дистрибутив крипто про csp 4
Остальные версии можно посмотреть на официальном сайте Крипто ПРО . Для скачивания вам нужно будет зарегистрироваться.
Далее распаковываете архив с помощью tar и даете возможность запускать скрипт install.sh
Все теперь, можно устанавливать самый главный компонент libphpcades, сам крипто про csp 4
Далее после установки, прописываем переменные окружения, или перемещаемся в папку /opt/cprocsp/
Затем до установим, еще два пакета cprocsp-rdr-gui-gtk и lsb-cprocsp-devel
Затем следует установить пакет cprocsp-pki-2.0.0-cades.rpm из состава КриптоПро ЭЦП SDK . Скачиваем архив, лтбо вручную и потом через ssh передаем, либо скачиваем через wget. Скачивайте КриптоПро ЭЦП SDK 2.0, именно ее, так как она содержит пакет cprocsp-pki-2.0.0-cades.rpm.
Посмотреть список пакетом, можно командой
- lsb-cprocsp-kc1-64-4.0.0-4.x86_64
- cprocsp-pki-cades-2.0.0-1.x86_64
- lsb-cprocsp-base-4.0.0-4.noarch
- lsb-cprocsp-capilite-64-4.0.0-4.x86_64
- cprocsp-curl-64-4.0.0-4.x86_64
- lsb-cprocsp-devel-5.0.0-4.noarch
- lsb-cprocsp-rdr-64-4.0.0-4.x86_64
- cprocsp-rdr-gui-gtk-64-4.0.0-4.x86_64
- cprocsp-pki-plugin-2.0.0-1.x86_64
Далее делаем следующее.
PHP 5.6.30 (cli) (built: Jan 19 2021 08:09:42) Copyright (c) 1997-2021 The PHP Group Zend Engine v2.6.0, Copyright (c) 1998-2021 Zend Technologies with Zend OPcache v7.0.6-dev, Copyright (c) 1999-2021, by Zend Technologies
You have mail in /var/spool/mail/root
Создание контейнера[править]
Примечание: Для того, чтобы сертификат из контейнера можно было использовать через модуль pkcs11 (из пакета lsb-cprocsp-pkcs11) в браузере firefox-gost, необходимо создать его с -provtype 75 (поддержка ГОСТ-2001).
Внимание! C 1 января 2021 г. по указанию ФСБ РФ и Минкомсвязи всем аккредитованным УЦ запрещен выпуск сертификатов ЭП по ГОСТ 2001.Ключи и запрос на сертификат необходимо формировать ГОСТ 2021.
Создадим контейнер с именем «test» в локальном считывателе HDIMAGE.
$ csptest -keyset -provtype 75 -newkeyset -cont ‘.HDIMAGEtest’
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:
Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.
После этого будет предложено указать пароль на контейнер (можно указать пустой, тогда пароль запрашиваться не будет):
Внимание! При создании контейнера на токене:$ csptest -keyset -provtype 75 -newkeyset -cont ‘.Aladdin R.D. JaCarta [SCR Interface] 01 00test’
Пароль не создается, а предъявляется (PIN-код пользователя):
После указания пароля снова будет предложено перемещать указатель мыши.
Вывод команды:
Удаление криптопро[править]
Внимание! Пакеты КриптоПро становятся нерабочие при их обновлении. Рекомендуется удалить все пакеты и установить пакеты снова.
Для обновления КриптоПро необходимо:
- Запомнить текущую конфигурацию:
- набор установленных пакетов:
- настройки провайдера (для простоты можно сохранить /etc/opt/cprocsp/config[64].ini).
- набор установленных пакетов:
- Удалить штатными средствами ОС все пакеты КриптоПро:
- Установить аналогичные новые пакеты КриптоПро.
- При необходимости внести изменения в настройки (можно просмотреть diff старого и нового /etc/opt/cprocsp/config[64].ini).
- Ключи и сертификаты сохраняются автоматически.
Управление считывателями[править]
Просмотр доступных (настроенных) считывателей:
$ cpconfig -hardware reader -viewNick name: Aladdin R.D. JaCarta [SCR Interface] 00 00Connect name: Reader name: Nick name: FLASHConnect name: Reader name: Nick name: HDIMAGEConnect name: Reader name:
Либо:
$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.CryptAcquireContext succeeded.HCRYPTPROV: 6679203GetProvParam(…PP_ENUMREADERS…) until it returns false Len Byte NickName/Name_____________________________ 0x012a 0x72 ACS ACR38U-CCID 00 00 All PC/SC readers 0x012a 0x72 Aktiv Co.
Rutoken S 00 00 All PC/SC readers 0x012a 0x58 FLASH FLASH 0x012a 0x18 HDIMAGE Структура дискеты на жестком дискеCycle exit when getting data. 4 items found. Level completed without problems.Total: SYS: 0,000 sec USR: 0,170 sec UTC: 0,190 sec[ErrorCode: 0x00000000]
Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):
# cpconfig -hardware reader -add HDIMAGE storeAdding new reader:Nick name: HDIMAGESucceeded, code:0x0
Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys//.
Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):
$ list_pcsc Aladdin R.D. JaCarta [SCR Interface] 00 00Aktiv Co. Rutoken S 00 00
Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):
# cpconfig -hardware reader -add ‘Aktiv Co. Rutoken S 00 00’ -name ‘Rutoken’Adding new reader:Nick name: Aktiv Co. Rutoken S 00 00Name device: RutokenSucceeded, code:0x0
Можно включить службу pcscd в автозапуск при загрузке системы:
Установка криптопро csp[править]
Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:
- linux-ia32.tgz (19,3 МБ, для i586) КриптоПро CSP 4.0 для Linux (x86, rpm) для 32 разрядный систем;
- linux-amd64.tgz (20,1 МБ, для x86_64) КриптоПро CSP 4.0 для Linux (x64, rpm) для 64 разрядный систем.
Внимание! По умолчанию при скачивании с сайта КриптоПро выдаётся лицензия на три месяца
Установка криптопро на windows, linux и mac os
Как установить КриптоПро на Windows 7
Как установить КриптоПро на Windows 10
КриптоПро: Linux — установка
КриптоПро: Mac OS — установка
КриптоПро является СКЗИ – программным компонентом, обеспечивающим надёжную защиту (шифрование) информации, создание электронных подписей и другое. Чтобы безопасно работать с электронной отчетностью, защищать конфиденциальную информацию и организовать юридически значимую передачу документов через сеть понадобится установить КриптоПро.
Имеется несколько версий программы, каждая из которых совместима с определёнными операционными системами, может поддерживать различные криптографические алгоритмы. Последняя из выпущенных версий 4.0. обладает поддержкой новых алгоритмов подписи и устанавливается на Windows 10.
Установка КриптоПро 3.6 на Windows 7 Установка КриптоПро 3.6 на Windows 10 Установка КриптоПро CSP 3.9
Установка не отличается сложностью
В первом случае есть скрипт для инсталляции, во втором необходимо поставить RPM пакет (токен до момента установки драйверов необходимо извлечь из сервера).
В процессе установки под CentOS 6.5, мне также понадобился модуль поддержки eToken (cprocsp-rdr-jacarta-3.6.1-3.6.219-1.x86_64) идет в поставке КриптоПРО 3.6.
rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm |
rpm -i cprocsp-rdr-jacarta-3.6.1-3.6.346-1.x86_64.rpm
3. После установки, прописываем переменные окружения, или перемещаемся в папку «/opt/cprocsp/»
export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)» |
export PATH=»$PATH:$(ls -d /opt/cprocsp/{s,}bin/*|tr ” ‘:’)»
Установка пакетов[править]
1. Установите пакет cryptopro-preinstall:
# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
Примечание:Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.
2. Распакуйте архив, скачанный с официального сайта КриптоПро:
$ tar -xf linux-amd64.tgz
Таблица 1. Описание необходимых пакетов КриптоПро.
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-kc2 | Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы) |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
Примечание:Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*
- установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
- установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*
Примечание:Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.
- Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*
Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:
Установка[править]
1. Установите пакет cryptopro-preinstall:
# apt-get install cryptopro-preinstallЭтот пакет установит все требуемое для КриптоПро (включая инфраструктуру поддержки карт Рутокен S и Рутокен ЭЦП).
Примечание: Пакет cryptopro-preinstall вытягивает зависимости libpangox-compat, opensc, pcsc-lite, pcsc-lite-rutokens, pcsc-lite-ccid, newt52.
2. Распакуйте архив, скачанный с официального сайта КриптоПро:
$ tar -xf linux-amd64.tgz
Таблица 1. Описание необходимых пакетов КриптоПро.
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-kc2 | Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы) |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
Примечание: Для 32-битной версии вместо последнего пакета — lsb-cprocsp-rdr-4*
- установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):# apt-get install cprocsp-rdr-gui-gtk* cprocsp-rdr-rutoken* cprocsp-rdr-pcsc* lsb-cprocsp-pkcs11* pcsc-lite-rutokens pcsc-lite-ccid
Примечание: Если возникнут проблемы с отображением контейнеров на Рутокен S — удалите pcsc-lite-openct
- установите пакет для поддержки токенов (JaCarta):# apt-get install cprocsp-rdr-jacarta*
Примечание: Для установки cprocsp-rdr-jacarta может понадобиться предварительно удалить openct.
- Для установки сертификатов Главного удостоверяющего центра:# apt-get install lsb-cprocsp-ca-certs*
Можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:
Вставляем ключ etoken и проверяем вывод list_pcsc:
# ./list_pcscavailable reader: AKS ifdh 00 00 |
# ./list_pcsc available reader: AKS ifdh 00 00
Утилита доступна после установки пакета
# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm |
# rpm -i cprocsp-rdr-pcsc-64-3.9.0-4.x86_64.rpm
Как вариант штатными средствами:
# lsusbBus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hubBus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hubBus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hubBus 001 Device 002: ID 203a:fff9Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2) |
# lsusb Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub Bus 001 Device 002: ID 203a:fff9 Bus 002 Device 039: ID ####:#### Aladdin Knowledge Systems eToken Pro 64k (4.2)
Final thoughts
Given the global rise in domain name system hijacking attacks, it has become a fundamental necessity for business owners and those responsible for an organization’s online operating structure to understand not only the scope and scale of the threats that exist but to also educate themselves on the availability and the intricacies of the solutions they have at their disposal to safeguard themselves.
Too many business or brand owners have a false sense of security when it comes to their domain safety when looking at their current safety offering as provided by their hosting company or registrar. More comprehensive solutions should be considered to ensure the adequate level of protection they require.