- Что нужно знать перед настройкой
- Описание принципов работы плагина
- Почему не работает крипто про эцп браузер плагин
- Coogle chrome
- Google chrome
- Internet explorer
- Opera
- Rosa crypto tool
- Trusted esign
- Включение настроек для работы с подписью
- Выключаем лишнее
- Настройка «криптопро» csp
- Настройка браузеров
- Настройка работы с рутокен эцп 2.0
- Подпись средствами «криптопро csp»
- Получаем тестовый сертификат
- Резюме
- Системные требования
- Установка и настройка крипто про эцп браузер плагин
- Установка компонентов для работы с электронной подписью
- Яндекс.браузер
Что нужно знать перед настройкой
Квалифицированная электронная подпись используется в электронном документообороте и торгах, а также для работы на государственных порталах и регистрации онлайн-кассы.
В большинстве случаев основная работа с подписью происходит в браузере, поэтому перед любыми действиями с сертификатом подписи программа должна быть настроена. Если не провести подготовку браузера, то он не сможет увидеть электронную подпись ни на компьютере, ни на токене.
Настройка браузера подразумевает установку дополнительных плагинов — криптопровайдеров. С их помощью компьютер может совершать криптографические операции, необходимые для работы с электронной подписью.
У браузеров Internet Explorer, Google Chrome, Яндекс.Браузер и Mozilla Firefox интерфейс имеет отличия, поэтому их настройка для работы с электронной подписью различается.
Рассмотрим настройку этих браузеров на основе криптопровайдера КриптоПро CSP.
Описание принципов работы плагина
КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:
Поддерживаемые операционные системы:
КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:
С точки зрения бизнес-функций, плагин позволяет использовать ЭП:
Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.
КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:
Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).
КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).
Почему не работает крипто про эцп браузер плагин
Если после перехода на портал разработчика при проверке расширения появляется статус «Недоступен», значит настройки в веб-обозревателе сделаны неправильно. Установите их вновь. Если опять отобразится аналогичное уведомление, то почистите кэш обозревателя и переустановите приложение.
Если при проверке расширения отображается статус «Плагин загружен», но информации о криптопровайдере нет, то не установлен КриптоПро CSP. Загрузите ПО с ресурса разработчика и установите его на ПК. Если после этого не удастся начать работу с плагином, значит, адрес портала не включен в число разрешенных. Перейдите в настройки ПО и в графе «Список доверенных узлов» укажите адреса веб-сайта.
Если при подписании документа появляется ошибка с выводом уведомления «Цепочка сертификатов не создана», воспользуйтесь следующей инструкцией:
- Откройте «Пуск», выберите сначала «Все программы», далее «КриптоПро» и «Сертификаты».
- В открывшемся списке сначала выберите «Текущий Пользователь», «Личное» и затем «Сертификаты».
- В появившемся окне зайдите во вкладку «Путь сертификации». Если отображаются красные метки, то нужно загрузить и инсталлировать промежуточные и корневые сертификаты. Их скачивание происходит с ресурса удостоверяющего центра, где ранее получили документы. После установки перечисленных сертификатов будет создана цепочка доверия, и удастся завершить операцию.
Если при заверке документа система выдает ошибку x8007064A, значит, просрочен ключ у одного из продуктов КриптоПро — CSP, TSP Client 2.0 или OCSP Client 2.0. Для просмотра статуса лицензии перейдите в «Пуск», выберите «КриптоПро» и далее «Управление лицензиями». Найдите ПО с истекшим ключом. Приобретите лицензию повторно.
Coogle chrome
Алгоритм действия для Chrome одинаков независимо от используемой версии ОС:
- Запустите интернет-обозреватель.
- Откроется окно с уведомлением об установке нового ПО. Нажмите на кнопку «Включить».
- Проверьте активацию приложения. Для этого выберите в меню интернет-обозревателя сначала «Дополнительные инструменты», далее «Расширения».
- В перечне должно отобразиться название ранее установленного ПО.
- Если программного модуля нет, перейдите в интернет-магазин Chrome. Задайте в поисковой строке название плагина и нажмите «Найти». Откроется веб-страница с описанием ПО и опцией «Установить», активируйте ее. Дождитесь завершения процесса инсталляции и перезапустите интернет-обозреватель.
Вновь откройте браузер. Перейдите в раздел «Расширения» и найдите в перечне название приложения. Активируйте нажатием кнопки «Включить».
Google chrome
- В окне браузера нажмите кнопку «Настройки» (три точки в правом верхнем углу) → «Дополнительные инструменты» → «Расширения» .
- Проверьте наличие «CryptoPro Extension for CAdES Browser Plug-in» и активируйте его.
- Если «CryptoPro Extension for CAdES Browser Plug-in» отсутствует в расширениях, перейдите в интернет-магазин Chrome и установите его, затем повторите шаг 2.
В правом верхнем углу в списке активированных расширений должен появиться значок CryptoPro Extension for CAdES Browser Plug-in, что свидетельствует о правильной установке.
Internet explorer
При работе с IE на Windows не выше 8.1, воспользуйтесь следующей инструкцией:
Opera
Для Opera алгоритм действий выглядит следующим образом:
- Откройте интернет-обозреватель.
- Выберите «Меню», где в выпадающем списке найдите «Расширения» и кликните двойным щелчком мыши.
- На открывшейся странице отобразятся все установленные плагины. Найдите в перечне нужное ПО и щелкните «Включить».
- Если в списке не окажется требуемого плагина, в разделе слева активируйте пункт «Добавить расширение». В поисковую строку введите название ПО и щелкните по найденному ярлыку.
На открывшейся странице активируйте опцию «Добавить в Опера».
Rosa crypto tool
Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.
Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2021 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.
Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.
Установить ее можно, использовав «Управление программами» в Rosa Linux.
Вставляем токен и запускаем утилиту.
Видим, что токен определился успешно и был найден наш сертификат.
Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.
Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.
Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.
Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.
По сравнению с использованием «КриптоПро CSP» из консоли:
На порядок проще использовать;— Отсутствуют различные параметры подписи.
Исходный код программы доступен в публичном репозитории на ABF:abf.io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.
Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.
Trusted esign
Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».
Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.
Включение настроек для работы с подписью
Включения настроек для работы с электронной подписью производится через меню браузера. Для этого выполним следующие действия:
Откроем меню браузера (в правом верхнем углу браузера кнопка с тремя полосками) и выберем пункт меняю “Дополнения” как указано на рисунке или в адресной строке просто открываем страницу browser://tune.
В открывшемся окне с плагинами необходимо включить нужные нам плагины: КриптоПРО ЭЦП и Расширение для плагина Госуслуг (при необходимости).
После включения плагинов необходимо подключить возможность работы с защищенным соединением TLS по ГОСТ. Для этого заходим в настройки браузера и в разделе “Сеть” поставим галочку “Подключаться к сайтам, использующим шифрование по ГОСТ.” Как указано на рисунках ниже.
После включения этих настроек можно без перезагрузки начинать работать с электронной подписью на нужном нам ресурсе.
Выключаем лишнее
Вместе с некоторыми программами (например, Яндекс Браузер) могут установиться дополнительные программы, которые могут помешать нормальной работе с электронной подписью на некоторых сайтах.
Чтобы избежать проблем – рекомендуем удалить такие программы как Менеджер браузеров, Кнопка Яндекс на панели задач, Элементы Яндекс для Internet Explorer. Удаляются они штатными средствами MS Windows – через Панель управления – Программы и компоненты.
Настройка «криптопро» csp
Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например,
или
), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.
Приступаем к настройке.
Настройка браузеров
Приступать к настройке браузера можно после установки криптопровайдера и библиотеки. Для каждого браузера предусмотрены свои расширения, которые нужно будет установить.
Настройка работы с рутокен эцп 2.0
Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.
Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.
Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:
apt-get install libpcsclite1 pcscd libccid
Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:
dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb
Подпись средствами «криптопро csp»
В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:
Подписать можно с помощью команды:
csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256
Здесь,
my — параметр, в котором надо указать часть Common Name сертификата для подписи;
detached — позволяет создать открепленную подпись;
alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.
Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:
csptestf –sfsign
Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.
Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.
Получаем тестовый сертификат
Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.
Резюме
Подведем итог. В конце 2021 – начале 2021 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.
Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.
Такое развитие не может не радовать, особенно когда это происходит под Linux.
Системные требования
- Установка плагина возможна на следующих операционных системах: Win XP SP3, Win Vista SP2, Win 2003 SP2, Win 2008 SP2, Win 7, Win 2008 R2, Win 8, Win8.1, Win10.
- Работает с браузерами: IE 8 — 11, Opera, Mozilla Firefox, Google Chrome, Yandex Browser
Не работает в браузере EDGE, предустановленном по умолчанию в Windows 10.
- Требуется предустановленная КриптоПро CSP версии не ниже 3.6 R2
Установка и настройка крипто про эцп браузер плагин
ПО CryptoPro корректно работает с большинством интернет-обозревателей, поддерживающих выполнение сценариев на языке JavaScript. В их числе:
- Opera;
- Yandex;
- Internet Explorer;
- Mozilla Firefox;
- Chrome.
Перед установкой приложения убедитесь в том, в операционной системе для вас включены права администратора, а все приложения и документы закрыты. Далее действуйте согласно следующей инструкции:
- Найдите скачанный дистрибутив CadesPlugIn.exe — по умолчанию сохраняется в папку «Загрузки».
- Щелкните два раза по файлу.
- В окне активируйте опцию «Запустить».
- Подтвердите намерение установки ПО путем нажатия на кнопку «Да».
- Запустится инсталляция вспомогательных компонентов. По завершении процесса кликните «ОК» и перезапустите операционную систему.
Процесс настройки Крипто Про ЭЦП Браузер плагин зависит от используемого интернет-обозревателя.
Установка компонентов для работы с электронной подписью
Для работы с электронной подписью Вам потребуется установка компонентов:
- КриптоПРО CSP;
- КриптоПРО ЭЦП Browser plugin;
- Плагин системы электронного правительства (нужен только для работы с сайтом Госуслуг и ЕСИА).
Яндекс.браузер
Настройка в Яндекс.Браузере проходит наиболее быстро. Выполните следующие шаги:
- Запустите интернет-обозреватель.
- Кликните по иконке с тремя черточками — находится вверху справа.
- В меню щелкните по строке «Дополнения».
Откроется страница, которую нужно прокрутить в самый низ. Напротив ранее инсталлированного ПО нажмите «Включить».
Вам будет интересно: Плагин ЭЦП от КриптоПро: обзор, установка