Работа с скзи и аппаратными ключевыми носителями в linux

Содержание:

Поддержка дистрибутивов и установка

Где взять документацию по установке? Какие пакеты ставить?

Публикация: 01 Февраль 2011 — 16:33, редакция: 07.12.2011 15:16

Инструкции по установке и настройке, а также описание пакетов даны в документе «Руководство администратора безопасности. Linux». Этот документ входит в состав документации на CSP, его можно скачать на странице загрузки CSP или в разделе «Документация»: http://cryptopro.ru/support/docs .

Если у Вас FreeBSD/Solaris/AIX — см. «Руководство администратора безопасности. FreeBSD/Solaris/AIX».

Как ввести серийный номер лицензии? Как посмотреть информацию о лицензии?

Публикация: 20 Декабрь 2010 — 18:03, редакция: 01.02.2011 16:01

Для просмотра информации о лицензии выполните:

#cpconfig -license -view

Для ввода лицензии выполните:

#cpconfig -license -set

Серийный номер следует вводить с соблюдением регистра символов.
Утилита cpconfig находится в /opt/cprocsp/sbin/<архитектура> .

Публикация: 20 Декабрь 2010 — 17:58

Попробуйте сначала поставть пакеты совместимости с LSB 3.0 или 3.1 из состава Вашего дистрибутива (названия могут несколько варьироваться, обычно lsb-3.0, lsb-3.1, lsb-base, lsb-core), а затем установить CSP.

ВНИМАНИЕ: установка CSP на неподдерживаемую ОС не будет являться сертифицированным решением и не поддерживается

Как установить CSP на ALTLinux?

Публикация: 20 Декабрь 2010 — 17:57, редакция: 20.12.2010 17:57

Сначала необходимо установить пакет LSB из состава дистрибутива:

apt-get install lsb-3.0

Затем пакет совместимости, поставляющийся вместе с CSP:

rpm -i ./cprocsp-compat-altlinux-1.0.0-1.noarch.rpm

После этого можно устанавливать необходимые пакеты из состава CSP. Установка осуществляется при помощи утилиты rpm.

Как установить CSP на Debian/Ubuntu?

Публикация: 20 Декабрь 2010 — 17:52

Сначала необходимо поставить(если не установлены) пакеты LSB из состава дистрибутива, а также пакет alien, который является штатным средством для установки .rpm:

apt-get install lsb-base alien lsb-core

Затем при помощи alien поставить необходимые пакеты CSP, например:

alien -kci ./lsb-cprocsp-base-3.6.4-4.noarch.rpm
alien -kci ./lsb-cprocsp-rdr-3.6.4-4.i486.rpm
alien -kci ./lsb-cprocsp-kc1-3.6.4-4.i486.rpm
alien -kci ./lsb-cprocsp-capilite-3.6.4-4.i486.rpm

Можно ли получить дистрибутив КриптоПро CSP в .deb?

Публикация: 20 Декабрь 2010 — 17:26, редакция: 07.12.2011 15:52

Нет, дистрибутив поставляется только в .rpm. Все ОС семейства Linux, для работы под управлением которых сертифицирован продукт либо основаны на rpm, либо соответствуют LSB, либо планируются к сертификации по стандарту LSB 3.1. Обязательным требованием для соответствия LSB является наличие в ОС механизма для установки rpm, следовательно, если используемая Вами ОС входит в число поддерживаемых операционных систем, в ней есть механизм для установки .rpm. Для debian, ubuntu и основанных на них дистрибутивах это утилита alien.

Публикация: 20 Декабрь 2010 — 17:25, редакция: 20.12.2010 17:28

Список опубликован по адресу http://www.linuxfoundation.org/en/LSB_Distribution_Status .

По сотстоянию на момент сертификации в этот список входили:

Программно-аппаратные среды, удовлетворяющие стандарту LSB 3.1:
— Asianux Server 3 (ia32, x86-64)
— Bharat Operating System Solutions (BOSS) Linux 1.0 (ia32)
— Bharat Operating System Solutions (BOSS) Linux 2.0 (ia32)
— Booyo 2.5 (ia32, x64)
— Linpus Linux 9.4 (ia32)
— Linpus Linux 9.5 (ia32, x64)
— Mandriva Linux 2007.0 (ia32)
— Mandriva Linux Corporate Desktop 4.0 (ia32)
— Mandriva Linux Corporate Server 4.0 (ia32)

В каких ОС семейства Unix работает КриптоПро CSP версий 3.0 и 3.6?

Публикация: 20 Декабрь 2010 — 17:12, редакция: 20.12.2010 17:28

КриптоПро CSP версии 3.0 работает под управлением операционных систем:
— Red Hat Linux 7, 9 (платформа ia32)
— FreeBSD 5 (платформа ia32)
— Solaris 9 Update 4 (платформы sparc, ia32).

КриптоПро CSP версии 3.6 работает под управлением операционных систем:
— FreeBSD 7/8 (платформа ia32)
— Solaris 9/10 (платформы sparc, ia32, x64)
— AIX 5/6 (платформа Power PC)
— ALT Linux Server (платформы ia32, x64)
— Debian (платформы ia32, х64)
— Trustverse Linux XP (платформа ia32)
— SPLAT (платформы ia32, х64)

Работа с ключами и сертификатами

Публикация: 01 Февраль 2011 — 16:15, редакция: 01.02.2011 17:38

Проблема может быть в том, что нельзя создавать два контейнера с одинаковым именем.

Попробуйте назвать копию как-нибудь иначе, например:

csptest -keycopy -src cont ‘\\.\FLASH\qwerty’ -d cont ‘\\.\HDIMAGE\qwerty1’

Как сделать новые закрытые ключи?

Публикация: 14 Январь 2011 — 19:38

Обычно ключи создаются вместе с запросом на сертификат. Если Вам требуется создать ключи и запрос на сертификат, воспользуйтесь утилитой cryptcp(документация на неё входит в состав документации на CSP, см. раздел «Работа с запросами на сертификат»).

Если требуется просто сделать новые ключи, можно воспользоваться утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура>.

Создание контейнера пользователя:
csptest -keyset -newkeyset -cont ‘\\.\имя считывателя\имя контейнера’

Создание контейнера компьютера:

Как проверить, работоспособен ли контейнер с закрытыми ключами?

Публикация: 14 Январь 2011 — 19:33, редакция: 14.01.2011 19:39

Открыть(проверить) контейнер можно утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура> :

Открыть(проверить) контейнер пользователя:
csptest -keyset -check -cont ‘\\.\имя считывателя\имя контейнера’

Открыть(проверить) контейнер компьютера:
csptest -keyset -check -cont ‘\\.\имя считывателя\имя контейнера’ -machinekeyset

где имя считывателя:
HDIMAGE, если используете жесткий диск для хранения ключей
FLASH, если используете флешку
FAT12_0, если используете дискету

Как посмотреть список закрытых ключей?

Публикация: 14 Январь 2011 — 19:30

Список контейнеров с закрытыми ключами можно посмотреть утилитой csptest. Она находится в директории /opt/cprocsp/bin/<архитектура>

Перечисление контейнеров пользователя:
csptest -keyset -enum_cont -verifycontext -fqcn

Перечисление контейнеров компьютера:
csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys

В полученном списке имена контейнеров будут представлены в том виде, в котором их воспринимают все бинарные утилиты, входящие в дистрибутив CSP (\\.\<имя считывателя>\<имя контейнера>).

Как в Linux/Unix установить сертификаты?

Публикация: 14 Январь 2011 — 19:25

Основной утилитой для работы с сертификатами является certmgr (лежит в /opt/cprocsp/bin/<архитектура>). К ней есть man:
man 8 certmgr

Установка корневого сертификата:
certmgr -inst -store root -file <путь к файлу с сертификатом>

Установка личного сертификата:
certmgr -inst -file <путь к файлу с сертификатом> -cont <имя контейнера>

Установка стороннего сертификата:
certmgr -inst -file <путь к файлу с сертификатом>

Как скопировать ключи с дискеты/флешки на HDIMAGE?

Публикация: 14 Январь 2011 — 19:24

Скопируйте ключи(директорию с именем в формате 8.3) из корня дискеты или флешки в директорию /var/opt/cprocsp/keys/имя_пользователя

При этом необходимо проследить чтобы:
— владельцем файлов был пользователь, в диретории с именем которого расположен контейнер(от его имени будет осуществляться работа с ключами);
— чтобы на директорию с ключами были выставлены права, разрешаюшие владельцу всё, остальным ничего;
— чтобы на файлы были выставлены права, разершающие владельцу по крайней мере чтение и запись, остальным ничего.

Что такое ключевой контейнер? Зачем нужен пароль на контейнер?

Публикация: 27 Декабрь 2010 — 17:57, редакция: 30.12.2010 02:35

Ключевые контейнеры – это способ хранения закрытых ключей, реализованный в нашем продукте. Их физическое представление зависит от типа ключевого носителя (на флешке, дискете, жестком диске это директория в которой хранится набор файлов с ключевой информацией; в случае со смарт-картами – файлы в защищенной памяти смарт-карты, в случае с реестром – раздел реестра, содержащий некоторые параметры). Пароль на контейнер имеет разное значение для смарт-карт и для носителей, не являющихся смарт-картами.

Установка КриптоПРО ЭЦП browser plugin в Linux

mkdir cades_linux_amd64tar -xzvf cades_linux_amd64.tar.gz -C cades_linux_amd64

Сконвертируйте в пакеты при помощи утилиты :

apt-get update && apt-get install aliencd cades_linux_amd64alien *

Установите пакеты:

dpkg -i cprocsp-pki-cades_2.0.0-2_amd64.debdpkg -i cprocsp-pki-plugin_2.0.0-2_amd64.deb

Проверьте наличие файлов плагина:

ls -la /opt/cprocsp/lib/amd64 | grep libnpcades    lrwxrwxrwx 1 root root      19 Окт 21 12:33 libnpcades.so -> libnpcades.so.2.0.0    lrwxrwxrwx 1 root root      19 Окт 21 12:33 libnpcades.so.2 -> libnpcades.so.2.0.0    -rwxr-xr-x 1 root root 2727236 Июн  8 14:33 libnpcades.so.2.0.0
cd /usr/lib/mozilla/pluginscp /opt/cprocsp/lib/amd64/libnpcades.so.2.0.0 ./ldd libnpcades.so.2.0.0cp /opt/cprocsp/lib/amd64/libnpcades.so.2.0.0 ./libnpcades.soldd libnpcades.so

Перезапустите Firefox, и убедитесь в наличии CryptoPRO Cades plugin (см. Menu -> Addons).

Миграция с версии 1 на 2

Внесены следующие изменения:

  • Пакет собран в форматах:
    • UMD, в папке , для подключения через тэг script. Объект доступен глобально.
    • ES Modules, в папке , для использования с разными системами сборки.
      Методы API импортируются напрямую из npm пакета.
  • В UMD версии переименован глобальный объект с на
  • Переименованы общие методы:
    • ->
    • ->
    • ->
    • , , ->
  • Убран метод
  • Переименованы методы сертификата:
  • Результат методов сертификата и
    изменился с на
  • Принципиальная реализация методов, обращающихся к Крипто ПРО не изменилась.
    Получение сертификатов, создание подписи, проверка корректности настроек работают по-прежнему.
  • Убрана поддержка IE8 (Крипто ПРО его больше не поддерживает)
  • Убрана поддержка КриптоПРО CSP версий ниже 4.0
  • Убрана поддержка КриптоПРО ЭЦП browser plug-in версий ниже 2.0
  • Доработана обработка ошибок, выбрасываемых из Крипто ПРО
  • При написании кода будут работать автодополнения и подсказки
  • Методы API доступны напрямую:

В версии 1:

window.CryptoPro.call('getSystemInfo');

В версии 2 (UMD):

window.cryptoPro.getSystemInfo();

В версии 2 (ES Modules):

import{getSystemInfo}from'crypto-pro';getSystemInfo();

Готовое решение с УЦ

Центр Сертификации

Центр Сертификации (или Удостоверяющий Центр) — основная управляющая компонента Инфраструктуры Открытых Ключей. Центр Сертификации предназначенна для формирования электронных сертификатов подчиненных Центров и конечных пользователей.

К основным функция Центра относятся:

  • Формирование собственного секретного ключа и сертификата ЦС;
  • Формирование сертификатов подчиненных Центров;
  • Формирование сертификатов открытых ключей конечных пользователей;
  • Формирование списка отозванных сертификатов;
  • Ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.

Использование КриптоПро CSP для создания Инфраструктуры Открытых Ключей

Использование криптопровайдера КриптоПро CSP позволяет пользователям и разработчикам использовать Инфраструктуру Открытых Ключей, применяя для этого стандартные средства Microsoft, входящие в состав ОС Windows.

Самый простой вариант создания корпоративной системы, использующей ИОК — установка программного обеспечения Центра Сертификации (Microsoft Certification Authority), входящего в состав ПО Windows 2000 Server и использование электронной почты Microsoft Outlook Express, входящей в состав Internet Explorer версии 5.0 и выше или Microsoft Outlook, входящей в состав MS Office 2000 .

Такой вариант сразу позволяет обеспечить целостность, авторство и конфидециальность информации, передаваемой в почтовом режиме, с использованием российскиx криптографических алгоритмов.

Разработчики, для целей встраивания в различные системы документооборота или электронной коммерции, могут воспользоваться библиотекой Microsoft CryptoAPI, описание функций которой приведено в MSDN (MSDN\Platform SDK\Security\Cryptography\CryptoAPI) и библиотеками обеспечивающими взаимодействие пользователя с Центром Сертификации — Certificate Enrollment Control (MSDN\Platform SDK\Security\Certificate Enrollment Control).

При необходимости наращивания функциональности ПО Центра Сертификации разработчики могут воспользоваться средставми его расширения,описанными в разаделе Certificate Services (MSDN\Platform SDK\Security\Certificate Services).

Контроль целостности программного обеспечения

Использование криптопровайдера КриптоПро CSP делает доступным использование стандартных средств формирования и проверки ЭЦП программного обеспечения, распространяемого по сети (Microsoft Authenticode) с использованием российских криптоалгоритмов (подробнее о технологии Microsoft Authenticode можно прочитать в MSDN\Platform SDK\Security\Cryptography\CryptoAPI Tools\About CryptoAPI Tools\Introduction to Code Signing или на сервере Microsoft).

Для формирования ЭЦП дистрибутива, dll, ехе-файла, ocs-файла может быть использована утилита SignCode.exe, входящая в состав PlatformSDK.

Проверка подписи производится средствами Microsoft Explorer при загрузке файла по сети или утилитой ChkTrust.Exe, так же входящей в состав PlatformSDK .

Особенности установки ПО Центра Сертификации

При установке ПО Microsoft Certification Authority установите флаг «Дополнительные возможности». При наличии этого флага можно выбрать криптопровайдер КриптоПро CSP (Crypto-Pro Cryptographic Service Provider) для формирования ключа и сертификата Центра.

ПО Microsoft Certification Authority, входящее в состав локализованного ПО (русская версия) Windows 2000 Server при установке имеет ошибку в сценариях в файле %WINDIR%\system32\certsrv\certrqma.asp в определении переменной L_TemplateCert_Text.

var L_TemplateCert_Text=»\» Сертификат\»+sTemplate+\»»;

Следует удалить лишние символы «+\»» в определении переменной L_TemplateCert_Text.

Примечание. Сценарии устанавливаются каждый раз при установке сервера.

Как восстановить пароль электронной подписи

Пользователь сам задает защитный код. Если он потеряет комбинацию, придется его восстанавливать. Вот инструкция, как восстановить пароль ЭПЦ вручную:

  1. Найти документ или файл, куда вы записали или сохранили защитные символы. На будущее, старайтесь сохранить информацию в доступном, но защищенном месте: записать и положить в сейф, сохранить в специальной программе для защиты паролей в вашем телефоне, создать особую папку на ПК.
  2. Если пользователь окончательно забыл пароль на сертификат ЭПЦ, и вспомнить его никак не получается, попробуйте подобрать комбинацию. Количество попыток ввода не ограничено, поэтому пробуйте и перебирайте все возможные варианты.
  3. Скопировать файлы с ЭЦП. Но это помогает не во всех случаях. Если вы автоматически запомнили пароль при установке, попробуйте скопировать контейнер электронной подписи без ввода защитного кода. Перенесите папку с файлами ЭП на другой съемный носитель. Если при копировании система не запросит код, у вас получится работать с электронной подписью на другом компьютере.

Не получилось восстановить вручную? Тогда отзывайте действующий и выпускайте новый сертификат ЭП. Обращайтесь в удостоверяющий центр, подавайте заявку и генерируйте новый ключ. Других вариантов нет.

Варианты, как восстановить пароль от ЭПЦ в налоговой или Пенсионном фонде, те же:

  • попробуйте вспомнить;
  • подберите символы;
  • скопируйте сведения.

Звонить в удостоверяющий центр или ТОФК не имеет смысла, они не знают пользовательскую защиту и не помогут ее восстановить или обновить.

ЭЦП функционирует только в том случае, если на ПК установлена программа криптозащиты. Если вы пользуйтесь КриптоПро CSP(речь идет о ПО версии 3.6 и выше) и уже установили ключ сертификата электронной подписи в операционную систему, попробуйте проверить защитный код в криптопрограмме. Инструкция, как узнать пароль ЭПЦ через Крипто-Про (строго соблюдайте регистры и пунктуацию):

  1. Зайдите в файл, в котором установлена программа (вероятнее всего, это Program Files).
  2. Найдите в папке КриптоПро утилиту «csptest». Она позволит узнать код информационной защиты.
  3. Запустите ее и введите: cd «C:Program FilesCrypto ProCSP».
  4. Напишите такую команду: csptest -keyset -enum_cont -fqcn -verifycontext. Если у вас на ПК установлена только одна ЭП, отразится один контейнер. Если же электронных подписей несколько, то с помощью этой команды откроется перечень всех контейнеров.
  5. Задайте команду csptest -passwd -showsaved -container «<наименование необходимого контейнера>». После нажатия «Ввод» отобразится вся информация об электронной подписи, в том числе и пароль.

КриптоПро Fox

Поддержка КриптоПро Fox прекращена. Рекомендуем воспользоваться современными браузерами с поддержкой ГОСТ 34.10-2012: Microsoft Internet Explorer, Браузер chromium-gost, Спутник / Браузер, Яндекс.Браузер.

КриптоПро Fox представляет собой веб-браузер на основе Mozilla FireFox, поддерживающий установку защищённых соединений (Transport Layer Security, TLS) с использованием российских криптографических алгоритмов.

Поддерживается работа TLS как с односторонней, так и с двухсторонней аутентификацией.

Установка КриптоПро Fox на ОС Microsoft Windows

Для работы на ОС Microsoft Windows надо установить:

  • КриптоПро CSP 3.6 или новее (страница загрузки)
  • КриптоПро Fox (cкачать КриптоПро Fox 24 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 31 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 38 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 45 для Windows)

Установка КриптоПро Fox на ОС Linux

Для работы на ОС Linux надо установить:

  • Пакеты КриптоПро CSP 3.6 R3 или новее (32 или 64 бита — как у ОС) (страница загрузки):
    • lsb-cprocsp-base
    • lsb-cprocsp-rdr
    • lsb-cprocsp-capilite
    • lsb-cprocsp-kc1
    • lsb-cprocsp-pkcs11
    • cprocsp-rdr-gui или cprocsp-rdr-gui-gtk
  • Дистрибутив КриптоПро Fox:
    • Скачать КриптоПро Fox 17 для 32-разрядных Linux
    • Скачать КриптоПро Fox 17 для 64-разрядных Linux
    • Скачать КриптоПро Fox 31 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 31 для 64-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 38 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 38 для 64-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 45 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)

Установка КриптоПро Fox на ОС Apple OS X

Для работы на ОС Apple OS X надо установить:

  • КриптоПро CSP 3.6 R3 или новее (страница загрузки)
  • КриптоПро Fox:
    • cкачать КриптоПро Fox 17 для Apple OS X
    • cкачать КриптоПро Fox 31 для Apple OS X 10.6+
    • cкачать КриптоПро Fox 38 для Apple OS X 10.10+
    • cкачать КриптоПро Fox 45 для Apple OS X 10.10+

Либо надо установить:

Единый дистрибутив КриптоПро CSP 3.6 R3 или новее и КриптоПро Fox для Apple OS X (страница загрузки)

Настройка

Для работы с односторонней аутентификацией надо:

установить корневой сертификат в хранилище «Доверенные корневые центры сертификации» («Root»)

Для работы с двухсторонней аутентификацией дополнительно надо:

  • иметь закрытый ключ и его сертификат
  • сертификат должен быть установле в хранилище «Личные» («My») текущего пользователя со ссылкой на закрытый ключ
  • назначение сертификата (Extended Key Usage) должно быть «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)»
  • назначение ключа в сертификате (Certificate Key Usage) должно быть: «Цифровая подпись (Signing)», «Неотрекаемость (Non-repudiation)», «Шифрование ключа (Key Encipherment)», «Шифрование данных (Data Encipherment)»
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector