Рутокен плагин

Содержание:

Общая информация

КриптоПро CSP — это средство криптографической защиты информации. Он предназначен для защиты открытой информации в системах общего пользования и защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

КриптоПро CSP работает в следующих версиях операционной системы macOS:

10.9/10.10/10.11/10.12/10.13/10.14/10.15 (x64).

В операционной системе macOS у КриптоПро CSP нет графического интерфейса, поэтому вся настройка выполняется через Терминал.

Процесс настройки КриптоПро CSP в операционной системе macOS состоит из следующих этапов:

  1. Установка драйвера Рутокен S для macOS (выполняется для устройства Рутокен S).
  2. Установка КриптоПро CSP.
  3. Установка КриптоПро ЭЦП Browser plug-in.
  4. Проверка работы устройства Рутокен.
  5. Установка личного сертификата.
  6. Установка корневого сертификата.
  7. Проверка статуса лицензии КриптоПро CSP.
  8. Активация лицензии КриптоПро CSP.

После настройки КриптоПро CSP необходимо проверить его работу в системе. Проверка состоит из следующих шагов:

  1. Проверка корректности работы устройства Рутокен.
  2. Проверка наличия сертификата на устройстве Рутокен.
  3. Тестирование процесса подписания документа.

Astra Linux · ALT Linux · Rosa Linux · РЕД ОС · ГосЛинукс · Циркон · ОС ЕМИАС · ОС Эльбрус · ОС МСВС · ОС Лотос · ОСнова и Стрелец

Astra Linux Common Edition и Special Edition

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по ГОСТ и RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S * / Рутокен Lite

* Рутокен S не поддерживается на платформах Эльбрус (релиз Ленинград) и ARM (Новороссийск)

Протестированные релизы

ОРЕЛ, СМОЛЕНСК (X86-64) ЛЕНИНГРАД (ЭЛЬБРУС) НОВОРОССИЙСК (ARM) СЕВАСТОПОЛЬ (БАЙКАЛ MIPS)

Полезные руководства

ALT Linux

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S * / Рутокен Lite

*Рутокен S не поддерживается на платформах Эльбрус и Таволга

Протестированные релизы

ALT 8 (СП) И 9 — X86-64 ALT 8 (СП) И 9 — ЭЛЬБРУС ALT 8 (СП) И 9 — ARM64 ALT 8 (СП) И 9 — ТАВОЛГА

Полезные руководства

  • Локальная аутентификация в ALT Linux 9.0 по Рутокен ЭЦП 2.0
  • Локальная аутентификация в ALT Linux 6.0-8.0 по Рутокен ЭЦП 2.0
  • Настройка Kerberos-аутентификации

ROSA Linux

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S / Рутокен Lite

Протестированные релизы

FRESH RED RELS RELD КОБАЛЬТ ХРОМ НИКЕЛЬ

Полезные руководства

РЕД ОС 

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S / Рутокен Lite

Протестированные релизы

РЕД ОС 7.1 МУРОМ РЕД ОС 7.2 

Полезные руководства

  • Аутентификация в РЕД ОС при помощи RSA ключей на Рутокен ЭЦП 2.0
  • Настройка Kerberos-аутентификации

GOSLINUX («ГосЛинукс»)

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S

Протестированные релизы

IC4 IC5 

Полезные руководства

  • Аутентификация в CentOS 7 и Goslinux при помощи ГОСТ ключей на Рутокен ЭЦП 2.0

Циркон 36С и Циркон 36Т

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Рутокен S

Протестированные релизы

ЦИРКОН 36С ЦИРКОН 36Т 

Полезные руководства

  • Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
  • Настройка Kerberos-аутентификации

ОС ЕМИАС

Совместимость подтверждается тестами специалистов обоих компаний.

Локальная аутентификация по ГОСТ или RSA 

Совместимость с КриптоПро CSP и VipNet CSP 

Семейство Рутокен ЭЦП 2.0

Протестированные релизы

ОС ЕМИАС 1.0  

Полезные руководства

  • Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux

ОС Эльбрус

Совместимость подтверждается тестами специалистов обоих компаний.

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Протестированные релизы

ОС ЭЛЬБРУС 4.X  

Полезные руководства

  • Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
  • Настройка Kerberos-аутентификации

Мобильная система Вооружённых Сил (ОС МСВС)

Совместимость подтверждается тестами специалистов обоих компаний.

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Протестированные релизы

ОС МСВС 5

Полезные руководства

  • Аутентификация в CentOS 7 и Goslinux при помощи ГОСТ ключей на Рутокен ЭЦП 2.0

ОС Лотос

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Протестированные релизы

ОС ЛОТОС

Полезные руководства

  • Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
  • Настройка Kerberos-аутентификации

ОСнова и Стрелец

Локальная аутентификация по ГОСТ или RSA 

Доменная аутентификация Kerberos по RSA 

Работа через Рутокен Плагин 

Совместимость с КриптоПро CSP и VipNet CSP 

Рутокен ЭЦП PKI

Семейство Рутокен ЭЦП 2.0

Протестированные релизы

ОС ОСНОВА ОС СТРЕЛЕЦ

Полезные руководства

  • Установка КриптоПро CSP и Cades Plugin для работы с Рутокен на Linux
  • Настройка Kerberos-аутентификации

Функциональные возможности

  • Управление жизненным циклом ключевых носителей (токенов и смарт-карт) — от постановки на учет и ввода в эксплуатацию до вывода из эксплуатации и списания;
  • Управление информацией на ключевых носителях: генерация ключей, запись сертификатов, обновление данных;
  • Управление политиками PIN-кодов носителей;
  • Учет и контроль носителей с ключами и сертификатами, выпущенными сторонними удостоверяющими центрами;
  • Пользовательские шаблоны взаимодействия для уменьшения времени выполнения операций и снижения вероятности человеческих ошибок.
  • Возможность интеграции с внешними системами: СКУД, SSO, IdM/IAM, средствами защиты от НСД, комплексами мониторинга и управления ИБ, кадровыми системами;
  • Возможность ведения автоматизированного учета СКЗИ в соответствии с нормативными документами.

Подключение с помощью физического ключа Рутокен

Обычно используется для компьютера или ноутбуков на базе ОС Windows или macOS. 

Для этого подключения необходимы:

  • Рутокен с действующим сертификатом.
  • Программа Рутокен VPN Клиент, установленная на компьютере.
  • Конфигурационный файл для настройки Рутокен VPN Клиента

1) Для генерации сертификата и конфигурационного файла, перейдите на вкладку «Пользователи и сертификаты» и выберите «Список пользователей».

Напротив нужного пользователя нажмите «Рутокен».

2) Для генерации сертификата на Рутокен, необходимо установить на компьютер Рутокен Плагин и включить в браузере расширение Адаптер Рутокен Плагин.

Перейдите по специальной ссылке на странице и выполните установку. 

Если Рутокен Плагин уже был установлен, переходите к следующему шагу. 

3) Установите  и включите в браузере Адаптер Рутокен Плагин. 

Для браузера Google Chrome

2) Если расширение Адаптер Рутокен Плагин уже установлено, но окно все равно отображается, то выполните одно из действий:

  • Включите адаптер в настройках браузера : Дополнительные инструменты — Расширения — Адаптер Рутокен Плагин.

Для браузера Mozilla Firefox

Зайдите в расширения и включите расширение Адаптер Рутокен Плагин.

После установки Рутокен Плагина при первом запуске, в браузере отобразится окно с сообщением о разрешении установить Адаптер Рутокен Плагин. Разрешите установку. 

Если по какой то причине пропустили это окна, то зайдите в расширения и включите Адаптер Рутокен Плагин.

4) Подключите Рутокен к компьютеру и обновите список устройств.

5) Введите PIN-код устройства.

6) Рядом с ID необходимого устройства нажмите «Выбрать».

7) Дождитесь окончания процесса генерации сертификата.

Обычно этот процесс занимает от 30 секунд до 5 минут, это зависит от модели Рутокена.

Пользовательский сертификат имеет стандартный срок действия 2 года.

При необходимости можно удалить пользовательский сертификат с сервера, после этого подключение по данному сертификату установить будет невозможно.

8) Загрузите конфигурационный файл.

Для этого в строке с необходимой конфигурацией нажмите «Загрузить».

9) Сохраните его на внешний носитель для передачи сотруднику или отправьте по электронной почте. 

Шифрование/расшифрование данных и/или файлов в формате CMS

Шифрование данных на клиенте для сервера

Шифрование данных на клиенте:

try
{
    var recipientCert = plugin.getCertificate(deviceId, certRecId);        
}
catch (error) 
{
    console.log(error);
}

var options = {};
options.useHardwareEncryption = true;
var cms;

try
{
    cms = plugin.cmsEncrypt(deviceId, certSenderId, recipientCert, data, options);
}
catch (error) 
{
    console.log(error);
}

Перед расшифрованием сообщение нужно обрамить PEM-заголовками «——BEGIN PKCS7——» и «——END PKCS7——«:

Расшифрование данных на сервере

openssl cms -decrypt -binary -in message.cms -inform PEM -recip respondent.cer -inkey recipient.key -out drecipient.crt

recipient.crt — сертификат того, для кого зашифровано сообщение, recipient.key — ключ того, для кого зашифровано сообщение.

Расшифрование данных, полученных с сервера, на клиенте

Шифрование данных на сервере для клиента:

openssl cms -encrypt -binary -gost28147-paramset_a-cfb -in data.file -out message.enc -outform PEM user.crt

Расшифрование данных на клиенте:

var data;
var options = {};
try
{
    data = plugin.cmsDecrypt(deviceId, keyId, cms, options);
}
catch (error) 
{
    console.log(error);
}

Что такое КриптоПро Рутокен CSP

Решение КриптоПро Рутокен CSP — это совместная разработка компаний «КриптоПро» и «Актив», в которой интегрированы возможности криптопровайдера КриптоПро CSP и USB-токенов Рутокен

Важной особенностью технологии ФКН является разделение криптографических мощностей между криптопровайдером КриптоПро CSP и Рутокен КП — специально адаптированной под технологию ФКН моделью криптографического USB-токена, выполненной на базе Рутокен ЭЦП

Рутокен КП используется в технологии ФКН для генерации ключевых пар, выработки ключей согласования, осуществления электронной подписи и т. п. Выполнение этих операций на борту токена обеспечивает максимально высокую степень сохранности ключевой информации. Рутокен КП используется и поставляется только в составе КриптоПро Рутокен CSP, отдельно этот USB-токен не распространяется.

В новой версии КриптоПро Рутокен CSP, помимо Рутокен КП, есть поддержка стандартной модели Рутокен ЭЦП 2.0 для генерации и надежного хранения ключевых пар и контейнеров КриптоПро CSP. Ключевая информация хранится на Рутокен ЭЦП 2.0 без возможности ее извлечения. Использование Рутокен ЭЦП 2.0 в составе КриптоПро Рутокен CSP дает оптимальную по стоимости и возможностям конфигурацию решения для случаев, когда повышенные требования к уровню защиты каналов связи с ключевым носителем не предъявляются.

Решение КриптоПро Рутокен CSP является преемником СКЗИ КриптоПро CSP и поддерживает все его возможности. Также оно полностью интегрируется в инфраструктуру открытых ключей, базирующуюся на удостоверяющем центре «КриптоПро УЦ».

Что такое Рутокен Коннект

Рутокен Коннект использует USB-токен или смарт-карту как криптографическое средство строгой двухфакторной аутентификации и шифрования. В устройствах, работающих с Коннектом, российские криптографические алгоритмы реализованы непосредственно в самом чипе. Для взаимодействия с контекстом браузера используются технологии, позволяющие одинаково удобно подключаться к защищенным сайтам вне зависимости от используемой операционной системы или браузера.

Рутокен Коннект реализует следующие механизмы защиты информации:

  • Двухфакторную аутентификацию на веб-сервисе по аппаратному носителю;
  • Шифрование канала между компьютером пользователя и веб-сервисом по ГОСТ 28147-89;
  • Вычисление и проверку электронной подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит);
  • Вычисление сессионного ключа по VKO ГОСТ Р 34.10-2012 и VKO ГОСТ Р 34.10-2012 (256 и 512 бит);
  • Разграничение доступа к ресурсам веб-сервиса на основе цифровых сертификатов.

Рутокен Коннект устанавливается и работает с правами обычного пользователя и использует только встроенные в браузеры возможности и API. Рутокен Коннект не требует установки сторонних средств проксирования, а также дополнительных компонентов, фреймворков и платформ, таких как Java, Microsoft Silverlight и др.

Установщик Рутокен Коннекта реализован в виде простого one-click-installer, не требующего прав администратора и выбора опций. Может быть установлен и настроен в полуавтоматическом режиме с минимальным участием пользователя.

Как скопировать сертификат в реестр

Процесс копирования закрытых ключей с флешки на ПК состоит из нескольких этапов: настройки считывателей, самого копирования и установки.

Настройка считывателя

Для установки реестра в список считывателей ключевых носителей пользователь должен:

запустить КриптоПро от имени администратора;

через «Оборудование» нажать «Настроить считыватель»;

в открывшемся новом окне нажать кнопку «Добавить»;

затем в мастере установки выбрать, какой считыватель необходимо добавить (реестр, смарт-карту, диски и т.д.);

последовательно нажать «Далее» и «Готово».

Для последующей корректной работы необходимо перезагрузить компьютер.

Копирование

Для копирования сертификата в реестр лучше воспользоваться программой КриптоПро. Пользователь запускает программу и нажимает «Запустить с правами администратора».

Затем переходим во вкладку «Сервис» и жмем «Скопировать».

Откроется окно «Контейнер закрытого ключа», в нем нажмите на кнопку «Обзор» и выберите сертификат, который необходимо скопировать.

В поле «Имя ключевого контейнера» имя отразится в нечитаемом формате. Это нормально.

Нужно нажать «ОК» и «Далее», после чего откроется окно для ввода пин-кода от USB-носителя.

Если пароль не менялся, то стандартный будет:

  • для Рутокен для пользователя: 12345678;
  • для Рутокен для администратора:87654321;
  • для eToken: 1234567890.

Теперь нужно переложить сертификаты в реестр.

Последний шаг — после копирования контейнера задаем новый пароль.

На этом процесс копирования закрытого ключа электронной подписи закончен.

Установка

После копирования установить сертификат ЭЦП на компьютер с флешки в реестр можно 2 способами:

  • через установку личных сертификатов;
  • через просмотр сертификатов в контейнере.

Оба способа используют программу КриптоПро CSP.

Через раздел личных сертификатов

Как установить ЭЦП в реестр при условии, что на ключевом носителе имеется папка *.000 и файл .cer:

Запустить КриптоПро и выбрать «Установить личный сертификат» через вкладку «Сервис».

В мастере установки сертификатов нажать «Далее» и через «Обзор» выбрать расположение файла сертификата.

В новом окне нужно выбрать «Мой компьютер» и далее вид съемного носителя, который содержит закрытый ключ. Затем нажать «Открыть»;

Далее в соответствующей строке прописывают расположения файла сертификата.

  • Затем нужно проверить данные сертификата, который необходимо установить, и нажать «Далее».
  • Следующий шаг — это в новом окне выбор ключевого контейнера через кнопку «Обзор».
  • В списке выбираем реестр, после чего нажимаем «Ок».
  • В строке с именем ключевого контейнера должен автоматически прописаться контейнер с закрытым ключом. Нажать «Далее».
  • Через «Обзор» выбираем хранилище сертификата.

Через папку «Личные» выбираем папку «Реестр», а затем нажимаем «Далее».

Последний шаг — завершить установку нажатием кнопки «Готово».

Через несколько секунд система выдаст сообщение об успешном завершении установки сертификата электронной подписи.

Через просмотр сертификатов

Данный способ подходит в том случае, если имеется только папка вида *.000.

Для установки нужно:

  • Запустить КриптоПро.
  • Через «Сервис» перейти на вкладку «Просмотреть сертификаты в контейнере».

Затем выберите носитель через кнопку «Обзор» и в открывшемся окне выделите нужный реестр.

  • В строке с именем контейнера должна быть информация о контейнере с закрытым ключом, если все верно, то нужно нажать «Ок».
  • Затем в окне с информацией нужно нажать «Свойства».

После проверки данных нажать кнопку «Установить».

В открывшемся мастере импорта нужно выбрать хранилище. Для этого сначала ставят галочку напротив «Поместить все сертификаты в…» и нажимают «Обзор».

Затем через папку «Личные» выбрать папку с носителем реестром и в строке «Название хранилища» нажать «Далее».

В завершении установки нужно лишь «Готово» в мастере установки.

Функциональность

Плагин позволяет:

  • Получать список всех подключенных к компьютеру поддерживаемых устройств
  • Получать модель поддерживаемого устройства
  • Получать метку поддерживаемого устройства
  • Осуществлять логин на устройство
  • Осуществлять логаут с устройства
  • Получать список всех ключевых пар ГОСТ Р 34.10-2012, ГОСТ Р 34.10-2001 и RSA на выбранном устройстве
  • Аппаратно генерировать ключевую пару ГОСТ Р 34.10-2012, ГОСТ Р 34.10-2001 и RSA на выбранном устройстве
  • Получать метку ключевой пары
  • Устанавливать метку для ключевой пары
  • Формировать запрос на сертификат в формате PKCS#10 для выбранной ключевой пары (поддерживаются расширения, необходимые для получения квалифицированного сертификата)
  • Импортировать на устройство сертификат формата X.509, переданный в виде base64-строки
  • Удалять выбранный сертификат с устройства
  • Получать информацию, содержащуюся в сертификате X.509 (DN, keyUsages, extendedKeysUsages и т.п.), с поддержкой расширений квалифицированного сертификата.
  • Выдавать информацию о сертификате в виде текста для печати
  • Получать список сертификатов, хранящихся на устройстве. Опционально можно задать поиск только тех сертификатов, которые связаны с закрытым ключом
  • Осуществлять подпись строки в формате CMS. Опционально строка может быть перекодирована из base64 и подписан бинарный массив.
  • Шифровать данные в формате CMS
  • Проводить процедуру аутентификации по сертификату (подпись случайных данных)
  • Производить вычисление хеш-функции от данных по алгоритму ГОСТ Р 34.11-2012 и ГОСТ Р 34.11-94

Строгая аутентификация на портале

Общая схема аутентификации, используемая в Рутокен Плагин, выглядит следующим образом: 

  • сервер формирует начальную последовательность случайных данных (строку salt) и отправляет ее на клиент
  • подпись отправляется на сервер
  • на сервере происходит проверка подписи
  • из CMS attached сообщения извлекается итоговая случайная последовательность, “отсоединяется” salt и происходит сравнение
  • в случае успешной проверки пользователь аутентифицируется на основе сертификата, извлеченного из сообщения CMS

Реализация данной схемы ничем принципиально не отличается от «Регистрация, сертификат уже имеется, выдан внешним УЦ».

Основные преимущества ФКН

  • Исключена возможность подмены подписи в протоколе обмена, электронная подпись вырабатывается по частям: сначала в ключевом носителе, потом окончательно в программной части CSP.
  • Генерация ключей электронной подписи и ключей согласования, а также создание электронной подписи внутри ФКН.
  • Передача хэш-значения по защищенному каналу, исключающему возможность подмены.
  • После создания контейнера ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера, а также не используются в явном виде в криптографических преобразованиях.
  • Усиленная защита данных при передаче по открытому каналу благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола на основе процедуры EKE (electronic key exchange). При этом передается не PIN-код, а точка на эллиптической кривой.
  • Повышенная конфиденциальность закрытых ключей.
  • Ключ может быть сгенерирован ФКН или загружаться извне.
  • Выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской электронной подписи.

Порядок действий для библиотеки librtpkcs11ecp.so

0. Проверка модели устройства

  1. Подключите USB-токен к компьютеру.
  2. Для определения названия модели USB-токена откройте Терминал и введите команду:
$ lsusb 

В результате в окне Терминала отобразится название модели USB-токена:

Убедитесь, что используете: Aktiv Rutoken ECP

1. Генерация ключей

Первый вариант

На сервере или любой клиентской *nix машине выполняем следующие действия:

1.1 Устанавливаем необходимые для работы с Рутокен пакеты:

$ sudo apt-get install opensc          

1.3 Генерируем ключевую пару на Рутокен:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

1.4 Конвертируем в формат ssh открытый ключ на Рутокен:

$ ssh-keygen -D /usr/lib/librtpkcs11ecp.so -I 0:45 >> key.pub

Здесь пара 0:45 — это <слот>:<id>.

1.5 Дополнительно для

1.5.1 Выписываем сертификат для сгенерированной ключевой пары:

$ sudo apt-get install libengine-pkcs11-openssl
$ openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.cert -text -days 365 -text
OpenSSL> exit

1.5.2 Конвертируем сертификат в DER-формат:

$ openssl x509 -in cert.cert -out cert.der -outform der

1.5.3 Импортируем сертификат на Рутокен

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.der --id 45 --label Rutoken1

Второй вариант

На сервере или любой клиентской *nix машине выполняем следующие действия:

1.2 Библиотеку помещаем в директорию

1.3 Устанавливаем и :

$ sudo apt-get install openssh-client openssl          

1.4 Генерируем ключевую пару:

$ openssl genrsa -out keys.pem 2048

1.5 Создаем самоподписанный сертификат:

$ openssl req -new -key keys.pem -out cert.csr
$ openssl x509 -req -days 700 -in cert.csr -signkey keys.pem -out cert.cert

1.6 Конвертируем ключи и сертификат в DER-формат:

$ openssl rsa -inform PEM -in keys.pem -out keys.der -outform DER
$ openssl x509 -in cert.cert -out cert.der -outform der

1.7 Импортируем ключи и сертификат в DER-формате на Рутокен:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y privkey -w keys.der --id 10 --label Rutoken1
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.der --id 10 --label Rutoken1

1.8 Конвертируем открытый ключ на Рутокен в формат ssh:

 $ ssh-keygen -D /usr/lib/librtpkcs11ecp.so -I 0:10 >> key.pub

Здесь пара 0:10 — это <слот>:<id>.

2. Настройка сервера

2.1 Устанавливаем :

$ sudo apt-get install opensc openssh-server

2.2 Копируем на сервер содержимое полученного на шаге 1.4 (1.8 второй вариант) файла в файл (если такого файла нет, нужно его создать).

3. Настройка *nix-клиента 

3.1 Устанавливаем и :

$ sudo apt-get install openssh-client   
 ssh -I /usr/lib/librtpkcs11ecp.so <username>@<server>

Что такое Рутокен Плагин

Рутокен Плагин в качестве средства криптографической защиты и строгой двухфакторной аутентификации использует USB-токен или другое устройство, в котором аппаратно реализованы российские криптографические алгоритмы. Для работы в контексте браузера используются кроссплатформенные и мультибраузерные технологии, позволяющие одинаково удобно работать с электронной подписью в браузере вне зависимости от используемой операционной системы.

Рутокен Плагин позволяет реализовать следующие механизмы защиты информации:

  • двухфакторную аутентификацию в Web-сервисе по аппаратному носителю;
  • шифрование обмена данными между браузером и Web-сервисом по ГОСТ 28147-89;
  • электронную подпись по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит) и RSA;
  • вычисление хэш-функции по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012 (256 и 512 бит);
  • разграничение доступа к ресурсам Web-сервиса на основе цифровых сертификатов.

Для интеграции с системами, использующими цифровые сертификаты и инфраструктуру PKI, в продукте реализована поддержка:

  • цифровых сертификатов формата Х.509;
  • запросов на сертификаты PKCS#10;
  • подписи и шифрования данных в формате CMS, в том числе и для нескольких адресатов.

Рутокен Плагин устанавливается и работает с правами пользователя и использует только встроенные в браузер возможности и API. Рутокен Плагин не требует установки средств проксирования и дополнительных компонентов, фреймворков и платформ, таких как Java, Microsoft Silverlight и др.

Программа установки Рутокен Плагина реализована в виде простейшего one-click-installer, то есть не требует ни прав администратора, ни выбора пользователем никаких опций. При посещении пользователем защищенного сайта Рутокен Плагин автоматически загружается на Web-страницу, и после этого его функции могут вызываться из скриптов страницы.

Компоненты системы

Консоль управления — интерфейс для администраторов системы и сотрудников технической поддержки. В нем производится настройка системы и работа с носителями.

Сервис самообслуживания — личный кабинет пользователя, в котором пользователь может самостоятельно решать наиболее часто встречающиеся задачи.

Сервис самообслуживания за пределами домена — личный кабинет пользователя, доступный вне сети организации, из любой точки мира, позволяет решать ряд задач: отзыв устройства при утрате, разблокировка PIN-кода, временное выключение устройства.

Журнал событий, в котором фиксируется все происходящее в системе. Просмотр журнала доступен в интерфейсе консоли управления, там же возможно построение отчетов по различным критериям.

База данных Рутокен KeyBox. Информация хранится в каталогах Active Directory (AD) или СУБД. Данные об учетных записях пользователей берутся из каталогов AD, не требуя ручного добавления пользователей в систему не надо. При хранении данных в AD не требуется расширение схемы: все данные локализованы в отдельном контейнере.

Коннекторы. Библиотека модулей сопряжения Рутокен KeyBox с внешними системами. Такие модули позволяют реагировать на события, возникающие в Рутокен KeyBox и выполнять дополнительные действия. Примером реализации является интеграция с Удостоверяющим Центром, которая позволяет автоматизировать управление сертификатами сотрудников (выпускать, отзывать, приостанавливать).

Удостоверяющий центр. Центр сертификации, выпускающий пользовательские сертификаты. В качестве центра сертификации может использоваться Microsoft Certification Services или Удостоверяющий центр КриптоПро.

Card Monitor. Утилита мониторинга состояния смарт-карт.

Middleware — компонент, предоставляющий единый интерфейс остальным компонентам системы по управлению устройствами, подключенными к рабочей станции.

Агент — используется для удаленного выполнения задач (блокировки, разблокировки, смены PIN-кода администратора и т. п. ) на устройствах пользователей.

Проверяем наличие подходящего личного сертификата на Рутокене ЭЦП

Список сертификатов с соответствующими им закрытыми ключами возвращает функция enumerateCertificates(deviceId, category) → {string[]}

Тело сертификата (каждого по отдельности) можно получить функцией getCertificate(deviceId, certId) → {string}

Среди обнаруженных на Рутокене сертификатов необходимо найти соответствующий требованиям защищенного сервера вашей информационной системы. 

Если среди обнаруженных сертификатов не оказалось подходящего, либо Рутокен пуст, следует сообщить пользователю, что необходимый для подключения сертификат не найден и ему необходимо его получить установленным для вашей информационной системы способом.

Лицензирование

Рутокен KeyBox лицензируется по количеству пользователей. Лицензия не ограничена по сроку. Одна лицензия дает право на использование продукта и регистрацию смарт-карт и USB-токенов для одной учетной записи пользователя. Лицензия присваивается конкретной учетной записи пользователя, но при необходимости ее можно отозвать и присвоить другой учетной записи.

Лицензия включает право использования (установки и эксплуатации) серверного ПО Рутокен KeyBox, необходимого для обслуживания пользователей. Количество лицензий может быть изменено в сторону увеличения путем приобретения дополнительного количества лицензий.

Лицензия предусматривает получение бесплатной поддержки в первый год. Обслуживание включает следующие базовые элементы:

Электронная подпись данных и/или файлов в формате CMS

  • формируется текстовое сообщение (строка), формирование сообщения может происходить как на сервере, так и на клиенте
  • если требуется подписать документ произвольного формата (например, PDF), то требуется перекодировать его в формат base64
  • если строка представляет собой закодированные в base64 данные, то параметр функции isBase64 должен быть установлен в true, при этом перед подписью произойдет декодирование данных из base64
  • если требуется использовать аппаратное вычисление хэш-функции ГОСТ Р 34.11-94 (сертифицированная реализация, скорость 60-70 Кб/c), то в options нужно установить опцию useHardwareHash в true. Если данная опция установлена в false, то будет использована быстрая программная реализация хэш-функции ГОСТ Р 34.11-2012
  • если требуется сформировать “отсоединенную” (detached) подпись CMS, то нужно установить опцию detached в true, иначе будет сформирована “присоединенная” (attached) подпись
  • для того, чтобы включить/не включить пользовательский сертификат в подписанное CMS-сообщение существует опция addUserCertificate
  • Установка опции addSignTime в true приведет к тому, что в подписанное CMS-сообщение будет добавлено системное время в качестве подписанного атрибута

Проверка подписи на сервере описана выше.

Настройка двухфакторной аутентификации с использованием устройства Рутокен U2F в облачном хранилище Dropbox

В Dropbox двухфакторная аутентификация называется двухэтапной проверкой. Поэтому далее в описаниях раздела используется именно этот термин.

В этом разделе:

Перед тем, как настроить двухэтапную проверку необходимо проверить включена она или нет в аккаунте.

Проверка включения двухэтапной проверки в Dropbox

Для проверки включения двухэтапной проверки: 

  1. Зайдите в свой аккаунт.
  2. Нажмите на фото своего профиля.
  3. Выберите пункт Настройки.
  4. Перейдите на вкладку Безопасность.
  5. Проверьте режим двухэтапной проверки (строка Двухэтапная проверка).
  6. Если двухэтапная проверка выключена (выбран режим Выкл), то ее необходимо включить. Для этого перейдите в раздел .
  7. Если двухэтапная проверка включена (выбран режим Вкл), то необходимо сразу перейти к настройке устройства Рутокен U2F. Для этого перейдите в раздел .

Включение двухэтапной проверки в Dropbox

Чтобы включить двухэтапную проверку:

  1. На вкладке Безопасность измените режим в строке Двухэтапная проверка на Вкл. 
  2. Нажмите С чего начать.
  3. Введите пароль от своего аккаунта и нажмите Далее.
  4. Установите переключатель в положение Использовать текстовые сообщения и нажмите Далее.
  5. Введите номер телефона, на который вы хотели бы получать текстовые сообщения с кодом безопасности, и нажмите Далее.
  6. В SMS-сообщении вы получите код безопасности. Введите этот код и нажмите Далее.
  7. При необходимости введите второй номер телефона и нажмите Далее.
  8. Откроется окно с резервными кодами для восстановления доступа к аккаунту. Сохраните эти коды в безопасном месте и нажмите Далее.
  9. В окне с уведомлением о том, что теперь для входа в аккаунт нужно будет ввести код безопасности нажмите Далее. В результате включится двухэтапная проверка.

После этого необходимо добавить устройство Рутокен U2F к аккаунту (этот процесс описан в следующем разделе).

Добавление устройства Рутокен U2F к аккаунту в Dropbox

Перед тем, как добавить устройство к аккаунту необходимо проверить корректность его работы.  Для этого подключите Рутокен к USB-порту компьютера. Если он подключен корректно, то на нем начнет светиться индикатор. Если этого не произошло, то попробуйте подключить Рутокен к другому USB-порту компьютера.

Чтобы добавить Рутокен U2F к аккаунту:

Чтобы выйти из аккаунта, нажмите на фотографию своего профиля и выберите пункт Выйти.

Теперь зайдите в свой аккаунт с помощью Рутокен U2F (этот процесс описан в следующем разделе). 

Вход в аккаунт с помощью устройства Рутокен U2F в Dropbox

Чтобы войти в аккаунт:

  1. Подключите Рутокен U2F к компьютеру.
  2. Введите логин и пароль от своего аккаунта.
  3. Нажмите Войти. На токене начнет мигать индикатор.

  4. Нажмите на сенсорную кнопку на устройстве Рутокен U2F. В результате вы зайдете в свой аккаунт.

Удаление сведений о Рутокен U2F в Dropbox

Если вы потеряли Рутокен U2F, который был привязан к аккаунту, или он перестал работать, то необходимо в Dropbox удалить сведения о нем. 

Для начала войдите в свой аккаунт при помощи мобильного телефона или кода безопасности (10 таких кодов вы сохранили на этапе включения двухэтапной проверки).

Чтобы войти в свой аккаунт при помощи мобильного телефона:

Чтобы войти в свой аккаунт при помощи кода безопасности:

Для удаления сведений об устройстве:

  1. Нажмите на фото своего профиля.
  2. Выберите пункт Настройки.
  3. Перейдите на вкладку Безопасность.
  4. В разделе Двухэтапная проверка, рядом с пунктом Ключи безопасности нажмите Изменить.
  5. В окне Ключи безопасности в строке с название устройства щелкните по значку .
  6. Введите пароль от своего аккаунта и нажмите Далее.
  7. Для подтверждения удаления сведений об устройстве нажмите Отключить. В результате сведения об устройстве Рутокен U2F будут удалены и при следующем входе в аккаунт нужно будет ввести логин, пароль и код безопасности.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector