...

См. также:   Запуск службы pcscd с ненулевыми мандатными атрибутами

Какие

...

токены Рутокен работают с Astra Linux

...

Рутокен  Рутокен S– модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро,  VipNet и VipNet и других. Сертифицированы во ФСТЭК.Рутокен 

Рутокен Lite  – модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро,  VipNet и VipNet и других. Сертифицированы во ФСТЭК.   Обладает интерфейсом CCID и не требует установки дополнительных драйверов.

Рутокен ЭЦП 2.0 – имеет встроенный криптопровайдер и высокую производительность– высокопроизводительная модель со встроенным криптопровайдером. Формирует квалифицированную электронную подпись (КЭП) при помощи сертифицированной реализации российских криптографических алгоритмов непосредственно в самом чипе устройстве, что повышает безопасность использования ЭП — ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. Работает с алгоритмами ГОСТ 2012. Сертифицированы в ФСБ и ФСТЭК.  Широко используется Используется в системе ЕГАИС с 2016 года. В активном пользовании более полумиллиона устройств с квалифицированной электронной подписью.

Рутокен ЭЦП PKI  PKI и Рутокен ЭЦП 3.0

Более подробная информация: https://dev.rutoken.ru/pages/viewpage.action?pageId=66814078Тестирование

Проверка электронной подписи в Astra Linux

...

Кроме С помощью токенов, кроме двухфакторной аутентификации, можно проверять также подписание подписи документов.:

Для Рутокен Lite/S подписание подпись документа можно проверить с помощью:

1. КриптоАРМ ГОСТ.
2. Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP».

Для Рутокен ЭЦП 2.0 подписание подпись документа можно проверить с помощью:

1. КриптоАРМ ГОСТ.
2. Тестовый центр регистрации Рутокен  +   Рутокен Плагин.
3. OpenSSL +  Рутокен  Рутокен engine.
4. Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»

Рутокен для платформ Байкал и Эльбрус

...

Токены Рутокен Lite и Рутокен ЭЦП одинаково хорошо работают на всех платформах,

...

имеющих USB-интерфейс.

...

Для подписи с использованием Рутокен можно использовать:

1. Тестовый центр регистрации Рутокен  +   Рутокен Плагин.
2. Утилита из КриптоПро CSP 5.0.
3. КриптоАРМ ГОСТ.
4. Для платформы Байкал М1 под управлением Astra Linux можно использовать предлагаемый разработчиками КриптоПРО пакет cryptoarm-gost-v2.5.12.linux-aarch64.deb (доступен по ссылке: https://github.com/CryptoARM/CryptoARMGOST/releases/tag/v2.5.12).

Установка

Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:

• Программное обеспечение из репозиториев Astra Linux:
  • пакетlibccid;
  • пакет libpcsclite1;
  • пакет
• библиотека libccid, librtpkcs11ecp.so;
• пакеты libpcsclite1 и
  • pcscd;
  • пакет opensc;

  • пакет pcsc-tools

.

Для установки в терминале введите команду:

• • ;

• Программное обеспечение, предоставляемое разработчиком оборудования:
  • пакет librtpkcs11ecp
    
    

Установка пакетов может быть выполнена с помощью Графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install 

sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc

Для установки библиотеки librtpkcs11ecp.so следует перейти по указанной ссылке и скачать необходимую версию:
пакета librtpkcs11ecp загрузить актуальную версию по ссылке: https://www.rutoken.ru/support/download/pkcs/Image Removed и установить пакет:

sudo apt install ./librtpkcs11ecp_1.8.2.0-1*_amd64.deb

Проверка работы Рутокен в системе

Для проверки работы Рутокена:
Подключите устройство к компьютеру.

Способ №1

...

При установке пакета устанавливается библиотека librtpkcs11ecp.so В разных обновлениях эта библиотека может размещаться в различных каталогах. Для того, чтобы определить путь до библиотеки можно использовать команду:

pcsc_scan

Image Removed

Способ №2

Введите команду:

Image Removed

...

Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:

Далее в примерах предполагается, что библиотека расположена в файле /usr/lib/librtpkcs11ecp.so.

Проверка работы Рутокен в системе

Для проверки работы токена необходимо подключить токен к компьютеру.

Команда pcsc_scan

Команда для проверки:

pcsc_scan

Команда после запуска проверяет наличие подключенного токена. Если токен обнаружен - выводит информацию о нем. Далее программа ожидает подключение следующего токена. Для завершения работы программы нажать Ctrl+C.

Пример вывода команды:

Using reader plug'n play mechanism
Scanning present readers...
0: Aktiv Rutoken lite 00 00
 
Fri Mar 31 13:29:35 2023
 Reader 0: Aktiv Rutoken lite 00 00
  Event number: 0
  Card state: Card inserted, 
  ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2

ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
+ TS = 3B --> Direct Convention
+ T0 = 8B, Y(1): 1000, K: 11 (historical bytes)
  TD(1) = 01 --> Y(i+1) = 0000, Protocol T = 1 
-----
+ Historical bytes: 52 75 74 6F 6B 65 6E 6C 69 74 65
  Category indicator byte: 52 (proprietary format)
+ TCK = C2 (correct checksum)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2

Команда pkcs11-tool

Команда для проверки:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

Пример вывода команды:

vailable slots:
Slot 0 (0x0): Aktiv Rutoken lite 00 00
  token label        : Rutoken
  token manufacturer : Aktiv Co.
  token model        : Rutoken lite
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 65.4
  firmware version   : 30.2
  serial num         : 419b79e8
  pin min/max        : 6/32

Графический инструмент XCA

Способ №3

графическая утилита XCA:

См.

XCA: графический интерфейс для работы с токенами

Изменение PIN-кода Рутокен

Описание настроек PIN-кодов по умолчанию см. Управление PIN-кодами Рутокена.

Для изменения pin-кода Рутокена введите команду:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin ваш_старый_пин --change-pin --new-pin ваш_новый_пин

...

При успешном выполнении будет выдано сообщение о том, что PIN-код

...

успешно

...

изменен:

 Using slot 0 with a present token (0x0)

...

PIN successfully changed 

...

Работа с сертификатами и ключевыми парами

...

на Рутокен ЭЦП

Проверка наличия сертификатов

Чтобы проверить наличие сертификатов и ключевых пар на Рутокене токене введите команду:

 pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l

В результате в окне терминала выполнения команды отобразится информация обо всех сертификатах и ключевых парах, хранящихся на Рутокене:

...

Если после строчки выводится информация о ключах и сертификатах, то необходимо можно считать сертификат:

Извлечение сертификата из токена

Команда для извлечения сертификата:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert cert  --id  {id} > > название_вашего_сертификата.crt

вместо вместо {id} нужно подставить ID который вы увидите в выводе команды

Если после строчки строчки

Using slot 0 with a present token (0x0) 

...

Для генерации ключевой пары в терминале следует ввести команду:

Для создания самоподписанного сертификата в терминале следует ввести команду:

engine "pkcs11" set.
Enter PKCS#11 token PIN for Rutoken ECP <no label>:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Rusbitech   
Organizational Unit Name (eg, section) []: Astra
Common Name (e.g. server FQDN or YOUR name) []:Makhmadiev Shuhrat
Email Address []:shuhrat@astralinux.ru

OpenSSL> exit

...

Создав свой личный сертификат, его следует загрузить на рутокентокен:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w название_вашего_сертификата.crt -a "Имя_сертификата_в_токене" --id 45

Проверка ключей и сертификатов в Рутокенетокене:

Локальная аутентификация в Astra Linux по

...

токену Рутокен

Установка дополнительный пакетов

...

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты: 

• libccid
• pcscd
• libpam-p11
• libpam-pkcs11
• libp11-2
• libengine-pkcs11-openssl
• opensc

...

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:  
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat  Ваш_сертификат_из_токена.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

...

mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat  Ваш_сертификат_из_токена.pem >> ~/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

...

Настройка аутентификации

...

...

в появившемся окне отметить пункт Pam_p11 и нажать OK 

Проверка

Пуск - утилиты - Терминал Fly

...

Пример файла конфигурации представлен ниже:

После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.

...

Очистка всех данных с Рутокена

...

Инициализация утилитой pkcs11-tool:

...

...

Инструмент командной строки для администрирования токенов Рутокен (rtAdmin)

Утилита rtAdmin предназначена Инструмент командной строки rtadmin предназначен для автоматизации процедур форматирования и администрирования устройств Рутокен: смены метки токена, PIN-кодов и их параметров, управления разделами Flash-памяти.

При работе с утилитой рекомендуется не подключать более одного устройства.
Поддерживаемые модели:

• Рутокен Lite
• Рутокен Lite SC
• Рутокен ЭЦП
• Рутокен ЭЦП 2.0
• Рутокен ЭЦП SC
• Рутокен ЭЦП PKI
• Рутокен ЭЦП Flash
• Рутокен ЭЦП 2.0 Flash/touch
• Рутокен PINPad

Ссылки на загрузку:

rtadmin.zip

Инструмент (исполняемый файл) доступен по ссылке: https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

...

1. Отформатировать один токен с параметрами по умолчанию (для поточного выполнения убрать флаг -q)

   ./rtadmin  -f -q

   
   

2. Отформатировать токен, задав имя токена RutokenLabel, PIN-код пользователя 123456789 и PIN и PIN-код администратора 987654321.

   ./rtadmin -f -z /usr/lib/librtpkcs11ecp.so -L RutokenAstra -u 123456789 -a 98765432 1 -q

   
   

...

...

Дополнительные источники информации

...

При возникновении вопросавопросов, ответы на который вам которые не удалось найти ответ в этой настоящей инструкции, рекомендуем
обратиться к следующим дополнительным источникам информации:

• web-сайт производителя оборудования: https://rutoken.ru

...

• . Сайт содержит большой объем справочной информации об устройствах Рутокен

...

• ;
• https://dev.rutoken.ru

...

• — портал разработчиков. Содержит техническую информацию об устройствах Рутокен и руководства по

...

• их интеграции

...

• ;
• База знаний

...

• https://kb.rutoken.ru/display/kb

...

• . Содержит инструкции по решению большинства ошибок, полезные статьи и ответы на

...

• часто задаваемые вопросы.

...

• Доступен поиск по ключевым словам.
• https://forum.rutoken.ru

...

• — форум ответов на вопросы пользователей. Здесь

...

• можно задать

...

• вопрос

...

• разработчикам и сотрудникам службы технической поддержки Рутокен

...

• ;
• Рутокен и Госуслуги без использования КриптоПро:

...

• https://dev.rutoken.ru/pages/viewpage.action?pageId=78479384;
• Служба технической поддержки Рутокен:

...

• https://www.rutoken.ru/support/feedback;

...

• Сервис диагностики:

...

• https://help.rutoken.ru;
• e-mail:

...

• hotline@rutoken.ru
• тел.: +7 495 925-77-90