Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

https://www.cryptopro.ru/products/csp

Warning

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

  • КриптоПро CSP версии 4.0 R4;
  • КриптоПро CSP версии 5.0;

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base. 

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ). 

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS. 

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Установка КриптоПро CSP

...

Архив с программным обеспечением (КриптоПро CSP) можно загрузить c официального сайта www.cryptopro.ru, предварительно зарегистрировавшись на сайте.

...

ПакетОписание
Базовые пакеты:
cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ
lsb-cprocsp-baseОсновной пакет КриптоПро CSP
lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты
lsb-cprocsp-kc1Провайдер криптографической службы KC1
lsb-cprocsp-rdrПоддержка ридеров и RNG
Дополнительные пакеты:
cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций
cprocsp-rdr-rutokenПоддержка карт Рутокен
cprocsp-rdr-jacartaПоддержка карт JaCarta
cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP
lsb-cprocsp-pkcs11Поддержка PKCS11


Для просмотра всех установленых установленных пакетов Криптопро КриптоПро CSP ввести команду: 

Command
dpkg -l | grep cprocsp

...

Warning
Начиная с версии КриптоПро 4.0 R4 и выше, модули поддержки смарткарт смарт-карт входят в состав пакета.


Ключ для работы в режиме замкнутой программной среды Astra Linux SE.

...

  • Перед импортом ключа, следует предварительно установить пакет astra-digsig-oldkeys
  • Ключ для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию:/etc/digsig/keys/legacy/cryptopro
  • После чего выполнить команду:

    Command
    sudo update-initramfs -uk all


  • и перезагрузить АРМ


Info

Astra Linux Special Edition: Режим замкнутой программной среды



Проверка лицензии

Проверить срок истечения лицензии можно командой:

...

Note

В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой: 

Command
/opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Aktiv Rutoken ECP 00 00\TestContainer' -change 'Ваш_новый_пароль'



Менеджер сертификатов

...

КриптоПро в Linux

...

Категории сертификатов

Они Сертификаты делятся на четыре категории:*

  • личные сертификаты (

...

  • устанавливаются в хранилище umy, где u = User, my - имя хранилища)

...

  • . Для таких сертификатов, как правило

...

  • , имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл

...

  • ;

...

  • корневые сертификаты -

...

  • краеугольный камень безопасности, так как цепочки доверия строятся от них

...

  • .  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (

...

  • устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут

...

  • доступны в режиме read only в root-хранилищах всех пользователей);

...

  • промежуточные сертификаты - появляются, когда есть промежуточные УЦ (структура вида "головной УЦ" -> "промежуточный УЦ" -> "пользовательский сертификат"). Прямое доверие к ним не требуется (

...

  • устанавливаются в uca, также администратор может поставить их в mca). В это же хранилище

...

  • устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов

...

  • и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они

...

  • загружаются автоматически и

...

  • устанавливаются в хранилище ucache. В общем про них можно ничего особо не знать и ничего не делать.

...

  • сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это

...

  • не лучшая, но

...

  • распространенная практика), либо в uAddressBook;

Установка

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации:

...

Установка сертификата удостоверяющего центра ГУЦ в mRoot:

Command
sudo curl wget https://structure.mil.ru/download/doc/morf/military/files/ca2020.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin

Установка списка отозванных сертификатов (CRL), ставим его с того же сайта в mca:

Command
wget https://structure.mil.ru/download/doc/morf/military/files/ca2020.cer | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin

Установка промежуточного сертификата МО в mca:

Command
sudo curl /crl_20.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl 


Info
titleПримечание

В опции -pattern >>>  'rutoken' может быть другим в зависимости от подключенного токена.

В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует сохранить сертификаты в файлах, перенести их на рабочую станцию. и в команде установки заменить параметр -stdin заменить на параметр -file с указанием имени файла. Например:

  1. Сохранить файлы:

    Command
    wget https://structure.mil.ru/download/doc/morf
/military/files/ca2019.cer | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin

Установка списка отвызва сертификатов (CRL), ставим его с того же сайта в mca:

Command
sudo curl
  1. /military/files/ca2020.cer
    wget https://structure.mil.ru/download/doc/morf/military/files/crl_20.crl
| sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl 
Info
titleПримечание

В опции -pattern >>>  'rutoken' может быть другим в зависимости от подключенного токена.

В случае, если рабочая станция не имеет доступа к сети, следует stdin заменить на -file /tmp/ca.cer и -file /tmp/ca.crl

  1. Перенести файлы на рабочую станцию;
  2. Установить файлы на рабочей станции:

    Command

    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020.cer
    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20.crl -crl 




Info
titleПримечание

1) Имена хранилищ указаны в формате  certmgr, у cryptcp похожий формат: -mroot и -uAddressBook

2) Из под учетной записи пользователя ставится в uca, из под учетной записи администратора ставить в mca:

3) В опции -pattern можно указать пустые < ' ' > чтобы установить все сертификаты в uMy. Пример: 

Command
/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ''

4) В случае, если личный сертификат извлечен, следует использовать опцию -file :

Command
certmgr -inst -file cert.cer -store uMy

5) Хранилища пользователей хранятся в /var/opt/cprocsp/users


...

* attached (присоединённая), тогда результирующий файл - это CMS-сообщение, внутрь которого упакованы данные и атрубуты атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows).

...

использовать ключ -verall - он понимает, указывающий, что надо найти всех подписавших и ищет , в том числе в сообщении:

Command
Title/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/shuhrat/smolensk/raport.pdf raport.pdf.sig

CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Папка '/home/shuhrat/smolensk/': /home/shuhrat/smolensk/raport.pdf... Проверка подписи...

Автор подписи: "АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Москва, 77 г.
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочки сертификатов проверены.
Папка './': raport.pdf... Проверка подписи...

 Подпись проверена.
[ErrorCode: 0x00000000]

...

Графический интерфейс КриптоПро CSP v. 5.0 (cptools)

...

В версии КриптоПРО КриптоПро 5 появилась графическая утилита для работы с сертификатами - cptools.

...