Справочный центр

Дерево страниц

Сравнение версий

Старая версия 168

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

https://www.cryptopro.ru/products/csp

Предупреждение
  • При работе с Astra Linux в качестве СКЗИ разрешается использовать только сертифицированные версии КриптоПро CSP.
На момент последнего обновления настоящей статьи это:
  • КриптоПро CSP версии 5.0 R2 исполнение 1-Base или 2-Base;
  • КриптоПро CSP версии 5.0 исполнение 1-Base или 2-Base;;
  • КриптоПро CSP версии 4.0 R4 исполнение 1-Base или 2-Base;;
СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ).
  •  
  • При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в
частности
  • том числе требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам.
В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.
  •  
  • Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Установка КриптоПро CSP

...

Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.

...

Информация

Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.лицензию.

Для написания настоящей статьи Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4.0 R4». При этом были выполнены следующие действия:

  1. Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;
  2. Открыть "Терминал Fly" (горячая клавиша Alt+T);

  3. Разархивировать полученный архив в терминале командой:

    Command
    tar -zxf linux-amd64_deb.tgz


  4. Перейти в каталог с ПО: 

    Command
    cd linux-amd64_deb


  5. Установить ПО с помощью запуска сценария instal:

    1. Либо с для работы с графическим пользовательским интерфейсом запустив сценарий install_gui.sh командой:

      Command
      sudo ./install_gui.sh

      В процессе установи выбрать необходимые компоненты:
      Image Modified


    2. Либо с для работы без графического пользовательского интерфейса запустив сценарий instal.sh командой:

      Command
      sudo ./install.sh


Описание пакетов КриптоПро


ПакетОписание
Базовые пакеты:
cprocsp-curlБиблиотека libcurl с реализацией шифрования по ГОСТ
lsb-cprocsp-baseОсновной пакет КриптоПро CSP
lsb-cprocsp-capiliteИнтерфейс CAPILite и утилиты
lsb-cprocsp-kc1Провайдер криптографической службы KC1
lsb-cprocsp-rdrПоддержка ридеров и RNG
Дополнительные пакеты:
cprocsp-rdr-gui-gtkГрафический интерфейс для диалоговых операций
cprocsp-rdr-rutokenПоддержка карт Рутокен
cprocsp-rdr-jacartaПоддержка карт JaCarta
cprocsp-rdr-pcscКомпоненты PC/SC для ридеров КриптоПро CSP
lsb-cprocsp-pkcs11Поддержка PKCS11

Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:  

...

Command
export PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr '\n' ':')$PATH"

Подробнее см.  Работа с переменными окружения в Astra Linux Присвоение значений переменным окружения для пользовательских сессий.

Установка дополнительных пакетов для поддержки токенов и смарт-карт

Предупреждение
Начиная с версии КриптоПро 4.0 R4 и выше, модули поддержки смарт-карт входят в состав пакета и отдельная их установка не требуется.

Для более ранних версий:

...

карт

Для корректной работы с

...

токенами и смарт-

...

картами установить:

  • дополнительные пакеты из состава ОС:
    • libccid;
    • libgost-astra;

...

    • pcscd;
  • пакеты с модулями поддержки, предоставляемые производителями оборудования:

      ...

      ...

      Команда для установки пакетов из состава ОС:

      Command
      sudo apt install libccid pcscd libgost-astra

      Пакеты с модулями поддержки доступны по указанным выше ссылкам.

      ...

      Порядок установки модулей, предоставляемых производителями см. в инструкциях производителя, а также см. статьи Аладдин RD JaCarta в AstraLinux и Рутокен в Astra Linux.

      Ключ КриптоПРО CSP для работы в режиме замкнутой программной среды Astra Linux SE.

      ...

      Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.

      Для регистрации установки загруженного ключа:

      • установить пакет astra-digsig-oldkeys:

        Command
        sudo apt install astra-digsig-oldkeys


      • создать каталог /etc/digsig/keys/legacy/cryptopro:

        Command
        sudo mkdir -p /etc/digsig/keys/legacy/cryptopro

        Далее предполагается, что ключзагружен и помещен в созданный каталог.


      • выполнить команду:

        Command
        sudo update-initramfs -uk all


      • перезагрузить компьютер.

      ...

      Блок кода
      Nick name: HDIMAGE
Connect name: 
Reader name: HDD key storage

Nick name: CLOUD
Connect name: 
Reader name: Cloud Token

Nick name: Aktiv Rutoken lite 00 00
Connect name: 
Reader name: Aktiv Rutoken lite 00 00

      Чтобы узнать модель подключенного токена, следует модели подключенных токенов ввести команду:

      Command
      /opt/cprocsp/bin/amd64/csptest -card -enum -v -v

      После чего система выдаст информацию о подключенном устройствеподключенных устройствах, например:

      Блок кода
      Aktiv Rutoken lite 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]

      ...

      Раскрыть

      /opt/cprocsp/bin/amd64/csptestf -keyset -container 'Shuhrat' -info
      CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

      AcquireContext: OK. HCRYPTPROV: 8981043
      GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
      Container name: "Shuhrat"
      Signature key is available. HCRYPTKEY: 0x8f3b03
      Exchange key is available. HCRYPTKEY: 0x8f9883
      Symmetric key is not available.
      UEC key is not available.

      CSP algorithms info:
        Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
        DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

        Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
        DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

        Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
        DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

        Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
        DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

        Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
        DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

        Type:Hash       Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
        DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799

        Type:Encrypt    Name:'GR 34.12 64 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
        DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160

        Type:Encrypt    Name:'GR 34.12 128 K'(15) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)
        DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161

        Type:Hash       Name:'GR 34.13 64 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)
        DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828

        Type:Hash       Name:'GR 34.13 128 K MAC'(19) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)
        DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829

        Type:Hash       Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
        DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820

      Status:
        Provider handles used:        6
        Provider handles max:         1048576
        CPU Usage:                    6 %
        CPU Usage by CSP:             0 %
        Measurement interval:         119 ms

        Virtual memory used:          15281652 KB
        Virtual memory used by CSP:   116572 KB
        Free virtual memory:          26053680 KB
        Total virtual memory:         41335332 KB

        Physical memory used:         14602360 KB
        Physical memory used by CSP:  12576 KB
        Free physical memory:         5857712 KB
        Total physical memory:        20460072 KB

      Key pair info:
        HCRYPTKEY:  0x8f3b03
        AlgID:      CALG_GR3410_12_256 = 0x00002e49 (00011849):
          AlgClass: ALG_CLASS_SIGNATURE
          AlgType:  ALG_TYPE_GR3410
          AlgSID:   73
        KP_HASHOID:
          1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
        KP_DHOID:
          1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
        KP_SIGNATUREOID:
          1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
        Permissions:
          CRYPT_READ
          CRYPT_WRITE
          CRYPT_IMPORT_KEY
          0x800
          0x2000
          0x20000
          0x100000
      KP_CERTIFICATE:
        Not set.

      Key pair info:
        HCRYPTKEY:  0x8f9883
        AlgID:      CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
          AlgClass: ALG_CLASS_KEY_EXCHANGE
          AlgType:  ALG_TYPE_DH
          AlgSID:   70
        KP_HASHOID:
          1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
        KP_DHOID:
          1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
        KP_SIGNATUREOID:
          1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
        Permissions:
          CRYPT_READ
          CRYPT_WRITE
          CRYPT_IMPORT_KEY
          0x800
          0x10000
          0x20000
          0x100000
      KP_CERTIFICATE:
      Subject: INN=007814508921, E=user@astralinux.ru, C=RU, CN=Махмадиев Шухрат, SN=Махмадиев
      Valid  : 18.10.2018 12:07:24 - 18.01.2019 12:17:24 (UTC)
      Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2

      Container version: 2
      Carrier flags:
        This reader is removable.
        This reader supports unique carrier names.
        This carrier does not have embedded cryptography.
      Keys in container:
        signature key
        exchange key
      Extensions (maxLength: 1435):
        ParamLen: 46
        OID: 1.2.643.2.2.37.3.9
        Critical: FALSE
        Size: 19
        Decoded size: 24
        PrivKey: Not specified - 18.01.2020 07:31:07 (UTC)

        ParamLen: 47
        OID: 1.2.643.2.2.37.3.10
        Critical: FALSE
        Size: 19
        Decoded size: 24
        PrivKey: Not specified - 18.01.2020 07:31:12 (UTC)
      Total: SYS: 0,020 sec USR: 0,180 sec UTC: 2,180 sec
      [ErrorCode: 0x00000000]


      Информация

      При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Получить уникальные идентификаторы ключевых контейнеров можно командой:

      Command
      /opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un


      ...

      Примечание

      Особенности применения PIN-кодов в контейнерах:

      • если аутентификацию осуществляет само устройство (как, например, токен), то PIN при создании контейнера не создается, а предъявляется, так как он - свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN;
      • если устройство аутентификацию не осуществляет (как, например, локальный носитель HDIMAGE), то при создании контейнера создается и PIN-код. Следствие: у всех контейнеров , PIN-код на HDIAMGE может быть разным.

      ...

      Скопировать контейнер из локального хранилища в хранилище Рутокена токена Рутокен ЕЦП:

      Command
      csptestf -keycopy -contsrc '\\.\HDIMAGE\Контейнер_оригинал' -contdest '\\.\Aktiv Rutoken ECP 00 00\Контейнер_копия'

      ...

      • личные сертификаты (устанавливаются в хранилище umy, где u = User, my - имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл;

      • корневые сертификаты - краеугольный камень безопасности, так как цепочки доверия строятся от них.  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);

      • промежуточные сертификаты - появляются, когда есть промежуточные УЦ (структура вида "головной УЦ" -> "промежуточный УЦ" -> "пользовательский сертификат"). Прямое доверие к ним не требуется (устанавливаются в uca, также администратор может поставить их в mca). В это же хранилище устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они загружаются автоматически и устанавливаются в хранилище ucache. В общем про них можно ничего особо не знать и ничего не делать.и устанавливаются в хранилище ucache. Обычно непосредственная работа с промежуточными сертификатами не требуется;

      • сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;

      Установка

      Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации

      ...

      Установка определенного сертификата с из определенного контейнера в uMy:

      ...

      Установка сертификата удостоверяющего центра ГУЦ в mRoot (подробнее см. Корневые и отозванные сертификаты):

      Command
      wget https://structurezgt.mil.ru/downloadupload/docsite228/morf/military/files/ca2020document_file/GUC_2022.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin

      Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в mca):

      Command
      wget httpshttp://structure.milreestr-pki.ru/download/doc/morf/military/files/crl_20cdp/guc2022.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl 

      ...

      Информация
      titleПримечание

      В опции -pattern >>>  'rutoken' может быть другим в зависимости от подключенного токена.

      В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует:

      • сохранить сертификаты в файлах;
      • перенести файлы на рабочую станцию;
      • в команде установки вместо параметра -stdin применить параметр -file с указанием имени файла.

      Например:

      1. Сохранить файлы:

        Command
        wget https://structurezgt.mil.ru/downloadupload/docsite228/morf/military/files/ca2020document_file/GUC_2022.cer
        wget httpshttp://structure.mil.ru/download/doc/morf/military/files/crl_20reestr-pki.ru/cdp/guc2022.crl


      2. Перенести файлы на рабочую станцию;

      3. Установить файлы на рабочей станции:

        Command

        sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file ca2020GUC_2022.cer
        sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file crl_20guc2022.crl -crl crl




      Информация
      titleПримечание
      1. Имена хранилищ указаны в формате, используемом программой certmgr. У программы cryptcp похожий формат: -mroot и -uAddressBook.
      2. Из под учетной записи пользователя установка выполняется в хранилище uca, из под учетной записи администратора установка выполняется в хранилище mca:

      3. В опции -pattern можно указать пустое значение < ' ' > чтобы установить все сертификаты в uMy. Пример: 

        Command
        /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ''


      4. В случае, если личный сертификат устанавливается из файла следует использовать опцию -file :

        Command
        certmgr -inst -file cert.cer -store uMy


      5. Хранилища пользователей хранятся в /var/opt/cprocsp/users


      ...

      Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters

      Блок кода
      [Parameters]
#Параметрыпровайдера# Параметры провайдера
warning_time_gen_2001=ll:9223372036854775807
warning_time_sign_2001=ll:9223372036854775807


      Примечание

      На данный момент завершается сертификация обновленной версии КриптоПро CSP 4.0 R4.  Для Для наиболее безболезненного продолжения работы с ГОСТ Р 34.10-2001 в 2019 году мы рекомендуем обновиться до этой использовать актуальные версии КриптоПро. В более ранних версиях КриптоПро КриптоПро CSP и Клиент HSM 2.0 присутствуют технические ограничения формирования подписи по ГОСТ Р 34.10-2001 после 1 января 2019 года, о чем выдаются предупреждения в виде соответствующих окон.

      ...

      https://www.cryptopro.ru/news/2018/12/zashchishchennyi-brauzer-dlya-gosudarstvennykh-elektronnykh-ploshchadok-teper-i-na-linu

      https://astralinux.ru/news/category-news/2018/brauzeryi-%C2%ABastra-linux-special-edition%C2%BB-adaptirovanyi-dlya-rabotyi/

      Список ГИС и ЭТП использующих cades-bes plugin

      ...

      Перечень аккредитованных удостоверяющих центров

      https://e-trust.gosuslugi.ru/CA/Аккредитованные удостоверяющие центры


      Диагностический архив для обращения в тех. поддержку

      ...