Справочный центр

Дерево страниц

Сравнение версий

Старая версия 184

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
outlinetrue

Предупреждение

Настоящая инструкция применима только при использовании сертифицированных версий СКЗИ КриптоПро
В случае использования несертифицированных версий и не описанных в инструкции конфигураций по всем вопросам технической поддержки следует обращаться в техническую поддержку компании КриптоПро.


КриптоПро CSP

...

Назначение

Криптопровайдер (Cryptography Service Provider, CSP) — независимый программный модуль, позволяющий осуществлять криптографические операции. Криптопровайдер КриптоПро CSP предназначен для:

  • авторизации Авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, . Обеспечивается посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);.
  • обеспечения Обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;.
  • обеспечения Обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;.
  • контроля Контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;.
  • управления Управления ключевыми элементами системы в соответствии с регламентом средств защиты.

...

Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.

...

Информация

Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.

Для написания настоящей статьи были выполнены установки КриптоПРО CSP выполнить следующие действия:

  1. Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;.
  2. Открыть "Терминал Fly" терминал (горячая клавиша Alt+T);.

  3. Разархивировать полученный архив в терминале командой:

    Command
    tar -zxf linux-amd64_deb.tgz

    При разархивировании будет создан каталог linux-amd64_deb.

  4. Перейти в каталог с ПОсозданный каталог linux-amd64_deb

    Command
    cd linux-amd64_deb


  5. Установить ПО:

    1. Либо с для Для работы с графическим пользовательским интерфейсом запустив :

      1. запустить сценарий install_gui.sh командой:

        Command
        sudo ./install_gui.sh


      2. В процессе установи выбрать необходимые компоненты:
        Image Modified


    2. Либо с для Для работы без графического пользовательского интерфейса запустив запустить сценарий instal.sh командой:

      Command
      sudo ./install.sh


...

Подробнее см. Присвоение значений переменным окружения для пользовательских сессий.

Установка дополнительных пакетов для поддержки

...

ключевых носителей

Для корректной работы с ключевыми носителями (токенами и смарт-картами) установить дополнительные пакеты:

Команда для установки пакетов из состава ОС:

...

  • \\.\HDIMAGE\<имя_контейнера> - контейнеры на локальных носителях;
  • \\.\Aktiv Rutoken ECP 00 00\<имя_носителя> - контейнеры на токенах.

Подробную информацию см. "Имена контейнеров"

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

...

Раскрыть

/opt/cprocsp/bin/amd64/csptestf -keyset -container 'Shuhrat' -info
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

AcquireContext: OK. HCRYPTPROV: 8981043
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "Shuhrat"
Signature key is available. HCRYPTKEY: 0x8f3b03
Exchange key is available. HCRYPTKEY: 0x8f9883
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

  Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

  Type:Hash       Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
  DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799

  Type:Encrypt    Name:'GR 34.12 64 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160

  Type:Encrypt    Name:'GR 34.12 128 K'(15) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161

  Type:Hash       Name:'GR 34.13 64 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)
  DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828

  Type:Hash       Name:'GR 34.13 128 K MAC'(19) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)
  DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829

  Type:Hash       Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820

Status:
  Provider handles used:        6
  Provider handles max:         1048576
  CPU Usage:                    6 %
  CPU Usage by CSP:             0 %
  Measurement interval:         119 ms

  Virtual memory used:          15281652 KB
  Virtual memory used by CSP:   116572 KB
  Free virtual memory:          26053680 KB
  Total virtual memory:         41335332 KB

  Physical memory used:         14602360 KB
  Physical memory used by CSP:  12576 KB
  Free physical memory:         5857712 KB
  Total physical memory:        20460072 KB

Key pair info:
  HCRYPTKEY:  0x8f3b03
  AlgID:      CALG_GR3410_12_256 = 0x00002e49 (00011849):
    AlgClass: ALG_CLASS_SIGNATURE
    AlgType:  ALG_TYPE_GR3410
    AlgSID:   73
  KP_HASHOID:
    1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
  KP_DHOID:
    1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
  KP_SIGNATUREOID:
    1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
  Permissions:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    0x800
    0x2000
    0x20000
    0x100000
KP_CERTIFICATE:
  Not set.

Key pair info:
  HCRYPTKEY:  0x8f9883
  AlgID:      CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_DH
    AlgSID:   70
  KP_HASHOID:
    1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
  KP_DHOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  KP_SIGNATUREOID:
    1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)
  Permissions:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    0x800
    0x10000
    0x20000
    0x100000
KP_CERTIFICATE:
Subject: INN=007814508921, E=user@astralinux.ru, C=RU, CN=Махмадиев Шухрат, SN=Махмадиев
Valid  : 18.10.2018 12:07:24 - 18.01.2019 12:17:24 (UTC)
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2

Container version: 2
Carrier flags:
  This reader is removable.
  This reader supports unique carrier names.
  This carrier does not have embedded cryptography.
Keys in container:
  signature key
  exchange key
Extensions (maxLength: 1435):
  ParamLen: 46
  OID: 1.2.643.2.2.37.3.9
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 18.01.2020 07:31:07 (UTC)

  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 18.01.2020 07:31:12 (UTC)
Total: SYS: 0,020 sec USR: 0,180 sec UTC: 2,180 sec
[ErrorCode: 0x00000000]

...

Сертификаты делятся на четыре категории:

  • личные Личные сертификаты (устанавливаются в хранилище umy, где u = User, my - имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ ( и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием . Используя личные сертификаты можно, например, подписать файл;.

  • корневые сертификаты - краеугольный камень безопасности, так как цепочки доверия строятся от нихКорневые сертификаты — основа построения цепочек доверия.  Корневые сертификаты надо следует добавлять в хранилища осознанно и внимательно (. Корневые сертификаты устанавливаются в хранилище uroot, также администратор может поставить установить их в хранилище mroot, где m = Machine, такие . Такие сертификаты будут доступны в режиме только чтение (read only) в root-хранилищах всех пользователей);.

  • промежуточные сертификаты - появляются, Промежуточные сертификаты — используются когда есть промежуточные УЦ (структура вида "головной УЦ" -> "промежуточный УЦ" -> ...-> "промежуточный УЦ" ->  "пользовательский сертификат"). Прямое доверие к ним промежуточным сертификатам не требуется (устанавливаются в и они могут быть установлены в пользовательской хранилище uca, также администратор может поставить установить их в mcamc). В это же хранилище устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они загружаются автоматически и устанавливаются в хранилище ucache. Обычно непосредственная работа с промежуточными сертификатами не требуется;
    .

  • Сертификаты участников обмена данными. Используются сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них в получаемых сообщениях и шифровать исъодящие сообщения. Ставятся Устанавливаются либо в хранилище umy (это не лучшая, но распространенная практика), либо в uAddressBook ;(рекомендованная практика).

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации

Установка всех личных сертификатов со из всех контейнеров в хранилище uMy :

Command

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Установка определенного сертификата из определенного контейнера в хранилище uMy:

Command
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\\.\Aktiv Rutoken ECP 00 00\Ivanov'

Установка сертификата удостоверяющего центра ГУЦ в хранилище mRoot (подробнее см. Корневые и отозванные сертификаты):

Command
wget https://zgt.mil.ru/upload/site228/document_file/GUC_2022.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin

Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в хранилище mca):

Command
wget http://reestr-pki.ru/cdp/guc2022.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl 

...

Информация
titleПримечание

В опции -pattern >>>  'rutoken' может быть другим в зависимости от подключенного токена.

В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует:

  • сохранить сертификаты в файлах;
  • перенести файлы на рабочую станцию;
  • в команде установки вместо параметра -stdin применить параметр -file с указанием имени файла.

Например:

  1. Сохранить файлы:

    Command
    wget https://zgt.mil.ru/upload/site228/document_file/GUC_2022.cer
    wget http://reestr-pki.ru/cdp/guc2022.crl


  2. Перенести файлы на рабочую станцию;

  3. Установить файлы на рабочей станции:

    Command

    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -file GUC_2022.cer
    sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc2022.crl -crl



...

Информация
titleПримечание
  1. Имена хранилищ указаны в формате, используемом программой certmgr. У программы cryptcp похожий формат: -mroot и -uAddressBook.
  2. Из под учетной записи пользователя установка выполняется в хранилище uca, из под учетной записи администратора установка выполняется в хранилище mca:

  3. В опции -pattern можно указать пустое значение < ' ' > чтобы установить все сертификаты в хранилище uMy. Пример: 

    Command
    /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ''


  4. В случае, если личный сертификат устанавливается из файла следует использовать опцию -file :

    Command
    certmgr -inst -file cert.cer -store uMy


  5. Хранилища пользователей хранятся в /var/opt/cprocsp/users


...

Закрытые ключи к сертификатам находятся в каталоге /var/opt/cprocsp/keys. Поэтому эти ключи переносятся просто: Для переноса ключей нужно создаем архив и переносим перенести его на нужную машину в тот же каталог.

...

КриптоПро: IFCP plugin для входа ЕСИА (Госуслуги)

КриптоПро: IFCP plugin для входа ЕСИА (Госуслуги)

КриптоПро CADES ЭЦП Browser plug-in

...

Диагностический архив для обращения в тех. поддержку

...

По всем При обращениях в техническую поддержку по вопросам установки СКЗИ в операционную систему, их настройки и и настройки СКЗИ а также обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку  Astra Linux  и  КриптоПро.рекомендуется использовать диагностический архив. Для создания диагностического архива, можно воспользоваться следующей командой:sudo

Command
/opt/cprocsp/bin/amd64/

...

curl https://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

В результате выполнения команды должен получится архив в файле cprodiag_день_месяц_год.tar.gz, который следует прислать приложить к запросу в техническую поддержку  Astra Linux  и  КриптоПроподдержку.