USB-токены и смарт-карты Ключевые носители JaCarta, работающие с Astra Linux

• JaCarta PKI - сертифицированные ключевые носители (USB-токены и смарт-карты) с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI);. Могут использоваться для двухфакторной аутентификации (2ФА) пользователей в локальных системах, доменах, сетевых подключениях, VPN. Работа с этими носителями рассматривается далее в настоящей статье.
  
  
• JaCarta-2 ГОСТ - USB-токены и смарт-карты сертифицированные ключевые носители для использования в качестве сертифицированного средства электронной подписи (ЭП (), усиленной квалифицированной электронной подписи — (УКЭП) и полноценного СКЗИ в системах электронного документооборота (ЭДО), дистанционного банковского обслуживания (ДБО) и др. для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных;. Неприменимы для 2ФА пользователей. Для использования требуют установку ПО производителя. Далее в настоящей статье не рассматриваются.
  
  
• JaCarta SF/ГОСТ – продукт предназначен для средство безопасного хранения и транспортировки информации ограниченного доступа (ДСП, государственная тайна) и состоит из:аппаратного средства, выполненного в форм-факторе . Состоит из аппаратной части в форме USB-токена (далее - токен) ;и ПО для ввода в эксплуатацию, управления и администрирования. Далее в настоящей статье не рассматриваются.

Установка программного обеспечения

Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:

• ПО из репозиториев Astra Linux:
  • библиотека libccid;
  • библиотека libengine-pkcs11-openssl1.1 (но не libengine-pkcs11-openssl);
  • пакет libpcsclite1;
  • пакет pcscd;
  • пакет opensc;

  • пакет pcsc-tools (необязательно, доступен начиная с обновления БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 1.6.3));

• ПО, предоставляемое производителем токена:
  • библиотека libjcPKCS11-2 (пакет jcpkcs11-2);

Для установки пакетов из репозиториев Astra Linux в терминале выполнить команду:

sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc libengine-pkcs11-openssl1.1

Для установки библиотеки libjcpkcs11-2 :

следует обратиться на web-сайт производителя и следовать его инструкциям: https://

aladdin-rd.ru

/

Распаковать архив:

. В частности, библиотека доступна в составе программного обеспечения "Единый клиент JaCarta" (пакет jcpkcs11-2_*_al_x64

Установить загруженный пакет:

sudo apt install ./jcpkcs11-*_amd64.deb

.deb где * — номер версии пакета).

В зависимости от используемого обновления ОС установленная библиотека libjcpkc11-2.so может располагаться в разных каталогах. Определить расположение библиотеки можно командой:

Проверка доступности токена

Проверка с помощью команды pcs_scan

Выполнить команду:

pcsc_scan

Пример вывода команды:

scan

Пример вывода команды:

PC/SC device scanner
V 1.6.2 (c) 2001-2022, Ludovic Rousseau <ludovic.rousseau@free.fr>
Using reader plug'n play mechanism
Scanning present readers...
0: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
 
Sat Oct  5 18:19:37 2024
 Reader 0: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
  Event number: 0
  Card state: Card inserted, 
  ATR: 3B D5 18 00 81 31 FE 7D 80 73 C8 21 10 F4

ATR: 3B D5 18 00 81 31 FE 7D 80 73 C8 21 10 F4
+ TS = 3B --> Direct Convention
+ T0 = D5, Y(1): 1101, K: 5 (historical bytes)
  TA(1) = 18 --> Fi=372, Di=12, 31 cycles/ETU
    129032 bits/s at 4 MHz, fMax for Fi = 5 MHz => 161290 bits/s
  TC(1) = 00 --> Extra guard time: 0
  TD(1) = 81 --> Y(i+1) = 1000, Protocol T = 1 
-----
  TD(2) = 31 --> Y(i+1) = 0011, Protocol T = 1 
-----
  TA(3) = FE --> IFSC: 254
  TB(3) = 7D --> Block Waiting Integer: 7 - Character Waiting Integer: 13
+ Historical bytes: 80 73 C8 21 10
  Category indicator byte: 80 (compact TLV data object)
    Tag: 7, len: 3 (card capabilities)
      Selection methods: C8
        - DF selection by full DF name
        - DF selection by partial DF name
        - Implicit DF selection
      Data coding byte: 21
        - Behaviour of write functions: proprietary
        - Value 'FF' for the first byte of BER-TLV tag fields: invalid
        - Data unit in quartets: 2
      Command chaining, length fields and logical channels: 10
        - Logical channel number assignment: by the card
        - Maximum number of logical channels: 1
+ TCK = F4 (correct checksum)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B D5 18 00 81 31 FE 7D 80 73 C8 21 10 F4
        Bank of Lithuania Identification card
        Gemalto SafeNet eToken Java Based Cards
        https://safenet.gemalto.com/multi-factor-authentication/authenticators/pki-usb-authentication/

Проверка с помощью команды pkcs11-tool

Выполнить команду:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so -T

Пример вывода команды:

Available slots:
Slot 0 (0x1ffff): Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
  token label        : JaCarta-2 GOST
  token manufacturer : Aladdin R.D.
  token model        : JaCarta GOST 2.0
  token flags        : login required, rng, token initialized, PIN initialized, other flags=0x800
  hardware version   : 1.0
  firmware version   : 2.55
  serial num         : 4E46001310573957
  pin min/max        : 6/32

Проверка с помощью графической утилиты XCA

См. XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

Инициализация токена

Инициализировать токен командой pkcs11-tool:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so --init-token --so-pin 00000000 --label 'JaCarta PKI'

Задать PIN-код пользователя командой:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so --init-pin --so-pin 00000000 --pin 11111111

Где:

• --init-token – команда инициализации токена;
• --pin - PIN-код пользователя JaCarta;
• --so-pin 00000000 – PIN-код администратора;
• --label 'JaCarta PKI' - метка (название) токена;
  --module - расположение библиотеки libjcPKCS11-2.so.

Изменение PIN-кода токена

Для изменения PIN-кода токена выполнить команду:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so --login --pin <старый_PIN-код_пользователя> --change-pin --new-pin <новый_PIN-код_пользователя>

После ввода команды система сообщит, что PIN-код успешно изменен:

Using slot 0 with a present token (0x0)
PIN successfully changed 

Здесь и далее в примерах используется опция --pin, позволяющая задать PIN-код пользователя в командной строке. В практических применениях эта опция может быть пропущена, в этом случае PIN-код будет запрошен в интерактивном режиме.

Проверка наличия сертификатов и ключевых пар в токене

Чтобы проверить наличие сертификатов и ключевых пар в токене выполнить команду:

 pkcs11-tool --module /usr/lib/libjcPKCS11-2.so --pin <PIN-код_пользователя> -O -l

В результате в окне терминала отобразится информация обо всех сертификатах и ключевых парах, хранящихся на токене:

Using slot 0 with a present token (0x0)


Public Key Object; RSA 2048 bits
  label:      Test
  ID:         45
  Usage:      encrypt, verify, wrap

Certificate Object, type = X.509 cert
  label:  Test
  ID:     45

Если после сообщения

Using slot 0 with a present token (0x0)

 выводится информация о ключах и сертификатах, то из токена можно считать сертификат (см. ниже). Если после указанного сообщения не выводится никаких данных, то устройство пустое. Следует обратиться к администратору или создать ключи и сертификат самостоятельно.

Экспорт сертификата из токена

Для экспорта сертификата из токена выполнить команду:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so -r -y cert  --id <id> > <название_сертификата>.crt

Вместо <id> указать идентификатор (ID), полученный при проверке наличия сертификатов. 

Вместо <название_сертификата>.crt указать имя файла, в который будет экспортирован сертификат.

Генерация ключевой пары

Для генерации ключевой пары выполнить команду:

Создание самоподписанного сертификата

Для создания самоподписанного сертификата:

1. Выполнить команду:

   Command
   openssl

   При выполнении команды будет запущена командная оболочка openssl;

2. В командной оболочке openssl:

   1. Выполнить команду для подключения библиотеки jcPKCS11-2:

      Блок кода
      engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libjcPKCS11-2.so

      Пример:

      Блок кода

      $ openssl OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libjcPKCS11-2.so (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so [Success]: ID:pkcs11 [Success]: LIST_ADD:1 [Success]: LOAD [Success]: MODULE_PATH:/usr/lib/libjcPKCS11-2.so Loaded: (pkcs11) pkcs11 engine

      
      

   2. Выполнить команду:

      Блок кода
      req -engine pkcs11 -new -key 131071:45 -keyform engine -x509 -out название_сертификата.crt -outform DER

      Пример:

      Предупреждение
      В поле Common Name указать имя пользователя ОС (в примере ниже и далее используется имя Astra-user).

      Пример:

      Блок кода

      OpenSSL> req -engine pkcs11 -new -key 131071:45 -keyform engine -x509 -out название_сертификата.crt -outform DER engine "pkcs11" set. Enter PKCS#11 token PIN for Rutoken ECP <no label>: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:Moscow Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Rusbitech Organizational Unit Name (eg, section) []: Astra Common Name (e.g. server FQDN or YOUR name) []:Astra-user Email Address []:Astra-user@astralinux.ru

      
      

   3. Выйти из командной оболочки openssl выполнив команду:

      Блок кода
      exit

      
      

Загрузка сертификата на токен

Созданный личный сертификат загрузить в JaCarta:

pkcs11-tool --module /usr/lib/libjcPKCS11-2.so -l -y cert -w <название_сертификата>.crt -a "Имя_сертификата_в_токене" --id 45

Проверить наличие ключей и сертификатов в JaCarta:

Локальная аутентификация в Astra Linux с использованием JaCarta и пакета libpam-p11

Установка дополнительных пакетов

1. Открыть Графический менеджер пакетов synaptic;
2. Через Быстрый фильтр или через поиск найти и отметить к установке следующие пакеты:
   1. libccid;
   2. pcscd;
   3. libpam-p11;
   4. libpam-pkcs11;
   5. libp11-3 для Astra Linux Special Edition x.7 или libp11-2 для Astra Linux Special Edition 1.6;
   6. libengine-pkcs11-openssl;
   7. opensc;
3. Установить выбранные пакеты;

Или выполнить команду:

sudo apt install opensc libengine-pkcs11-openssl libp11-\* libpam-pkcs11 libpam-p11 pcscd libccid

Регистрация сертификата в системе

1. Конвертировать ранее созданный сертификат в текстовый формат:

   Command
   openssl x509 -in <название_сертификата>.crt -out название_сертификата.pem -inform DER -outform PEM

   где название_сертификата.pem - имя файла сертификата из токена в текстовом формате;
   
   

2. Прочитать с токена сертификат с нужным идентификатором (ID);

3. Записать полученный сертификат в файл доверенных сертификатов, для чего:

   1. Создать в домашнем каталоге пользователя подкаталог .eid. Для примера используется имя пользователя Astra-user:

      Command
      sudo mkdir ~Astra-user/.eid

      
      

   2. Назначить созданному подкаталогу права доступа:

      Command
      sudo chmod 0755 ~Astra-user/.eid

      
      

   3. Добавить в файл .eid/authorized_certificates сертификат (если файл не существует, то он будет создан):

      Command
      cat сертификат_из_токена.pem | sudo tee -a ~Astra-user/.eid/authorized_certificates

      
      

   4. Установить права доступа на файл:

      Command
      sudo chmod 0644 ~/.eid/authorized_certificates

      
      

   5. Если пользователю разрешено самому модифицировать свой список доверенных сертификатов, то передать ему владение созданным подкаталогом и файлом:

      Command
      sudo chown -R Astra-user:Astra-user ~/.eid

      
      

Настройка аутентификации

Для настройки аутентификации:

1. В файл /usr/share/pam-configs/p11 внести следующую информацию:

   Блок кода
   Name: Pam_p11 Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient pam_p11.so /usr/lib/libjcPKCS11-2.so

   
   

2. Выполнить команду:

   Command
   sudo pam-auth-update

   
   

3. В открывшемся окне включить отметку в пункте Pam_p11 (остальные отметки изменять не требуется);

4. Нажать OK .

Проверка аутентификации по токену

Для проверки аутентификации по токену:

1. Подключить токен к компьютеру;

2. Выполнить команду:

   Command
   sudo login Astra-user

   
   

3. При выполнении команды вместо пароля пользователя будет запрошен <PIN пользователя>;
4. После ввода PIN-кода пользователя вход в сессию этого пользователя должен быть выполнен успешно.

Настройка блокировка компьютера при извлечении токена

В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, позволяющая выполнять различные действия при возникновении событий PKCS#11. Конфигурация pkcs11_eventmgr хранится в файле /etc/pam_pkcs11/pkcs11_eventmgr.conf. Пример конфигурации:

pkcs11_eventmgr
{
    # Запуск в фоновом режиме
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с JaCarta
    pkcs11_module = /usr/lib/libjcPKCS11-2.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;        
        # Вызываем функцию блокировки экрана
        action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
        action = "/bin/false";
    }
}

После настройки конфигурации добавить приложение pkcs11_eventmgr в автозагрузку и перезагрузить компьютер.

Дополнительные источники информации

https://www.aladdin-rd.ru Веб-сайт содержит большой объем справочной информации об устройствах JaCarta.

https://kbp.aladdin-rd.ru/ База знаний содержит инструкции по решению большинства ошибок, полезные статьи и ответы на часто задаваемые вопросы. Здесь вы можете найти нужную информацию по ключевым словам.

https://www.aladdin-rd.ru/support/downloads Центр Загрузки