Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
В статье описано применение ПО КриптоПро CSP для проверки отсоединенной электронной подписи файлов, т.е. электронной подписи, сохраненной в отдельном файле (далее - подпись). Данная процедура применима для проверки подписи ISO-образов установочных дисков и оперативных обновлений Astra Linux Special Edition. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Загрузка файлов
Далее для примера используется ISO-образ и подпись оперативного обновления Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1..6 БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10). При наличии доступа в Интернет загрузить ISO-образ и подпись можно из Интернет-репозитория командами:
Загрузка ISO-образа:
Command wget http://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso Загрузка подписи:
Command wget http://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso.sig
После выполнения указанных команд ISO-образ и подпись будут сохранены в текущем каталоге в файлах 20211126SE16.iso и 20211126SE16.iso.sig соответственно. Ссылки для загрузки других оперативных обновлений и их подписей доступны в соответствующих бюллетенях, см. Оперативные обновления для Astra Linux Special Edition.
Установка сертификатов
Для проверки подписи необходимо добавить в локальное хранилище сертификат головного удостоверяющего центра, выдавшего сертификат, использованный для подписания, и список отозванных сертификатов (CRL). В случае проверки ISO-образов оперативных обновлений Astra Linux Special Edition эти данные доступны по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty, а загрузка и установка сертификата и CRL может быть выполнена командами:
Для сертификатов, выданных УЦ МО РФ в период с 31.07.2020 г. по настоящее время (на момент написания статьи):
Загрузка и установка сертификата удостоверяющего центра ГУЦ в хранилище mRoot:
Command sudo wget https://structure.mil.ru/download/doc/morf/military/files/ca2020.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin Загрузка и установка CRL в хранилище mca:
Command sudo wget https://structure.mil.ru/download/doc/morf/military/files/crl_20.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl
Для сертификатов, выданных УЦ МО РФ в период с 01.08.2019 г. по 31.07.2020 г.:
Загрузка и установка сертификата удостоверяющего центра ГУЦ в хранилище mRoot:
Command sudo wget https://structure.mil.ru/download/doc/morf/military/files/ca2019.cer -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mRoot -stdin Загрузка и установка CRL в хранилище mca:
Command sudo wget https://structure.mil.ru/download/doc/morf/military/files/crl_19.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl
Оба комплекта из сертификата и CRL могут быть установлены одновременно.
Проверка подписи
Проверка подписи выполняется командой:
Command | ||
---|---|---|
| ||
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Подпись проверена. |
В процессе проверки будет запрошено подтверждение, для завершения проверки нажать "y" и Enter.
Сообщение "[ErrorCode: 0x00000000]" (завершение с кодом 0) говорит о том, что проверка подписи завершена успешно.
При этом предупреждение "Один из сертификатов в цепочке просрочен" не является критичным и, в случае успешного завершения проверки, говорит о том, что сертификат просрочен на момент выполнения проверки (для достоверности подписи сертификат не должен быть просрочен на момент подписания файла). Для поиска просроченного сертификата можно использовать команду проверки в режиме вывода отладочной информации (CP_PRINT_CHAIN_DETAIL=1):
Command |
---|
CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached 20211126SE16.iso 20211126SE16.iso.sig |