...
Оглавление | ||
---|---|---|
|
КриптоПро CSP
...
Назначение
Криптопровайдер Криптопровайдер (Cryptography Service Provider, CSP) — независимый программный модуль, позволяющий осуществлять криптографические операции. Криптопровайдер КриптоПро CSP предназначен для:
...
https://www.cryptopro.ru/products/csp
Предупреждение |
---|
В При работе с Astra Linux в качестве СКЗИ разрешается использовать только следующие версии КриптоПро CSP следующих версий:
Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base. СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ). При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS. Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP. |
...
Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4.0 R4». При этом был выполнен следующий алгоритм действийбыли выполнены следующие действия:
...
- Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;
...
- Открыть "Терминал Fly" (
...
- горячая клавиша Alt+T);
...
Разархивировать полученный архив в терминале командой:
Command tar -zxf linux-amd64_deb.tgz
...
Перейти в каталог с ПО:
Command cd linux-amd64_deb
...
Установить ПО с помощью запуска сценария "install.sh" или "instal_gui.sh" командой:
Command sudo ./install_gui.sh
* Выбрать необходимые модули, библиотеки.
...
Command |
---|
dpkg -l | grep cprocsp |
...
Настройка путей к исполняемым файлам
Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:
...
Установка дополнительных пакетов с модулем поддержки для токена
Предупреждение |
---|
...
Начиная с версии КриптоПро 4.0 R4 и выше, модули поддержки смарт-карт входят в состав пакета и отдельная их установка не требуется. |
Для более ранних версий:
Раскрыть |
---|
Для корректной работы с токеном/смарт-картой обязательно требуется установить |
...
дополнительные пакеты libccid, libgost-astra , пакеты pcscd. Команда для установки:
Пакеты с модулем поддержки:
После установки пакетов с модулем поддержки токена следует перезагрузить службу pcscd:
|
Ключ КриптоПРО CSP для работы в режиме замкнутой программной среды Astra Linux SE.
Информация |
---|
Подробнее про режим замкнутой программной среды и про работу в этом режиме см. Astra Linux: Режим замкнутой программной среды |
Предупреждение |
Начиная с версии КриптоПро 4.0 R4 и выше, модули поддержки смарт-карт входят в состав пакета. |
...
Ключ для обеспечения работы в режиме замкнутой программной среды Astra Linux SE
...
доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.
Для регистрации ключа:
Установить пакет astra-digsig-oldkeys:
Command sudo apt install
Перед импортом ключа, следует:
- Установить пакет
;astra-digsig-oldkeys Создать каталог /etc/digsig/keys/legacy/cryptopro:
Ключ для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданный каталог /Command sudo mkdir -p /
;etc/digsig/keys/legacy/cryptopro Далее предполагается, что ключзагружен и помещен в созданный каталог.
Выполнить команду:
Command sudo update-initramfs -uk all - Перезагрузить компьютер.
...
...
см. Astra Linux: Режим замкнутой программной среды
Проверка Проверка срока истечения лицензии
Проверить срок истечения лицензии можно командой:
Command |
---|
/opt/cprocsp/sbin/amd64/cpconfig -license -view |
Установка лицензии
Для установки другой лицензии следует выполнить команду :
Command |
---|
sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set <ваш<номер_лицензионный_номер>лицензии> |
Носители и контейнеры
...
Идентификация токена
...
Информация | ||
---|---|---|
При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Чтобы получить уникальные идентификаторы ключевых контейнеров используйте команду:
|
Примечание |
---|
Следует учесть про Особенности применения PIN-коды кодов в контейнерах:
|
...
Command |
---|
/opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Aktiv Rutoken ECP 00 00\TestContainer' -change 'новый<новый_пароль' пароль> -passwd 'старый<старый_парольпароль> |
Примечание | ||
---|---|---|
В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой:
|
Менеджер сертификатов КриптоПро в Linux
...
Установка списка отозванных сертификатов (CRL) , ставим его (список загружается с того же сайта и устанавливается в mca):
Command |
---|
wget https://structure.mil.ru/download/doc/morf/military/files/crl_20.crl -O - | sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -stdin -crl |
...
Информация | ||||
---|---|---|---|---|
| ||||
В опции -pattern >>> 'rutoken' может быть другим в зависимости от подключенного токена. В случае, если требуется установка сертификата УЦ и CRL на рабочую станцию, не имеющую доступа к сети, следует:
Например:
|
...
Информация | ||||
---|---|---|---|---|
| ||||
1)
|
Просмотр
Для просмотра выше ранее установленных сертификатов можно воспользоваться :
...
Command |
---|
/opt/cprocsp/bin/amd64/certmgr -delete |
после чего После выполнения команды на экран будет выведен весь список сертификатов и предложение ввести номер удаляемого сертификата.
...
Command |
---|
csptest -keyset -enum_cont -verifycontext -fqcn |
И как обычно, связываем Связываем сертификат и закрытый ключ:
...
Информация |
---|
CP_PRINT_CHAIN_DETAIL=1 --> включает режим отладки |
В нашем примере , из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:
...
Подпись документа может быть сделана двумя способами:*
- attached (присоединенная), когда результирующий файл - это CMS-сообщение, внутрь которого упакованы данные и атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows)
...
- ;
...
- detached (отсоединенная), когда результирующий файл - это CMS-сообщение БЕЗ исходных данных, но с атрибутами (типа подписи). В этом случае для проверки надо "принести" исходный файл. Разумеется он остаётся неизменным и его можно смотреть cat-ом
Примечание |
---|
Про CMS-сообщения, есть хорошая статья на ХабреПодробнее см. Форматы электронной подписи |
Подпись файлов (
...
присоединенная)
Command | ||
---|---|---|
| ||
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018. Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02 Цепочки сертификатов проверены. Подписанное сообщение успешно создано. |
Подпись файлов (
...
отсоединенная)
Command | ||
---|---|---|
| ||
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018. Будет использован следующий сертификат: Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02 Цепочки сертификатов проверены. Подписанное сообщение успешно создано. |
Проверка подписи в файле
...
Проверка прикрепленной подписи
Для проверки прикрепленной подписи выполните:
Command | ||
---|---|---|
| ||
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018. Найдено сертификатов: 4 Автор подписи: "АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ Подпись проверена. |
Способ "естественный"
использовать Использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:
Command | ||
---|---|---|
| ||
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018. Автор подписи: "АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ Цепочки сертификатов проверены. Подпись проверена. |
Способ "обучающий"
указать Указать в качестве хранилища сертификатов само сообщение (ключ -f):
...
Графический интерфейс КриптоПро CSP v. 5.0 (cptools)
...
В версии КриптоПро 5 появилась графическая утилита появился графический инструмент для работы с сертификатами - cptools. её Инструмент можно запустить из консоли:
...
Для того, чтобы удалить ПО КриптоПро CSP, в терминале FLY следует ввести последовательно 3 команды:
Command |
---|
sudo rm -rf /opt/cprocsp |
Отключение сообщений о необходимости перехода на ГОСТ Р 34.10-2012
...
Примечание |
---|
На данный момент завершается сертификация обновленной версии КриптоПро CSP 4.0 R4. Для наиболее безболезненного продолжения работы с ГОСТ Р 34.10-2001 в 2019 году мы рекомендуем обновиться до этой версии. В более ранних версиях КриптоПро CSP , а также Клиент и Клиент HSM 2.0 присутствуют технические ограничения формирования подписи по ГОСТ Р 34.10-2001 после 1 января 2019 года, о чем выдаются предупреждения в виде соответствующих предупреждающих окон. |
Полезные ссылки
...
КриптоПро: IFCP plugin для входа ЕСИА (Госуслуги)
...
В результате должен получится архив в файле cprodiag_день_месяц_год.tar.gz архив, который следует прислать в в техническую поддержку Astra Linux и КриптоПро.