...

Для написания настоящей статьи была использована сертифицированная версия ПО «КриптоПро» «4.0 R4». При этом были выполнены следующие действия:

1. Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;
2. Открыть "Терминал Fly" (горячая клавиша Alt+T);

3. Разархивировать полученный архив в терминале командой:

   Command
   tar -zxf linux-amd64_deb.tgz

   
   

4. Перейти в каталог с ПО: 

   Command
   cd linux-amd64_deb

   
   

5. Установить ПО с помощью запуска сценария instal:

   1. Либо с для работы с графическим пользовательским интерфейсом запустив сценарий install_gui.sh командой:

      Command
      sudo ./install_gui.sh

      В процессе установи выбрать необходимые компоненты:
      Image Modified

      
      

   2. Либо с для работы без графического пользовательского интерфейса запустив сценарий instal.sh командой:
      

      Command
      sudo ./install.sh

      
      

Описание пакетов КриптоПро

Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:  

...

Установка дополнительных пакетов для поддержки токенов и смарт-карт

...

смарт-карт

...

Для более ранних версий:

...

корректной работы с

...

токенами и смарт-

...

картами установить:

• дополнительные пакеты из состава ОС:
  • libccid;
  • libgost-astra;

...

• • pcscd;
• пакеты с модулями поддержки, предоставляемые производителями оборудования:

  ...

  • • для токенов Рутокен: https://www.rutoken.ru/support/download/nix/

  ...

  • • для токенов Аладдин: https://www.aladdin-rd.ru/support/downloads/jacarta

  Команда для установки пакетов из состава ОС:

  Command
  sudo apt install libccid pcscd libgost-astra

  Пакеты с модулями поддержки доступны по указанным выше ссылкам

  ...

  Command
  sudo systemctl restart pcscd

  . Порядок установки модулей, предоставляемых производителями см. в инструкциях производителя, а также см. статьи Аладдин RD JaCarta в AstraLinux и Рутокен в Astra Linux.

  Ключ КриптоПРО CSP для работы в режиме замкнутой программной среды Astra Linux SE.

  ...

  Чтобы узнать модель подключенного токена , следует ввести команду:

  Command
  /opt/cprocsp/bin/amd64/csptest -card -enum -v -v

  ...

  Раскрыть

  /opt/cprocsp/bin/amd64/csptestf -keyset -container 'Shuhrat' -info CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 8981043 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP Container name: "Shuhrat" Signature key is available. HCRYPTKEY: 0x8f3b03 Exchange key is available. HCRYPTKEY: 0x8f9883 Symmetric key is not available. UEC key is not available. CSP algorithms info:   Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)   DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142   Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)   DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801   Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)   DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849   Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)   DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590   Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)   DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591   Type:Hash       Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)   DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799   Type:Encrypt    Name:'GR 34.12 64 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)   DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160   Type:Encrypt    Name:'GR 34.12 128 K'(15) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)   DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161   Type:Hash       Name:'GR 34.13 64 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)   DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828   Type:Hash       Name:'GR 34.13 128 K MAC'(19) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)   DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829   Type:Hash       Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)   DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820 Status:   Provider handles used:        6   Provider handles max:         1048576   CPU Usage:                    6 %   CPU Usage by CSP:             0 %   Measurement interval:         119 ms   Virtual memory used:          15281652 KB   Virtual memory used by CSP:   116572 KB   Free virtual memory:          26053680 KB   Total virtual memory:         41335332 KB   Physical memory used:         14602360 KB   Physical memory used by CSP:  12576 KB   Free physical memory:         5857712 KB   Total physical memory:        20460072 KB Key pair info:   HCRYPTKEY:  0x8f3b03   AlgID:      CALG_GR3410_12_256 = 0x00002e49 (00011849):     AlgClass: ALG_CLASS_SIGNATURE     AlgType:  ALG_TYPE_GR3410     AlgSID:   73   KP_HASHOID:     1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)   KP_DHOID:     1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)   KP_SIGNATUREOID:     1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)   Permissions:     CRYPT_READ     CRYPT_WRITE     CRYPT_IMPORT_KEY     0x800     0x2000     0x20000     0x100000 KP_CERTIFICATE:   Not set. Key pair info:   HCRYPTKEY:  0x8f9883   AlgID:      CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):     AlgClass: ALG_CLASS_KEY_EXCHANGE     AlgType:  ALG_TYPE_DH     AlgSID:   70   KP_HASHOID:     1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)   KP_DHOID:     1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)   KP_SIGNATUREOID:     1.2.643.2.2.36.0 (ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию)   Permissions:     CRYPT_READ     CRYPT_WRITE     CRYPT_IMPORT_KEY     0x800     0x10000     0x20000     0x100000 KP_CERTIFICATE: Subject: INN=007814508921, E=user@astralinux.ru, C=RU, CN=Махмадиев Шухрат, SN=Махмадиев Valid  : 18.10.2018 12:07:24 - 18.01.2019 12:17:24 (UTC) Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Container version: 2 Carrier flags:   This reader is removable.   This reader supports unique carrier names.   This carrier does not have embedded cryptography. Keys in container:   signature key   exchange key Extensions (maxLength: 1435):   ParamLen: 46   OID: 1.2.643.2.2.37.3.9   Critical: FALSE   Size: 19   Decoded size: 24   PrivKey: Not specified - 18.01.2020 07:31:07 (UTC)   ParamLen: 47   OID: 1.2.643.2.2.37.3.10   Critical: FALSE   Size: 19   Decoded size: 24   PrivKey: Not specified - 18.01.2020 07:31:12 (UTC) Total: SYS: 0,020 sec USR: 0,180 sec UTC: 2,180 sec [ErrorCode: 0x00000000]

  
  

  Информация
  При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Получить уникальные идентификаторы ключевых контейнеров можно командой: Command /opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un

  ...

  Скопировать контейнер из локального хранилища в хранилище Рутокена токена Рутокен ЕЦП:

  Command
  csptestf -keycopy -contsrc '\\.\HDIMAGE\Контейнер_оригинал' -contdest '\\.\Aktiv Rutoken ECP 00 00\Контейнер_копия'

  ...

  • личные сертификаты (устанавливаются в хранилище umy, где u = User, my - имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл;
    
    
  • корневые сертификаты - краеугольный камень безопасности, так как цепочки доверия строятся от них.  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);
    
    
  • промежуточные сертификаты - появляются, когда есть промежуточные УЦ (структура вида "головной УЦ" -> "промежуточный УЦ" -> "пользовательский сертификат"). Прямое доверие к ним не требуется (устанавливаются в uca, также администратор может поставить их в mca). В это же хранилище устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они загружаются автоматически и устанавливаются в хранилище ucache. В общем про них можно ничего особо не знать и ничего не делать.Обычно непосредственная работа с промежуточными сертификатами не требуется;
    
    
  • сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;

  ...

  Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации

  ...