...
См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами
...
Поддерживаемые модели токенов Рутокен
...
Рутокен S– модель для хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК.
Рутокен Lite – упрощенная модель для хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК. Поддерживается начиная с Astra Linux Special Edition x.7 начиная с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1). Обладает интерфейсом . Не имеет встроенного криптопровайдера и не поддерживает стандарт PKCS #11. Поддерживает стандарт PKCS #15 используя интерфейс CCID и не требует установки дополнительных драйверов.
Рутокен ЭЦП 2.0 – высокопроизводительная модель со встроенным криптопровайдером. Формирует квалифицированную электронную подпись (КЭП) при помощи сертифицированной реализации российских криптографических алгоритмов непосредственно в самом чипе устройстве, что повышает безопасность использования ЭП — ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. Работает с алгоритмами ГОСТ 2012. Сертифицированы в ФСБ и ФСТЭК. Используется в системе ЕГАИС с 2016 года.
Рутокен ЭЦП PKI и Рутокен ЭЦП 3.0
Более подробная информацияСм. также: https://dev.rutoken.ru/pages/viewpage.action?pageId=66814078
...
- Тестовый центр регистрации Рутокен + Рутокен Плагин.
- Утилита из КриптоПро CSP 5.0.
- КриптоАРМ ГОСТ.
- Для платформы Байкал М1 под управлением Astra Linux можно использовать предлагаемый разработчиками КриптоПРО пакет cryptoarm-gost-v2.5.12.linux-aarch64.deb (доступен по ссылке: https://github.com/CryptoARM/CryptoARMGOST/releases/tag/v2.5.12).
Рутокен S не поддерживается на платформе Эльбрус.
Установка
Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:
- Программное обеспечение из репозиториев Astra Linux:
- пакетlibccid;
- пакет pcscd;
- пакет libpcsclite1;
- пакет pcsc-tools;
- пакет opensc;
- пакет libengine-pkcs11-openssl;
- Программное обеспечение, предоставляемое разработчиком оборудования:
- пакет librtpkcs11ecp .
(аналог библиотеки libengine-pkcs11-openssl1.1 входящей в состав Astra Linux).
- пакет librtpkcs11ecp .
Установка пакетов Установка пакетов может быть выполнена с помощью Графический менеджер пакетов synaptic или из командной строки командой:
Command |
---|
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc libengine-pkcs11-openssl |
Для установки пакета librtpkcs11ecp загрузить актуальную версию по ссылке: https://www.rutoken.ru/support/download/pkcs/ и выполнить установку из этого файла:
...
См. Двухфакторная аутентификация: libpam-csp и csp-monitor.
Работа с токенами
...
Рутокен ЭЦП
Command |
---|
Инициализация не поддерживается токенами Рутокен S. |
Дальнейшая статья применима только к Рутокен ЭЦП. |
Инициализация токена
Для очистки токенов можно использовать команду pkcs11-tool:
...
- --login и --login-type so — параметры входа в сессию администратора;
- --so-pin — действующий PIN-код администратора;
- --change-pin — команды смены PIN-кода;
- --new-pin — новый PIN-код.
...
Задание и изменение PIN-кода пользователя
Предупреждение |
---|
В целях обеспечения защиты принятые по умолчанию PIN-коды администратора и пользователя в обязательном порядке должны быть изменены. |
На момент написания статьи заданный по умолчанию PIN-код пользователя был 12345678, PIN-код администратора - 87654321.
Команда
...
для установки (переустановки) PIN-кода
...
пользователя:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login so--pin <старый_PIN-код>87654321 --changeinit-pin --new-pin <новый_PIN-код><PIN_код_пользователя> |
Команда для изменения PIN-кода пользователя пользователем:
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin <старый_PIN-код> --change-pin --new-pin <новый_PIN-код> |
При При успешном выполнении будет выдано сообщение о том, что PIN-код успешно изменен:
...
Работа с сертификатами и ключевыми парами на устройствах Рутокен ЭЦП
Создание ключевой пары
Для генерации ключевой пары в терминале следует ввести команду:
Command |
---|
|
Проверка наличия сертификатов и ключевых пар
...
Command |
---|
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l --pin <PIN_код_пользователя> |
В результате выполнения команды отобразится информация обо всех сертификатах (Certificate Object) и публичных ключах (Public Key Object), хранящихся на токене:
...
Command |
---|
|
...