Справочный центр

Дерево страниц

Сравнение версий

Старая версия 77

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 78

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

См. также: Запуск службы pcscd с ненулевыми мандатными атрибутами

...

Поддерживаемые модели  токенов Рутокен

...

Рутокен S– модель для хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК.

Рутокен Liteупрощенная модель для хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК. Поддерживается начиная с Astra Linux Special Edition x.7 начиная с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1). Обладает интерфейсом . Не имеет встроенного криптопровайдера и не поддерживает стандарт PKCS #11. Поддерживает стандарт PKCS #15 используя интерфейс CCID и не требует установки дополнительных драйверов. 

Рутокен ЭЦП 2.0 – высокопроизводительная модель со встроенным криптопровайдером. Формирует квалифицированную электронную подпись (КЭП) при помощи сертифицированной реализации российских криптографических алгоритмов непосредственно в самом чипе устройстве, что повышает безопасность использования ЭП — ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. Работает с алгоритмами ГОСТ 2012. Сертифицированы в ФСБ и ФСТЭК. Используется в системе ЕГАИС с 2016 года.

Рутокен ЭЦП PKI и Рутокен ЭЦП 3.0

Более подробная информацияСм. также: https://dev.rutoken.ru/pages/viewpage.action?pageId=66814078

...

  1. Тестовый центр регистрации Рутокен + Рутокен Плагин.
  2. Утилита из КриптоПро CSP 5.0.
  3. КриптоАРМ ГОСТ.
  4. Для платформы Байкал М1 под управлением Astra Linux можно использовать предлагаемый разработчиками КриптоПРО пакет cryptoarm-gost-v2.5.12.linux-aarch64.deb (доступен по ссылке: https://github.com/CryptoARM/CryptoARMGOST/releases/tag/v2.5.12).

Рутокен S не поддерживается на платформе Эльбрус.

Установка

Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:

  • Программное обеспечение из репозиториев Astra Linux:
    • пакетlibccid;
    • пакет pcscd;
    • пакет libpcsclite1;
    • пакет pcsc-tools;
    • пакет opensc;
    • пакет libengine-pkcs11-openssl;
  • Программное обеспечение, предоставляемое разработчиком оборудования:
    • пакет librtpkcs11ecp .
      (аналог библиотеки libengine-pkcs11-openssl1.1 входящей в состав Astra Linux).

Установка пакетов Установка пакетов может быть выполнена с помощью Графический менеджер пакетов synaptic или из командной строки командой:

Command
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc libengine-pkcs11-openssl

Для установки пакета librtpkcs11ecp загрузить актуальную версию по ссылке: https://www.rutoken.ru/support/download/pkcs/ и выполнить установку из этого файла:

...

См. Двухфакторная аутентификация: libpam-csp и csp-monitor.

Работа с токенами

...

Рутокен ЭЦП

Command
Инициализация не поддерживается токенами Рутокен S.
Дальнейшая статья применима только к Рутокен ЭЦП.

Инициализация токена

Для очистки токенов можно использовать команду pkcs11-tool:

...

  • --login и --login-type so — параметры входа в сессию администратора;
  • --so-pin — действующий PIN-код администратора;
  • --change-pin — команды смены PIN-кода;
  • --new-pin — новый PIN-код.

...

Задание и изменение PIN-кода пользователя

Предупреждение
В целях обеспечения защиты принятые по умолчанию PIN-коды администратора и пользователя в обязательном порядке должны быть изменены.

На момент написания статьи заданный по умолчанию PIN-код пользователя был 12345678, PIN-код администратора - 87654321.

Команда

...

для установки (переустановки) PIN-кода

...

пользователя:

Command
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login so--pin <старый_PIN-код>87654321 --changeinit-pin --new-pin <новый_PIN-код><PIN_код_пользователя>
Команда для изменения PIN-кода пользователя пользователем:
Command
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin <старый_PIN-код> --change-pin --new-pin <новый_PIN-код>

При При успешном выполнении будет выдано сообщение о том, что PIN-код успешно изменен:

...

Работа с сертификатами и ключевыми парами на устройствах Рутокен ЭЦП

Создание ключевой пары

Для генерации ключевой пары в терминале следует ввести команду:

Command

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --label "название_ключа" --keypairgen --key-type rsa:2048 -l --id 45


Проверка наличия сертификатов и ключевых пар

...

Command
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l --pin <PIN_код_пользователя>

В результате выполнения команды отобразится информация обо всех сертификатах (Certificate Object) и публичных ключах (Public Key Object), хранящихся на токене:

...

Command
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert  --id {id} > название_вашего_сертификата.crt

...