Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Предупреждение

При работе с Astra Linux в качестве СКЗИ разрешается использовать только сертифицированные версии КриптоПро CSP. На момент последнего обновления настоящей статьи этосертифицированы:

  • КриптоПро CSP версии 5.0 R2 исполнение 1-Base или 2-Base;
  • КриптоПро CSP версии 5.0 исполнение 1-Base или 2-Base;;
  • КриптоПро CSP версии 4.0 R4 исполнение 1-Base или 2-Base;;

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ). 

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности том числе требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS. 

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

...

Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.

Для регистрации установки загруженного ключа:

  • установить пакет astra-digsig-oldkeys:

    Command
    sudo apt install astra-digsig-oldkeys


  • создать каталог /etc/digsig/keys/legacy/cryptopro:

    Command
    sudo mkdir -p /etc/digsig/keys/legacy/cryptopro

    Далее предполагается, что ключзагружен и помещен в созданный каталог.


  • выполнить команду:

    Command
    sudo update-initramfs -uk all


  • перезагрузить компьютер.

...

Блок кода
Nick name: HDIMAGE
Connect name: 
Reader name: HDD key storage

Nick name: CLOUD
Connect name: 
Reader name: Cloud Token

Nick name: Aktiv Rutoken lite 00 00
Connect name: 
Reader name: Aktiv Rutoken lite 00 00

Чтобы узнать модель подключенного токена модели подключенных токенов ввести команду:

Command
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройствеподключенных устройствах, например:

Блок кода
Aktiv Rutoken lite 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]

...

Примечание

Особенности применения PIN-кодов в контейнерах:

  • если аутентификацию осуществляет само устройство (как, например, токен), то PIN при создании контейнера не создается, а предъявляется, так как он - свойство устройства. Как следствие: у всех контейнеров на токене одинаковый PIN;
  • если устройство аутентификацию не осуществляет (как, например, локальный носитель HDIMAGE), то при создании контейнера создается и PIN-код. Следствие: у всех контейнеров , PIN-код на HDIAMGE может быть разным.

...