Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Image RemovedImage Added

Table of Contents
outlinetrue

Какие

...

JaCarta работают с Astra Linux

Рутокен  S– модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК.

Рутокен  Lite – модель для надежного хранения контейнеров ГОСТ-криптопровайдеров: КриптоПро, VipNet и других. Сертифицированы во ФСТЭК. Обладает интерфейсом CCID и не требует установки дополнительных драйверов

Рутокен ЭЦП 2.0 – имеет встроенный криптопровайдер и высокую производительность. Формирует квалифицированную электронную подпись (КЭП) при помощи сертифицированной реализации российских криптографических алгоритмов непосредственно в самом чипе устройстве, что повышает безопасность использования ЭП — ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. Работает с алгоритмами ГОСТ 2012. Сертифицированы в ФСБ и ФСТЭК.

Широко используется в системе ЕГАИС с 2016 года. В активном пользовании более полумиллиона устройств с квалифицированной электронной подписью.

Тестирование электронной подписи в Astra Linux:
Кроме двухфакторной аутентификации, можно проверять также подписание документов.

Для Рутокен Lite/S подписание проверить через:

1) КриптоАРМ eSign или КриптоАРМ ГОСТ 
2) Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»

Для Рутокен ЭЦП 2.0 подписание можно проверить несколькими способами:

1) КриптоАРМ eSign или КриптоАРМ ГОСТ 
2) Тестовый центр регистрации Рутокен + Рутокен Плагин 
3) OpenSSL Рутокен engine 
4) Утилиту csptestf из состава КриптоПро CSP. Подробно в разделе на Подпись средствами «КриптоПро CSP»

Рутокен для Байкала и Эльбруса

Рутокен Lite и Рутокен ЭЦП одинаково хорошо работают на всех платформах, где есть USB-интерфейс.
Сейчас для Эльбруса и Байкала Рутокены подписывают через программы:
1) Тестовый центр регистрации Рутокен + Рутокен Плагин 
2) Утилита из КриптоПро CSP 5.0

...

запросить у вендора


Установка

...

Для выполнения действий данной инструкции необходимо установить следующее программное обеспечение:

  • библиотека libccid, librtpkcs11ecplibjcPKCS11-2.so;
  • пакеты libpcsclite1 и pcscd;
  • opensc
  • pcsc-tools

...

Test
$ sudo dpkg -i librtpkcs11ecp_1.8.2.0-1_amd64.deb


Проверка работы Рутокен в системе

...

Для проверки работы Рутокена:
Подключите устройство к компьютеру.

Способ №1

Введите команду:

Test
$ pcsc_scan



Способ №2

Введите команду:


Test
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

...

Info
titleпуть до библиотеки librtpkcs11ecp.so может различаться

Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду:
$ find /usr/*(lib|lib64) -name librtpkcs11ecp.so


Изменение PIN-кода Рутокен

...


Для изменения pin-кода Рутокена введите команду:

...

После чего система оповестит Вас о том, что PIN-код успешно изменен:
Using slot 0 with a present token (0x0)
PIN successfully changed 





Проверка наличия сертификатов и ключевых пар на Рутокен ЭЦП

...

Проверка

Чтобы проверить наличие сертификатов и ключевых пар на Рутокене введите команду:

...


Если после строчки выводится информация о ключах и сертификатах, то необходимо считать сертификат:

Извлечение сертификата из токена


Test
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert  --id {id} > название_вашего_сертификата.crt

...

нет ничего, значит устройство пустое. Следует обратиться к администратору или создать ключи и сертификат самостоятельно.

Создание самоподписанного сертификата

Для генерации ключевой пары в терминале следует ввести команду:

...

Test
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O


Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
  label:      название_ключа
  ID:         45
  Usage:      encrypt, verify, wrap
Certificate Object, type = X.509 cert
  label:      имя_сертификата_в_токене
  ID:         45



Локальная аутентификация в Astra Linux по Рутокену

...

Установка дополнительный пакетов

Пуск - Настройки - Менеджер пакетов

...

Info

Важно помнить, что при регистрации нескольких токенов на одном компьютере, необходимо указывать пользователям раличные id.


Настраиваем аутентификацию 

Пуск - утилиты - Терминал Fly

...


в появившемся окне ставим галку в Pam_p11 и нажимаем OK
 

Проверка

Пуск - утилиты - Терминал Fly

...

Вход выполняется с подключенным токеном к компьютеру. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.

Блокировка компьютера при извлечении токена

В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.

...

После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.


Очистка всех данных с Рутокена

...

Для очистки всех данных воспользуйтесь командой:

Test

$ pkcs15-init --erase-card

$ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""

$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize



ПО для Рутокен Web Плагин

...

Рутокен Плагин (https://www.rutoken.ru/products/all/rutoken-plugin/) — компонент для любых браузеров и операционных систем для прямой работы с криптографией на устройстве. 
Не требует административных прав при установке.


Дополнительные источники информации

...

При возникновении вопроса, на который вам не удалось найти ответ в этой инструкции, рекомендуем
обратиться к следующим дополнительным источникам информации:

...