ОПИСАНИЕ
АРХИТЕКТУРЫ И ПОРЯДКА ИСПОЛЬЗОВАНИЯ
СЕРВИСА ЭЛЕКТРОННОЙ ПОДПИСИ,
реализуемого комплексом программ защищенной графической подсистемы и пакетом офисных программ из состава операционных систем «Astra Linux»®
для создания и проверки электронной подписи совместно с сертифицированными ФСБ России средствами криптографической защиты информации

См. также:

статью КриптоПро и сервис электронной подписи fly-csp;

Данная статья применима к:

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
с установленным обновлением БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
с установленным обновлением Бюллетень № 20201007SE16
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
с установленным безопасности БЮЛЛЕТЕНЬ № 20190329SE15
Astra Linux Common Edition 2.12.32

Общие сведения

В операционных системах «Astra Linux»® обеспечена возможность создания и проверки усиленной квалифицированной электронной подписи с использованием комплекса программ защищенной графической подсистемы и пакета офисных программ, интегрированных с дополнительно устанавливаемыми сертифицированными ФСБ России средствами криптографической защиты информации (далее – СКЗИ), предназначенными для защиты информации, не содержащей сведения, составляющие государственную тайну.В документе в отношении функциональных возможностей операционных систем «Astra Linux»® по созданию и проверке электронной подписи, обеспечиваемых совместным использованием комплекса программ защищенной графической подсистемы, пакета офисных программ и СКЗИ, используется условное наименование «Сервис электронной подписи» (СЭП). СЭП не является самостоятельным изделием или самостоятельным компонентом операционных систем «Astra Linux»®.

Описание комплекса программ защищенной графической подсистемы, графических программ и утилит приведено в эксплуатационных документах:
- «Операционная система специального назначения «Astra Linux Special Edition»;
- «Руководство администратора. Часть 1» РУСБ.10015-01 95 01-1;
- «Операционная система специального назначения «Astra Linux Special Edition». Руководство пользователя» РУСБ.10015-01 93 01;
Описание пакета офисных программ LibreOffice приведено в эксплуатационном документе:
- «Операционная система специального назначения «Astra Linux Special Edition». Руководство пользователя» РУСБ.10015-01 93 01;
СЭП предоставляется программами, функционирующими в условиях политики разграничения доступа, не допускающей их применение совместно с СКЗИ в режиме обработки сведений, составляющих государственную тайну;
Эксплуатация СКЗИ в составе информационных систем должна осуществляться в соответствии с правилами пользования СКЗИ и указаниями, определенными в формуляре (или иных эксплуатационных документах) на СКЗИ.

СЭП предоставляется операционной системой общего назначения «Astra Linux Common Edition» версии не ниже 2.12.32 и операционной системой специального назначения «Astra Linux Special Edition РУСБ.10015-01» версии не ниже очередного обновления 1.6 с установленным обновлением безопасности БЮЛЛЕТЕНЬ № 20200722SE16 (оперативное обновление 6) или очередного обновления 1.5 с установленным обновлением безопасности БЮЛЛЕТЕНЬ № 20190329SE15.

СЭП обеспечивает создание и проверку электронной подписи (далее – ЭП) электронных документов в соответствии с ГОСТ Р 34.10-2012. Предоставление пользователю СЭП осуществляется путем вызова соответствующих пунктов основного меню графического рабочего стола операционной системы, меню файлового менеджера fly-fm и пакета офисных программ LibreOffice с последующим формированием запросов к СКЗИ для создания и проверки ЭП.

При этом, до создания или проверки электронной подписи, с использованием программных средств, включенных в состав операционных систем, осуществляется предварительный просмотр электронных документов, хранящихся в файлах следующих форматов:

.pdf (программы просмотра: qpdfview, okular);
.png, jpg (программы просмотра: gwenview, fly-image),
.html, .xml (программы просмотра: браузер Firefox);

Для предварительного просмотра электронных документов, хранящихся в файлах форматов .txt, .odt, .ods, .odp, .odg, .doc, .xls, .ppt, .docx, .xlsx, .pptx осуществляется их автоматическая предварительная конвертация в формат PDF путем вызова средств из пакета офисных программ LibreOffice (без участия оператора и отображения в графическом интерфейса).

СЭП обеспечивает:

проверку присоединенной электронной подписи с указанием имени файла электронного документа;
проверку отсоединенной электронной подписи с указанием имени файла электронного документа и имени файла электронной подписи;
получение информации об установленных сертификатах;
создание отсоединенной электронной подписи без метки доверенного времени с указанием имени файла электронного документа и имени файла создаваемой электронной подписи;
создание отсоединенной электронной подписи с включенной меткой доверенного времени с указанием имени файла электронного документа, имени файла создаваемой электронной подписи и адреса источника метки времени.

СЭП обеспечивается совокупностью совместно функционирующих программных компонент операционных систем «Astra Linux»®:

программный модуль, реализующий функцию создания и проверки ЭП, fly-csp-cryptopro;
расширение (плагин) пакета офисных программ LibreOffice – libreoffice-astracsp-plugin;
файловый менеджер fly-fm;
пакет офисных программ LibreOffice.

Программные компоненты СЭП являются неотъемлемой частью операционных систем «Astra Linux»®.

Непосредственное взаимодействие с СКЗИ (формирование управляющих команд, получение и отображение результата работы СКЗИ с использованием программы cryptcp) осуществляет программный модуль, реализующий функцию создания и проверки ЭП, – fly-csp-cryptopro.

Файловый менеджер fly-fm и расширение (плагин) пакета офисных программ LibreOffice libreoffice-astracsp-plugin взаимодействуют с программным модулем fly-csp-cryptopro и не взаимодействуют непосредственно с СКЗИ.

Пакет офисных программ LibreOffice взаимодействует с расширением (плагином) пакета офисных программ LibreOffice libreoffice-astracsp-plugin и не взаимодействует непосредственно с СКЗИ.

Взаимосвязь перечисленных компонент операционных систем «Astra Linux»® с СКЗИ и другим программным обеспечением показана на рисунке 1.

В процессе функционирования осуществляется вызов соответствующих, перечисленных выше программ из состава операционных систем «Astra Linux»® для предварительного просмотра электронных документов , формируются управляющие команды для СКЗИ с целью вызова функций проверки или создания ЭП, осуществляется отображение получаемого в результате выполнения вызываемых функций результата.

Обращение к программному модулю, реализующему функцию создания и проверки ЭП, fly-csp-cryptopro осуществляется:

файловым менеджером fly-fm (с использованием соответствующего пункта контекстного меню);
оператором путем интерактивного запуска приложения с использованием основного меню операционной системы (раздел «Утилиты» – «Создание и проверка электронной подписи»);
расширением (плагином) пакета офисных программ LibreOffice, запуск которого инициируется путем вызова пользователем соответствующего пункта меню графического интерфейса пакета офисных программ LibreOffice;
прикладным программным обеспечением запуска на выполнение программного модуля fly-csp-cryptopro с соответствующими параметрами.

Рисунок 1 - Взаимодействие СКЗИ с программными компонентами операционных систем «Astra Linux»® в процессе предоставления СЭП

1. Установка и запуск компонент операционных систем «Astra Linux», предоставляющих СЭП

1.1. Установка

Файловый менеджер fly-fm и пакет офисных программ LibreOffice включены в состав установочного диска операционных систем «Astra Linux»® и устанавливаются в соответствии с сопроводительной (эксплуатационной) документацией. СКЗИ устанавливается в соответствии с правилами пользования СКЗИ и указаниями, определенными в формуляре (или иных эксплуатационных документах).

Для использования СЭП необходимо в обязательном порядке установить следующие программные компоненты из состава операционных систем «Astra Linux»®:

программный модуль, реализующий функцию создания и проверки ЭП – fly-csp-cryptopro;
расширение офисных программ LibreOffice – libreoffice-astracsp-plugin.

Указанные программные модули не включены в состав установочных дисков операционных систем «Astra Linux»®, доступны на официальном справочном ресурсе разработчика операционных систем (http://wiki.astralinux.ru) и предоставляются потребителям:

в составе оперативных обновлений – для операционной системы специального назначения «Astra Linux Special Edition» очередное обновление 1.6;
в составе публичного репозитория операционной системы общего назначения «Astra Linux Common Edition» версии 2.12.32 и новее;
путем загрузки программных модулей с официального информационного ресурса – для операционной системы специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.5 (см. статью КриптоПро и сервис электронной подписи fly-csp).

Установка оперативных обновлений и подключение репозиториев операционных систем проводится в соответствии с инструкциями, размещенными на http://wiki.astralinux.ru в соответствующих разделах.

Для завершения установки программных модулей необходимо:

для операционных систем специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.6 и общего назначения «Astra Linux Common Edition» версии 2.12:
- подключить репозиторий, запустить терминал fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора (для операционных систем специального назначения - с правами администратора с высоким уровнем целостности):
  sudo apt update
  sudo apt install fly-csp-cryptopro
  sudo apt install libreoffice-astracsp-plugin
для операционной системы специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.5:
- подключить репозиторий, запустить терминал fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:
  sudo apt-get update
  sudo dpkg -i fly-csp-cryptopro_1.0.хх_amd64.deb
  sudo dpkg -i libreoffice-astracsp-plugin_1.0.х_amd64.deb

Программный модуль, реализующий функцию создания и проверки ЭП – fly-csp-cryptopro обеспечивает предоставление СЭП из меню Пуск и графического интерфейса файлового менеджера fly.

Программный модуль, реализующий функцию создания и проверки ЭП, fly-csp-cryptopro разработан на языке программирования Python (версия 3) и включает в свой состав:

основной файл программы /usr/bin/fly-csp-cryptopro;
дополнительные файлы и библиотеки в каталогах /usr/lib/python3/dist-packages/astra_csp_cryptopro и /usr/lib/python3/dist-packages/astra_csp_cryptopro-0.1.0.egg-info;
конфигурационный файл /etc/astra-csp-cryptopro/fly-csp-cryptopro.conf;
ярлык для запуска /usr/share/flyfm/actions/fly-csp-cryptopro.desktop.

При установке программного модуля fly-csp-cryptopro проводится проверка наличия в информационной системе установленного программного обеспечения СКЗИ и офисного пакета LibreOffice.

Расширение libreoffice-astracsp-plugin обеспечивает предоставление СЭП из графического интерфейса пакета офисных программ LibreOffice в процессе работы с электронными документами.

После установки расширением libreoffice-astracsp-plugin проводится проверка наличия в информационной системе установленного программного модуля fly-csp-cryptopro.

Перед установкой расширения пакета офисных программ LibreOffice libreoffice-astracsp-plugin необходимо ознакомиться с Лицензионными соглашениями с конечным пользователем по использованию операционных систем "Astra Linux"® (https://astralinux.ru/information/licenses/).

Конфигурационный файл /etc/astra-csp-cryptopro/fly-csp-cryptopro.conf содержит следующие параметры:

Максимально допустимый для предоставления СЭП уровень конфиденциальности:
```
MaxMacLevel=1
```
Адрес источника получения доверенного времени:
```
TimeAddress=http://testca2012.cryptopro.ru/tsp/tsp.srf
```
Максимальное время ожидания выполнения запросов к криптопровайдеру:
```
MaxCspTimeWaiting=30000
```
Перечень расширений файлов электронных документов, для которых разрешено предоставление СЭП:
```
FileExtensionsEnabledForSigning=.pdf, .png, .jpg, .html, .xml, .txt, .odt, .ods, .odp, .odg, .doc, .xls, .ppt, .docx, .xlsx, .pptx
```
Отключение (off) или включение (on) действия перечня, заданного в п. 4).
```
EnableFileExtensionFilterForSigning=off
```

Перечень mime-типов файлов электронных документов, для просмотра которых будет проведена предварительная конвертация во временный файл формата PDF:

PdfConversionMimeTypes=application/vnd.oasis.opendocument.text,\
application/vnd.oasis.opendocument.spreadsheet,\
application/vnd.oasis.opendocument.presentation,\
application/vnd.oasis.opendocument.graphics,\
application/msword,\
application/vnd.ms-word,\
application/vnd.ms-excel,\
application/vnd.ms-powerpoint,\
application/vnd.openxmlformats-officedocument.wordprocessingml.document,\
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,\
application/vnd.openxmlformats-officedocument.presentationml.presentation,\
text/plain

Указанные параметры могут быть изменены администратором при установке программы fly-csp-cryptopro в соответствии с требованиями к информационной системе в которой будет функционировать СЭП.

1.2. Проверка уровня конфиденциальности сеанса

Данный раздел применим только для информационных систем, функционирующих под управлением операционной системы специального назначения «Astra Linux Special Edition».

В целях исключения использования СКЗИ при обработке информации, содержащей сведения, составляющие государственную тайну, перед началом работы выполняется проверка допустимого для предоставления СЭП уровня конфиденциальности путем сравнения уровня конфиденциальности сеанса текущего пользователя с максимально допустимым значением, заданным в конфигурационном файле.

Максимально допустимый для предоставления СЭП уровень конфиденциальности задается в конфигурационном файле /etc/astra-csp-cryptopro/fly-csp-cryptopro.conf параметром MaxMacLevel. Предварительно установленное значение MaxMacLevel=1 и может быть изменено администратором безопасности. Политикой управления доступом и организационно-распорядительными документами по защите информации объекта информатизации (объекта вычислительной техники) должен быть предусмотрен явный запрет внесения изменений в конфигурационный файл любыми пользователями, за исключением ответственного за защиту информации администратора безопасности, зарегистрированного в операционной системе как привилегированный пользователь.

В случае, если уровень конфиденциальности текущего сеанса пользователя превышает максимально допустимый, программный модуль, реализующий функцию создания и проверки ЭП, fly-csp-cryptopro выдает пользователю сообщение об ошибке и завершает свою работу.

1.3. Предоставление СЭП из основного меню операционной системы

После установки программного модуля fly-csp-cryptopro в основном меню операционной системы в разделе «Утилиты» создается пункт «Электронная подпись КриптоПро» для вызова функционала создания и проверки электронной подписи, как показано на рисунке 2:

Рисунок 2 - Вызов компонентов СЭП в основном меню

При выборе данного пункта программный модуль fly-csp-cryptopro запускается без параметров, задающих имя файла электронного документа, и требует выбор файла электронного документа пользователем с использованием графического интерфейса программного модуля fly-csp-cryptopro (экранной формы «Электронная подпись КриптоПро» (рисунок 3). Выбор файла электронного документа осуществляется нажатием кнопки [Выбрать ЭД].

Рисунок 3 - Запуск расширения fly-csp-cryptopro из основного меню операционной системы

Вызов СЭП из основного меню операционной системы доступен для операционных систем общего назначения «Astra Linux Common Edition» версии 2.12 и операционной системой специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.5 и 1.6.

1.4. Предоставление СЭП из файлового менеджера fly

По завершении установки программного модуля fly-csp- cryptopro:

в каталоге /usr/share/flyfm/actions создается ярлык fly-csp-cryptopro.desktop для доступа к СЭП;
в список действий контекстного меню файлового менеджера добавляются возможности по проверке и созданию ЭП.

Пользователь может выполнить вызов СЭП из файлового менеджера при выборе какого-либо файла электронного документа и вызове (нажатием правой кнопки мыши (далее – ПКМ) контекстного меню, как показано на рисунке 4.

Рисунок 4 - Вызов СЭП с выбором файла электронного документа

Вызов СЭП возможен с одновременным выбором файла электронного документа и соответствующего ему отсоединенного файла ЭП, как показано на рисунке 5. В этом случае проверка выбранной ЭП и отображение результатов проверки будут выполнены сразу после запуска и не потребуют дополнительных действий пользователя.

Рисунок 5 - Вызов СЭП по созданию и проверке ЭП с выбором файла электронного документа и файла отсоединенной ЭП

Вызов СЭП из файлового менеджера fly доступен для операционной системы общего назначения «Astra Linux Common Edition» версии 2.12 и операционной системы специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.6.

Для операционной системы специального назначения «Astra Linux Special Edition РУСБ.10015-01» очередное обновление 1.5 данный функционал не предоставляется, компоненты СЭП необходимо запускать из основного меню операционной системы.

1.5. Предоставление СЭП пакетом офисных программ LibreOffice

Предоставление СЭП пакетом офисных программ LibreOffice осуществляется путем вызова соответствующего пункта меню, как показано на рисунке 6.

Рисунок 6 - Предоставление СЭП из LibreOffice

Данный пункт появляется в меню графического интерфейса LibreOffice после установки расширения libreoffice-astracsp-plugin.

Расширение libreoffice-astracsp-plugin проверяет:

установлена ли программа fly-csp-cryptopro;
определено ли место для сохранения файла электронного документа (на диске или другом носителе).

В случае если какое-либо из условий не выполнено, пользователю выдается соответствующее сообщение и функции по созданию и проверке ЭП не будут доступны.

Если оба условия выполнены, пользователь должен подтвердить вызов функций по созданию и проверке ЭП, место сохранения документа и отключение режима редактирования (при необходимости).

В случае подтверждения запуска, пользователю будут доступны функции по созданию и проверке ЭП с указанием файла документа LibreOffice в качестве электронного документа.

1.6. Предоставление СЭП из прикладного ПО

Предоставление СЭП из прикладного программного обеспечения (систем электронного документооборота и т.п.) может осуществляться путем вызова команды:

без параметров:
fly-csp-cryptopro
с одним параметром:
fly-csp-cryptopro <имя_файла_ЭД>
или с двумя параметрами:
fly-csp-cryptopro <имя_файла_ЭД> <имя_файла_ЭП>

Параметры в указанных командах означают:

<имя_файла_ЭД> - имя файла ЭД;
<имя_файла_ЭП> - имя файла отсоединенной ЭП.

В результате вызова команды без параметров дальнейшее функционирование компонентов СЭП будет аналогично описанному в п. 1.3.

В результате вызова команды с одним или двумя параметрами дальнейшее функционирование компонентов СЭП будет аналогично описанному в п. 1.4.

2. Описание функционирования fly-csp-cryptopro

2.1. Просмотр электронного документа

Просмотр электронного документа осуществляется путем нажатия кнопки [Просмотреть] в секции «Файл электронного документа» графического интерфейса программного модуля fly-csp-cryptopro, в результате чего файл, содержащий электронный документ, будет открыт для просмотра программой, назначенной в настройках операционных систем «Astra Linux»® для файлов данного mime‑типа.

В случае, если mime‑тип выбранного файла электронного документа включен в список, определенный в конфигурационном файле /etc/astra-csp-cryptopro/fly-csp-cryptopro.conf в параметре PdfConversionMimeTypes, будет проведена предварительная конвертация файла электронного документа <имя_файла_ЭД> во временный файл формата PDF в каталоге, заданном параметром --outdir. Конвертация будет выполнена с помощью LibreOffice путем вызова команды:

libreoffice --convert-to pdf <имя_файла_ЭД> --outdir <имя_каталога>

с последующим его отображением программой просмотра PDF-файлов, указанной в разделе «Общие сведения».

Перечень mime‑типов файлов, предполагающих предварительную конвертацию для просмотра в PDF-файл приведен в таблице 1. В случае необходимости, данный перечень может быть откорректирован системным администратором.

Таблица 1 - Типы файлов, предполагающих предварительную конвертацию для просмотра во временный PDF-файл

Mime -тип файла	Описание
text/plain	Текстовый документ *.tхt
application/vnd.oasis.opendocument.text	Текстовый документ *.odt
application/vnd.oasis.opendocument.spreadsheet	Электронная таблица *.ods
application/vnd.oasis.opendocument.presentation	Презентация *.odp
application/vnd.oasis.opendocument.graphics	Рисунок *.odg
application/msword	Текстовый документ *.doc
application/vnd.ms-word	Текстовый документ *.doc
application/vnd.ms-excel	Электронная таблица *.xls
application/vnd.ms-powerpoint	Презентация *.ppt
application/vnd.openxmlformats-officedocument.wordprocessingml.document	Текстовый документ *.docх
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet	Электронная таблица *.xlsх
application/vnd.openxmlformats-officedocument.presentationml.presentation	Презентация *.pptх

2.2. Проверка присоединенной ЭП

Здесь и далее в качестве примера в настоящем документе используется вызов и результаты работы программ, взаимодействующих с СКЗИ «КриптоПро CSP».

Проверка присоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля fly-csp-cryptopro путем нажатия левой кнопки мыши (далее – ЛКМ) по кнопке [Проверить ЭП]. В секции «Файл электронной подписи» при этом должно быть указано «Будет проверена присоединенная электронная подпись» (рисунок 7).

Рисунок 7 - Проверка присоединенной ЭП в графическом интерфейсе программного модуля fly-csp-cryptopro

Нажатие кнопки инициирует формирование команды вызова функций СКЗИ для проверки присоединенной электронной подписи следующего вида7:

/opt/cprocsp/bin/amd64/cryptcp -verify <имя_файла_ЭД>

Если требуется проверка электронной подписи с включенной меткой доверенного времени, то следует включить переключатель [Проверка метки времени] и будет инициирована команда вызова функций СКЗИ для проверки присоединенной электронной подписи следующего вида:

/opt/cprocsp/bin/amd64/cryptcp -verify -cadest <имя_файла_ЭД>

Результаты выполнения команды отображаются в секции «Результаты обработки» графического интерфейса программного модуля fly-csp-cryptopro с цветовой индикацией успешного (зеленый) или ошибочного (красный) результата проверки ЭП.

2.3. Проверка отсоединенной ЭП

Проверка отсоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля fly-csp-cryptopro путем нажатия ЛКМ на кнопке [Выбрать ЭП], после чего будет отображен список файлов для выбора файла проверяемой ЭП. После выбора ЛКМ файла электронной подписи и появления его имени в секции «Файл электронной подписи», следует нажать ЛКМ на кнопке [Проверить ЭП].

Нажатие кнопки инициирует формирование команды вызова функций СКЗИ для проверки отсоединенной электронной подписи следующего вида:

/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached <имя_файла_ЭД> <имя_файла_ЭП>

Если требуется проверка электронной подписи с включенной меткой доверенного времени, то следует включить переключатель [Проверка метки времени] и будет инициирована команда вызова функций СКЗИ для проверки отсоединенной электронной подписи следующего вида:

/opt/cprocsp/bin/amd64/cryptcp -verify -verall -cadest -detached <имя_файла_ЭД> <имя_файла_ЭП>

Результаты выполнения команды отображаются в поле «Результаты обработки» с цветовой индикацией успешного (зеленый), ошибочного (красный) или успешного с дополнительными информационными сообщениями (желтый) результатов проверки ЭП, как показано на рисунке 8.

Рисунок 8 - Проверка отсоединенной ЭП в графическом интерфейсе программного модуля fly-csp-cryptopro

Аналогичного результата можно достичь одновременным выбором в файловом менеджере файла электронного документа и файла отсоединенной ЭП (рисунок 5). В этом случае проверка ЭП будет выполнена сразу после запуска программного модуля fly-csp-cryptopro и ее результат будет отображен сразу при открытии экранной формы графического интерфейса программного модуля fly-csp-cryptopro (рисунок 8).

2.4. Создание отсоединенной ЭП

Создание отсоединенной ЭП выполняется во вкладке «Создание ЭП» графического интерфейса программного модуля fly-csp-cryptopro (рисунок 9).

Рисунок 9 - Создание отсоединенной ЭП файла

При активации этой вкладки программный модуль fly-csp-cryptopro формирует команду вызова функций СКЗИ для получения информации об установленных сертификатах:

/opt/cprocsp/bin/amd64/certmgr -list

В случае, если на ЭВМ установлено несколько сертификатов ЭП, в секции «Применяемый сертификат электронной подписи» будет отображен список установленных сертификатов, из которого следует выбрать нужный. Этот сертификат впоследствии будет использоваться в параметре <сертификат>.

При необходимости создания ЭП с включенной меткой доверенного времени, переключатель [включить метку времени] в секции «Применяемый сертификат электронной подписи» должен быть включен.

Кодировка создаваемой ЭП устанавливается выбором из списка «base64» или «DER».

Расширение создаваемого файла отсоединённой ЭП устанавливается в соответствии с выбранным значением из списка расширений. При отсутствии в списке расширений необходимого, расширение устанавливается пользователем вручную в поле ввода имени файла отсоединённой ЭП в секции «Файл электронной подписи» и автоматически добавляется в список. Выбранные параметры создания ЭП будут установлены «по умолчанию» при следующем запуске программного модуля fly-csp-cryptopro.

Затем следует задать имя создаваемого файла отсоединённой ЭП в секции «Файл электронной подписи» в графическом интерфейсе программного модуля fly-csp-cryptopro. Имя файла ЭП создается автоматически путем добавления к имени файла, содержащего электронный документ, данных о дате и времени создания файла электронной подписи, а также с учетом выбранного расширения и имеет вид:

<имя_файла_ЭД>_ГГГГ-ММ-ДД_чч-мм-сс.<расширение>

Если переключатель [включить метку времени] включен, то будет автоматически создано имя вида:

<имя_файла_ЭД>_ГГГГ-ММ-ДД_чч-мм-сс.tsp.<расширение>

Если нажать ЛКМ на кнопке [Задать имя], то имя файла ЭП будет обновлено с учетом текущего времени.

При необходимости имя файла отсоединённой ЭП может быть откорректировано вручную.

После выполнения указанных действий следует выдать запрос на создание отсоединенной ЭП путем нажатия ЛКМ на кнопке [Создание ЭП], после чего программный модуль fly-csp-cryptopro сформирует команду вызова функций СКЗИ для создания отсоединенной электронной подписи вида:

/opt/cprocsp/bin/amd64/cryptcp -sign -der -thumbprint <сертификат> -cadest ‑cadesTSA <адрес_сдужбы_времение> -detached <имя_файла_ЭД> <имя_файла_ЭП>

Если выбран формат ЭП «base64», то параметр ‑der будет отсутствовать.

Если включение метки времени не требуется, то будут отсутствовать параметры -cadest -cadesTSA <адрес_службы_времени>.

Пример команды создания отсоединенной ЭП в формате «base64» без метки времени:

/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint <сертификат> -detached <имя_файла_ЭД> <имя_файла_ЭП>

Результаты выполнения команды будут отображены в поле «Результаты обработки» с цветовой индикацией успешного (зеленый) или ошибочного (красный или желтый) результата создания ЭП. Желтым цветом результаты обработки выделяются в случае, когда метка доверенного времени не получена.

Выбранные параметры создания ЭП будут установлены «по умолчанию» при следующем запуске программного модуля fly-csp-cryptopro.

3. Работа fly-csp-cryptopro с использованием контейнеров электронного документа

3.1. Контейнер ЭД

Применение электронной подписи может привести к возникновению большого количества файлов ЭД и соответствующих им файлов ЭП, особенно если ЭД подписан несколькими ЭП.

В целях повышения удобства обработки большого количества файлов ЭД и ЭП программный модуль fly-csp-cryptopro обеспечивает возможность объединения ЭД и соответствующих ему ЭП в контейнер электронного документа, представляющий собой zip-архив с именем вида: <имя_файла>.signed.zip.

3.2. Создание ЭП в контейнере ЭД

Для создания контейнера ЭД следует при создании первой ЭП в секции «Файл электронной подписи» включить переключатель [Создать контейнер] (рисунок 10).

Рисунок 10 - Создание ЭП в контейнере

В результате успешного создания ЭП с параметрами, указанными на рисунке 10, будет сформирован контейнер ЭД в виде zip-архива с именем:

/home/.../Письмо.pdf.signed.zip

в который будут перемещены файл ЭД с именем Письмо.pdf и файл ЭП с именем Письмо.pdf_2020-07-01_22-20-46.p7s (рисунок 11).

Рисунок 11 — Результат создания ЭП в контейнере ЭД

В дальнейшем все ЭП создаваемые для этого ЭД также будут помещаться внутрь контейнера.

3.3. Работа с ЭП в контейнере ЭД

Контейнер ЭД может быть выбран аналогично выбору файла ЭД, как указано в п. 1.3, только для его выбора следует нажать кнопку [Выбрать контейнер ЭД].

С помощью контекстного меню, вызываемого в файловом менеджере нажатием правой клавиши мыши, контейнер ЭД может быть выбран так же, как и файл ЭД аналогично тому, как указано в п. 1.4.

После выбора контейнера ЭД в программном модуле fly-csp-cryptopro в секции «Файл электронного документа» будет указано имя контейнера и имя первого найденного в нем ЭД, как показано на рисунке 12.

Рисунок 12 — Открытие контейнера ЭД

Дальнейшая работа с ЭД и ЭП в контейнере ЭД аналогична описанной в п. 2.

Условия применения СКЗИ

В качестве СКЗИ разрешается использовать только КриптоПро CSP следующих версий:

КриптоПро CSP версии 4.0 R4;
КриптоПро CSP версии 5.0;

Указанные СКЗИ должны использоваться в исполнениях 1-Base или 2-Base.

СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно- программным модулем доверенной загрузки (АПМДЗ).

При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.

Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

Работа СКЗИ запрещена на уровнях конфиденциальности выше первого. В случае, если настройка ограничения работы СКЗИ не выполнена или выполнена некорректно и не обеспечивает запрет работы СЭП и СКЗИ на уровнях выше первого, дальнейшая эксплуатация ЭВМ на уровнях конфиденциальности выше первого запрещена.

В состав программной документации на ОС РУСБ.10015-01 (очередное обновление 1.6) и РУСБ.10015-16 входит документ «Пояснительная записка. Средства электронной подписи» РУСБ.10015-01 94 02 и РУСБ.10015-01 94 01.

Документ прошел экспертизу в рамках работ по оценке влияния компонентов ОС, предоставляющих СЭП, на СКЗИ в ФСБ России и является описанием функциональных возможностей ОС в части создания и проверки электронной подписи, обеспечиваемых совместным использованием ОС и средств криптографической защиты информации (СКЗИ) КриптоПро, а также описывает порядок установки и настройки СКЗИ для обеспечения совместной работы. Указанный документ в комплект поставки ОС не входит и предоставляется по запросу.

Дерево страниц

Описание архитектуры и порядка использования сервиса электронной подписи