Содержание

Skip to end of metadata
Go to start of metadata

Общая информация о СЭП: ОПИСАНИЕ АРХИТЕКТУРЫ И ПОРЯДКА ИСПОЛЬЗОВАНИЯ СЕРВИСА ЭЛЕКТРОННОЙ ПОДПИСИ

Перед установкой и настройкой fly-csp, в систему должен быть установлен СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP

Данная статья применима к:

  • ОС ОН Орёл 2.12 
  • ОС СН Смоленск 1.5 
  • ОС СН Смоленск 1.6 (с установленным обновлением безопасности БЮЛЛЕТЕНЬ № 20200722SE16 или выше)

Сервис Электронной Подписи fly-csp-cryptopro



Программа предоставляет возможности для проверки и создания электронной подписи (ЭП). Является графическим интерфейсом для запуска команд криптопровайдера (криптографических утилит) на проверку и создание электронной подписи.

Позволяет:

  • проверить присоединенную (встроенную) ЭП с указанием имени файла электронного документа;
  • проверить отсоединенную ЭП с указанием имени файла электронного документа и имени файла электронной подписи;
  • получить информацию об установленных сертификатах;
  • создать отсоединенную электронную подпись без метки доверенного времени с указанием имени файла электронного документа и имени файла создаваемой электронной подписи;
  • создать отсоединенную электронную подпись с включенной меткой доверенного времени с указанием имени файла электронного документа, имени файла создаваемой электронной подписи и адреса источника метки времени.
  • просмотра содержимого с предварительной конвертацией в PDF-формат.

Установка


Для использования СЭП необходимо в обязательном порядке установить следующие программные компоненты из состава операционных систем «Astra Linux»:

- программный модуль, реализующий функцию создания и проверки ЭП →  fly-csp-cryptopro;

- расширение офисных программ LibreOffice → libreoffice-astracsp-plugin.


Установка на Смоленск 1.6 


Для установки программных модулей на ОС СН "Смоленск" 1.6, нужно обновить ОС до БЮЛЛЕТЕНЬ № 20200722SE16 (warning)

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

user ~$

sudo apt update

sudo apt install fly-csp-cryptopro libreoffice-astracsp-plugin

Установка на Смоленск 1.5 


Для установки программных модулей на ОС СН "Смоленск" 1.5 , нужно обновить ОС до БЮЛЛЕТЕНЬ № 20190329SE15 (warning)

Загрузить fly-csp-cryptopro_1.0.17_amd64.deb и libreoffice-astracsp-plugin_1.0.4_amd64.deb для ОС СН "Смоленск" 1.5.

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

user ~$

sudo dpkg -i fly-csp-cryptopro_1.0.17_amd64.deb

sudo dpkg -i libreoffice-astracsp-plugin_1.0.4_amd64.deb

Установка на Орёл 2.12


Для установки программных модулей на ОС ОН "Орёл" 2.12 , нужно обновить ОС до последнего обновления, согласно инструкции: Обновление Astra Linux CE

Загрузить fly-csp-cryptopro_1.0.17_amd64.deb и libreoffice-astracsp-plugin_1.0.4_amd64.deb для ОС ОН "Орёл" 2.12.

Запустить терминал Fly и выполнить следующие команды от имени привилегированного пользователя с правами администратора:

user ~$

sudo dpkg -i fly-csp-cryptopro_1.0.17_amd64.deb

sudo dpkg -i libreoffice-astracsp-plugin_1.0.4_amd64.deb

Варианты запуска fly-csp-cryptopro


Запуск из меню "fly"

Пунктом подменю «Пуск» - «Утилиты» - «Электронная подпись КриптоПро» (см. рис. 1). Данным пунктом программа запускается без параметров, задающих имя файла электронного документа, поэтому для работы с конкретным документом следует с помощью кнопки [Выбрать ЭД] на вкладке «Проверка ЭП» главного окна программы (см. Главное окно программы) установить имя файла с документом;


Запуск из контекстного меню fly-fm

В главном окне программы «Менеджер файлов fly-fm» следует перейти в папку с целевым документом, а затем на панели просмотра папок и файлов установить курсор (фокус внимания) на названии/значке файла с документом, щелчком правой кнопки мыши на нем открыть контекстное меню и выбрать пункт «Действия» - «Электронная подпись КриптоПро»

Запуск из контекстного меню fly-fm доступен только для ОС версии 1.6 и 2.12


Запуск из меню LibreOffice

После установки плагина libreoffice-astracsp-plugin, в LibreOffice появится возможность вызова утилиты fly-csp-cryptopro при выборе меню "Файл" → "Электронная подпись".


Создание электронной подписи



При первом запуске fly-csp-cryptopro нужно будет переключить вкладку с "Проверка ЭП" на "Создать ЭП":

При этом если в АРМ будет установлен токен с сертификатом, то он автоматом установит его в личное хранилище uMy и отобразится в самой утилите fly-csp-cryptopro. После чего ею можно будет воспользоваться для создания ЭП.


Перед подписанием файл электронного документа можно предварительно просмотреть, нажав кнопку "Просмотреть".

Далее следует выбрать нужный Вам сертификат, с которым Вы хотите подписать файл электронного документа и нажать кнопку "Создание ЭП".

В результате чего, путем добавления к текущему имени файла данных о текущих дате и времени и расширения "sig" будет создана ЭП вида:

:<FILENAME>_ГГГГ-ММ-ДД_чч-мм-сс.sig

При необходимости это имя может быть откорректировано вручную.

При создании ЭП можно указать кодировку ЭП и расширение файла ЭП



Создание электронной подписи со штампом времени


В fly-csp-cryptopro есть возможность создания  ЭП с меткой времени.

Для этого следует нажать "галочку" в поле "включить метку времени". В названии файла добавится расширение *.tsp.* 


С помощью метки времени можно проверять:

Достоверность времени создания документа

Метка времени на документе удостоверяет точное время создания этого документа для того, чтобы в последующем разрешать конфликты, связанные с его использованием. Таким образом, с помощью метки времени вы обеспечиваете неотрекаемость автора документа от своей подписи.

Сохранность актуальности электронной подписи

Наличие метки времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, вы можете использовать уже отозванный сертификат. Цепочка меток времени позволяет создавать системы архивного хранения электронных документов, сохраняющие актуальность ЭП в документах. В ином случае, актуальность подписанного документа ограничена сроком действия сертификата ключа подписи.

Для изменения сервера штампа времени следует отредактировать конфигурационный файл /etc/astra-csp/fly-csp-cryptopro.conf :

user ~$

sudo nano /etc/astra-csp/fly-csp-cryptopro.conf


В поле "TimeAddress=" следует указать нужный вам сервер времени.

По умолчанию указан сервер времени тестового УЦ КриптоПро: http://testca2012.cryptopro.ru/ui/


Для штампа времени должны быть установлены:

1)  Плагин cprocsp-pki-cades 

2) Сертификат УЦ должен быть установлен в хранилище "Доверенные корневые центры сертификации" 

3) Промежуточные сертификаты УЦ должны быть установлены в хранилище "Промежуточные центры сертификации".

4) Актуальные списки отозванных сертификатов (CRL)

Создание электронной подписи в zip контейнере


В целях повышения удобства обработки большого количества файлов ЭД и ЭП программный модуль fly-csp-cryptopro обеспечивает возможность объединения ЭД и соответствующих ему ЭП в контейнер электронного документа, представляющий собой zip-архив с именем вида: <FILENAME>.signed.zip.

Для создания контейнера ЭД следует при создании первой ЭП в секции «Файл электронной подписи» включить чекбокс [Создать контейнер].

В результате успешного создания ЭП с параметрами, будет сформирован контейнер ЭД в виде zip-архива с именем:

filename.pdf.signed.zip

в который будут перемещены файл ЭД с именем filename.pdf и файл ЭП с именем filename.pdf_2020-07-01_22-20-46.p7s


Проверка электронной подписи


Присоединенная подпись


Проверка присоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля fly-csp-cryptopro путем нажатия левой кнопки мыши (далее – ЛКМ) по кнопке [Проверить ЭП]. В секции «Файл электронной подписи» при этом должно быть указано «Будет проверена присоединенная электронная подпись».

Результаты выполнения команды отображаются в секции «Результаты обработки» графического интерфейса программного модуля fly-csp-cryptopro с цветовой индикацией успешного (зеленый) или ошибочного (красный) результата проверки ЭП.


Отсоединенная подпись

Проверка отсоединенной ЭП выполняется во вкладке «Проверка ЭП» графического интерфейса программного модуля fly-csp-cryptopro путем нажатия ЛКМ на кнопке [Выбрать ЭП], после чего будет отображен список файлов для выбора файла проверяемой ЭП. После выбора ЛКМ файла электронной подписи и появления его имени в секции «Файл электронной подписи», следует нажать ЛКМ на кнопке [Проверить ЭП].

в fly-csp-cryptopro есть возможность выбора файла и подписи одновременно для проверки.

Для этого следует выбрать в проводнике fly-fm, как сам документ так и подпись sig одновременно, нажать ПКМ → "Действия" → "Электронная подпись КриптоПро"


Проверка электронной подписи в zip контейнере

Содержимое контейнера ЭД с несколькими ЭП

Контейнер ЭД может быть выбран аналогично выбору файла ЭД,  только для его выбора следует нажать кнопку [Выбрать контейнер ЭД].


Часто встречающиеся вопросы / FAQ


Справка fly-csp-cryptopro

При нажатии кнопки f1 в утилите fly-csp-cryptopro откроется "Справка" с подробным описанием утилиты.


Криптопровайдер КриптоПро не установлен


Для исправления данной ошибки, следует установить СКЗИ КриптоПро согласно инструкции: Работа с КриптоПро CSP


Не удалось загрузить сертификаты


Для исправления данной ошибки, следует установить личные сертификаты пользователя в хранилище uMy согласно инструкции: Работа с КриптоПро CSP


Отсутствует cades plugin 


Ошибка: Не удалось открыть файл 'cades library'.

/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:217: 0x20000065

[ErrorCode: 0x20000065]

Означает, что у Вас не установлен КриптоПро CADES ЭЦП Browser plug-in при создании ЭП со штампом времени.


Ошибка в подписи со штампом времени


При возникновении ошибки с использованием штампа времени:


Ошибка: Произошла внутренняя ошибка в цепочке сертификатов.

/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1797: 0x800B010A

[ErrorCode: 0x800b010a]


Следует установить всю цепочку сертификатов до УЦ сервера штампа времени.

В случае использования тестового УЦ КриптоПРО:

1) Скачать и установить корневой сертификат тестового Удостоверяющего центра в хранилище Доверенные корневые центры сертификации;

2) Скачать и установить промежуточный сертификат тестового Удостоверяющего центра в хранилище Промежуточные центры сертификации.

3) Скачать и установить актуальные списки отозванных сертификатов (CRL) доступных здесь.