КриптоПро CSP

Назначение

Криптопровайдер (Cryptography Service Provider, CSP) — независимый программный модуль, позволяющий осуществлять криптографические операции. Криптопровайдер КриптоПро CSP предназначен для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
• контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

https://www.cryptopro.ru/products/csp

Установка КриптоПро CSP

Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.

Для ОС Astra Linux следует загружать сертифицированные версии, пакеты "КриптоПро CSP x.x для Linux (x64, deb)" или "КриптоПро CSP x.x для Astra Linux, ЗПС (x64)" где x.x - номер версии.

Для написания настоящей статьи были выполнены следующие действия:

1. Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;
2. Открыть "Терминал Fly" (горячая клавиша Alt+T);

3. Разархивировать полученный архив в терминале командой:

   tar -zxf linux-amd64_deb.tgz

4. Перейти в каталог с ПО: 

   cd linux-amd64_deb

5. Установить ПО:

   1. Либо с для работы с графическим пользовательским интерфейсом запустив сценарий install_gui.sh командой:

      sudo ./install_gui.sh
      В процессе установи выбрать необходимые компоненты:
      

      
      

   2. Либо с для работы без графического пользовательского интерфейса запустив сценарий instal.sh командой:
      

      sudo ./install.sh

Описание пакетов КриптоПро

Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:  

ii  cprocsp-cptools-gtk-64                        5.0.12000-6                                           amd64        GUI application for various CSP tasks. Build 12000.
ii  cprocsp-curl-64                               5.0.12000-6                                           amd64        CryptoPro cURL shared library and application. Build 12000.
ii  cprocsp-rdr-cloud-64                          5.0.12000-6                                           amd64        DSS keys support module
ii  cprocsp-rdr-cpfkc-64                          5.0.12000-6                                           amd64        FKC support module
ii  cprocsp-rdr-cryptoki-64                       5.0.12000-6                                           amd64        Module for PKCS11 keys support. Build 12000.
ii  cprocsp-rdr-edoc-64                           5.0.12000-6                                           amd64        Electronic documents support module
ii  cprocsp-rdr-emv-64                            5.0.12000-6                                           amd64        EMV/Gemalto support module
ii  cprocsp-rdr-gui-gtk-64                        5.0.12000-6                                           amd64        CryptoPro CSP GTK GUI components. Build 12000.
ii  cprocsp-rdr-infocrypt-64                      5.0.12000-6                                           amd64        Infocrypt FKC support module
ii  cprocsp-rdr-inpaspot-64                       5.0.12000-6                                           amd64        Inpaspot support module
ii  cprocsp-rdr-kst-64                            5.0.12000-6                                           amd64        MorphoKST support module
ii  cprocsp-rdr-mskey-64                          5.0.12000-6                                           amd64        Mskey support module
ii  cprocsp-rdr-novacard-64                       5.0.12000-6                                           amd64        Novacard support module
ii  cprocsp-rdr-pcsc-64                           5.0.12000-6                                           amd64        CryptoPro CSP. PC/SC devices support. Build 12000.
ii  cprocsp-rdr-rosan-64                          5.0.12000-6                                           amd64        Rosan support module
ii  cprocsp-rdr-rutoken-64                        5.0.12000-6                                           amd64        Rutoken support module
ii  lsb-cprocsp-base                              5.0.12000-6                                           all          CryptoPro CSP directories and scripts. Build 12000.
ii  lsb-cprocsp-ca-certs                          5.0.12000-6                                           all          CryptoPro CA certificates. Build 12000.
ii  lsb-cprocsp-capilite-64                       5.0.12000-6                                           amd64        CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 12000.
ii  lsb-cprocsp-import-ca-certs                   5.0.12000-6                                           all          Import OS root certificates in CryptoPro CSP. Build 12000.
ii  lsb-cprocsp-kc1-64                            5.0.12000-6                                           amd64        CryptoPro CSP KC1. Build 12000.
ii  lsb-cprocsp-pkcs11-64                         5.0.12000-6                                           amd64        CryptoPro PKCS11. Build 12000.
ii  lsb-cprocsp-rdr-64                            5.0.12000-6                                           amd64        CryptoPro CSP common libraries and utilities. Build 12000.

Настройка путей к исполняемым файлам

Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:

Установка дополнительных пакетов для поддержки токенов и смарт-карт

Для корректной работы с токенами и смарт-картами установить:

• дополнительные пакеты из состава ОС:
  • libccid;
  • libgost-astra;
  • pcscd;
• пакеты с модулями поддержки, предоставляемые производителями оборудования:
  • для токенов Рутокен: https://www.rutoken.ru/support/download/nix/
  • для токенов Аладдин: https://www.aladdin-rd.ru/support/downloads/jacarta

Команда для установки пакетов из состава ОС:

Ключ КриптоПРО CSP для работы в режиме замкнутой программной среды Astra Linux SE.

Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.

Для установки загруженного ключа:

• установить пакет astra-digsig-oldkeys:

  sudo apt install astra-digsig-oldkeys

• создать каталог /etc/digsig/keys/legacy/cryptopro:

  sudo mkdir -p /etc/digsig/keys/legacy/cryptopro
  Далее предполагается, что ключ загружен и помещен в созданный каталог.

• выполнить команду:

  sudo update-initramfs -uk all

• перезагрузить компьютер.

Лицензии КриптоПро

Проверка срока истечения лицензии КриптоПро

Проверить срок истечения лицензии КриптоПро можно командой:

Пример вывода команды:

License validity:
5050010037ELQF5H28KM8E6BA
Expires: 88 day(s)
License type: Demo.

Установка лицензии КриптоПРо

Для установки лицензии выполнить команду :

Носители и контейнеры

Идентификация токена

Для просмотра списка настроенных считывателей можно воспользоваться командой:

Nick name: HDIMAGE
Connect name: 
Reader name: HDD key storage

Nick name: CLOUD
Connect name: 
Reader name: Cloud Token

Nick name: Aktiv Rutoken lite 00 00
Connect name: 
Reader name: Aktiv Rutoken lite 00 00

Чтобы узнать модели подключенных токенов ввести команду:

Aktiv Rutoken lite 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]

Проверить наличие носителей с контейнерами можно с помощью команды:

• \\.\HDIMAGE\<имя_контейнера> - контейнеры на локальных носителях;
• \\.\Aktiv Rutoken ECP 00 00\<имя_носителя> - контейнеры на токенах.

Подробную информацию см. "Имена контейнеров"

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

Пример работы команды:

Проверка работы контейнера

Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:

Удаление контейнера

Удалить контейнер можно командой:

Копирование контейнера

Скопировать контейнер из локального хранилища в хранилище токена Рутокен ЕЦП:

Смена пароля на контейнер (снятие паролей с контейнера)

Менеджер сертификатов КриптоПро в Linux

Категории сертификатов

Сертификаты делятся на четыре категории:

• личные сертификаты (устанавливаются в хранилище umy, где u = User, my - имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл;
  
  
• корневые сертификаты - краеугольный камень безопасности, так как цепочки доверия строятся от них.  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);
  
  
• промежуточные сертификаты - появляются, когда есть промежуточные УЦ (структура вида "головной УЦ" -> "промежуточный УЦ" -> "пользовательский сертификат"). Прямое доверие к ним не требуется (устанавливаются в uca, также администратор может поставить их в mca). В это же хранилище устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они загружаются автоматически и устанавливаются в хранилище ucache. Обычно непосредственная работа с промежуточными сертификатами не требуется;
  
  
• сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации

Установка всех личных сертификатов со всех контейнеров в uMy :

Просмотр ранее установленных сертификатов

Просмотра ранее установленных сертификатов можно выполнить командой:

Удаление сертификатов из хранилища КриптоПро

Для удаления определенного сертификата из хранилища КриптоПро выполнить команду:

Для удаления всех сертификатов выполнить команду:

Экспорт сертификатов на другую машину

Закрытые ключи к сертификатам находятся в каталоге /var/opt/cprocsp/keys.

Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

Экспорт сертификата:

Can not install certificate
Public keys in certificate and container are not identical

Проверка цепочки сертификатов

Для примера: чтобы проверить цепочку сертификатов, можно скопировать персональный сертификат в файл:

CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат: АРМ Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочка сертификатов не проверена для следующего сертификата:

Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Пустовой, Виктор Иванович, "АКЦИОНЕРНОЕ 
ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Генеральный директор, Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, 5087746137023, 007726604816, 
13407634844, mail@rusbitech.ru

Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:396: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])? С

Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно запустить вышеуказанную команду в режиме  debug(отладки):

$ CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn 'CN=Имя_вашего_сертификата' -df  /temp/сертификат.cer
...
----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
1. 
 Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:IS_UNTRUSTED_ROOT
...

CP_PRINT_CHAIN_DETAIL=1 --> включает режим отладки

В нашем примере из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:

....
Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:CERT_TRUST_NO_ERROR
...
Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]

Подписание документа ЭЦП

Подпись документа может быть сделана двумя способами:

• attached (присоединенная), когда результирующий файл - это CMS-сообщение, внутрь которого упакованы данные и атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows);
• detached (отсоединенная), когда результирующий файл - это CMS-сообщение БЕЗ исходных данных, но с атрибутами (типа подписи). В этом случае для проверки надо "принести" исходный файл. Разумеется он остаётся неизменным и его можно смотреть cat-ом

Подпись файлов (присоединенная)

Подпись файлов (отсоединенная)

Проверка подписи в файле

Проверка присоединенной подписи

Для проверки присоединенной подписи выполнить:

Способ "естественный"

Использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:

Способ "обучающий"

Указать в качестве хранилища сертификатов само сообщение (ключ -f):

Извлечение подписанного файла

Чтобы извлечь файл, необходимо указать его имя в конце команды проверки подписи:

Графический интерфейс КриптоПро CSP v. 5.0 (cptools)

В версии КриптоПро 5 появился графический инструмент для работы с сертификатами - cptools. Инструмент можно запустить из консоли:

Удаление КриптоПро CSP

Для того, чтобы удалить ПО КриптоПро CSP,  в терминале FLY следует ввести последовательно 3 команды:

Отключение сообщений о необходимости перехода на ГОСТ Р 34.10-2012

В соответствии с принятым в 2014 году  порядком перехода на ГОСТ Р 34.10-2012  до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание  инструкцию.

Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters: 

[Parameters]
# Параметры провайдера
warning_time_gen_2001=ll:9223372036854775807
warning_time_sign_2001=ll:9223372036854775807

Полезные ссылки

КриптоПро: IFCP plugin для входа ЕСИА (Госуслуги)

КриптоПро: IFCP plugin для входа ЕСИА (Госуслуги)

КриптоПро CADES ЭЦП Browser plug-in

КриптоПро CADES ЭЦП Browser plug-in

Таблица поддерживаемых устройств Крипто-Про CSP

На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:

https://www.cryptopro.ru/products/csp/compare

База знаний КриптоПро

https://support.cryptopro.ru/index.php?/Knowledgebase/List

Обсуждение КриптоПро CSP на форуме astralinux

https://forum.astralinux.ru/threads/419/

Chromium+КриптоПРО

https://www.cryptopro.ru/news/2018/12/zashchishchennyi-brauzer-dlya-gosudarstvennykh-elektronnykh-ploshchadok-teper-i-na-linu

https://astralinux.ru/news/category-news/2018/brauzeryi-%C2%ABastra-linux-special-edition%C2%BB-adaptirovanyi-dlya-rabotyi/

Список ГИС и ЭТП использующих cades-bes plugin

ЭЦП в государственных информационных системах и электронно торговых площадках

Перечень аккредитованных удостоверяющих центров

Аккредитованные удостоверяющие центры

Диагностический архив для обращения в тех. поддержку

По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку  Astra Linux  и  КриптоПро.

Для создания диагностического архива, можно воспользоваться следующей командой:

sudo /opt/cprocsp/bin/amd64/curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

В результате должен получится архив в файле cprodiag_день_месяц_год.tar.gz, который следует прислать в техническую поддержку  Astra Linux  и  КриптоПро.