1с на астра линукс не видит криптопро

Обновлено: 21.11.2024

ООО «РусБИТех-Астра» выпустило релиз Astra Linux Common Edition 2.12.40, построенный на базе пакетов Debian GNU/Linux 9 «Stretch» ​​и снабженный собственным фирменным рабочим столом Fly (интерактивная демонстрация) с использованием библиотеки Qt. ISO-образ, бинарный репозиторий и исходники пакетов доступны для скачивания. Дистрибутив распространяется по лицензионному соглашению, которое накладывает ряд ограничений на пользователей, в частности, запрещено коммерческое использование, декомпиляция и дизассемблирование продукта.

  • Добавлены пакеты для ядра Linux 5.4 (ранее предлагалось ядро ​​4.19), которое представляет драйвер exFAT и улучшает поддержку процессоров 10-го поколения от Intel и AMD, драйверов графического процессора и сетевых компонентов. Образ установочного диска с новым ядром обновлен.
  • Предложены две новые цветовые схемы: светлая и темная (fly-data).
  • Переработан дизайн диалога «Выключение» (fly-shutdown-dialog).




  • Добавлена ​​поддержка доменов и токенов в новом дизайне интерфейса входа (fly-qdm).
  • Добавлен пакет Laptop-Mode-Tools для питания ноутбука и управления питанием.
  • Улучшена работа с конфигурациями с несколькими мониторами в оконном менеджере fly-wm. Оптимизировано размещение кнопок приложений при нехватке места на панели задач (с возможностью прокрутки строк).
  • Добавлена ​​поддержка приложений, использующих плагины KDE в файловом менеджере (fly-fm) («отправить» действия из KDE), ускорена работа с ресурсами SMB.
  • Fly-reflex обеспечивает вызов из всплывающего окна для форматирования внешнего диска.
  • Обновлен виджет даты и часов (fly-admin-date), добавлена ​​интеграция с приложением fly-admin-time.
  • Добавлена ​​горячая клавиша Win+F11, по которой любое приложение можно открыть на весь экран без украшательств и перекрытия панели задач.
  • В fly-notify-prevlogin доступна информация о времени предыдущего входа в систему.
  • Обновлен виджет управления яркостью полета.
  • Добавлена ​​переменная среды FLY_SHARED_DESKTOP_DIR (/usr/share/fly-wm/shareddesktop) для централизованного размещения ярлыков на рабочих столах всех пользователей.
  • Реализованы новые графические интерфейсы:
    • fly-admin-format для форматирования USB-накопителей с поддержкой быстрого и полного режима.
    • fly-admin-usbip для настройки монтирования USB-устройств по сети (usbip).
    • fly-admin-multiseat для настройки одновременной работы нескольких сотрудников с общими профилями на одном ПК.
    • fly-csp-cryptopro (ранее fly-csp) для создания и проверки электронной подписи провайдера КриптоПро.
    • fly-admin-time для выбора серверов NTP и настройки служб синхронизации времени.

    Скачать дистрибутив КриптоПро CSP с сайта.

    Распаковываем и устанавливаем КриптоПро CSP КС2 с простыми компонентами lsb-cprocsp-devel cprocsp-stunnel:
    tar -xvf ./linux-amd64_deb.tgz && cd ./linux-amd64_deb/
    sudo ./ install.sh kc2 cprocsp-stunnel
    sudo dpkg -i cprocsp-apache-modssl* cprocsp-cpopenssl*
    В случае, если в дистрибутиве не содержится пакетов cprocsp-cpopenssl*, берем их из множества.

    Добавляем криптопровайдеры КриптоПро HSM в конфигурацию КриптоПро CSP:
    sudo -s
    cd /opt/cprocsp/sbin/amd64/
    ./cpconfig -ini '\cryptography\Defaults\Provider\ Crypto-Pro HSM CSP' -добавить строку 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro HSM CSP' -добавить string 'Имя таблицы функций' CPSRV_GetFunctionTable
    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro HSM CSP' -add long Type 75
    ./cpconfig -ini '\cryptography\Defaults\ Provider\Crypto-Pro HSM CSP' -добавить строку Channel .clientk2

    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 HSM CSP' -add string 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 HSM CSP' -add string 'Имя таблицы функций' CPSRV_GetFunctionTable
    ./cpconfig -ini '\cryptography\Defaults\Provider\ Крипто-Про ГОСТ Р 34.10-2012 HSM CSP' -добавить длинный тип 80
    ./cpconfig -ini '\cryptography\Defaults\Provider\Крипто-Про ГОСТ Р 34.10-2012 HSM CSP' -добавить строку Channel .clientk2

    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -добавить строку 'Путь к изображению' /opt/cprocsp/lib/amd64/libcspr.so
    ./cpconfig -ini '\cryptography\Defaults\Provider\Crypto-Pro ГОСТ Р 34.10-2012 Strong HSM CSP' -add string 'Имя таблицы функций' CPSRV_GetFunctionTable
    ./cpconfig -ini '\cryptography\Defaults\ Провайдер\Крипто-Про ГОСТ Р 34.10-2012 Strong HSM CSP' -добавить длинный тип 81
    ./cpconfig -ini '\cryptography\Defaults\Provider\Крипто-Про ГОСТ Р 34.10-2012 Strong HSM CSP' — добавить строку Channel .clientk2

    Экспортируем в файл корневой сертификат КриптоПро HSM из ключевого контейнера ключа доступа:

    pid = /var/opt/cprocsp/tmp/stunnel-k2.pid
    output = /var/log/stunnel-k2.log
    socket = r:TCP_NODELAY=1
    socket = r:SO_KEEPALIVE=1
    TIMEOUTidle = 2147483
    debug = 0
    for_hsm = yes

    [clientk2]
    client = yes
    connect = 192.168.0.1:1501
    accept = /var/opt/cprocsp/tmp/.clientk2
    cert = /root/ user.cer
    pincode =12345678

    В случае использования IP-адрес КриптоПро HSM 192.168.0.1, пин-код ключевого контейнера 12345678.

    Проверяем доступность криптопровайдеров КриптоПро HSM:
    /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про HSM CSP" -provtype 75 -info
    /opt/cprocsp/bin/ amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -provtype 80 -info
    /opt/cprocsp/bin/amd64/csptest -enum -provider "Крипто-Про ГОСТ Р 34.10- 2012 Strong HSM CSP" -provtype 81 -info

    Настраиваем автозапуск stunnel_fork как службы в Astra Linux 1.6:

    Совещание состоялось:
    [Unit]
    Description=stunnel_fork
    After=network.target

    [Service]
    Type=forking
    ExecStart=/opt/cprocsp/sbin/amd64/stunnel_fork
    ExecReload=/bin/kill -HUP -$MAINPID
    KillMode= процесс
    Перезапускать=всегда

    Устанавливаем Apache:
    sudo apt-get install Apache2

    Сдаем папку и копируем ее в виде файла cpro.conf (Пример файла cpro.conf представлен в конце инструкции*):
    sudo mkdir /etc/apache2/conf
    sudo chown -R www-data:www-data /etc/apache2/conf
    cp ./cpro.conf /etc/apache2/conf

    Делаем символ посилання:
    sudo ln -sf /etc/apache2/conf/cpro.conf /etc/apache2/sites-enabled/default-ssl.conf

    Открываем файл /etc/apache2/mods-enabled/ssl.load с помощью nano и комментируем определение содержания.

    Добавляем строку: LoadModule ssl_module /opt/cprocsp/lib/amd64/astra_se_mod_ssl.so

    Создаем запрос на сертификат для Apache:
    sudo -u www-data /opt/cprocsp/bin/amd64/cryptcp -creatrqst -provname "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -provtype 80 - rdn 'CN=Astra, C=RU ,S=77 Москва, L=г. Москва' -certusage 1.3.6.1.5.5.7.3.1 -cont Apache1 -ex /tmp/request.req

    Выпускаем на УЦ сертификат по запросу и устанавливаем его в контейнер:
    sudo -u www-data /opt/cprocsp/bin/amd64/certmgr -install -store uMy -cont '\\.\HSMDB\Apache1 ' -provname "Крипто-Про ГОСТ Р 34.10-2012 HSM CSP" -file /tmp/site.crt

    Конвертируем из DER в PEM:
    openssl x509 -inform DER -in '/tmp/site.crt' -outform PEM -out '/tmp/site.pem'

    Копируем:
    cp /tmp/site.pem /etc/apache2/conf/
    Указывает путь к сертификату в cpro.conf в секции ГОСТ и RSA (CSP используется для ГОСТ и RSA, нет открываетсл):

    Gost и Rsa (для ГОСТ и RSA используется CSP, без openssl)
    SSLCertificateFile "conf/site.pem"

    Доступность сервиса проверяем с помощью:

    csptest
    /opt/cprocsp/bin/amd64/csptest -tlsc -server host_name -v

    браузера с поддержкой ГОСТ TLS (на Linux - Chromium ГОСТ)

    Открыть страницу в сертификате ГОСТ.

    *Пример файла cpro.conf

    SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_gcache_data(1048576)"
    SSLSessionCacheTimeout 300


    ErrorLog "tls-error_log"
    CustomLog "tls-access_log" общий

    Все пакеты? Нет, такие пакеты, как magic-wormhole, установить нельзя.

    Для чего перекомпилировать? Не нашел ссылки, если перекомпилирован для какой цели.

    Кажется, разницы нет.

    Специальное издание Astra Linux.

    Только специальное издание.

    Кажется, все двоичные файлы подписаны. Сделал тест. Скопировано /bin/nano в /bin/nano-test . Пытался выполнить нано-тест. Успех. Затем отредактировал текстовую строку внутри /bin/nano-test. Попробовал выполнить еще раз. Ошибка сегментации.

    Еще один тест. Установите крокодил.

    Установка прошла успешно. Пытаюсь выполнить.

    Журнал журнала Systemd показывает ошибку DIGSIG.

    Можно попробовать подписать.

    Но запрашивает пароль, которого я не знаю.

    Можно отключить в /etc/digsig/digsig_initramfs.conf, установив DIGSIG_ELF_MODE=0 .

    Количество пакетов [ изменить ]

    Говорят, что Astra Linux Common Edition основана на Debian Stretch, но его репозиторий, по-видимому, содержит меньше пакетов, чем репозиторий Debian Stretch.

    Найдены некоторые пакеты:

    Некоторые пакеты отсутствуют:

    Репозиторий APT Astra Linux Common Edition с репозиторием APT Debian [ редактировать ]

    Возможно. Протестируйте установленный пакет tor.

    Смешайте Astra Linux Special Edition с репозиторием APT Astra Linux Common Edition [ редактировать ]

    • с включенной проверкой подписи ELF. в программе установки Astra Linux Special Edition: Нет.
    • в противном случае: Да.

    noexec [ изменить ]

    Специальное издание Astra:

    Отказано в доступе. Использование какой-то программы noexec в домашних условиях.

    Но вы все равно можете использовать.

    chmod: изменение разрешений '/tmp/a': операция не разрешена

    учетная запись root [ изменить ]

    Заблокировано по умолчанию.

    параметр загрузки в режиме восстановления [ изменить ]

    Не работает по умолчанию из-за заблокированной учетной записи root.

    подсчитать [ изменить ]

    Блокирует учетные записи пользователей после 7 неправильных попыток ввода пароля, аналогично безопасности-разное от Kicksecure.

    параметры монтирования [ изменить ]

    ядро checksec [ редактировать ]

    Astra Linux Special Edition [ редактировать ]

    Kicksecure™ / Whonix [править]

    Содержит несколько ложных срабатываний. Документировано ниже.

    /загрузка [ изменить ]

    cat /proc/cmdline [ изменить ]

    dpkg -l | grep astra- [править ]

    dpkg -l | grep смоленск- [править ]

    dpkg -l | grep fly- [править]

    Пакеты [ изменить ]

    астра-экстра [ изменить ]

    Описание: Конфигурация Astra linux

    apt-file list astra-extra

    astra-safepolicy [ изменить ]

    Описание: Средство проверки глобальной политики безопасности

    астра-версия [ изменить ]

    Описание: Обновление версии Astra

    модули linux-astra [ изменить ]

    Описание: Несвободные модули ядра Astra Linux

    linux-astra-modules-generic [править]

    Описание: Несвободные модули ядра Astra Linux

    linux-astra-modules-4.15.3-1-generic [править]

    astra-nochmodx-module-4.15.3-1-hardened [ изменить ]

    astra-nochmodx-module-common [ редактировать ]

    apt-cache показать astra-nochmodx-module-common

    парсек [ изменить ]

    smolensk-security [ редактировать ]

    ksysguard-mac [ изменить ]

    kcm-grub2 [править]

    нажать [ изменить ]

    tasksel --list-tasks [ изменить ]

    Файлы [ изменить ]

    • /usr/lib/modules-load.d
    • /etc/apt/sources.list.d
    • /etc/apt/preferences.d

    стандартная + доверительная настройка компакт-диска

    модули ядра [ изменить ]

    grep /lib/modules [править]

    парсек [ изменить ]

    parsec-cifs [ изменить ]

    digsig_verif [ изменить ]

    lsmod [править]

    systemctl list-units [ изменить ]

    Обязательный MAC-адрес управления доступом [ изменить ]

    AppArmor [ изменить ]

    Очевидно, AppArmor не установлен.

    SELinux [править]

    SELinux явно не установлен.

    Шлепнуть [ изменить ]

    Видимо, Smack не установлен.

    томойо [ изменить ]

    Видимо, Tomoyo не установлен.

    пожарная тюрьма [ изменить ]

    пузырчатая пленка [ изменить ]

    Установлен ли другой MAC-адрес обязательного контроля доступа? [править]

    sudoers [ изменить ]

    Он редактирует /etc/sudoers вместо добавления фрагментов в /etc/sudoers.d для включения sudo без пароля. Это не следование практикам. Когда пакет sudo обновляется, а /etc/sudoers изменяется восходящим потоком, он отображает диалоговое окно интерактивного разрешения конфликтов dpkg. И даже если Astra Linux разветвит пакет и предотвратит это, это приведет к тому, что они будут нести нагрузку по обслуживанию этого diff.

    sudo apt установить python-pip

    sudo pip install magic-wormhole

    червоточина отправить /path/to/filename

    Неизвестно. Пытаюсь угадать. Глядя на cat /var/lib/dpkg/status | grep @rusbitech | sort --unique показывает 20 разных полных имен.

    • Как я могу подписать двоичные файлы ELF?
    • Можно ли обновить Astra Special Edition через онлайн-репозиторий APT?

    Незавершенное: эта вики находится в стадии разработки. Пожалуйста, не сообщайте о неработающих ссылках, пока это уведомление не будет удалено, используйте поисковые системы в первую очередь и внесите свой вклад в улучшение этой вики.

    Kicksecure™ | © ENCRYPTED SUPPORT LP | Программное обеспечение Freedom / Открытый исходный код (почему?)

    Личные мнения модераторов или участников проекта Kicksecure™ не отражают проект в целом.

    Используя наш веб-сайт, вы подтверждаете, что прочитали, поняли и согласились с нашей Политикой конфиденциальности, Политикой использования файлов cookie, Условиями обслуживания и Согласием на использование электронной подписи.

    В качестве СКЗИ разрешается использовать только КриптоПро следующую версию CSP:

    • КриптоПро CSP версии 4.0 R4;
    • КриптоПро CSP версии 5.0;

    Указанные СКЗИ должны быть приняты в Российской Федерации в исполнениях 1-Base или 2-Base.

    СКЗИ КриптоПро CSP в первой версии 2-Base в Республике Молдова с аппаратно-программным модулем доверенной загрузки (АПМДЗ).

    При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации по эксплуатации документации на СКЗИ, в частности требования по защите от несанкционированного доступа и по криптографической защите, а также требования по обязательному использованию СКЗИ аппаратно-программным платформам.В частности, в реестре СЭП по оценке СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, в связи с чем рассматриваются функции СКЗИ и СЭП, в соответствии с методическими документами ФСБ России в исследованиях программного обеспечения BIOS.

    Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.

    Для ОС Astra Linux загрузите пакет КриптоПро CSP 4 и выше версии - пакет для 64 разрядной системы.

    Пробный период использования КриптоПро CSP составляет 3 месяца, по приблизительности прохождения полной проверки.

    2) открыть "Терминал Fly" (alt+T);

    3) разархивировать полученный архив в терминальной команде:

    6) подключение к сети ПО с запуском сценария "install.sh" или "instal_gui.sh" командой:

    * Выбрать необходимые модули, библиотеки.

    Описание пакетов КриптоПро

    ПакетОписание
    Базовые пакеты:
    cprocsp-curl Библиотека libcurl с реализацией шифрования по ГОСТ
    lsb-cprocsp-base Основной пакет КриптоПро CSP
    lsb-cprocsp-capilite Интерфейс CAPILite и утилиты
    lsb-cprocsp-kc1 Провайдер криптографической службы KC1
    lsb-cprocsp-rdr Поддержка ридеров и ГСЧ
    Дополнительные пакеты:
    cprocsp-rdr-gui-gtk Графический интерфейс для диалоговых операций
    cprocsp-rdr-rutoken Поддержка карт Рутокен
    cprocsp-rdr-jacarta Поддержка карт JaCarta
    cprocsp-rdr-pcsc Компоненты PC/SC для ридеров КриптоПро CSP
    lsb-cprocsp-pkcs11 Поддержка PKCS11

    Для просмотра всех пакетов КриптоПро CSP ввести команду:

    Прописание путей к исполняемым файлам

    Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:

    Установка дополнительных пакетов с модулям поддержки для токена

    Для корректной работы с токеном/смарт-картой обязательно требуется установить:

    библиотека libccid, libgost-astra, пакеты pcscd

    После установки пакетов с модулем поддержки токена следует перезагрузить военнослужащие pcscd:

    Ключ для работы в режиме замкнутой программной среды Astra Linux SE.

      Перед импортом ключа следует предварительно установить пакет astra-digsig-oldkeys для работы в режиме замкнутой программной среды Astra Linux SE следует загрузить и поместить в предварительно созданную директорию: /etc/digsig/keys/legacy/cryptopro

    После чего санкционирует команду:

    Подтвердить срок действия лицензии может команда:

    /opt/cprocsp/sbin/amd64/cpconfig -license -view

    Установка лицензии

    Для установки другая лицензия следует за комиссией :

    Идентификация токена

    Для просмотра списка настроений считывателей можно поиграть в игры:

    Чтобы узнать модель подключения токена, следует ввести команду:

    Проверить наличие носителей с контейнерами можно с помощью команды:

    Где \\.\HDIMAGE - локальный носитель, \\.\HDIMAGE\TestCont123 - название контейнера, \\.\Актив Рутокен ECP 00 00 - название носителя (токена).

    Подробная информация о "Имена контейнеров"

    Информация о контейнерах

    Для просмотра подробной информации о контейнерах команды:

    Пример работы команды:

    /opt/cprocsp/bin/amd64/csptestf -keyset -container 'Shuhrat' -info
    CSP (тип: 80) v5.0.10001 KC1 Release Ver: 5.0.11233 ОС: Linux ЦП: AMD64 FastCode: ГОТОВО:AVX.

    AcquireContext: ОК. HCRYPTPROV: 8981043
    GetProvParam(PP_NAME): Крипто-Про ГОСТ Р 34.10-2012 KC1 CSP
    Имя контейнера: "Шухрат"
    Ключ подписи имеется. HCRYPTKEY: 0x8f3b03
    Ключ Exchange доступен. HCRYPTKEY: 0x8f9883
    Симметричный ключ недоступен.
    Ключ UEC недоступен.

    Информация об алгоритмах CSP:
    Тип:Шифровать Имя: 'ГОСТ 28147-89'(14) Длинное: 'ГОСТ 28147-89'(14)
    DefaultLen:256 MinLen:256 MaxLen:256 Prot :0 Алгид:00026142

    Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
    DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

    Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
    DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

    Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
    DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid: 00043590

    Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
    DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid: 00043591

    Type:Hash Name: 'MAC ГОСТ 28147-89'(18) Long: 'MAC ГОСТ 28147-89'(18)
    DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799< /p>

    Type:Encrypt Name:'GR 34.12 64 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
    DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160

    Type:Encrypt Name: 'GR 34.12 128 K'(15) Long: 'ГОСТ Р 34.12-2015 128 Кузнечик'(33)
    DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161

    Type:Hash Name: 'GR 34.13 64 M MAC'(18) Long: 'ГОСТ Р 34.13-2015 64 Magma MAC'(31)
    DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid :00032828

    Type:Hash Name: 'GR 34.13 128 K MAC'(19) Long: 'ГОСТ Р 34.13-2015 128 Кузнечик MAC'(37)
    DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid :00032829

    Type:Hash Name: 'GR34.11-12 256 HMAC'(20) Long: 'ГОСТ Р 34.11-2012 256 HMAC'(27)
    DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Альгид:00032820

    Статус:
    Используемые дескрипторы поставщика: 6
    Максимум дескрипторов поставщика: 1048576
    Использование ЦП: 6 %
    Использование ЦП CSP: 0 %
    Интервал измерения: 119 мс

    Используемая виртуальная память: 15281652 КБ
    Виртуальная память, используемая CSP: 116572 КБ
    Свободная виртуальная память: 26053680 КБ
    Общая виртуальная память: 41335332 КБ

    Используемая физическая память: 14602360 КБ
    Физическая память, используемая CSP: 12576 КБ
    Свободная физическая память: 5857712 КБ
    Общая физическая память: 20460072 КБ

    Информация о паре ключей:
    HCRYPTKEY: 0x8f3b03
    AlgID: CALG_GR3410_12_256 = 0x00002e49 (00011849):
    AlgClass: ALG_CLASS_SIGNATURE
    AlgType: ALG_TYPE_GR3410
    AlgSID: 73
    />KP_HASHOID:
    1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
    KP_DHOID:
    1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по По умолчанию)
    KP_SIGNATUREOID:
    1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
    Разрешения:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    0x800
    0x2000
    0x20000
    0x100000
    KP_CERTIFICATE:
    Не установлено.

    Версия контейнера: 2
    Флаги носителя:
    Этот считыватель съемный.
    Этот ридер поддерживает уникальные имена операторов связи.
    У этого оператора нет встроенной криптографии.
    Ключи в контейнере:
    ключ подписи
    ключ обмена
    Расширения (maxLength: 1435):
    ParamLen: 46
    OID: 1.2.643.2.2.37.3.9
    Критический: FALSE
    Размер: 19
    Размер в декодированном виде: 24
    PrivKey: Не указан - 18.01.2020 07:31 :07 (всемирное координированное время)

    ParamLen: 47
    OID: 1.2.643.2.2.37.3.10
    Критический: FALSE
    Размер: 19
    Размер в декодированном виде: 24
    PrivKey: Не указано - 18.01.2020 07:31:12 (UTC)
    Всего: SYS: 0,020 с USR: 0,180 с UTC: 2180 с
    [ErrorCode: 0x00000000]

    При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его идентификатор. Чтобы получить идентификаторы задержанных контейнеров, використовуйте команду:

    Следует вычислить про PIN-коды в контейнерах:

    • если само устройство обеспечивает аутентификацию (как, например, токен), то PIN-код при установке контейнера не создается, а характеристики, так как он - свойство устройства. Как следствие: у всех контейнеров на токене получена PIN-код.
    • если устройство аутентификации не обнаружено (как HDIMAGE), то при обнаружении контейнера создается и PIN-код. Следствие: у всех контейнеров, PIN-код на HDIAMGE может быть разным.

    Проверка работы контейнера

    Для того, чтобы проверить работу контейнера (в том числе возможность выполнения различных операций по проверке лицензии), следует контролировать команду:

    /opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check

    CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.

    AcquireContext: ОК. КРИПТПРОВ: 28224051

    GetProvParam(PP_NAME): Крипто-Про ГОСТ Р 34.10-2012 KC1 CSP

    Имя контейнера: "Шухрат"

    Проверить заголовок успешно.

    Ключ подписи доступен. ХРИПТКЕЙ: 0x1b53883

    Ключ обмена доступен. ХРИПТКЕЙ: 0x1b57e23

    Симметричный ключ недоступен.

    Ключ UEC недоступен.

    Лицензия: сертификат без лицензии

    Проверка контейнера прошла.

    Знак проверки пройден.

    Проверить подтверждение подписи на переданном закрытом ключе.

    Проверить подпись открытого ключа.

    Проверить успешность импорта (импорт ограничен).

    Знак проверки пройден.

    Проверить подтверждение подписи на переданном закрытом ключе.

    Проверить подпись открытого ключа.

    Проверить успешность импорта.

    Сертификат в контейнере соответствует ключу AT_KEYEXCHANGE.

    Ключи в контейнере:

    PrivKey: не указано — 18.01.2020 07:31:07 (UTC)

    PrivKey: не указано — 18.01.2020 07:31:12 (UTC)

    Всего: SYS: 0,030 сек. USR: 0,140 сек. UTC: 2430 сек.

    Удаление контейнера

    Для извлечения контейнера следует национальная команда:

    Копирование контейнера

    Для примера скопируем контейнер из контекстного хранилища в хранилище Рутокена ЕЦП:

    csptestf -keycopy -contsrc '\\.\HDIMAGE\Контейнер_оригинал' -contdest '\\.\Актив Рутокен ECP 00 00\Контейнер_копия'

    Смена пароля на контейнер (снятие паролей с контейнера)

    /opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Актив Рутокен ECP 00 00\TestContainer' -change 'новый_пароль' -passwd 'старый_пароль

    В случае, если контейнеру с контейнером не был задан PIN-код, ключ следует женской команде:

    /opt/cprocsp/bin/amd64/csptestf -passwd -cont '\\.\Актив Рутокен ECP 00 00\TestContainer' -change 'Ваш_новый_пароль'

    Категории сертификатов

    Сертификаты на четыре категории:

    Установка

    Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации:

    Установка всех индивидуальных сертификатов со всех контейнеров в uMy :

    В опции -pattern >>> 'рутокен' может быть другой в зависимости от подключения токена.

    1) Имя хранилища указано в формате certmgr, у cryptcp похожий формат: -mroot и -uAddressBook

    2) Из под учетной записи пользователя ставится в uca, из под учетной записи администратора ставится в mca:

    3) В опциях -pattern можно указать пустые для установки всех сертификатов в uMy. Пример:

    Просмотр

    Для просмотра выше сборов сертификатов можно :

    Удаление

    Удаление сертификата из хранилища КриптоПро:

    После чего на экране будет выведен весь список сертификатов и предложено ввести номер удаляемого сертификата.

    Или удаление всех сертификатов:

    Экспорт сертификатов на другую машину

    Закрытые ключи к сертификатам находятся здесь: /var/opt/cprocsp/keys .

    Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в том же каталоге.

    Проверка цепочек сертификатов

    Для примера: чтобы проверить цепочку сертификатов, можно получить персональный сертификат в файле:

    Можно указать другое поле сертификата: ЧН, Э, СН, ОГРН, СНИЛС и тд.

    Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно использовать в режиме отладки (отладки):

    В нашем понимании из логов можно сделать вывод, что нам необходимо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:

    Для того, чтобы быть уверенным в устранении ошибок, можно повторить в режиме отладки игровой платформы. При правильно установленной цепочке сертификатов, статус у сертификата будет = CERT_TRUST_NO_ERROR

    Подпись можно делать любыми способами:


    Подпись файлов (присоединённая)

    CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
    Утилита командной строки для подписи и шифрования файлов.

    Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

    Цепочки сертификатов проверены.
    Папка './': raport.pdf.
    Подпись данных.

    Подпись файлов(отсоединённая)

    /opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn 'CN=Название_нужного_сертификата' -pin 12345678 raport.pdf raport.pdf.sig

    CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
    Утилита командной строки для подписи и шифрования файлов.

    Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

    Цепочки сертификатов проверены.
    Папка './': raport.pdf. Подпись данных.

    Проверка подписки в файле

    Для прикрепленной подписки

    Для проверки прикрепленной подписки требуется:

    CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
    Утилита командной строки для подписи и шифрования файлов.

    Найдено сертификатов: 4
    Цепочки сертификатов проверены.
    Папка './':
    raport.pdf.sig . Проверка подписки.

    Подпись проверена.
    [ErrorCode: 0x00000000]

    естественный

    /opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/shuhrat/smolensk/raport.pdf raport.pdf.sig

    CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
    Утилита командной строки для подписи и шифрования файлов.
    Папка '/home/shuhrat/smolensk/': /home/shuhrat /смоленск/рапорт.pdf. Проверка подписки.

    Цепочки сертификатов проверены.
    Папка './': raport.pdf. Проверка подписки.

    Подпись проверена.
    [ErrorCode: 0x00000000]

    обучающий

    CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
    Утилита командной строки для подписи и шифрования файлов.

    Цепочки сертификатов проверены.
    Папка './': raport.pdf.
    Проверка подписки..

    Подпись проверена.
    [ErrorCode: 0x00000000]

    Извлечение подписанного файла

    Чтобы получить файл, необходимо указать его имя в конце команды проверки подписки:

    В версии КриптоПро 5 появилась графическая утилита для работы с сертификатами - cptools.

    Её можно реализовать из консоли:

    Для того, чтобы удалить ПО КриптоПро CSP, в терминале FLY следует ввести последовательность 3 команды:

    В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписки) на всех выпущенных к настоящему моменту сертифицированных версий КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызывает ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут отображать неработоспособности автоматических/автоматизированных систем в соответствии с изображением ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание инструкцию.

    Для обнаружения данных предупреждений в КриптоПро CSP, необходимо добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Параметры:

    На данный момент завершается сертификация обновленной версии КриптоПро CSP 4.0 R4. Для наиболее безболезненного продолжения работы в соответствии с ГОСТ Р 34.10-2001 в 2019 году мы рекомендуем обновиться до этой версии. В более старых версиях КриптоПро CSP , а также Клиент HSM 2.0 наблюдаются технические требования формирования подписки по ГОСТ Р 34.10-2001 после 1 января 2019 года в виде обострения окончаний.

    КриптоПро: Плагин IFCP для входа ЕСИА (Госуслуги)

    КриптоПро КАДЫ ЭЦП Плагин для браузера

    Таблица наличия устройств Крипто-Про CSP

    На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с аналогичной версией КриптоПро CSP:

    Читайте также: