ЧТО ТАКОЕ КРИПТОПРО CSP ГДЕ МОЖНО СКАЧАТЬ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто. А в Linux доступен только консольный интерфейс. Надеюсь, что компания «КриптоПро» в курсе этой ситуации, и в будущем нас ждут новые красивые и удобные интерфейсы, как для Windows, так и для Linux.

Для настройки нам понадобится:

• Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
• Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
• Рутокен ЭЦП 2.0.

Настройка «КриптоПро» CSP

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут
или тут
), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Скачиваем «КриптоПро CSP» для Linux с официального сайта КриптоПро — www.cryptopro.ru/downloads

Распаковываем «КриптоПро CSP» для Linux:

   tar -zxf ./linux-amd64_deb.tgz  
  

Далее у нас есть 2 варианта – автоматическая установка и установка вручную. Автоматическая установка запускается командой:

   sudo ./install.sh   
  

   sudo ./install_gui.sh  
  

Здесь надо отдать должное разработчикам «КриптоПро» – автоматическая установка для большинства дистрибутивов отрабатывает успешно. Хотя бывают и нюансы. Например, если у вас не хватает некоторых пакетов, то установка будет успешно завершена, хотя некоторый функционал работать не будет.

Если что-то пошло не так, или вы по тем или иным причинам хотите использовать установку в ручном режиме, то вам необходимо выполнить:

   dpkg -i ./cprocsp-curl-64_4.0.0-4_amd64.deb lsb-cprocsp-base_4.0.0-4_all.deb lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb  
  

Для установки пакетов в ROSA используйте urpmi
, вместо dpkg -i
.

Устанавливаем лицензию для «КриптоПро CSP» для Linux и проверяем, что все работает нормально:

   cpconfig -license -set <серийный_номер>
cpconfig -license –view  
  

Мы должны получить что-то вроде:

   License validity:
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Expires: 3 month(s) 2 day(s)
License type: Server.  
  

Настройка работы с Рутокен ЭЦП 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало. Я буду использовать Рутокен ЭЦП 2.0, который имеет сертификат ФСБ и поддерживает работу как с новыми, так и со старыми ГОСТами.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

   apt-get install libpcsclite1 pcscd libccid  
  

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

   dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb  
  

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Воспользуемся тестовым УЦ компании «КриптоПро» по адресу — https://www.cryptopro.ru/certsrv/

Создаем запрос на сертификат с параметрами по умолчанию.

Проверим, что сертификат получен успешно.

Чтобы убедиться, что «КриптоПро CSP» успешно увидел токен, выполним:

   list_pcsc  
  

Мы должны получить что-то вроде:

   Aktiv Rutoken ECP 00 00  
  

Теперь проверяем, что сертификат на токене видится успешно:

   csptest -keyset -enum_cont -verifyc -fq  
  

   CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 13476867
\\.\Aktiv Rutoken ECP 00 00\822506788-dfcd-54c9-3a5e-e0a82a2d7f0
OK.
Total: SYS: 0,020 sec USR: 0,160 sec UTC: 0,870 sec
[ErrorCode: 0x00000000]  
  

Записываем в хранилище сертификатов КриптоПро информацию об этом сертификате:

   csptestf -absorb -cert -pattern 'rutoken'

Match: SCARD\rutoken_ecp_351d6671\0A00\62AC
OK.
Total: SYS: 0,010 sec USR: 0,140 sec UTC: 1,040 sec
[ErrorCode: 0x00000000]  
  

Проверим, что сертификат успешно сохранился в хранилище:

   certmgr -list -cert -store uMy

Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores
 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Trusted eSign Test
Serial              : 0x120019F5D4E16D75F520A0299B00000019F5D4
SHA1 Hash           : 0x016f443df01187d5500aff311ece5ea199ff863e
SubjKeyID           : 204e94f63c68595e4c521357cf1d9279bff6f6e5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 22/02/2017  10:53:16 UTC
Not valid after     : 22/05/2017  11:03:16 UTC
PrivateKey Link     : Yes                
Container           : SCARD\rutoken_ecp_351d6671\0A00\62AC
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
=============================================================================
 
[ErrorCode: 0x00000000]  
  

На этом основная настройка завершена, и мы можем начинать подписывать или шифровать файлы с использованием различных средств. Переходим к тому, зачем задумывалась эта статья.

Подпись средствами «КриптоПро CSP»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

• Отсутствие хорошей документации;
• Отсутствие графического интерфейса.

Подписать можно с помощью команды:

   csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256  
  

Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

   csptestf –sfsign  
  

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Rosa Crypto Tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2016 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2. Сейчас утилита поддерживает работу только с «КриптоПро CSP» для Linux, однако в ближайшее время будет добавлена поддержка других криптопровайдеров.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

+ На порядок проще использовать;

— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:

abf.io/uxteam/rosa-crypto-tool-devel

Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted eSign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

К сожалению, продукт пока доступен только в виде deb пакета для 64-битных систем. С чем связано такое ограничение, непонятно. Будем надеяться, что в ближайшее время компания выпустит и rpm пакет, а также версии для 32-битных дистрибутивов Linux.

Скачиваем с официального сайта deb-пакет и устанавливаем командой:

   dpkg –i ./trustedesign-x64.deb  
  

Запускаем Trusted eSign.

Сразу видно, что разработка не обошлась без дизайнера. Никакого сарказма. Все действия делаются просто и логично, а внешний вид радует глаз. К сожалению, большинство средств и программ в области ИБ от российских разработчиков разработаны без привлечения UX-специалистов и дизайнеров и заставляют своих пользователей страдать и плакать кровавыми слезами. Создается впечатление, что другими средства информационной безопасности просто не могут быть. “ Цифровые технологии” опровергают это. Плата за красоту и удобство – необходимость платить за лицензию.

Но вернемся к подписи.

Выбираем раздел “Электронная подпись”:

Выбираем «Сертификат для подписи»:

Выбираем файлы для подписи и жмем «Подписать»:

Что под капотом? Процитирую с сайта: “Приложение создано на современном движке Electron, для вызова криптографических операций применяется библиотека OpenSSL. Совместимо с СКЗИ “КриптоПро CSP 4.0” и поддерживает все криптографические алгоритмы, реализованные в нем.” Для тех, кто ещё не в курсе Electron — это фреймворк для создания десктопных приложений на платформе node.js.

Сравним Trusted eSign с Rosa crypto tool:

+ Более удобный и красивый интерфейс

— Платная лицензия

Резюме

Подведем итог. В конце 2016 – начале 2017 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux. Хорошие и удобные продукты российских разработчиков помогут государственным организациям и структурам нормально работать и выполнять требования по импортозамещению.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

P. S.

Наверняка есть немало пользователей, особенно пользователей Linux, кто считает, что консольных утилит достаточно. А также специалистов по информационной безопасности, которые считают, что дизайн и удобство — излишество в ИБ. Но я не могу с ними согласиться. Консольные утилиты, несомненно, идеальны для автоматизации. Но большинству пользователей удобнее работать с графическими интерфейсами. Даже в Linux.

Благодарим Вас за подписку!

Произошла ошибка!

Попробуйте выполнить действие еще раз

Минимальные системные требования к рабочему месту

Операционная система Microsoft Windows
;

Один из браузеров:

• Спутник
• Microsoft Internet Explorer 11
• Google Chrome

КриптоПро CSP 4.0 или 5.0

Носитель с действующей электронной подписью, вставленный в компьютер.

Права администратора для установки программного обеспечения.

В случае использования браузера Google Chrome, необходимо произвести 

дополнительные настройки Крипто Про ЭЦП Браузер плагин. 

      1.
Если при загрузке Browser plug-in расширение не было добавлено автоматически, найдите модуль CryptoPro CAdES Browser Plugin в интернет-магазине Chrome и нажмите «Установить». По завершении процесса перезапустите интернет-обозреватель.

      2.
В настройках интернет-браузера выберите вкладку « Расширения
» и раздел « Дополнительные инструменты
». 

      3.
Убедитесь, что в списке есть установленное расширение, а напротив пункта « Включить
» стоит галочка.

Подписание заявления КЭП.

      1.
Сервис подписания располагается по ссылке https://crm.uc-itcom.ru/app/index.php/clients/sign#

     3.
Необходимо выбрать пункт « Сохранить
».

      4.
По завершению загрузки приложения необходимо запустить его, в появившемся окне необходимо нажать кнопку « Далее
».

      5.
В очередном окне необходимо нажать кнопку « Далее
».

     6.
Затем необходимо выбрать папку для установки ( приложение обязательно должно быть установлен на системный диск «C»
) и нажать кнопку « Установить
».

     7.
Приложение попросит разрешение на удаление одного из корневых сертификатов, необходимо нажать кнопку « Да
».

      8.
Когда появится окно с запросом на разрешение установки нового корневого сертификата, необходимо нажать кнопку « Да
».

     9.
По завершении установки необходимо нажать кнопку «Закрыть» и вернуться в браузер, на страницу подписания файла: https://crm.uc-itcom.ru/app/index.php/clients/sign# 

      10.
В меню следует выбрать пункт « Подписать файл
».

      11.
Сайт запросит доступ к сертификатам и подключенным ключевым носителям на Вашем компьютере для осуществления подписания, следует нажать « Предоставить доступ
» на всплывающем окне.

      12. 
Выбираете контейнер с электронной подписью, которым будет подписываться заявление на выпуск нового сертификата.

     13.
С помощью кнопки « Выберите файл
» необходимо выбрать файл на Вашем компьютере, который требуется подписать: 

      14.
Находите файл заявления в папке, где он сохранен, выбираете его и нажимаете кнопку « Открыть
».

     16.
Чтобы открыть папку с подписанным файлом, нажмите на стрелку справа от файла, в открывшемся меню выбирайте « Показать в папке
».

      17.
Откроется папка с поlписанным электронным ключом файлом заявления. 

Подписание заявления КЭП второй электронной подписью. 

В случае, если сертификат выпускается на сотрудника юридического лица, который не является законным его представителем, заявление обязательно подписать двумя подписями:

• подписью сотрудника ЮЛ, на которого выпускается электронный ключ:
• подпись руководителя организации (законного представителя).

      1.
Документ подписанный первой подписью имеет расширение *.sig. Процедура подписания описана выше в разделе « Подписание заявления КЭП
».

      2.
Чтобы добавить вторую подпись, следует повторно выполнить пункты № 10 – 17 в разделе «Подписание заявления КЭП» и в пункте №14 важно выбрать файл, который подписан первой подписью с расширением *.sig.

      3.
В пунктах №16-17 скачивается файл подписанный второй подписью и будет иметь расширение *.sig.sig.

Подгрузка подписанного файла на фрейме.

     1. Сформированный файл необходимо подгрузить в раздел « Прикрепление сканов документов
» в раздел « Прочие (при необходимости)
» с помощью кнопки « Загрузить
».

      2.
В открывшемся окне выбираете подписанный файл и нажимаете кнопку « Открыть
».

      3.
Файл подгружен, если все остальные пункты раздела « Прикрепление сканов документов
» также загружены, то следует нажать кнопку « Завершить
». Заявка будет отправлена на проверку, в случае отсутствия замечаний, на указанную Вами почту поступил ссылка для генерации ключа.

Подписание с помощью word.

Сохраните последние изменения в документе MS Word и подпишите документ:

      1.
Перейдите на вкладку «Файл»
, откройте «Сведения» и нажмите «Добавить электронную подпись (КРИПТО-ПРО)»
.

     3.
Нажмите «Подписать»
.

Нажмите «Файл/Сведения/Просмотр подписей». В окне «Подписи» проверьте, кто и когда подписал документ. Чтобы получить подробную информацию о подписи, кликните по ней правой кнопкой мыши и выберите «Состав подписи».

Если вы внесете изменения в документ, подписанный ЭП, все подписи станут недействительными. Поэтому перед редактированием удалите все подписи под документом.

Подробнее о работе с ЭП в Microsoft Office Word/Excel читайте в инструкции разработчика
.

Крипто АРМ.

Для начала кликните по файлу, который нужно подписать, правой клавишей мыши и выберите КриптоАРМ. Откроется выпадающий список возможных действий. Там, соответственно, следует выбрать: « Подписать
».

Далее нас приветствует Мастер создания электронной подписи. У него аж пять шагов. И мы сейчас их разберем один за другим.

Первый шаг это «Выбор файлов»
. Здесь мы видим уже выбранный нами файл для подписи. Можем добавить еще любое количество файлов или даже папки с файлами. Также можем просмотреть (кнопка «Просмотр») содержимое документа перед его подписанием, что очень важно.

Второй шаг
под названием «Выходной формат»
предлагает нам выбрать формат подписи. Можно выбрать один из двух типов кодировки: DER или BASE64. В большинстве случаев это не важно, но бывают и исключения. К примеру, для ФСРАР укажите DER кодировку, а не наоборот. Можно задать расширение для выходного файла, по умолчанию для подписанных данных в «КриптоАРМ» используется расширение SIG. Кроме этого есть возможность включить архивирование, чтобы после создания подписи результаты помещались в ZIP-архив, и задать каталог для сохранения результатов подписи.

Третий шаг
под названием «Параметры подписи»
очень важен. Именно на этом шаге нас ждет выбор, какой вид подписи в итоге будет создан. Этот момент надо разъяснить. Существуют два вида подписи: присоединенная и отсоединенная. В случае с присоединенной, подпись как бы прикрепляется к подписываемому документу, вы это можете заметить, потому как увеличивается размер файла после его подписания. В случае с отсоединенной подписью, подписываемый документ остается неизменным, подпись же сохраняется в отдельном файле. Для проверки отсоединенной подписи нужны оба файла, файл подписи и файл исходного документа.

Четвертый шаг
мастера создания электронной подписи — это непосредственно «Выбор сертификата подписи»
. Нажимаем на кнопку «Просмотр»
и в открывшемся окне находим свой сертификат подписи. Ежели вы наблюдаете пустое окне выбора, то сертификатов для подписи у вас просто нет, и вам следует установить хотя бы один.

И наконец, последний пятый шаг
, что зовется «Завершение»
. Здесь мы видим общую информацию, какой сертификат нами был выбран, формат подписи и путь для сохранения подписанного файла. Но не спешите сразу закрывать окно, обратите внимание на опцию «Сохранить данные в профиль для дальнейшего использования». Можете самостоятельно дать имя профили, и в следующий раз вам не нужно будет снова настраивать параметры подписи, все уже будет выбрано. И так, нажимаем на кнопку «Готово», чтобы подписать выбранный нами документ.

Отлично! Операция прошла успешно! Выбранный нами документ теперь подписан электронной подписью.

Находим подписанный документ, он у нас там же, где находится и исходный документ. Иконку файла, содержащего электронную подпись ни с чем не перепутать, это листок бумаги с ручкой. 

Отдел технической поддержки

Как подписать документ электронной подписью КриптоПро PDF

Как подписать файл с помощью ЭЦП КриптоПро

Как выгрузить сертификат из КриптоПро

Как перенести сертификат КриптоПро на другой компьютер

Как скопировать сертификат из КриптоПро на флешку

КриптоПро АРМ: как подписать файл

КриптоПро — вставлен другой носитель, как исправить

КриптоПро не видит флешку, как носитель

Средство криптографической защиты КриптоПро имеет большое количество модулей, вспомогательных дистрибутивов, которые совместимы с ПО. Целый комплекс программных средств позволяет эффективно шифровать данные, осуществлять верификацию электронных документов, создавать подпись на различных типах документов.

Чтобы грамотно использовать СКЗИ и обеспечивать надлежащую защиту электронного документооборота необходимо правильно настроить КриптоПро и внимательно ознакомиться с инструкцией по правильному использованию программы. Купить программу КриптоПро
можно в SoftMagazin, выбрав подходящий тип лицензии для компьютеров или серверов.

Как подписать документ электронной подписью КриптоПро PDF

Если вы не знаете, как подписать PDF файл ЭЦП КриптоПро, ознакомьтесь прежде всего с ПО, которое необходимо для подписания файла данного типа. Прежде всего, для работы приложения КриптоПро PDF потребуется установленное СКЗИ КриптоПро CSP, имеющее версию не меньше 3.6. Также для запуска программы потребуется одна из данных программ, установленная на ПК: Adobe Acrobat или Adobe Reader.

Установив средство для работы с PDF-файлами и непосредственно КриптоПро PDF
, можно приступать к созданию ЭЦП. Настроить необходимые функции можно через меню Adobe Acrobat
или Adobe Reader. Так, например, во вкладке «Создание» можно отрегулировать метод создания подписи. В пункте «Подписание» есть возможность выбрать необходимый тип подписи, если зайти во вкладку «Работа с сертификатами».

Как подписать файл с помощью ЭЦП КриптоПро

В одном из предыдущих обзоров детально расписано, про КриптоПро CSP, как подписать файл в программе Microsoft Word, например. Чтобы ознакомиться с этапами формирования подписи, прочитайте обзор « КриптоПро — что это такое
».

Как выгрузить сертификат из КриптоПро

Понадобится зайти в Панель Управления для запуска КриптоПро CSP
. Открыв вкладку «Сервис» выбрать из списка контейнеров нужный с сертификатом. Чтобы открыть сертификат, необходимо нажать на пункт «Свойства». В пункте «Состав» нужно будет выбрать «Копировать в файл». Нужно отказаться от экспортирования закрытого ключа и выбрать путь сохранения сертификата.

Как перенести сертификат КриптоПро на другой компьютер

Перенести сертификаты из программы на другой компьютер можно несколькими способами. Можно воспользоваться экспортом-импортом сертификатов. В пункте «Личное» необходимо выбрать из списка сертификатов и перенести его через Мастер Экспорта. Личные сертификаты экспортируются через Панель Управления.

Другим способом является инсталляция сертификатов из контейнеров электронной цифровой подписи. Так, если вы имеете версию ПО КриптоПро выше
3.6, есть возможность скопировать удостоверение в контейнер закрытого ключа. В таком случае потребуется просто перенести контейнеры, выбрать необходимые сертификаты и установить их на новый ПК.

Как скопировать сертификат из КриптоПро на флешку

Осуществить копирование можно несколькими способами – при помощи Windows
либо непосредственно при помощи программы. Если ваша версия программы не меньше 3.0, можно воспользоваться средствами Windows. Необходимо папку с закрытым ключом разместить в корень флеш-накопителя, также желательно не изменять имя файла.

Если же производить дублирование на флешку при помощи КриптоПро, то понадобится вкладка «Сервис». Нужно нажать «Скопировать» и через обзор выбрать копируемый контейнер. Выбрав новое имя контейнера, в окне нужно будет выбрать флешку, на которую он будет размещен.

Как подписать файл

Программа КриптоАРМ
позволяет осуществлять шифрование данных, создание и проверку цифровой подписи на основе криптоалгоритмов, применяющихся в КриптоПро. Чтобы подписать файл при помощи данной программы, ее необходимо установить на ПК. После инсталляции потребуется открыть документ, в котором нужно поставить подпись.

КриптоПро — вставлен другой носитель, как исправить

При возникновении данной ошибки, необходимо убедиться, что в подсоединен именно носитель с сертификатом, а сама флешка должна соответствовать сертификату. Возможным вариантом решения проблемы является удаление паролей к закрытым ключам. Операцию можно проделать, зайдя через «Сервис» и нажать «Удалить запомненные пароли», и произвести переустановку личного сертификата.

Проблема может возникнуть, если имя съемного носителя было изменено, либо в папке содержатся не весь перечень необходимых файлов с нужным форматом. Для корректной работы с флеш-накопителем, контейнер закрытого ключа должен быть целым.

КриптоПро не видит флешку, как носитель

Чтобы отрегулировать видимость флешки понадобится настройка программы. Произвести настройку нужно зайти в Панель Управления и выбрать криптопровайдер. Открывшееся окно имеет несколько вкладок. Выберите «Оборудование». Здесь необходимо выбрать пункт «Настроить считыватели».

Флеш-накопитель должен отображаться в списке доступных считывателей. Если его нет, потребуется его «Добавить». Каждый съёмный носитель называется «Дисковод». После нажатия кнопки «Далее» флешка должна отобразиться в списке считывателей.

Создание подписи

Создание отсоединенной подписи в «Инструменты КриптоПро» из состава КриптоПро CSP 5.0 происходит в несколько простых шагов:

1. Откройте «Инструменты КриптоПро». Ярлык можно найти в меню программ.
2. Щёлкните левой кнопкой мыши в текст «Создание подписи».
3. В списке в правой части окна щёлкните по строчке с вашей электронной подписью (если подписи нет в списке то см. эту статью
   , вариант 1).
4. Если вы не видите поля для галочки «Создать отсоединённую подпись», левой кнопкой мыши щёлкните в кнопку «Показать расширенные» в левом нижнем углу окна программы.
5. Щёлкните в квадрат чтобы проставить галочку «Создать отсоединённую подпись».
6. Щёлкните в кнопку «Выбрать файл для подписи» в появившемся окне выберите файл который хотите подписать.
7. Щёлкните в кнопку «Подписать». Произойдёт обращение к подписи. Если будет запрошен пароль от подписи — введите его. 

Если подпись сформирована успешно, под кнопкой «Подписать» появится соответсвующий текст, а рядом с файлом-оригиналом появится новый файл с именем как у оригинала и расширением .p7s
. Так, если вы подписывали документ scan_14027.jpg
то файл подписи будет называться  scan_14027.jpg.p7s
. Некоторые операционные системы скрывают расширение файла и вы увидите только имя «scan_14027» у оригинала и «scan_14027.jpg» у файла подписи. 

Важно:
у файла-оригинала и у файла-подписи имена до точки совпадают. Не переименовывайте и не редактируйте файл-оригинал и файл подписи
, иначе подпись перестанет быть действительной. При отсоединённой подписи второй стороне передаются оба файла
— оригинал и файл подписи.

Проверка подписи

Проверка отсоединенной подписи требует наличия в одной и той же папке двух файлов: файла-оригинала и файла-подписи. Их имя до точки совпадает.  Не переименовывайте и не редактируйте файл-оригинал и файл подписи
 до проверки подписи, иначе проверка завершится неудачно для изменённой пары. Так, если оригинал документа называется  scan_14027.jpg
 то файл подписи будет называться  scan_14027.jpg.p7s
. Некоторые операционные системы скрывают расширение файла и вы увидите только имя «scan_14027» у оригинала и «scan_14027.jpg» у файла подписи. 

1. Откройте «Инструменты КриптоПро». Ярлык можно найти в меню программ.
2. Щёлкните левой кнопкой мыши в текст «Проверка подписи».
3. Щёлкните в кнопку «Выбрать файл с подписью для проверки» и в появившемся окне выберите файл подписи. Программа отфильтрует файлы в папке чтобы подсказать вам нужный.
4. Если у вас было выбрано «Показать расширенные» из предыдущего пункта, вы увидите поле для галочки «Сохранять исходный файл.», галочка в нём для отсоединенной подписи не ставится — у вас уже есть файл-оригинал.
5. Щёлкните в кнопку «Проверить подпись». В случае успешной проверки под кнопкой появится сообщение «Подпись была успешно проверена». Его можно раскрыть чтобы получить больше подробностей.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон — брошюра, формат листа А4. Его можно использовать по своему усмотрению.

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

Создание подписанного документа

Подписать можно абсолютно любой файл. 

Перейдите в пункт “Создание подписи”

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

Выберите подпись, которой необходимо подписать документ. Обратите внимание — ЭЦП должно быть актуальной. 

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок — под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла — сам документ и его подпись. Размещать или пересылать необходимо оба документа.

Заключение

Инструкцию делал для подведов. Писал максимально простым языком. Если кому то пригодится в работе — буду рад.

Ссылка
на исходник инструкции в виде брошюры на Гугл диске

• Установленный КриптоПро CSP только
  версии 5.0
• Носитель с действующей электронной подписью, вставленный в компьютер.

     1. Для подписания файла можно использовать «Инструменты КриптоПро» версии 5.0
.

Для этого в окне поиска справа от кнопки «Пуск»

.

Вводим «КриптоПро» (2
) и выбираем из появившегося сверху меню установленных программ на Вашем компьютере раздел «Инструменты «КриптоПро»

.

     2. В открывшемся окне программы нажимаете кнопку «Показать расширенные»
.

     3. Отобразятся дополнительные разделы, нужно нажать на кнопку «Создание подписи»

.

В правом окне «Создание подписи»
необходимо выбрать Ваш сертификат для подписи

.

     5. Когда сертификат и файл выбраны, нажимаете кнопку «Подписать»

.

     6. Если всё сделано верно, то внизу под кнопкой «Подписать» появится надпись:

«Создание подписи завершилось успехом»

.

     7. В папке, в которой был исходный файл для подписания, появится подписанный файл с расширением

*. P7S 

Отдел технической поддержки