КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ДЛЯ ЭЛЕКТРОННОЙ ПОДПИСИ В LINUX

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP
. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

6.  Выбрав контейнер, нажмите “Далее”.

7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

8. Выберите хранилище “Личные” и нажмите ОК.

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:

В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон — брошюра, формат листа А4. Его можно использовать по своему усмотрению.

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

Создание подписанного документа

Подписать можно абсолютно любой файл. 

Перейдите в пункт “Создание подписи”

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

Выберите подпись, которой необходимо подписать документ. Обратите внимание — ЭЦП должно быть актуальной. 

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок — под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла — сам документ и его подпись. Размещать или пересылать необходимо оба документа.

Заключение

Инструкцию делал для подведов. Писал максимально простым языком. Если кому то пригодится в работе — буду рад.

Ссылка
на исходник инструкции в виде брошюры на Гугл диске

FYI.
Статья написана в далеком 2019 году, делайте поправку на изменения.

Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.

Представленный ниже мануал поможет работать с КЭП под macOS
– без изучения форумов КриптоПро и установки виртуальной машины с Windows.

Что нужно для работы с КЭП под macOS:

Устанавливаем и настраиваем КЭП под macOS

1. Устанавливаем КриптоПро CSP
2. Устанавливаем драйверы Рутокен
3. Устанавливаем сертификаты
   

   3.1. Удаляем все старые ГОСТовские сертификаты

   3.2. Устанавливаем корневые сертификаты

   3.3. Скачиваем сертификаты удостоверяющего центра

   3.4. Устанавливаем сертификат с Рутокен

4. Устанавливаем специальный браузер Chromium-GOST
5. Устанавливаем расширения для браузера
   

   5.1 КриптоПро ЭЦП Browser plug-in

   5.2. Плагин для Госуслуг

   5.3. Настраиваем плагин для Госуслуг

   5.4. Активируем расширения

   5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

6. Проверяем что все работает
   

   6.1. Заходим на тестовую страницу КриптоПро

   6.2. Заходим в Личный Кабинет на nalog.ru

   6.3. Заходим на Госуслуги

7. Что делать если перестало работать

Смена PIN-кода контейнера

1. Выясняем название контейнера КЭП
2. Смена PIN командой из terminal

Подпись файлов в macOS

1. Выясняем хэш сертификата КЭП
2. Подпись файла командой из terminal
3. Установка Apple Automator Script

Проверить подпись на документе

Вся информация ниже получена из авторитетных источников (КриптоПро #1
, #2
и #3
, Рутокен
, Корус-Консалтинг
, УФО Минкомсвязи
), а скачивать ПО предлагается с доверенных сайтов. Автор является независимым консультантом и не связан ни с одной из упомянутых компаний. Следуя данной инструкции, всю ответственность за любые действия и последствия вы принимаете на себя.

Что нужно для работы с КЭП под macOS

1. КЭП на USB-токене Рутокен Lite
   или Рутокен ЭЦП
2. криптоконтейнер в формате КриптоПро
3. со встроенной лицензией на КриптоПро CSP
4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
 Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Устанавливаем и настраиваем КЭП под macOS

• все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
• во всех установщиках ничего не меняем, все оставляем по-умолчанию;
• если macOS выводит предупреждение, что запускаемое ПО от неустановленного разработчика – нужно подтвердить запуск в системных настройках: System Preferences —> Security & Privacy —> Open Anyway
  ;
• если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

1. Устанавливаем КриптоПро CSP

2. Устанавливаем драйверы Рутокен

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

   /opt/cprocsp/bin/csptest -card -enum  
  

В ответе должно быть:

Aktiv Rutoken…

Card present…

[ErrorCode: 0x00000000]

3. Устанавливаем сертификаты

3.1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

   sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot  
  

   sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot  
  

   /opt/cprocsp/bin/certmgr -delete -all  
  

В ответе каждой команды должно быть:

No certificate matching the criteria

Deleting complete

3.2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок
УФО Минкомсвязи:

Устанавливаем командами в terminal:

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer  
  

Каждая команда должна возвращать:

Installing:

…

[ErrorCode: 0x00000000]

3.3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Скачанные сертификаты УЦ устанавливаем командами из terminal:

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer  
  

где после ~/Downloads/
идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:

…

[ErrorCode: 0x00000000]

3.4. Устанавливаем сертификат с Рутокен

Команда в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs  
  

Команда должна вернуть:

OK.

[ErrorCode: 0x00000000]

3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция
на сайте CryptoPro рекомендует:

Команды в terminal:

   sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'  
  

   sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'  
  

Команды ничего не возвращают.

4. Устанавливаем специальный браузер Chromium-GOST


Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

   killall Chromium-Gost  
  

5. Устанавливаем расширения для браузера

5.1 КриптоПро ЭЦП Browser plug-in

5.2. Плагин для Госуслуг

5.3. Настраиваем плагин для Госуслуг

Выполняем команды в terminal:

   sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg  
  

   sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents
  
  

   sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts  
  

5.4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

   chrome://extensions/  
  

Включаем оба установленных расширения:

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

   /etc/opt/cprocsp/trusted_sites.html  
  

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

   https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru  
  

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

6. Проверяем что все работает

6.1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

   https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html  
  

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.

Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

6.2. Заходим в Личный Кабинет на nalog.ru

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

• Личный кабинет ИП
  : https://lkipgost.nalog.ru/lk
• Личный кабинет ЮЛ
  : https://lkul.nalog.ru

6.3. Заходим на Госуслуги

При авторизации выбираем «Вход с помощью электронной подписи». В появившемся списке «Выбор сертификата ключа проверки электронной подписи» будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

7. Что делать, если перестало работать

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

      sudo /opt/cprocsp/bin/csptest -card -enum  
     

2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

      
chrome://settings/clearBrowserData
  
     

3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

      /opt/cprocsp/bin/csptestf -absorb -certs  
     

4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678
, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

1. Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

   /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext  
  

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX
после слэша нужно скопировать и подставить в команду ниже.

2. Смена PIN командой из terminal

   /opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"  
  

где XXXXXXXX
– название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм
(стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

1. Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.

Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

   /opt/cprocsp/bin/certmgr -list  
  

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © «Crypto-Pro», 2007-2018.

program for managing certificates, CRLs and stores

= = = = = = = = = = = = = = = = = = = =

1——-

Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…

Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…

Serial: 0x0000000000000000000000000000000000

SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

.

Container: SCARD\rutoken_lt_00000000\0000\0000

…

= = = = = = = = = = = = = = = = = = = =

[ErrorCode: 0x00000000]

2. Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

   /opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE  
  

Команда должна вернуть:

Signed message is created.

[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

3. Установка Apple Automator Script

1. Распаковываем архив ‘Sign with CryptoPro.zip’
2. Запускаем Automator
3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
4. В блоке Run Shell Script
   меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
   на значение параметра SHA1 Hash
   сертификата КЭП, полученное выше.
5. Сохраняем скрипт: ⌘Command + S
6. Запускаем файл ‘Sign with CryptoPro.workflow’
   и подтверждаем установку.
7. Идем в System Preferences —> Extensions —> Finder
   и проверяем, что Sign with CryptoPro
   quick action отмечено.
8. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions
   и/или Services
   выбрать пункт Sign with CryptoPro
9. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
10. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Окно Apple Automator:

Контекстное меню Finder:

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds
. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто. А в Linux доступен только консольный интерфейс. Надеюсь, что компания «КриптоПро» в курсе этой ситуации, и в будущем нас ждут новые красивые и удобные интерфейсы, как для Windows, так и для Linux.

Для настройки нам понадобится:

• Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
• Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
• Рутокен ЭЦП 2.0.

Настройка «КриптоПро» CSP

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут
или тут
), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Скачиваем «КриптоПро CSP» для Linux с официального сайта КриптоПро — www.cryptopro.ru/downloads

Распаковываем «КриптоПро CSP» для Linux:

   tar -zxf ./linux-amd64_deb.tgz  
  

Далее у нас есть 2 варианта – автоматическая установка и установка вручную. Автоматическая установка запускается командой:

   sudo ./install.sh   
  

   sudo ./install_gui.sh  
  

Здесь надо отдать должное разработчикам «КриптоПро» – автоматическая установка для большинства дистрибутивов отрабатывает успешно. Хотя бывают и нюансы. Например, если у вас не хватает некоторых пакетов, то установка будет успешно завершена, хотя некоторый функционал работать не будет.

Если что-то пошло не так, или вы по тем или иным причинам хотите использовать установку в ручном режиме, то вам необходимо выполнить:

   dpkg -i ./cprocsp-curl-64_4.0.0-4_amd64.deb lsb-cprocsp-base_4.0.0-4_all.deb lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb  
  

Для установки пакетов в ROSA используйте urpmi
, вместо dpkg -i
.

Устанавливаем лицензию для «КриптоПро CSP» для Linux и проверяем, что все работает нормально:

   cpconfig -license -set <серийный_номер>
cpconfig -license –view  
  

Мы должны получить что-то вроде:

   License validity:
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Expires: 3 month(s) 2 day(s)
License type: Server.  
  

Настройка работы с Рутокен ЭЦП 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало. Я буду использовать Рутокен ЭЦП 2.0, который имеет сертификат ФСБ и поддерживает работу как с новыми, так и со старыми ГОСТами.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

   apt-get install libpcsclite1 pcscd libccid  
  

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

   dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb  
  

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Воспользуемся тестовым УЦ компании «КриптоПро» по адресу — https://www.cryptopro.ru/certsrv/

Создаем запрос на сертификат с параметрами по умолчанию.

Проверим, что сертификат получен успешно.

Чтобы убедиться, что «КриптоПро CSP» успешно увидел токен, выполним:

   list_pcsc  
  

Мы должны получить что-то вроде:

   Aktiv Rutoken ECP 00 00  
  

Теперь проверяем, что сертификат на токене видится успешно:

   csptest -keyset -enum_cont -verifyc -fq  
  

   CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 13476867
\\.\Aktiv Rutoken ECP 00 00\822506788-dfcd-54c9-3a5e-e0a82a2d7f0
OK.
Total: SYS: 0,020 sec USR: 0,160 sec UTC: 0,870 sec
[ErrorCode: 0x00000000]  
  

Записываем в хранилище сертификатов КриптоПро информацию об этом сертификате:

   csptestf -absorb -cert -pattern 'rutoken'

Match: SCARD\rutoken_ecp_351d6671\0A00\62AC
OK.
Total: SYS: 0,010 sec USR: 0,140 sec UTC: 1,040 sec
[ErrorCode: 0x00000000]  
  

Проверим, что сертификат успешно сохранился в хранилище:

   certmgr -list -cert -store uMy

Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores
 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Trusted eSign Test
Serial              : 0x120019F5D4E16D75F520A0299B00000019F5D4
SHA1 Hash           : 0x016f443df01187d5500aff311ece5ea199ff863e
SubjKeyID           : 204e94f63c68595e4c521357cf1d9279bff6f6e5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 22/02/2017  10:53:16 UTC
Not valid after     : 22/05/2017  11:03:16 UTC
PrivateKey Link     : Yes                
Container           : SCARD\rutoken_ecp_351d6671\0A00\62AC
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
=============================================================================
 
[ErrorCode: 0x00000000]  
  

На этом основная настройка завершена, и мы можем начинать подписывать или шифровать файлы с использованием различных средств. Переходим к тому, зачем задумывалась эта статья.

Подпись средствами «КриптоПро CSP»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

• Отсутствие хорошей документации;
• Отсутствие графического интерфейса.

Подписать можно с помощью команды:

   csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256  
  

Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

   csptestf –sfsign  
  

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Rosa Crypto Tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2016 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2. Сейчас утилита поддерживает работу только с «КриптоПро CSP» для Linux, однако в ближайшее время будет добавлена поддержка других криптопровайдеров.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

+ На порядок проще использовать;

— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:

abf.io/uxteam/rosa-crypto-tool-devel

Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted eSign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

К сожалению, продукт пока доступен только в виде deb пакета для 64-битных систем. С чем связано такое ограничение, непонятно. Будем надеяться, что в ближайшее время компания выпустит и rpm пакет, а также версии для 32-битных дистрибутивов Linux.

Скачиваем с официального сайта deb-пакет и устанавливаем командой:

   dpkg –i ./trustedesign-x64.deb  
  

Запускаем Trusted eSign.

Сразу видно, что разработка не обошлась без дизайнера. Никакого сарказма. Все действия делаются просто и логично, а внешний вид радует глаз. К сожалению, большинство средств и программ в области ИБ от российских разработчиков разработаны без привлечения UX-специалистов и дизайнеров и заставляют своих пользователей страдать и плакать кровавыми слезами. Создается впечатление, что другими средства информационной безопасности просто не могут быть. “ Цифровые технологии” опровергают это. Плата за красоту и удобство – необходимость платить за лицензию.

Но вернемся к подписи.

Выбираем раздел “Электронная подпись”:

Выбираем «Сертификат для подписи»:

Выбираем файлы для подписи и жмем «Подписать»:

Что под капотом? Процитирую с сайта: “Приложение создано на современном движке Electron, для вызова криптографических операций применяется библиотека OpenSSL. Совместимо с СКЗИ “КриптоПро CSP 4.0” и поддерживает все криптографические алгоритмы, реализованные в нем.” Для тех, кто ещё не в курсе Electron — это фреймворк для создания десктопных приложений на платформе node.js.

Сравним Trusted eSign с Rosa crypto tool:

+ Более удобный и красивый интерфейс

— Платная лицензия

Резюме

Подведем итог. В конце 2016 – начале 2017 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux. Хорошие и удобные продукты российских разработчиков помогут государственным организациям и структурам нормально работать и выполнять требования по импортозамещению.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

P. S.

Наверняка есть немало пользователей, особенно пользователей Linux, кто считает, что консольных утилит достаточно. А также специалистов по информационной безопасности, которые считают, что дизайн и удобство — излишество в ИБ. Но я не могу с ними согласиться. Консольные утилиты, несомненно, идеальны для автоматизации. Но большинству пользователей удобнее работать с графическими интерфейсами. Даже в Linux.

Сведения о Крипто ПРО ЭЦП browser plug-in

Авторизация по сертификату невозможна, т.к. на Вашем компьютере не
установлено необходимое ПО, либо браузер не разрешает создание объектов.

Условия работы с сервисом

• Microsoft Windows XP или выше, либо Mac OS X 10.9 или выше.
• Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89.
• Программный компонент для работы с электронной подписью с использованием web-браузера (Крипто
  ПРО ЭЦП browser plug-in версия 2.0, скачать
  );

Необходимые сертификаты

• Цепочку квалифицированных сертификатов ключа проверки электронной подписи (КСКПЭП), начиная
  от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу или индивидуальному
  предпринимателю его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов,
  установить в соответствующие хранилища:

  • самоподписанный (поле «Кому выдан» совпадает с полем «Кем выдан») КСКПЭП удостоверяющего
    центра — в хранилище сертификатов «Доверенные корневые сертификаты»;
  • остальные сертификаты цепочки — в хранилище «Промежуточные центры сертификации.
• КСКПЭП, выданный юридическому лицу или индивидуальному предпринимателю удостоверяющим центром,
  аккредитованным в соответствии с требованиями Федерального закона № 63-ФЗ, установить в
  хранилище сертификатов «Личные».

Согласно википедии   сертификат открытого ключа
он же файл открытого ключа, электронная цифровая подпись, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ) —  цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации.

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

Для того чтобы обмениваться зашифрованными сообщениями, сначала нужно обменяться сертификатами открытого ключа. Сообщение шифруется с помощью открытого ключа получателя и расшифровывается его закрытым ключом.

Экспорт файла открытого ключа можно осуществить следующими способами:

1.
Экспорт из хранилища Личные: 

• Для этого выбрать в настройках браузера (например Internet Explorer) 

Настройки  / Свойства обозревателя
/ Содержание
и нажать на кнопку Сертификаты.

• Найти нужный сертификат и нажать Экспорт
  .

• В окне Мастер экспорта сертификатов
  нажать на кнопку Далее
  .

  Затем отметить пункт Нет, не экспортировать закрытый ключ
  и выбрать Далее.

• В окне Формат экспортируемого файла
  выбрать Файлы X.509 (. CER) в кодировке DER
  и нажать на кнопку Далее.

• В следующем окне необходимо кликнуть Обзор
  , указать имя и каталог для сохранения файла.

  Затем нажать на кнопку Сохранить.

• В следующем окне нажать на кнопку Далее
  , затем Готово
  . Дождаться сообщения об успешном экспорте.

2. Экспорт файла открытого ключа с помощью КриптоПро CSP: 

• Выбрать меню Пуск / Панель управления / КриптоПро CSP
  .

  Перейти на вкладку Сервис
  и нажать на кнопку Просмотреть сертификаты в контейнере
  .

• В открывшемся окне нажать на кнопку Обзор
  , чтобы выбрать контейнер для просмотра.

  После выбора контейнера нажать на кнопку ОK.

• В следующем окне кликнуть по кнопке Далее.

• В окне Сертификат для просмотра
  необходимо нажать кнопку Свойства 

  
  в открывшемся файле сертификата следует перейти на вкладку

  Состав
  и нажать кнопку
  Копировать в файл.

• Далее следуем инструкции Мастера экспорта сертификатов
  нажимая Далее
  — Нет, не экспортировать закрытый ключ
  —

  Далее
  выбираем  
  Файлы X.509 (. CER) в кодировке DER
  и снова  Далее.

• В следующем окне необходимо кликнуть по кнопке Обзор
  , указать имя и каталог для сохранения файла.

  Затем нажать на кнопку Сохранить
  . 

• В следующем окне нажать на кнопку Далее
  , затем Готово
  .  

• Дождаться сообщения об успешном экспорте. Закрыть все окна программы Крипто Про.

Если экспортировать сертификат не удалось

ни первым, ни вторым способом, то для получения файла открытого ключа следует обратиться в службу технической поддержки удостоверяющего центра, где был получен ваш сертификат. Информацию об удостоверяющем центре можно посмотреть в самом сертификате.

После экспорта файла открытого ключа мы можем переслать его тому человеку, с которым планируем обмениваться зашифрованными сообщениями.

 Для того чтобы зашифровать документ вам потребуется КриптоПРО CSP
КриптоAPM
. Дополнительных настроек, кроме размещения файла сертификата открытого ключа в хранилище Сертификаты других пользователей, как правило не требуется.

Если инструкция показалась вам полезной -делитесь ей, кнопки для этого вы найдете прямо под статьей. 

Для проверки электронной подписи по ГОСТ Р 34.10-2012 в документах PDF необходимы:

• Программное обеспечение для работы с документами PDF — Adobe Acrobat или Adobe Reader версии не ниже 8;
• Программное обеспечение (криптопровайдер), обеспечивающее реализацию алгоритмов криптографии по ГОСТ Р 34.10-2012;
• Программное обеспечение (плагин), обеспечивающее интеграцию криптопровайдера и Adobe Reader;
• Сертификат Удостоверяющего Центра ФНС России, обеспечивающий возможность проверки электронно-цифровой подписи документов.

Установка Adobe Reader

Программа Adobe Reader распространяется бесплатно. Она может быть установлена с сайта компании Adobe по ссылке: https://get.adobe.com/ru/reader/
.
При установке следуйте инструкциям с сайта.

Установка криптопровайдера и плагина

Программное обеспечение, реализующее алгоритмы криптографии по ГОСТ Р 34.10-2012, поставляется лицензированными компаниями-разработчиками
на коммерческой основе.
Для приобретения ПО обратитесь в одну из таких компаний. При установке ПО следуйте инструкциям, поставляемым в комплекте, или
воспользуйтесь услугами консультантов поставщика.

Установка сертификата УЦ ФНС России

Установку сертификатов вручную необходимо выполнить следующим образом:

Сохраните на компьютер сертификат Удостоверяющего Центра ФНС России

Для установки сертификата FNS Russia.cer нажмите на файл правой кнопкой мыши и выберите «Установить сертификат»:

Для продолжения установки нажмите кнопку «Далее»

В следующем окне установите режим «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор». Появится окно в котором необходимо выбрать хранилище сертификатов «Доверенные корневые центры сертификации»:

Для завершения установки нажмите кнопки «ОК» — «Далее» — «Готово». Вы увидите окно с информацией о завершении процесса установки. Нажмите «ОК»:

Настройка установленного ПО

После установки всего необходимого ПО необходимо произвести настройку для его правильной совместной работы. Настройка иллюстрируется на
примере следующего комплекта ПО:

• Adobe Reader 11.0.11
• CryptoPro CSP 3.6
• КриптоПро PDF

Для других вариантов ПО настройка производится аналогично.
При открытии PDF документа, подписанного ЭП, с помощью Adobe Reader без выполнения необходимых настроек, появляется сообщение о
недействительности подписи:

Для того, чтобы настроить Adobe Reader на использование правильного алгоритма, проделайте следующее:

Зайдите в меню Редактирование > Установки. В открывшемся окне выберите категорию «Подписи»:

Нажмите кнопку «Подробнее» в разделе «Проверка»:

В разделе «Поведение подтверждения» выберите опцию «Всегда использовать метод по умолчанию»:

В выпадающем списке выберите установленный Вами плагин:

Нажимайте кнопку «ОК», пока не закроются все диалоговые окна. После этого в разделе «Подписи» нажмите кнопку «Проверить все» (или
закройте документ и откройте его снова):

Подписи успешно проверены.
Все выполненные настройки сохранятся до момента переустановки ПО, в дальнейшем при открытии документов, подписанных ЭП по ГОСТ Р
34.10-2012 проверка будет производиться автоматически.