криптопро эцп browser plug-in астра, альт, роса линукс | Сервисный центр «Системник»

криптопро эцп browser plug-in астра, альт, роса линукс | Сервисный центр "Системник" ЭЦП

Plug-in для windows

Перед тем как загрузить КриптоПро ЭЦП Browser plug in для Windows, убедитесь, что на вашем АРМ активировано сертифицированное СКЗИ, и закройте все окна веб-браузера.

Rosa crypto tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2022 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать;— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:abf.io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted esign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

Добавление сертификатов через криптопро

Для корректной реализации КЭЦП персональные сертификаты квалифицированной электронно-цифровой подписи (СКЭЦП, СЭЦП), полученные в УЦ и записанные на ключевой носитель (токен), необходимо добавить в хранилище на своем компьютере.

На одном ПК может находиться несколько ваших личных сертификатов. Всякий раз, когда нужно поставить ЭП, система будет открывать каталог со списком, откуда пользователь сам выбирает нужный СКЭЦП.

Последние релизы CryptoPro наделены функцией автоматической установки персональных сертификатов на жесткий диск компьютера:

Далее открывается Мастер импорта сертификатов. Подтвердите согласие на операцию кнопкой «Далее». В следующей форме установите в настройках автоматический выбор хранилища для записи сертификата. Личные СКЭЦП сохраняются в папку «Личное», корневые сертификаты от УЦ — в «Доверенные».

Для завершения процедуры нажмите «Готово» и закройте окно кнопкой «Ок».

Криптопро для linux

Судя по многочисленным отзывам пользователей Linux, версия КриптоПро для этой ОС — неоднозначное решение. С одной стороны, это самое функциональное средство криптозащиты для работы с ЭП. Но если в Windows с использованием СКЗИ не возникает существенных проблем, то с Linux обычному пользователю справиться очень сложно.

CryptoPro CSP для Линукс — это консольный продукт с текстовым интерфейсом, лишенный графических средств управления.

Инсталляцию и настройку программы на ПК рекомендуется доверить системному администратору.

Криптопро для windows 10

Программа CryptoPro CSP от российского разработчика ПО «КРИПТО-ПРО» признана лидером в сегменте криптографического ПО (наряду с ViPNet).

СКЗИ обеспечивает выполнение процессов криптошифрования, которые и лежат в основе генерации КЭП. Без этой вспомогательной программы невозможно создать ЭЦ, зашифровать файл, защитить от последующих корректив посторонними лицами, обеспечить целостность и предотвратить компрометацию важных сведений.

Бесплатный дистрибутив с утилитой можно получить на официальном ресурсе:

В течение 90 дней с момента инсталляции программы доступен бесплатный пробный период, чтобы пользователь смог оценить возможности ПО. По окончании демо-периода необходимо купить лицензию (на 12 месяцев или бессрочную). Заказать ее можно непосредственно у разработчика или дистрибьютора в своем регионе.

Одну лицензию можно использовать только на одном АРМ.

Криптопро эцп browser plug-in астра, альт, роса линукс

1. устанавливаем необходимые стандартные библиотеки
Код:
sudo su
sudo apt update
sudo apt install lsb lsb-core alien

2. Качаем КриптоПро CSP 4.0R2 linux x64 предварительно зарегистрировавшись

3. Распаковываем и устанавливаем
Код:
cd ~/Downloads
tar -xf linux-amd64_deb.tgz
cd linux-amd64_deb
sudo ./install.sh
# GUI элементы для работы с сертификатами
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
# Поддержка алгоритмов класса 2
sudo dpkg -i lsb-cprocsp-kc2-64_4.0.0-4_amd64.deb

4. готово
p.s. удалить можно выполнив код в этой же директории:
Код:

sudo ./uninstall.sh
sudo rm -rf /opt/cprocsp
sudo rm -rf /etc/opt/cprocsp
sudo rm -rf /var/opt/cprocsp
sudo rm /opt/google/chrome/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json
sudo rm /etc/chromium/native-messaging-hosts/ru.cryptopro.nmcades.json
sudo rm /etc/opt/chrome/native-messaging-hosts/ru.cryptopro.nmcades.json
sudo rm /usr/lib/firefox-addons/plugins/libnpcades.so
sudo rm /usr/share/chromium-browser/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json
sudo rm /usr/share/chromium/extensions/iifchhfnnmpdbibifmljnfjhpififfog.json

Установка тестовых сертификатов

1. Качаем корневой сертификат

2. Устанавливаем его
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file certnew.cer

Смотрим доступные контейнеры
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn

Устанавливаем сертификат:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file ~/Downloads/test 8.12.2022 KC1 CSP.pem -cont ‘\.HDIMAGE70275af7-e10b-bed3-b1b3-88641f09f3a5’

1. Качаем плагин версии 2.0

2. Распаковывем и устанавливаем
Код:
cd ~/Downloads
mkdir cades_linux_amd64
tar -xf cades_linux_amd64.tar.gz -C cades_linux_amd64
cd cades_linux_amd64
sudo alien -kci cprocsp-pki-2.0.0-amd64-cades.rpm
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm
# С первого раза не все файлы копируются, например не копируется /opt/cprocsp/lib/amd64/libnpcades.so
sudo alien -kci cprocsp-pki-2.0.0-amd64-plugin.rpm

3. Копируем файл libnpcades.so в папку с плагинами
Код:
sudo cp /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/firefox-addons/plugins/libnpcades.so

4. Перезапускаем/запускаем firefox

5. Открываем about:addons

6. Выбираем вкладку Plugins.

7. У плагина CryptoPro CAdES plugin ставим значение Always Activate

8. Проверяем работоспособность на demo странице, либо на странице генерации тестового сертификата

Инструкция по установке КриптоПро Browser Plug-In 2.0 в Google Chrome 54.0.2840.100 (64-bit)

Выполняем, если не выполнены пункты 1 и 2 из предыдущего раздела.

Устанавливаем плагин из магазина: CryptoPro Extension for CAdES Browser.

Дополнительная информация

Если на демо странице пишет что-то вроде:
Код:
Ошибка при открытии хранилища: The system cannot find the file specified. (0x80070002)

Значит у вас не установлено ни одного сертификата.

Список установленных компонентов:
Код:
dpkg -l | grep csp

Вывод установленных сертификатов:
Код:
/opt/cprocsp/bin/amd64/certmgr -list

Установка корневого сертификата УЦ:
Код:
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file путь_к_файлу_с_сертификатом

Перечисление доступных контейнеров:
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn

Установка личного сертификата:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store umy -file путь_к_файлу_с_сертификатом -cont ‘имя_контейнера’

Если в контейнере присутствует сертификат, то для его установки личного сертификата можно использовать команды:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘имя_контейнера’

Установить все сертификаты в хранилище Личное uMy из доступных контейнеров:
Код:
/opt/cprocsp/bin/amd64/csptestf -absorb -certs

Добавление хранилища на жёстком диске:
Код:
sudo /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store

Генерация пары закрытого/открытого ключа в хранилище:
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont ‘\.HDIMAGEmain’ -provtype 75 -provider «Crypto-Pro GOST R 34.10-2001 KC1 CSP»

Создание запроса на подпись сертификата:
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn «E=email, C=RU, CN=localhost, SN=company» -nokeygen -both -ku -cont ‘\.HDIMAGEmain’ main.req

Загрузка подписанного сертификата к паре закрытого/открытого ключа:
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -file main.cer -store umy -cont ‘\.HDIMAGEmain’

Если при попытке сгенерировать сертификат по алгоритму *KC2*, например с Crypto-Pro GOST R 34.10-2001 KC2 CSP возникает ошибка:

Произошла ошибка при создании запроса на сертификат. Проверьте, что выбранный поставщик служб шифрования поддерживает заданные вами параметры и введены правильные данные.
Предполагаемая причина:
(нет вариантов)
Ошибка: 0x00000000 — (нет данных)

то у вас нет аппаратного датчика случайных чисел, а работает только биологический датчик случайных чисел (который может быть использован в КриптоПро КС1).

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\.FLASHsidorov' -contdest '\.HDIMAGEsidor'
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\.HDIMAGEsidor'
 
 

0

Настройка «криптопро» csp

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например,

или

), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Настройка работы с рутокен эцп 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

apt-get install libpcsclite1 pcscd libccid


Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb

Отключение цифровой подписи в windows 10

Как правило, СЭЦП выдается на 12 месяцев. Просроченные сертификаты рекомендуется удалять из реестра, чтобы не занимать место в хранилище. Отключение (удаление) сертификата цифровой подписи в Windows 10 занимает не более 2 минут:

  • запустите криптопровайдер через меню «Пуск»;
  • выберите вкладку «Сервис» → «Удалить контейнер»;
  • в открывшемся каталоге выберите сертификат для удаления;
  • подтвердите действие кнопкой «Готово» и нажмите «Ок».

Ранее удаленный из системы сертификат восстановить нельзя. Он не попадает в корзину и не резервируется, а навсегда исчезает из реестра.

Плагин для линукс

Для корректной работы браузера в Линукс потребуется специальная утилита alien. Активируйте ее с помощью команды:

sudo apt install alien

Подпись средствами «криптопро csp»


В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

Подписать можно с помощью команды:

csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256

Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

csptestf –sfsign

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Резюме

Подведем итог. В конце 2022 – начале 2022 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

Управление сертификатами

Чтобы просмотреть сертификаты на подключенных физических носителях, задайте в Терминале следующую команду:

/opt/cprocsp/bin/amd64/csptest -keyset-enum_cont -fqcn -verifyc

Для импорта персональных СЭЦП со всех ключевых USB-носителей выполняем команду:

/opt/cprocsp/bin/amd64/csptestf -absorb-cert

Убедитесь, что сертификаты добавлены в хранилище с помощью команды:

/opt/cprocsp/bin/amd64/certmgr -list -store uMy

Сохраненные СЭЦП отобразятся в окне Терминала в виде списка.

Удаление сертификата из реестра:

/opt/cprocsp/bin/amd64/certmgr -delete -store umy

Подробные рекомендации по установке и настройке СКЗИ в Линукс представлены в разделе «Документация».

Установка криптопро в astra linux

В последние годы многие госслужбы и частные компании взяли курс на импортозамещение, все чаще выбирая Линукс в качестве операционной системы. Особую популярность среди российских пользователей получили аналоги этой ОС — Astra Linux, Rosa Linux, ГосЛинукс и др.

Процедуру установки КриптоПро рассмотрим на примере Astra Linux (ОС на базе ядра Линукс, используемая преимущественно в бюджетных учреждениях).

Чтобы загрузить дистрибутив для инсталляции СКЗИ, зайдите в «Центр загрузок», выберите сертифицированный релиз КриптоПро и deb-пакет для скачивания (с учетом разрядности ОС).

На СКЗИ для Линукс распространяются стандартные правила лицензирования и 3-месячный демо-период для ознакомления.

Распакуйте сохраненный на ПК архив с расширением tgz. Процесс установки осуществляется через консоль с помощью ввода специальных текстовых команд. Для инсталляции в Linux есть два варианта: вручную или автоматически. Рассмотрим второй способ:

  • перейдите в папку с распакованным архивом и через контекстное меню выберите команду «Открыть в терминале»;
  • запустите автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
  • навигацию в окне Мастера осуществляйте с помощью кнопки Tab — отметьте все доступные к установке компоненты клавишей Next и нажмите «Install».

По завершении процедуры в окне Терминала появится уведомление об успешной инсталляции.

Когда закончится демо-период, купите лицензию и введите ее номер в настройках с помощью команды:

sudo/opt/cprocsp/sbin/amd64/cpconfig-license-set XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

Вместо Х укажите серийный номер из лицензионного соглашения.

Процедура инсталляции криптопровайдера для других версий ОС семейства Linux предполагает аналогичный порядок действий.

Установка криптопро для mac os

Подготовка компьютера на базе MacOS для работы с цифровой подписью начинается с тех же процедур, что и для описанных выше ОС. Зайдите на официальный портал «Крипто-ПРО» и сохраните бесплатный дистрибутив КриптоПро для Mac OS:

  • запустите установочный файл ru.cryptopro.csp;
  • разрешите программе внести изменения на ваш ПК клавишей «Продолжить»;
  • дайте согласие с условиями лицензионного соглашения;
  • завершите инсталляцию клавишей «Установить»;
  • дождитесь окончания и закройте окно.

Дальнейшие настройки выполняются через стандартное приложение MacOS Terminal — открывается через меню Finder → «Переход» → «Утилиты».

Для добавления сертификата в реестр подключите к компьютеру ключевой носитель и введите команду в окне Терминала:

/opt/cprocsp/bin/csptestf -absorb-certs -autoprov

Команда для проверки статуса лицензии:

/opt/cprocsp/sbin/cpconfig -license -view

Активация лицензии:

sudo /opt/cprocsp/sbin/cpconfig -license -set номер_лицензии

В качестве USB-носителя для интеграции с MacOS подойдет Рутокен Lite или Рутокен ЭЦП. Флешки eToken и JaCarta не функционируют в связке с CryptoPro для Мак ОС.

Для визирования электронной информации в Mac OS можно воспользоваться программным комплексом Trusted eSign, описанным выше.

Установка на apple mac os

Загрузите архив с Browser plugin по ссылке, разархивируйте его и установите модуль, следуя инструкции:

  • в распакованной папке нажмите на документ cprocsp-pki-2.0.0 — запустится Мастер установки;
  • дайте согласие с условиями лицензионного договора;
  • подтвердите операцию кнопкой «Установить».

По окончании процедуры закройте окно и проверьте работу модуля на странице.

Установка программы

Вспомогательный компонент взаимодействует со всеми версиями Windows выше 2003. С полным списком поддерживаемых ОС можно ознакомиться в соответствующем разделе.

СКЗИ для Windows применима для большинства сфер электронного документооборота, где требуется юридически значимая информация, заверенная квалифицированной ЭЦП (КЭЦП):

Процедура установки КриптоПро для Windows 10 предполагает следующий порядок действий:

  • запустить загруженный на ПК дистрибутив и нажать кнопку «Установить»;
  • если лицензия еще не куплена, пропустить строку с серийным номером и нажать клавишу «Далее» (при наличии лицензии — ввести номер из соглашения);
  • выбрать тип установки: «Обычная» — набор базовых функций, «Дополнительный опции» — формирование конфигурации вручную (для продвинутых пользователей);
  • подтвердить операцию клавишей «Установить».

По завершении инсталляции рекомендуется перезапустить компьютер, чтобы изменения вступили в силу. Такой алгоритм действий применим для всех версий Windows.

После загрузки криптопровайдера остается инсталлировать драйвер USB-носителя, добавить сертификат в хранилище, настроить веб-браузер, и можно приступать к работе с ЭП.

Оцените статью
ЭЦП64
Добавить комментарий