ВАЖНО! Чтобы шифровать документы, у вас на рабочем месте должен быть установлен криптопровайдер КриптоПро CSP.
Чтобы шифровать документы, нужно установить в хранилище Других пользователей сертификат или привязать сертификат к контакту, в адрес которого будет проводится шифрование.
Перейти в мастер Подписи и шифрования вы можете из раздела Документы.
Вы можете зашифровать любые произвольные документы, загрузив их с помощью drag-and-drop либо выбрать документы из вкладки Архив.
Как зашифровать документ, используя профиль
Если вы хотите изменить параметры шифрования, не изменяя настройки в профиле, то воспользуйтесь настройками в открытом мастере.
Результат выполнения операции
На вкладке Подпись и шифрование отображаются ход и результаты выполнения операции.
При успешном выполнении операции зашифрованные файлы сохраняются в заданном каталоге, если выбран каталог для сохранения результатов. Или рядом с исходным файлом, если каталог не задан.
Если установлен флаг Создать копию в Архиве, то копия зашифрованного файла сохраняется в папке пользователя. Файлы из данного каталога доступны в разделе Документы — вкладка Архив.
Если в параметрах шифрования была выбрана опция Удалить файлы после шифрования, то в результате операции будут только полученные зашифрованные файлы; промежуточные файлы и оригиналы документов удаляются.
Действия с файлами после выполнения операции:
Если какие-то документы не удалось зашифровать, то операция считается выполненной с ошибками. Вы можете посмотреть, какие файлы зашифрованы успешно, а какие с ошибками.
Ошибки при операции выводятся как уведомления. Вы можете их посмотреть, нажав на иконку.
Для просмотра подробного описания ошибки или отправки в техническую поддержку нажмите кнопку Перейти в журнал в правой боковой панели списка уведомлений.
ИНСТРУКЦИИ ПО ТЕМЕ:
CryptReleaseContext в MS CryptoAPI 2.0
LoadPublicKey(BYTE *pbBlob, DWORD *pcbBlob,
HCRYPTPROV hProv = 0;
HCRYPTKEY hKey = 0;
HCRYPTKEY hSessionKey = 0;
HCRYPTKEY hAgreeKey = 0;
BYTE *pbKeyBlobSimple = NULL;
BYTE *pbIV = NULL;
DWORD dwBlobLen = 100;
DWORD cbContent = 0;
DWORD dwIV = 0;
DWORD bufLen =
ALG_ID ke_alg = CALG_PRO_EXPORT;
(!(source = fopen(
«Problem opening the file ‘source.txt’
»
«The file ‘source.txt’ was opened
»
(!(Encrypt = fopen(
«Problem opening the file ‘encrypt.bin’
»
«The file ‘encrypt.bin’ was opened
»
(!(session_SV = fopen(
«Problem opening the file ‘session_SV.bin’
»
«The file ‘session_SV.bin’ was opened
»
(!(session_EncryptedKey = fopen(
«Problem opening the file ‘session_EncryptedKey.bin’
»
«The file ‘session_EncryptedKey.bin’ was opened
»
(!(session_MacKey = fopen(
«Problem opening the file ‘session_MacKey.bin’
»
«The file ‘session_MacKey.bin’ was opened
»
(!(vectorf = fopen(
«Problem opening the file ‘vector.bin’
»
«The file ‘vector.bin’ was opened
»
«The key container «Sender» has been acquired.
»
«Error during CryptAcquireContext.»
«The private key has been acquired.
»
«The responder public key has been imported.
»
«Error during CryptImportKey public key.»
«PRO_EXPORT agree key algorithm has been set.
»
«Error during CryptSetKeyParam agree key.»
«Original session key is created.
»
«ERROR — CryptGenKey.»
«Size of the BLOB for the sender session key determined.
»
«Error computing BLOB length.»
pbKeyBlobSimple = (BYTE*)malloc(dwBlobLenSimple);
«Out of memory.
»
«Contents have been written to the BLOB.
»
«Error during CryptExportKey.»
«Size of the IV for the session key determined.
»
«Error computing IV length.»
pbIV = (BYTE*)malloc(dwIV);
«Out of memory.
»
«CryptGetKeyParam succeeded.
»
«Error during CryptGetKeyParam.»
«The IV was written to the ‘vector.bin’
»
«The IV can not be written to the ‘vector.bin’
»
«The session key was written to the ‘session_SV.bin’
»
«The session key can not be written to the ‘session_SV.bin’
»
«The session key was written to the ‘session.bin’
»
«The session key can not be written to the ‘session.bin’
»
«The session key was written to the ‘session.bin’
»
«The session key can not be written to the ‘session.bin’
»
BOOL bFinal = feof(source);
«Encryption succeeded. »
«Зашифрованное содержимое было записано в файл encrypt.bin».
»
«Зашифрованный контент не может быть записан в файл encrypt.bin».
»
«Проблема с чтением файла «source.txt»
»
«Программа завершилась без ошибок.
»
LoadPublicKey(BYTE *pbBlob, DWORD *pcbBlob,
((certf = fopen(szCertFile,
DWORD cbCert = 2000;
PCCERT_CONTEXT pCertContext = NULL;
«Файл ‘%s’ был открыт
«, сзцертфиле );
cbCert = (DWORD)fread (pbCert, 1, cbCert, certf);
«Не удалось прочитать сертификат
»
«Сертификат был прочитан из ‘%s’
«, сзцертфиле );
pCertContext = CertCreateCertificateContext (
«Открытый ключ, импортированный из файла сертификата
»
«Открытый ключ экспортирован в большой двоичный объект
»
(!(publicf = fopen(szKeyFile,
«Проблема с открытием файла большого двоичного объекта открытого ключа.
»
«Файл ‘%s’ был открыт
«, szKeyFile );
*pcbBlob = (DWORD)fread(pbBlob, 1, *pcbBlob, publicf);
«Не удалось прочитать файл ключевого объекта.
»
«Ключевой объект был прочитан из ‘%s’
«, szKeyFile );
Требования
AIX: 5/6/7 или выше. FreeBSD: 7/8/9 или выше. Linux: LSB 3.1 (RHEL 4, SuSE 10) или выше. Солярис: 10 или выше. Mac OSX: 10.7/8 или выше. я ОС: 6/7 или выше. Windows 2000/XP/2003/Vista/2008/7: требуется Windows 2000 SP4 или более поздняя версия с Internet Explorer 6.0 или более поздней версии. Ядро Windows NT: не поддерживает.
Выберите пункт меню Подписать и зашифровать (при этом будет зашифрован и подписан отдельно каждый файл, поступающий в указанную папку. Зашифрованные и подписанные файлы автоматически определяются в списке с исходными данными).
Далее следуйте рекомендациям Мастера выполнения операции:
1. На первом этапе упрощения работы вы можете выбрать в списке одну из уже установленных настроек для блокировки и шифрования. Если вы хотите в будущем использовать выбранный коэффициент для производства, установите флаг в производстве, чтобы использовать изменение для производства.
2. Выберите отдельный файл и папку с файлами, которые необходимо зашифровать и подписать (кнопки Добавить файл и Добавить папку соответственно).
3. Первым этапом укажите параметры для электронной загрузки данных. Сначала укажите выходной формат файла: расширение кодировки и выходной файл.
Отключить служебные заголовки. Расширение подписанного файла *.sig.
4. Далее установите параметры мобильной связи.
Использование прошивки. Укажите необходимое назначение приложения. О том, как создавать новые назначения, вы можете узнать в разделе «Операции» со справочниками назначений.
Включить в подпись:
— только сертификат владельца — режим, установленный по умолчанию. В атрибуты добавляется единственный сертификат;
— путь сертификации без корневого сертификата — в атрибуты добавляются цепочки сертификатов, за исключением корневого сертификата;
— все сертификаты пути сертификации — в атрибуты добавляются все сертификаты цепочки, в том числе и корневой сертификат;
— сертификаты не включены в подпись — сертификаты не включены в атрибуты.
Удалить исходный файл после завершения операции. Если вы решили создать файл совмещенной лицензии, вы можете удалить исходный файл после завершения операции.
Уровень безопасного удаления. Подробнее об обеспечении уровней безопасного удаления читайте в разделе «Настройки каталогов хранения файлов».
Включить время создания приложения. При установке флага — включение файла будет включено во время подключения.
Флаги Включить штамп времени на подписываемых данных и Включить штамп времени на подписи, доступны только при установленной лицензии на модуле TSP (КриптоПро TSP клиент 2.0.)
Флаг Включить в подпись документы доступны только при установленной лицензии на модулях TSP и OCSP (КриптоПро TSP клиент 2.0 и КриптоПро OCSP клиент 2.0.)
5. Если установлен флажок «Включить в Подписать Штамп Времени», в следующем окне укажите параметры Службы Штампов Времени.
6. Выберите личный сертификат на изготовление ЭП (кнопка Выбрать).
7. Для доступа к выбранному ключевому контейнеру (сертификат ГОСТ) введите пароль.
8. Вторым этапом указывают параметры для шифрования данных. Укажите настройки для выходного формата файла.
Кодировка и расширение.
Архивировать файлы перед шифрованием.
В строке Имя файла указывается путь к архиву и имя создаваемого архива.
Помещать на выходные файлы в указанном каталоге.
Если выбрать этот режим и оставить поле ввода пути к каталогу незаполненным, то выходные файлы будут формироваться в каталоге входных файлов.
Сохранять структуру вложенности каталогов.
Отправить выходные файлы по электронной почте.
В окне Свойства шифрования выберите режим шифрования данных. Для этого поставьте переключатель напротив соответствующей строки:
Подробнее о настройке параметров шифрования вы можете прочитать в разделе Настройки операции шифрования.
9. На следующем шаге выберите сертификаты получателей шифруемого файла, используя кнопку Добавить.
Чтобы иметь возможность расшифровать зашифрованный вами файл, вы должны добавить личный сертификат в список сертификатов получателей зашифрованного файла. Если на предыдущем шаге вы включили режим, при котором для шифрования будет использоваться ваш личный сертификат, на шаге выбора сертификатов получателей он автоматически будет занесен в список.
Обратите внимание, для шифрования необходимо, чтобы ключи отправителя и получателя могли быть использованы для шифрования данных.
10. Для отправки подписанных и зашифрованных данных по электронной почте укажите тему сообщения, адрес получателя и текст письма:
11. После завершения сбора параметров для выполнения шифрования возникнет окно с информацией о статусе операции и об используемых параметрах: сертификат, которым был зашифрован файл и сертификат получателя (-ей). Для продолжения нажмите кнопку Готово.
Все указанные параметры можно сохранить в настройку для дальнейшего использования. Для этого установите флаг в пункте Сохранить данные в настройку для дальнейшего использования и введите наименование настройки. Также вы можете сохранить все данные в уже существующую настройку, выбрав ее название из списка.
12. Начнется процесс подписи и шифрования файла. Вы можете прервать его, нажав на кнопку Отмена.
13. При отправке подписанных и зашифрованных данных по электронной почте (если вы указали «Открыть окно почтового клиента») откроется окно вашего почтового клиента для редактирования сообщения перед отправкой. Внесите необходимые изменения и отправьте письмо стандартным образом.
14. Далее возникнет окно Результат выполнения операции со статусом завершения операции.
Чтобы просмотреть детальную информацию о результатах шифрования и используемых параметрах: имя исходного файла, имя выходного (зашифрованного) файла, статус операции, длительность выполнения операции, нажмите кнопку Детали.
Вы можете отредактировать список получателей зашифрованных и подписанных данных, просмотреть и сохранить исходные данные.
1. Выделите запись в списке окна Результат выполнения операции и нажмите на кнопку Менеджер сообщения.
2. Откроется окно Управление шифрованными данными, в котором вы можете:
Сертификат расшифрования данных отмечается значком
. Сертификатом расшифрования становится первый из списка сертификат получателей, имеющий закрытый ключ. Остальные сертификаты отмечаются стандартными значками.
Вы можете расширить/сократить список сертификатов получателей файла (кнопки Добавить и Удалить соответственно). При нажатии на кнопку Применить или ОК данные будут повторно зашифрованы и подписаны в адрес измененного списка получателей.
Инструменты КриптоПро Установка программного обеспечения для работы с сертификатами Ключевые носители и сертификаты GOST-CRYPTO-GUI Подпись документов в LibreOffice
Инструменты КриптоПро
В КриптоПро версии 5.0 появилась графическая утилита для работы с сертификатами — cptools. Запуск утилиты доступен из «Главного меню» – «Параметры» – «Инструменты КриптоПро».
Запуск из терминала:
cptools
или
/opt/cprocsp/bin/*/cptools
Установка программного обеспечения для работы с сертификатами
1. Установка средства управления сертификатами token-manager:
yum install token-manager python3-chardet
dnf install token-manager python3-chardet
chmod +x ./token-manager-*-x86_64. AppImage
./token-manager-*-x86_64. AppImage
2. Установка программного обеспечения для подписи файлов gostcrypto.
yum install gostcryptogui
dnf install gostcryptogui
chmod +x ./gost-crypto-gui-*-x86_64. AppImage
./gost-crypto-gui-*-x86_64. AppImage
Работа с ключевыми носителями и сертификатами
Для работы с ключевыми носителями и сертификатами используется утилита «Ключевые носители и сертификаты», которую мы установили ранее. Найти его можно в «Главном меню» — «Администрирование» — «Ключевые носители и сертификаты».
Окно программы выглядит следующим образом:
В меню «Операции» можно выполнить:
Рассмотрим более подробно копирование контейнера с usb-flash накопителя.
1. Необходимо с RuToken скопировать закрытую часть электронной подписи (ЭП) на usb-flash накопитель, выполнить это необходимо на КриптоПро в ОС Windows.
Инструкция для Windows находится по ссылке.
2. Вставьте usb-flash накопитель в компьютер и запустите утилиту Ключевые носители и сертификаты.
3. Перейдите в меню «Операции» и выберите «Скопировать контейнер с usb-flash накопителя».
4. Появится окно с выбором контейнера. Выберите необходимый контейнер, отметив чекбокс в поле «Выбранный».
5. Задайте имя контейнеру.
6. Выберите контейнер, в который требуется скопировать.
7. Далее потребуется ввести PIN-код контейнеров.
8. Появится окно с успешной привязкой контейнера с сертификата. Сертификат отобразится в «Личном хранилище сертификатов».
Работа по копированию контейнеров с токена или из HDIMAGE имеет схожую логику.
1. Для выбора необходимого контейнера требуется выбрать галочкой необходимый.
2. Следующим этапом необходимо выбрать пункт назначения копирования.
Пользователю предоставляется возможность задать новое имя копируемого контейнера (настоятельно рекомендуем использовать латиницу).
3. Далее выбирается токен или HDIMAGE.
4. После ввода PIN-кодов, в случае успеха, вы увидите сообщение:
Стоит обратить внимание на диалоговое окно, которое добавлено для работы с КриптоПро версии 5 и новее. Данное диалоговое окно позволяет устанавливать сертификаты в машинное хранилище ПК или в личное хранилище пользователя. Вызов диалогового окна происходит при попытке установки из локального файла сертификата или с токена.
В последних версиях token-manager была добавлена возможность консольного запуска утилиты с использованием ряда ключей:
token-manager.py —help
Подсказки по использованию ключей в token-manager:
В данной реализации token-manager поддерживает явное указание архитектуры КриптоПро, вместо автоматического.
—amd64 вызов 64-битной версии КриптоПро;
—ia32 вызов 32-битной версии КриптоПро;
—aarch64 вызов aarch64 версии КриптоПро;
—e2k64 вызов e2k64 версии КриптоПро;
—version вывод номера версии token-manager;
—debug-output пробный вызов основных функций утилиты;
—debug-output —amd64 пробный вызов основных функций утилиты для архитектуры amd64;
—debug-output —ia32 пробный вызов основных функций утилиты для архитектуры ia32;
—debug-output —aarch64 пробный вызов основных функций утилиты для архитектуры aarch64;
—debug-output —e2k64 пробный вызов основных функций утилиты для архитектуры e2k64;
Пример вывода версии утилиты:
token-manager.py —version
token-manager версия 5.2.2
GOST-CRYPTO-GUI
Формат подписи может настраиваться в графической утилите gostcryptogui, которую мы рассмотрим далее.
Запуск утилиты производится из «Главного меню» — «Администрирование» — «Подпись и шифрование файлов».
Доступны следующие опции:
Для примера зашифруйте файл, но с использованием другого сертификата, размещённого на ключевом носителе Rutoken.
Выберите необходимый файл:
Затем укажите ваш сертификат:
Зашифрованный файл формируется с тем же именем и расширением .enc.
После этого попробуйте его расшифровать.
Нажмите «Расшифровать файл(ы)», выберите зашифрованный файл, затем сертификат, которым был зашифрован наш файл.
Подпись документов в LibreOffice
Для активации подписания документов потребуется установить плагин:
dnf install LibreOffice-plugin-altcsp
Для активации подписи требуется нажать кнопку «Файл». Если меню «Файл» недоступно, нажмите предварительно кнопку, выделенную на скриншоте:
Нажмите кнопку «Электронная подпись»:
Для подписи вам будет предложен выбор сертификата:
Также не забудьте проверить, что для выбранного сертификата у вас установлены все необходимые корневые и отозванные сертификаты. Пример необходимых сертификатов можно проверить командой:
Как показано в примере, необходимо доставить 3 сертификата. Выполнить это можно через token-manager и установку сертификатов из утилиты.
В случае успешной подписи вы увидите следующее уведомление:
Проверить подпись можно из «gostcryptogui» — «Проверить подпись».
После выбора документа вы увидите следующую информацию:
Дата последнего изменения: 08.06.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Шифрование — это преобразование данных в вид, недоступный для чтения без соответствующей информации (ключа шифрования). Задача состоит в том, чтобы обеспечить конфиденциальность, скрыв информацию от лиц, которым она не предназначена, даже если они имеют доступ к зашифрованным данным.
Чтобы зашифровать файл, вам потребуется открытый ключ получателя зашифрованных данных. Расшифровать данные получатель сможет, используя свой закрытый ключ.
С помощью программы «КриптоАРМ» вы можете зашифровать отдельный файл или папку файлов (при этом будет зашифрован отдельно каждый файл, входящий в указанную папку. Зашифрованные файлы автоматически сохраняются в папку с исходными данными).
Зашифровать файл вы можете через:
Чтобы зашифровать файл, следуйте рекомендациям Мастера выполнения операции:
1. На первом шаге для упрощения работы вы можете выбрать в списке одну из уже установленных настроек для шифрования файлов. Если вы хотите в дальнейшем использовать выбранную настройку по умолчанию, поставьте флаг в пункте Использовать настройку по умолчанию.
2. Выберите папку с файлами или отдельный файл, которые необходимо зашифровать (кнопки Добавить папку и Добавить файл соответственно).
3. В открывшемся окне укажите настройки для выходного формата файла.
1) Кодировка и расширение;
2) Архивировать файлы перед шифрованием;
В строке Имя файла укажите путь до архива и имя создаваемого архива.
3) Помещать выходные файлы в указанный каталог; Если выбрать этот режим и оставить поле ввода пути к каталогу не заполненным, то выходные файлы будут формироваться в каталоге входных файлов.
4) Сохранять структуру вложенности каталогов;
5) Отправить выходные файлы по электронной почте;
6) Удалить исходный файл после выполнения операции; Если вы решили создать файл совмещенной подписи, вы можете удалить исходный файл после выполнения операции.
7) Уровень безопасного удаления.
Подробнее о настройке параметров уровня безопасного удаления читайте в разделе Настройки каталогов хранения файлов.
4. В окне Свойства шифрования выберите режим шифрования данных.
5. На следующем шаге выберите сертификаты получателей шифруемого файла, используя кнопку Добавить.
Чтобы иметь возможность расшифровать зашифрованный вами файл, вы должны добавить личный сертификат в список сертификатов получателей зашифрованного файла. Если на предыдущем шаге вы включили режим, при котором для шифрования будет использоваться ваш личный сертификат, на шаге выбора сертификатов получателей он автоматически будет занесен в список.
6. Для отправки зашифрованных данных по электронной почте укажите тему сообщения, адрес получателя и текст письма:
7. После завершения сбора параметров для выполнения шифрования возникнет окно с информацией о статусе операции и об используемых параметрах: сертификат, которым был зашифрован файл и сертификат получателя (-ей). Для продолжения нажмите на кнопку Готово.
Введенные в Мастер шифрования данные можно сохранить в настройку для дальнейшего использования. Для этого поставьте галочку в пункте Сохранить данные в настройку для дальнейшего использования и введите наименование настройки. Также вы можете сохранить все данные в уже существующую настройку, выбрав ее название из списка.
8. Начнется процесс шифрования данных. Вы можете прервать его, нажав на кнопку Отмена.
9. При отправке зашифрованных данных по электронной почте (если вы указали «Открыть окно почтового клиента») откроется окно вашего почтового клиента для редактирования сообщения перед отправкой. Внесите необходимые изменения и отправьте письмо стандартным образом.
10. Далее возникнет окно Результат выполнения операции со статусом завершения операции.
Чтобы просмотреть детальную информацию о результатах шифрования и используемых параметрах: имя исходного файла, имя выходного (зашифрованного) файла, статус операции, длительность выполнения операции, нажмите на кнопку Детали.
Вы можете отредактировать список получателей зашифрованных данных, просмотреть и сохранить исходные данные.
1. Выделите запись в списке окна Результат выполнения операции и нажмите на кнопку Менеджер сообщения.
2. Откроется окно Управление шифрованными данными, в котором вы можете:
Сертификат расшифрования данных отмечается значком —
Вы можете расширить/сократить список сертификатов получателей файла (кнопки Добавить и Удалить соответственно). При нажатии на кнопку Применить или ОК данные будут повторно зашифрованы в адрес измененного списка получателей.
AIX: 5/6/7 или выше. FreeBSD: 7/8/9 или выше. Linux: LSB 3.1 (RHEL 4, SuSE 10) или выше. Solaris: 10 или выше. Mac OSX: 10.7/8 или выше. i OS: 6/7 или выше. Windows 2000 или выше: Необходимо Windows 2000 SP4 или старше с Internet Explorer 6.0 или старше. Ядро Windows NT: не поддерживает.