Переход ЭЦП на ГОСТ 2012 в 2021 году

Что меняется

С 2022 года окончательно вступил в силу новый ГОСТ Р 34.11-2022/34.10-2022, или просто ГОСТ 2022. Что это означает для разработчиков? Производители ЭЦП, аккредитованные удостоверяющие центры, электронные площадки и онлайн-службы основных ведомств перешли на новый госстандарт. Они обязаны готовить, принимать и обрабатывать документы, подписанные электронными подписями нового стандарта.

Мы предлагаем подробную инструкцию перехода, формирования и установки новых ЭЦП.

Обновление криптографии на Standalone шлюзе (SMS GW):

Проверим, что за сертификат установлен на текущий момент (чтобы убедиться, что после обновления криптографии сертификат останется тот же):

1. Первое, что необходимо сделать — это удалить КриптоПро 3.9.Команда для удаления (выполняется в командной оболочке /bin/bash (expert)):

/opt/CPUninstall/R77.30_GOST/UnixUninstallScript

После чего получим следующее предупреждение:

После того, как скрипт закончит работу, необходимо перезагрузить шлюз.

После перезагрузки необходимо выполнить следующую команду, чтобы удалить библиотеки, которые могли остаться:

/opt/CPUninstall/GOST/gost_cpro_uninstall.sh

Далее, если на шлюзе остались файлы установки КриптоПро 3.9 необходимо переименовать директорию /var/gost_install в /var/gost_install_39 или удалить её содержимое.

2. Далее необходимо скопировать файлы, необходимые для установки нового ГОСТового патча, в директорию /var/gost_install. Рекомендуется архив с криптобиблиотеками (содержит директории rpm и kis) скопировать по пути /var/gost_install и распаковать, а патч скопировать по пути /var/gost_install/hf и так же распаковать.

3. Запуск установки КриптоПРО 4.0:

/var/gost_install/hf/UnixInstallScript

В конце выполнения скрипта дожны получить следующее сообщение, после которого необходимо будет перезагрузить шлюз:

4. Далее необходимо установить лицензию КриптоПро:

/opt/cprocsp/sbin/ia32/cpconfig -license –set <license_key>

Так же нужно подключиться при помощи консоли, которая есть в составе дистрибутива для установки КриптоПро и установить политику.

Сразу после перезагрузки туннель строится на сертификате выпущенному по ГОСТ Р 34.10/11-2001. Для этого проверим, какой сертификат установлен, сбросим IKE SA и IPsec SA (при помощи утилиты TunnelUtil, которая вызывается командой vpn tu) и проверим, что туннель перестраивается:

Как можно увидеть — туннель перестраивается, проверим, какого вида записи можно увидеть в SmartView Tracker:

Как можно увидеть, Data Encryption Methods такой же, как и до обновления КриптоПро на шлюзе.

5. Далее для использования алгоритмов ГОСТ 2022 на обновлённом узле необходимо выполнить команды содержащиеся в README_GOST_2022_SIG_USAGE.txt в дистрибутиве для установки КриптоПро 4.0:

ckp_regedit -a SOFTWARE\CheckPoint\VPN1 USE_2022_GOST_ALGS 1
ckp_regedit -a SOFTWARE\CheckPoint\VPN1 GOST_USE_PSK 1

6. В том же ReadMe можно найти следующее:

Though site key was needed only for clusters in previous GOST versions now you should also use site key for non-clustered GWs

То есть в новой версии патча, установка SiteKey (и обновление их в дальнейшем) необходимо и для отдельно стоящих шлюзов.

Для генерации site key необходимо выполнить следующую команду:

/opt/cprocsp/bin/ia32/cp-genpsk.sh <Cluster_Name> Net 6 :SiteKey – это объединение Part 0 и Part 1:HM25MEKFK9HTLPU0V0THZPPEXBXZПосле установки в SmartView Tracker появится следующая запись:

7. После этого остается только выпустить сертификат ГОСТ 2022 (предварительно установив корневой сертификат УЦ по новому ГОСТу), процедура ничем не отличается, от того, как выпускается сертификат для предыдущего ГОСТа, поэтому тут не рассматривается.

На этом этапе обновление Standalone шлюза закончено.

Обновление SMS и кластера GW

Процедура обновления криптографии на SMS и узлах кластера ничем не отличается от показанного в пункте один, поэтому здесь будут приведены только результаты обновления.

Последовательность действий:

1. Удаление КриптоПро 3.9;
2. Удаление старых файлов установки, копирование на шлюзы GW1-2 и SMS файлов установки КриптоПро 4.0;
3. Установка КриптоПро 4.0;
4. Установка лицензий КриптоПро;
5. Включение алгоритмов 2022 ГОСТа;
6. Генерация и установка SiteKey;
7. Выпуск и установка сертификатов, выпущенных по новым алгоритмам.

На скриншоте можно увидеть, что на одном из шлюзов кластера установлены 2 сертификата:

После обновления, так как на шлюзах установлены сертификаты, выпущенные по ГОСТ Р 34.10/11-2001 и по ГОСТ Р 34.10/11-2022, то пока не будет установлен matching criteria для удалённого шлюза или не будет удалён сертификат, выпущенный по ГОСТ Р 34.10/11-2001 – туннель будет строиться на старых сертификатах. Поэтому, чтобы не удалять еще действующие старые сертификаты – мы выставим Matching Criteria:

После этого, в SmartView Tracker видим, что туннель строится при использовании новых сертификатов:

На этом обновление криптографии можно считать завершенным.

Предложенный нами метод позволяет оптимизировать процесс обновления криптографии на межсетевых экранах, осуществляя его без перерывов в связи.

Артем Чернышев,старший инженер «Газинформсервис»

Инструкция по установке криптопро 4.0

Запустите установочный файл CSPSetup_4.0.xxxx.exe

В первом появившемся окне нажмите кнопку «Запустить».

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

Нажимаем «Далее».

Принимаем условия лицензионного соглашения, нажимаем «Далее».

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

Выбираем обычную установку. Нажимаем «Далее».

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

Ждем пока программа установится.

Дальше остается нажать «Готово». КриптоПро установлено.

Как избавиться от ошибок

Вы все сделали правильно, установили корневой сертификат по инструкции, проверили свойства носителя, конвертировали файлы, но что-то пошло не так, и все еще не работает ЭЦП ГОСТ 2022. Возможно, не обновили КриптоПро — минимальная версия программы 4.0.

Но есть и другие нарушения программных продуктов, не позволяющие работать новому носителю. В таблице смотрите основные ошибки и варианты их решения.

Как конвертировать файлы

Вы установили новый ключ, но он почему-то не работает? Первое, что надлежит сделать, — узнать, соответствует ли ЭЦП обновленным стандартам. Вот как проверить ГОСТ ЭЦП:

1. Открыть установленный файл.
2. Отобразить его свойства.
3. Посмотреть ГОСТ сертификата.

Если в свойствах стоит верное значение (ГОСТ 2022), но не удается подписать документ в ГИИС «Электронный бюджет», возможно, проблема в названии организации. Если наименование заказчика превышает 127 символов, возникают ошибки с отображением при подписании файлов в ГИИС.

Поможет конвертация ЭЦП по ГОСТ 2022 — корректный контейнер для установки ключа на носителе имеет значение PCKS 15, тогда как ключи выпускаются со значением PCKS 12. Конвертация контейнеров КриптоПро (из 12 в 15) является решением такой проблемы.

Чтобы это сделать:

Как проверить сертификат

Если вы недавно меняли ЭЦП (в течение 2022 года), не торопитесь получать новую подпись. Для начала проверьте стандарт действующего ключа. Вот как узнать ГОСТ ЭЦП:

1. Найдите и войдите в файл сертификата на своем ПК.
2. В контекстном меню выберите блок «Свойства».
3. Проверьте алгоритм действующей подписи.

Если у вашей подписи актуальный госстандарт, спокойно работайте дальше. Менять сертификат нет необходимости.

Как создать новый носитель по госстандарту р 34.11-2022/34.10-2022

Вы скачали и установили программу Converter.exe? Отлично! Теперь приступайте к созданию носителя по обновленным стандартам. Вот как формировать файл через конвертер ЭЦП по ГОСТу 2022:

1. Запускаем программу.

2. Вставляем носитель с закрытым ключом. Обновляем список носителей.

3. Выбираем действие «Конвертировать». Вставляем новый чистый носитель (объем не имеет значения). Обновляем список.

4. Придумываем пароль и сохраняем.

5. Автоматически откроется окно для ввода пароля от сертификата ключа ЭЦП, сгенерированного в казначейском УЦ.

6. Конвертация завершена. Система уведомит вас об успешном окончании процедуры. На носителе установлены два файла.

7. Теперь переходим к генерации ключей. Входим в программу генерации и запускаем импорт.

8. Откроется окно для импорта. В верхнем поле выбираем сертификат, выданный УЦ, а в нижнем — конвертированный файл. Затем вставляем носитель и выбираем его значение.

9. Вводим пароль нового носителя и завершаем импорт. Сертификат готов к работе.

Как установить новый сертификат

Срок действия старых сертификатов заканчивается, и до начала нового года рекомендуется получить новый экземпляр. Отправьте запрос на получение сертификата по госстандарту Р 34.11-2022/34.10-2022.

Для формирования и отправки заявки используйте портал заявителя информационной системы «Удостоверяющий центр Федерального казначейства». Новые стандарты ЭЦП не влияют на алгоритм получения самого ключа.

Вот инструкция по скачиванию и установке сертификатов от удостоверяющего центра ФК РФ:

Шаг 1. Переходим на официальный сайт Федерального казначейства РФ.

Шаг 2. Выбираем раздел «Удостоверяющий центр», затем «Корневые сертификаты».

Шаг 3. Активировать ссылку на скачивание корневого сертификата УЦ — на сайте действует специальная настройка ЭЦП ГОСТ 2022.

Шаг 4. Сохранить файл в выбранную локальную директорию автоматизированного рабочего места (АРМ) пользователя.

Шаг 5. В контекстном меню сохраненного файла выбрать действие «Установить».

Шаг 6. Выбрать хранилище «Локальный компьютер» в Мастере импорта сертификатов.

Шаг 7. Вручную выбрать хранилище: нажать «Обзор», найти «Промежуточные центры сертификации».

Шаг 8. Проверить сведения в окне завершения. Нажать «Готово».

Шаг 9. Если все действия выполнены правильно, то появится сообщение об успешном импорте.

Классические пассивные usb-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Лицензия ключ криптопро 4

4040A-Q000K-9KAC2-9A6QR-6FCZN

4040Y-Q0000-02Q6T-NFYX9-24Z86

40400-00000-11111-101EB-G2EM0

40400-00000-11111-00NHL-372FM

40400-00000-UKAC8-00PRU-B8HE6

40400-00000-UKAC2-00QP8-MT29G

Лицензия ключ криптопро 5

50500-00120-0Z178-0055H-AMWN1

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем.

Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Поддерживаемые алгоритмы

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Поддерживаемые технологии хранения ключей

В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.