Крипто про как работать с рутокеном
Перейти к содержимому

Крипто про как работать с рутокеном

  • автор:

Как установить сертификат Рутокен на компьютер

вопросы

Ключ электронной подписи (ЭП или ЭЦП) записывают на физический носитель — токен. Он взаимодействует с персональным компьютером при подписании цифровых документов. Активация носителя происходит через USB-разъём. Одним из популярных российских производителей физических носителей для электронной подписи является компания Рутокен. Ниже приведём подробную инструкцию о том, как установить ЭЦП с Рутокена на компьютер.

Где получить квалифицированную электронную подпись

Квалифицированная электронная подпись равнозначна рукописной и придаёт электронным документам юридическую значимость. С помощью неё сдают отчётность в государственные органы и ведут электронный документооборот с партнёрами и работниками. Получить квалифицированный сертификат электронной подписи можно только в специализированных удостоверяющих центрах. Для должностных лиц им является Казначейство РФ, участников финансового рынка — Центробанк, а руководителей юрлица и ИП — УЦ ФНС и её доверенные лица. Электронная подпись в этих ведомствах предоставляется бесплатно, а клиенты обслуживаются в порядке очереди.

Можно ли скопировать подпись от ФНС на компьютер

Электронную подпись, полученную в налоговой, скопировать с Рутокена или любого другого носителя нельзя. УЦ ФНС изготавливает сертификаты ЭП в контейнере с неэкспортируемыми закрытыми ключами.

При попытке копирования ключа пользователь получает ошибку или уведомление о том, что данный ключ неэкспортируемый:

Чтобы доверенное лицо или работник организации могли сдавать отчётность и подписывать документы от имени компании, потребуется личная ЭП и доверенность.

Как работать с ЭЦП без флешки

Чтобы работать с электронной подписью без носителя, требуется установить поочерёдно три компонента:

  1. КриптоПро;
  2. Драйвер Рутокен;
  3. Сертификат Рутокен.
Регистрация и установка программного решения КриптоПро

Перед работой с электронной подписью пользователю необходимо настроить рабочее место. Для этого на персональный компьютер устанавливают специальные программы:

  • средство криптографической защиты информации (СКЗИ) — для создания электронной подписи и шифрования информации;
  • соответствующий плагин — для работы ЭП в интернете.

Отечественный разработчик КриптоПро является одной из ведущих компаний по производству продуктов для работы с электронной подписью. Он выпускает такие программы как КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.

Пробную версию дистрибутивов КриптоПро скачивают на сайте разработчика. Перед этим проходят регистрацию. По истечении трёх месяцев понадобится купить лицензию.

Установить КриптоПро на компьютер легко. После скачивания требуется запустить дистрибутив и следовать подсказкам мастера установки.

С подробными инструкциями по настройке программ рекомендуем ознакомиться в наших статьях:

Установка драйвера Рутокен

Установить драйвер потребуется в несколько шагов.

  1. Закрыть все программы перед установкой. драйверы с официального портала компании Рутокен.
  2. Запустить файл rtDrivers и перезагрузить компьютер.

Следующим этапом необходимо настроить считыватель Рутокена в приложении КриптоПро от имени администратора.

  1. Вставить носитель в ПК.
  2. Открыть «Пуск» → «Программы» → «КриптоПро CSP».
  3. Нажать правой кнопкой мыши и запустить программу от имени Администратора.
  4. Перейти во вкладку «Оборудование».
  5. Нажать «Настроить считыватели».

Установка сертификата ЭЦП с Рутокен

Установить ЭЦП с Рутокен можно тремя способами: с помощью «Панели управления Рутокен», через кнопки «Просмотреть сертификаты в контейнере» или «Установить личный сертификат».

Панель управления Рутокен

Инструкция по установке сертификата через панель управления Рутокен.

  • Открыть «Панель управления Рутокен», затем вкладку «Сертификаты».
  • Установить отметку «Зарегистрирован» напротив необходимого сертификата. При снятии отметки сертификат удалится из хранилища «Личное» на данном ПК.

Кнопка «Просмотреть сертификаты в контейнере»

Для установки сертификата ЭЦП на компьютер из Рутокен через сертификаты потребуется:

  1. Выбрать «Пуск» → «Панель управления» → «КриптоПро CSP» → вкладка «Сервис» → «Просмотреть сертификаты в контейнере. ».
  2. В открывшемся окне нажать «Обзор», выбрать контейнер и нажать «ОК».

Настройка КриптоПро CSP (Рутокен)

В случае возникновения проблем при работе с устройствами Рутокен необходимо проверить наличие соответствующих считывателей и настройки типов носителей.

Установка считывателя

Данная процедура подходит для всех устройств Рутокен, кроме Рутокен Lite micro SD.

Для проверки наличия считывателей запустите КриптоПро CSP с правами Администратора системы и перейдите на вкладку Оборудование. Нажмите на кнопку [Настроить считыватели. ].

d665045c9b6f349db9f47333d993ac69.png c20de22ab7a0519010545ca1874cc506.png

0b2a25ba938ffdd62c4c8cbc63b5072b.png

Если кнопка недоступна, перезапустите КриптоПро CSP с правами Администратора системы.

b652176e2aa5365189bae02a35e799d5.png

В списке Доступные считыватели выберите пункт Все считыватели смарт-карт и нажмите на кнопку [Далее] .

f8297920c896f42e77b38da50f78e766.png 4795dec8c214329b3a6da92b97c9168c.png

Нажмите на кнопку [Готово].

e7beed09861f30c0b54d2e400bef0486.png

После закрытия окна Мастера установки считывателя в списке отобразится пункт Все считыватели смарт-карт.

e5240b3fde44dee1463915eebf4863d5.png

Далее необходимо проверить типы носителей. Для этого на вкладке Оборудование нажмите на кнопку [Настроить типы носителей. ].

77939dc66833a91aebde54556122a4f5.png

В открывшемся окне Управление ключевыми носителями будет отображен список носителей. Проверьте, имеется ли в списке тип носителя, с которым ведется работа. Если необходимый тип носителя отсутствует в системе, то его можно добавить. Для этого нажмите на кнопку [Добавить. ].

7c077e76dcf92bbc5e660fc9e764442f.png

Откроется окно Мастера установки нового считывателя. Нажмите на кнопку [Далее].

ff740d5bfff23044dc933fc05e6d3b80.png

В списке производителей выберите строку Все производители, в списке доступных ключевых носителей выберите необходимый тип носителя. Нажмите на кнопку [Далее].

aae83ee950fda2fbe78b89da98452bc4.png

Поле Имя ключевого носителя будет заполнено автоматически. Нажмите на кнопку [Далее].

09303040e05152cb40594482d4c461b7.png

В окне Конфигурация Rutoken установите параметры работы с устройством.

Параметр Максимальное количество контейнеров устанавливает максимальное количество контейнеров КриптоПро, которое может храниться в памяти электронного идентификатора.

Максимально допустимое количество контейнеров задается с учетом объема памяти устройства Рутокен.

База знаний Рутокен. FAQ. Часть 1 — Подключение

Для многих предпринимателей и частных лиц электронная подпись (ЭП) стала сегодня необходимым и важным инструментом для ускорения и упрощения работы с документами, общения с государственными структурами и партнерами, обеспечения безопасности данных и ресурсов. Так, для частного лица, наличие электронной подписи позволяет за пару минут и тройку кликов, без очередей и письменных заявлений, получить нужные справки на портале Госуслуг. Для предпринимателей и нотариусов электронная подпись дает возможность безопасно работать с документами, подписывать, контролировать доступ и отслеживать изменения, предоставлять отчетность в налоговую и многое другое. Очень подробно о различных кейсах использования ЭП мы рассказали в материале Какие задачи решают ключевые носители? Сферы их применения.

Постепенно, с распространением электронной подписи у рядовых (не специалистов по ИБ или айтишников) пользователей, возникает все больше вопросов по процедуре получения сертификатов электронной подписи, а также по эксплуатации и траблшутингу устройств, ее обеспечивающих. И это понятно. Поэтому эксперты Рутокен всегда готовы помочь с решением любого вопроса и рассказать, как пользоваться токенами и смарт-картами. А наиболее популярные вопросы и ответы на них они со временем собрали в Базу знаний Рутокен. Сохраняйте себе в закладки, чтобы при необходимости быстро найти полезную информацию!

Начало работы с устройствами Рутокен

Для начала разберемся в базовых понятиях:

· Панель управления Рутокен — это программное средство, предназначенное для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. Панель управления Рутокен устанавливается в системе при установке комплекта «Драйверы Рутокен для Windows».

Обратите внимание на несколько видов пользователей в Панели управления Рутокен:

· PIN-код Пользователя

PIN-код Пользователя является паролем, который используется для доступа к основным функциям устройства Рутокен.

PIN-код Пользователя по умолчанию — 12345678.

· PIN-код Администратора

PIN-код Администратора является паролем, который используется для доступа к административным функциям устройства Рутокен.

PIN-код Администратора по умолчанию — 87654321.

Внимание! В целях безопасности всегда меняйте предустановленные пароли на устройствах. Более подробно о безопасности и PIN-кодах мы рассказали в материале Что такое компрометация ключа ЭП и почему она происходит

Подключение токена Рутокен

Если токен подключен корректно, то на нем начнет светиться индикатор.

Подключение смарт-карты Рутокен

Для подключения смарт-карты к компьютеру используется считыватель смарт-карт. К USB-порту компьютера можно подключить как пустой считыватель, так и считыватель со вставленной смарт-картой.

Для подключения смарт-карты Рутокен к компьютеру:

1. Вставьте смарт-карту в считыватель;

2. Подключите считыватель к USB-порту компьютера. Если смарт-карта подключена корректно, то на считывателе начнет светиться индикатор.

Если смарт-карта вставлена в считыватель некорректно, то индикатор на считывателе может мигать.

Подключение Рутокена с разъемом Type-C к компьютеру

Рутокен с разъемом Type-C подключается к компьютеру, у которого есть специальный порт USB Type-C. На некоторых компьютерах этот порт обозначен как Thunderbolt 3 (USB-C).

Если токен подключен корректно, то на нем начнет светиться индикатор.

Запуск Панели управления Рутокен

Существует несколько способов запуска Панели управления Рутокен:

Способ 1. Запуск с рабочего стола компьютера (используется, если на Рабочем столе есть значок Панель управления Рутокен)

Два раза щелкните левой кнопкой мыши по значку Панель управления, расположенному на рабочем столе компьютера.

Способ 2. Запуск из меню Пуск (используется, если на рабочем столе нет значка Панель управления Рутокен)

Для Windows 10:

1. Нажмите Поиск в Windows.

2. В поле поиска введите строку «Рутокен». Если используется английская версия операционной системы, то введите в строке «Rutoken».

Как я настраивал новые утилиты по работе с электронной подписью в Linux

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто. А в Linux доступен только консольный интерфейс. Надеюсь, что компания «КриптоПро» в курсе этой ситуации, и в будущем нас ждут новые красивые и удобные интерфейсы, как для Windows, так и для Linux.

Для настройки нам понадобится:

  • Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
  • Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
  • Рутокен ЭЦП 2.0.

Настройка «КриптоПро» CSP

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Скачиваем «КриптоПро CSP» для Linux с официального сайта КриптоПро — www.cryptopro.ru/downloads

Распаковываем «КриптоПро CSP» для Linux:

Далее у нас есть 2 варианта – автоматическая установка и установка вручную. Автоматическая установка запускается командой:

Здесь надо отдать должное разработчикам «КриптоПро» – автоматическая установка для большинства дистрибутивов отрабатывает успешно. Хотя бывают и нюансы. Например, если у вас не хватает некоторых пакетов, то установка будет успешно завершена, хотя некоторый функционал работать не будет.

Если что-то пошло не так, или вы по тем или иным причинам хотите использовать установку в ручном режиме, то вам необходимо выполнить:

Для установки пакетов в ROSA используйте urpmi, вместо dpkg -i.

Устанавливаем лицензию для «КриптоПро CSP» для Linux и проверяем, что все работает нормально:

Мы должны получить что-то вроде:

Настройка работы с Рутокен ЭЦП 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало. Я буду использовать Рутокен ЭЦП 2.0, который имеет сертификат ФСБ и поддерживает работу как с новыми, так и со старыми ГОСТами.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Воспользуемся тестовым УЦ компании «КриптоПро» по адресу — https://www.cryptopro.ru/certsrv/
Создаем запрос на сертификат с параметрами по умолчанию.

Проверим, что сертификат получен успешно.

Чтобы убедиться, что «КриптоПро CSP» успешно увидел токен, выполним:

Мы должны получить что-то вроде:

Теперь проверяем, что сертификат на токене видится успешно:

Записываем в хранилище сертификатов КриптоПро информацию об этом сертификате:

Проверим, что сертификат успешно сохранился в хранилище:

На этом основная настройка завершена, и мы можем начинать подписывать или шифровать файлы с использованием различных средств. Переходим к тому, зачем задумывалась эта статья.

Подпись средствами «КриптоПро CSP»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

  • Отсутствие хорошей документации;
  • Отсутствие графического интерфейса.

Здесь,
my — параметр, в котором надо указать часть Common Name сертификата для подписи;
detached — позволяет создать открепленную подпись;
alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Rosa Crypto Tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2016 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2. Сейчас утилита поддерживает работу только с «КриптоПро CSP» для Linux, однако в ближайшее время будет добавлена поддержка других криптопровайдеров.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

+ На порядок проще использовать;
— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:
abf.io/uxteam/rosa-crypto-tool-devel
Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted eSign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

Найти продукт на сайтах компании “Цифровые технологии” непросто. Небольшое описание есть в магазине http://www.cryptoarm.ru/shop/trusted_esign, продукт также можно скачать в разделе «Центр загрузки» на сайте trusted.ru — https://trusted.ru/support/downloads/?product=133

К сожалению, продукт пока доступен только в виде deb пакета для 64-битных систем. С чем связано такое ограничение, непонятно. Будем надеяться, что в ближайшее время компания выпустит и rpm пакет, а также версии для 32-битных дистрибутивов Linux.

Скачиваем с официального сайта deb-пакет и устанавливаем командой:

Запускаем Trusted eSign.

Сразу видно, что разработка не обошлась без дизайнера. Никакого сарказма. Все действия делаются просто и логично, а внешний вид радует глаз. К сожалению, большинство средств и программ в области ИБ от российских разработчиков разработаны без привлечения UX-специалистов и дизайнеров и заставляют своих пользователей страдать и плакать кровавыми слезами. Создается впечатление, что другими средства информационной безопасности просто не могут быть. “Цифровые технологии” опровергают это. Плата за красоту и удобство – необходимость платить за лицензию.

Но вернемся к подписи.

Выбираем раздел “Электронная подпись”:

Выбираем «Сертификат для подписи»:

Выбираем файлы для подписи и жмем «Подписать»:

Что под капотом? Процитирую с сайта: “Приложение создано на современном движке Electron, для вызова криптографических операций применяется библиотека OpenSSL. Совместимо с СКЗИ “КриптоПро CSP 4.0” и поддерживает все криптографические алгоритмы, реализованные в нем.” Для тех, кто ещё не в курсе Electron — это фреймворк для создания десктопных приложений на платформе node.js.

Сравним Trusted eSign с Rosa crypto tool:

+ Более удобный и красивый интерфейс
— Платная лицензия

Резюме

Подведем итог. В конце 2016 – начале 2017 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux. Хорошие и удобные продукты российских разработчиков помогут государственным организациям и структурам нормально работать и выполнять требования по импортозамещению.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *