====== КриптоПро CSP ======

{{:crypto_pro_csp:cryptopro_logo.png|}}

Криптопровайдер КриптоПро CSP предназначен для:

  * авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / [[#ГОСТ Р 34.10-2012]] (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
  * обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  * обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  * контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  * управления ключевыми элементами системы в соответствии с регламентом средств защиты.



[[https://www.cryptopro.ru/products/csp%2Cproducts/csp6|КриптоПро CSP]]
======Сертифицированные версии ======

4.0 R3
  * [[https://www.cryptopro.ru/system/files/private/csp/40/9944/linux-amd64_deb.tgz|R3-4.0.9944 Debian amd64]]
  * [[https://www.cryptopro.ru/sites/default/files/private/csp/40/9944/CSPSetup.exe|R3-4.0.9944 MS Windows]]

4.0 R4 
  * [[https://www.cryptopro.ru/system/files/private/csp/40/9963/linux-amd64_deb.tgz|R4-4.0.9963 Debian amd64]]
  * [[https://www.cryptopro.ru/sites/default/files/private/csp/40/9963/CSPSetup.exe|R4-4.0.9963 MS Windows]]

====== Установка ======

<code bash cryptoprocsp-install.sh>
#!/bin/bash
tar -zxf linux-amd64_deb.tgz
cd /linux-amd64_deb
./install_gui.sh
</code>


Выбираем:
<code>
[*] KC1 Cryptographic Service Provider
[ ] KC2 Cryptographic Service Provider
[*] GUI for smart card and token support modules
[*] Smart Card and Token support modules
[*] OpenSSL library
[*] stunnel, SSL/TLS tunnel with GOST support
[*] PKCS #11 library
</code>

====== Лицензия ======
Файл:''/etc/opt/cprocsp/license.ini''

Посмотреть информацию о лицензии:
<code bash>
/opt/cprocsp/sbin/amd64/cpconfig -license -view
</code>


Ввод лицензии:
<code bash>
/opt/cprocsp/sbin/amd64/cpconfig -license -set НОМЕР
</code>

----

[[http://www.cryptopro.ru/faq/kak-vvesti-seriinyi-nomer-litsenzii-kak-posmotret-informatsiyu-o-litsenzii|Как ввести серийный номер лицензии? Как посмотреть информацию о лицензии?]]

====== Считыватели ======
  * FAT12 считыватели дискет
  * FLASH считыватели флешек
  * Registry (реестр в MS Windows)
  * Cчитыватели смарт-карт
  * [[#HDimage]] — структура дискеты на жестком диске


===== Список подключённых считывателей =====
<code bash>
/opt/cprocsp/bin/amd64/list_pcsc
</code>

  * Вывод: <code>Aktiv Co. Rutoken S 00 00</code>
  * При отсутствии: <code>ERROR: SCardListReaders(NULL)</code>

----

[[https://www.cryptopro.ru/faq/chto-takoe-schityvateli-i-nositeli-chem-oni-otlichayutsya|КриптоПро | Что такое считыватели и носители? Чем они отличаются?]]

===== HDimage =====
FIXME

Структура дискеты на жестком диске

Смотри [[#Ключи пользователей]]

====== Хранилища пользователей ======
FIXME

Папка: ''/var/opt/cprocsp/users''

По умолчанию для каждого пользователя создаётся папка (имя пользователя)

<code>
/var/opt/cprocsp/users/user
stores
local.ini
</code>

<code>
/var/opt/cprocsp/users/user/stores 
cache.sto
my.sto
request.sto
</code>

====== Ключи пользователей ======
FIXME

Папка: ''/var/opt/cprocsp/keys''

По умолчанию для каждого пользователя создаётся папка (имя пользователя), внутри которой располагаются папки—контейнеры

Пример:

''/var/opt/cprocsp/keys/user/key0.000''
  - ''header.key''
  - ''masks.key''
  - ''masks2.key''
  - ''name.key''
  - ''primary.key''
  - ''primary2.key''

Права:
|Владелец|''user''|
|Маска для папок|''0700/drwx''|
|Маска для файлов|''0600/drwx''|



====== Работа с ключами и сертификатами ======

[[https://www.cryptopro.ru/taxonomy/term/116/0|КриптоПро | Работа с ключами и сертификатами]]



===== Список всех ключевых носителей и контейнеров =====
Вывести список всех ключевых носителей и контейнеров
<code bash>
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn
</code>
вывод:
<code>
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 37226051
\\.\Aktiv Co. Rutoken S 00 00\95e7adc7-83aa-4508-be35-5e875cf36121
OK.
Total: SYS: 0,000 sec USR: 0,130 sec UTC: 1,030 sec
[ErrorCode: 0x00000000]
</code>

===== Копирование ключевого носителя из ключа в файлы =====

Копирование ключевого носителя из ключа в файлы, в данном случае в''/var/opt/cprocsp/keys/user/key0.000''
<code bash>
/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\Aktiv Co. Rutoken S 00 00\95e7adc7-83aa-4508-be35-5e875cf36121' -contdest '\\.\HDIMAGE\key0' -typesrc 75 -typedest 75 -pinsrc 12345678 -pindest 12345678
</code>

===== Загрузка личного сертификата в хранилище =====

Загрузка личного сертификата в хранилище в данном случае из локального считывателя
<code bash>
/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern 'HDIMAGE'
</code>



===== Проверка работоспособности контейнера =====
<code bash>
/opt/cprocsp/bin/amd64/csptest -keyset -check -cont '\\.\HDIMAGE\key0'
</code>

----

[[https://www.cryptopro.ru/faq/kak-proverit-rabotosposoben-li-konteiner-s-zakrytymi-klyuchami|КриптоПро | Как проверить, работоспособен ли контейнер с закрытыми ключами?]]



===== Просмотр установленных сертификатов =====

<code bash>
/opt/cprocsp/bin/amd64/certmgr -list
</code>
====== КриптоПро ЭЦП Browser plug-in ======

[[https://www.cryptopro.ru/products/cades/plugin/|КриптоПро ЭЦП Browser plug-in]] предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах с использованием СКЗИ "КриптоПро CSP".

[[https://www.cryptopro.ru/products/cades/plugin/get_2_0|версия 2.0 для пользователей]] (автоматическая загрузка версии плагина, соответствующей Вашей ОС)

  * Актуальная, развивающаяся версия, находится в процессе сертификации.
  * Поддерживает работу с алгоритмами ГОСТ Р 34.10/11-2012 (при использовании с КриптоПро CSP 4.0 и выше).
  * Для Microsoft Windows совместима с КриптоПро CSP версии 3.6 R4 и выше, для других ОС – с КриптоПро CSP версии 4.0 и выше.
  * Компоненты КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0, входящие в данную версию, не принимают лицензию от версий 1.x.
  * Минимальная поддерживаемая версия Microsoft Windows — **Windows XP**.
  * Для работы в [[firefox:firefox|Firefox]] версии 52 и выше требуется дополнительно установить [[https://www.cryptopro.ru/sites/default/files/products/cades/extensions/firefox_cryptopro_extension_latest.xpi|расширение для браузера]].

Порядок установки:
1. Установить пакет alien, необходимый для конвертации rpm-пакетов в deb-формат <code bash>apt install alien </code>

2. Загрузить архив cades_linux_amd64.tar.gz https://www.cryptopro.ru/products/cades/plugin/get_2_0

3. Распаковать архив <code bash>tar -zxf cades_linux_amd64.tar.gz</code>

4. Перейти в папку с распакованными файлами и выполнить преобразование пакетов:<code bash>alien *.rpm</code>

5. Установить deb-пакеты:<code bash>dpkg -i lsb-cprocsp-devel_*.deb cprocsp-pki-*.deb</code>

6. Установить расширение:
  * Для [[firefox:firefox|FireFox]] [[https://www.cryptopro.ru/sites/default/files/products/cades/extensions/firefox_cryptopro_extension_latest.xpi]] 
  * Для [[chromium:chromium|Chromium]] [[https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog|CryptoPro Extension for CAdES Browser Plug-in]]

7. Создать символические ссылки на библиотеки:
<code bash>
ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/mozilla/plugins/lib/libnpcades.so
ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so
</code>


<WRAP center round tip>
Для проверки работы ПО и списка сертификатов удобно использовать:
\\ [[https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html|Проверка работы КриптоПро ЭЦП Browser plug-in]]
</WRAP>

====== PKCS11 ======
Для корректной работы pkcs11, настройку слотов следует сделать явной, для этого в файл /''etc/opt/cprocsp/config64.ini'' в разделе PKCS11 после
<code>
# [PKCS11\slot0]
# ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP"
# ProvRSA = "Microsoft Strong Cryptographic Provider"
# reader = hdimage
</code>
<code ini>
нужно добавить:
[PKCS11\slot17]
ProvGOST = "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"
Firefox = 1
Reader = ""

</code>



====== Linux ======
FIXME


Перечисление контейнеров
  * Пользователя <code bash>/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn</code>
  * Компьютера <code bash>/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys</code>

[[https://www.cryptopro.ru/faq/kak-posmotret-spisok-zakrytykh-klyuchei|Как посмотреть список закрытых ключей?]]

====== Установка ЭЦП в MS Windows ======

<hidden Установка клиентского сертификата >
Создание рабочей копии

1. Вставьте ОРИГИНАЛ дискеты с ЭЦП Директора в дисковод.

2. Зайдите «Пуск» - «Панель управления» - «КриптоПро CSP», вкладка «Сервис» (см.рис.)

{{:crypto_pro_csp:settings_01.jpg|}}

3. Нажмите кнопку <key>Скопировать контейнер</key>. Откроется окно «Копирование контейнера секретного ключа» (см.рис.).

{{:crypto_pro_csp:settings_02.jpg|}}

4. Нажмите кнопку <key>Обзор</key> и выберите ключевой контейнер с дискеты.

5. Нажмите кнопку <key>Далее</key>.

6. Извлеките ОРИГИНАЛ дискеты из дисковода и вставьте ЧИСТУЮ дискету.

7. В поле «Имя ключевого контейнера» (см.рис.) введите ТОЛЬКО фамилию директора.

{{:crypto_pro_csp:settings_03.jpg|}}

8. Нажмите кнопку <key>Готово</key>. Откроется окно «КриптоПро CSP» с просьбой установить пароль на создаваемый контейнер (см.рис.), ничего не вводите и нажмите «ОК»

{{:crypto_pro_csp:settings_04.jpg|}}

9. Скопируйте личный сертификат с ОРИГИНАЛА дискеты («зеленый» файл с расширением .cer) на КОПИЮ (Посредством копирования на «Рабочий стол»).

10. Если у Вас есть ЭЦП на Главного бухгалтера, то повторите пункты с 1 по 9 для ЭЦП Главного бухгалтера (в п. 6.  Извлеките ОРИГИНАЛ дискеты из дисковода и вставьте КОПИЮ дискеты с подписью Директора.).
</hidden>

<hidden Установка личных сертификатов>
1. Вставьте КОПИЮ дискеты с ЭЦП Директора в дисковод.

2. Зайдите «Пуск» - «Панель управления» - «КриптоПро CSP», вкладка «Сервис».

3. Нажмите кнопку <key>Установить личный сертификат</key>. Откроется мастер установки личного сертификата.

{{:crypto_pro_csp:settings_05.jpg|}}

4. Нажмите кнопку <key>Далее</key>, на следующей вкладке (см.рис.) нажмите кнопку <key>Обзор</key> и выберите личный сертификат с дискеты («зеленый» файл с расширением .cer).

{{:crypto_pro_csp:settings_06.jpg|}}

5. Нажмите два раза кнопку <key>Далее</key>, затем кнопку <key>Обзор</key> (см.рис.) и выберите ключевой контейнер с дискеты.

{{:crypto_pro_csp:settings_07.jpg|}}

6. Нажмите кнопку «Далее», затем кнопку <key>Обзор</key> и выберите хранилище «Личные» (см.рис.).

{{:crypto_pro_csp:settings_08.jpg|}}

7. Нажмите кнопку <key>Далее</key>, <key>Готово</key>.

8. Если у Вас есть ЭЦП на Главного бухгалтера, то повторите пункты с 1 по 7 для ЭЦП Главного бухгалтера.

9. После установки сертификата закройте КриптоПро CSP, нажав на кнопку <key>ОК</key>.
</hidden>

====== ГОСТ Р 34.10-2012 ======

В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 с 1 января 2019 года приведет к ошибке/предупреждению (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001.

[[https://www.kontur-extern.ru/support/faq/50/648|ГОСТ 2012. Сообщение КриптоПро о переходе на новый ГОСТ — Контур.Экстерн]]

[[https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/265/0/perekhod-na-gost-r-3410-2012|О работе с ГОСТ Р 34.10-2001 в КриптоПро CSP 3.9,4.0 и КриптоПро JCP 2.0 в 2019 году]]

[[https://www.cryptopro.ru/news/2018/11/soglasovano-ispolzovanie-gost-r-3410-2001-v-2019-godu-dlya-ryada-sushchestvuyushchikh-p|КриптоПро | Согласовано использование ГОСТ Р 34.10-2001 в 2019 году для ряда существующих продуктов КриптоПро]]

[[https://support.cryptopro.ru/index.php?/News/NewsItem/View/4/kriptopro-csp-v-2019-godu|КриптоПро CSP в 2019 году (инструмент для MS Windows, позволяющий за один вызов снять технические запреты)]]

===== Отключение окон о необходимости перехода на ГОСТ Р 34.10-2012 =====
Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл ''/etc/opt/cprocsp/config64.ini'' в существующую секцию ''Parameters'': 
<code ini>
[Parameters]
#Параметрыпровайдера
warning_time_gen_2001=ll:9223372036854775807
warning_time_sign_2001=ll:9223372036854775807
</code>

----

[[https://wiki.astralinux.ru/pages/viewpage.action?pageId=32833902#id-РаботасКриптоПроCSP-ОтключениеокононеобходимостипереходанаГОСТР34.10-2012|Отключение окон о необходимости перехода на ГОСТ Р 34.10-2012]]

====== Ссылки ======
[[https://www.cryptopro.ru/sites/default/files/theme321_logo.png|Логотип]]

[[http://www.cryptopro.ru/category/faq/linuxunix-0|FAQ - Использование КриптоПро CSP под управлением ОС семейства Unix/Linux.]]

[[http://pushorigin.ru/cryptopro/cryptcp|Работа с КриптоПро на linux сервере]]

[[http://estp.ru/test_eds/cert_install_linux/|Установка сертификатов используя КриптоПРО в Linux]]

[[https://www.altlinux.org/КриптоПро|КриптоПро — ALT Linux Wiki]]

[[http://wiki.rosalab.ru/ru/index.php/Инструкция_по_установке_КриптоПро|Инструкция по установке КриптоПро]]

[[https://forum.porteus.org/viewtopic.php?p=64020|Установка и настройка КриптоПро CSP в Porteus Linux - Porteus]]

**[[https://wiki.astralinux.ru/pages/viewpage.action?pageId=32833902|Работа с КриптоПро CSP - Справочный центр - Справочный центр Astra Linux]]**

<del>[[https://armrus.org/extranet/forum-egrn-kluba/index.php/forum41/6377-ustanovka-i-nastroyka-kriptopro-na-linux|Установка и настройка КриптоПРО на Linux]]</del>


{{tag>Debian Linux MS_Windows Encryption}}