...
Перед началом работы, установите следующие пакеты:
# для ubuntu |
Загрузите модуль librtpkcs11ecp.so и установите:
...
|
Параметр id задает идентификатор ключевой пары.
Проверим сгенерированный ключ:
|
...
Для создания CMS подписи необходимо иметь сертификат. В тестовых целях в папке можно воспользоваться нашим SDK.
В папке sdk\openssl\samples\tool\ предоставлены настройки удостоверяющего центра OpenSSL, который позволяет выпускать сертификаты.
Скопируйте папку sdk\openssl\samples\tool\demoCA и конфигурационный файл openssl.cnf в в папку с OpenSSL и (она может находится по пути /usr/lib/ssl/)
И выполните:
|
...
|
Шифрование в формате CMS
| Info | ||
|---|---|---|
| ||
При расшифровании сообщения вырабатывается общий симметричный ключ, который непосредственно и используется при расшифровке. Рутокен позволяет генерировать такой общий ключ только на не извлекаемых закрытых ключах с опцией 'derive' в поле key usage. Для того чтобы указать эту опцию, при генерации ключа используйте флаг --usage-derive. Например:
|
openssl cms -encrypt -binary -<gost28147-xxx-alg> -in test_data -out encrypted_cms -outform PEM respondent.cer
respondent.cer: сертификат адресата, для которого шифруется сообщение.
Где gost28147-xxx-alg:
gost28147-paramset_a-cfb (для rtengine 0.7): алгоритм, работает в режиме гаммирования с обратной связью с набором параметров А.
gost28147-cfb (для rtengine новее 0.7): алгоритм, работает в режиме гаммирования с обратной связью с набором параметров Z.
Расшифрование на стороне адресата:
Используя ключ в файле:
openssl cms -decrypt -binary -in encrypted_cms -inform PEM -recip respondent.cer -inkey seckey.pem -out decrypted_cms_data
Используя ключ на Рутокене:
openssl cms -decrypt -binary -in encrypted_cms -inform PEM -recip respondent.cer -keyform engine -inkey "pkcs11:your_pkcs11_uri" -engine rtengine -out decrypted_cms_data