Портал документации Рутокен

Page tree

Versions Compared

Old Version 38

changes.mady.by.user Осьминина Анастасия

Saved on

compared with

New Version 39

changes.mady.by.user Осьминина Анастасия

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Возможные компоненты идентификатора пути:

КомпонентОписание
manufacturerID производителя токена
modelМодель токена
serialСерийный номер токена
tokenМетка токена(поле "label")
objectИмя объекта(CKA_LABEL)
id

Идентификатор объекта (CKA_ID)

Tip

Если ключевая пара была сгенерирована с помощью pkcs11-tool, чтобы использовать ID объекта в URI, нужно конвертировать его в ASCII. Сделать это можно с помощью онлайн-сервиса конвертации HEX в ASCII.
Например, для ключевой пары ГОСТ с "--id 3132" в PKCS #11 URI нужно указать "pkcs11:id=12". 

Пример идентификатора ключевой пары на токене:

...

openssl genpkey -algorithm alg -pkeyopt opt:value [-pkeyopt opt:value]... -out filename.pem

Описание параметров:

ПараметрОписание
-
algorithmАлгоритм шифрования
-
pkeyopt

Настройки алгоритма (размер ключа, тип эллиптической кривой, и т.д.). Задает для параметра алгоритма opt значение value.

Может быть использован несколько раз, если у алгоритма есть несколько изменяемых параметров. Например:

openssl genpkey -algorithm RSA -out key.pem -pkeyopt rsa_keygen_bits:2048 -pkeyopt rsa_keygen_pubexp:3
-
out

Название файла, в который будет записана ключевая пара. По умолчанию создается в том же каталоге, откуда была вызвана команда.

Чтобы сохранить файл в другой каталог, укажите в параметре -out  полный путь к этому каталогу, включая название файла:

-out /путь/к/файлу.pem

Генерация ключевой пары ГОСТ в файл

...

openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:A -out privatekey.pem 

Значения параметров:

ПараметрВозможные значения
-
algorithm
  • gost2001;
  • gost2012_256;
  • gost2012_512
-
pkeyopt

paramset:<value> 

Поддерживаемые значения value в зависимости от алгоритма:

  • gost2001A, B, C, XA, XB;
  • gost2012_256: A, B, C, id-GostR3410-2001-CryptoPro-A-ParamSet,id-GostR3410-2001-CryptoPro-B-ParamSet,
    id-GostR3410-2001-CryptoPro-C-ParamSet    ;
  • gost2012_512: A, B,C

Параметры кривых, соответствующие значениям, описаны в Приложении 1.

Генерация ключевой пары ECDSA в файл

...

openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:secp256r1 -out privatekey.pem 

Значения параметров:

ПараметрВозможные значения
-
algorithm 

EC

-
pkeyopt
  • ec_param_enc:<encoding>  — определение параметров кривой. Может принимать значение named_curve (используется существующая кривая) или explicit (параметры кривой задаются вручную; не рекомендуется с точки зрения безопасности и совместимости).
    Значение encoding по умолчанию: named_curve.
  • ec_param_curve:<curve> — название эллиптической кривой.
    Чтобы посмотреть список эллиптических кривых, поддерживаемых установленной версией OpenSSL, выполните команду:
    openssl ecparam -list_curves

Генерация ключевой пары RSA в файл

...

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out rsakey.pem

Значения параметров:

ПараметрВозможные значения
-
algorithm 

RSA

-
pkeyopt 
  • rsa_keygen_bits:<numbits> — длина ключа в битах.
    Значение numbits по умолчанию: 2048

  • rsa_keygen_primes:<numprimes> — количество простых чисел в генерируемом ключе.
    Значение numprimes по умолчанию: 2

  • rsa_keygen_pubexp:<value> — значение открытой экспоненты. Может быть представлено в десятичной или шестнадцатеричном системе (для этого перед значением нужно поставить 0x).
    Значение value по умолчанию: 65537

Генерация ключевой пары на Рутокене

...

Описание параметров:

ПараметрОписание
--moduleМодуль или библиотека PKCS #11, которая будет использована для генерации ключевой пары
--login, - lПараметр используется, чтобы потребовать аутентификацию на токене перед выполнением операции. Параметр --login не обязателен, если используется параметр --pin
--pin, - pPIN-код, который будет использован для подтверждения генерации ключевой пары. Использование параметра --pin автоматически включает параметр --login
--keypairgen, - kТип операции (генерация новой ключевой пары)
--key-type

Тип и параметры алгоритма шифрования (размер ключа, параметры эллиптической кривой, и т.д.).

--id, - d

Идентификатор объекта (CKA_ID) в виде двузначных номеров символов в hex из таблицы ASCII.

Tip

Чтобы использовать этот ID через OpenSSL, нужно использовать символы, соответствующие этим кодам. Например, для ключевой пары ГОСТ с ID "--id 3132" в PKCS #11 URI нужно указать "pkcs11:id=12". 
Конвертировать ID в формат, подходящий для работы с OpenSSL, можно с помощью онлайн-сервиса конвертации HEX в ASCII.

--usage-derive

Параметр указывает на то, что на сгенерированном ключе можно вырабатывать общий симметричный ключ, который может использоваться, например, для расшифрования CMS-сообщений.

Если шифрование сообщений на генерируемой ключевой паре не планируется, этот параметр можно не использовать. 

...

pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type GOSTR3410:A --id 3132 --usage-derive

Значения параметров:

ПараметрВозможные значения
--
module

Для Windows:

/путь/к/файлу/rtPKCS11ECP.dll

Для Linux:

/путь/к/файлу/librtpkcs11ecp.so

--
key
-
type
  • GOSTR3410-2001:A;
  • GOSTR3410-2001:B;
  • GOSTR3410-2001:C.

Более подробно значения описаны в Приложении 1.

ГОСТ-2012

Tip

Собирайте ветку pkcs11-tool с поддержкой ГОСТ-2012 или используйте релиз OpenSC 0.20.0 или новее.

...

pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type GOSTR3410-2012-256:B --id 3132 --usage-derive 

Значения параметров:

ПараметрВозможные значения
--
module

Для Windows:

/путь/к/файлу/rtPKCS11ECP.dll

Для Linux:

/путь/к/файлу/librtpkcs11ecp.so

--
key
-
type

Для алгоритма GOSTR3410-2012-256:

  • GOSTR3410-2012-256:B;
  • GOSTR3410-2012-256:C;
  • GOSTR3410-2012-256:D.

Для алгоритма GOSTR3410-2012-512:

  • GOSTR3410-2012-512:A;
  • GOSTR3410-2012-512:B;
  • GOSTR3410-2012-512:C.

Более подробно значения описаны в Приложении 1.

Генерация ключевой пары ECDSA

...

Code Block
pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type EC:secp256r1 --id 3132 --usage-derive

Значения параметров:

ПараметрВозможные значения
--
module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/файлу/librtpkcs11ecp.so
--
key-type

Для Рутокен ЭЦП 3.0 3110 и 3220:

  • EC:secp256r1;
  • EC:secp256k1.

Для Рутокен ЭЦП 3.0 3120:

  • EC:secp256r1;
  • EC:secp256k1;
  • EC:secp384r1;
  • EC:secp521r1.

Генерация ключевой пары RSA

...

Code Block
pkcs11-tool --module /путь/к/библиотеке/rtPKCS11ECP --login --pin 12345678 --keypairgen --key-type RSA:2048 --id 3132

Значения параметров:

ПараметрВозможные значения
--
module

Для Windows:

/путь/к/файлу/rtpkcs11ecp.dll

Для Linux:

/путь/к/librtpkcs11ecp.so

--
key
-
type
Warning

Использовать 1024-битные ключи RSA небезоспано.
Рекомендуем использовать как минимум 2048-битные ключи.

Для Рутокен ЭЦП 2.0:

  • RSA:1024;
  • RSA:2048.

Для Рутокен ЭЦП 3.0:

  • RSA:1024;
  • RSA:2048;
  • RSA:4096.

Просмотр объектов на токене

...

openssl cms -encrypt -binary -<cipher> -in data_to_encrypt -out encrypted_cms -outform DER|PEM|SMIME respondent.cer

Описание параметров:

ПараметрОписание
-
encryptТип операции (зашифрование)
-
binary

По умолчанию, входное сообщение конвертируется в канонический формат, который использует CR и LF в качестве знака перевода строки (в соответствии со по спецификацией S/MIME). Параметр -binary отключает эту конвертацию. 

-
<cipher>

Алгоритм шифрования. Возможные значения зависят от типа ключа.

Для ключей ГОСТ и rtengine версии 0.7:

  • gost28147-paramset_a-cfb — алгоритм, который работает в режиме гаммирования с обратной связью с набором параметров А.

Для ключей ГОСТ и rtengine версии 0.7 и выше:

  • gost28147-cfbалгоритм, который работает в режиме гаммирования с обратной связью с набором параметров Z.

Для RSA и ECDSA ключей:

  • aes128 — AES-128;
  • aes192 — AES-192;
  • aes256 — AES-256;
  • des — DES;
  • des3 — Triple DES (3DES)
-
inВходное сообщение, которое нужно зашифровать
-
outНазвание файла, в который будет сохранено зашифрованное сообщение
-
outform

Формат CMS-структуры.

Значение по умолчанию: SMIME

respondent.cerCертификат адресата, для которого шифруется сообщение

Расшифрование на стороне адресата

...

openssl s_server -key filename|uri [-keyform format] [-engine id] -cert infile -Verify int -CAfile file -accept val -WWW -purpose purpose -4 

Описание параметров:

ПараметрОписание
-
key

Название файла или URI закрытого ключа.

Если параметр не задан, будет использован файл сертификата

-
keyform

Формат файла закрытого ключа.

Значение по умолчанию: PEM

-
engine

Модуль для работы с криптографическими алгоритмами. 

Задается, если задан параметр -keyform engine

-
certПуть к сертификату
-
VerifyГлубина проверки цепочки сертификатов
-
CAfileПуть к доверенному сертификату
-
accept

TCP-порт, который будет прослушиваться в ожидании запросов.

Значение по умолчанию: 4433

-
WWWЭмуляция простого веб-сервера
-
purpose

Назначение сертификата.

Возможные значения:

  • slclient;
  • sslserver;
  • nssslserver;
  • mimesign;
  • mimeencrypt;
  • crlsign;
  • ocsphelper;
  • timestampsign;
  • codesign;
  • any.
-
4Использовать только IPv4

Примеры команд:

Code Block
languagepowershell
titleКлюч в файле
openssl s_server -key demoCA/private/cakey.pem -cert demoCA/cacert.pem -Verify 7 -CAfile demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

...

openssl s_client -key filename|uri [-keyform format] [-engine id] -cert filename-host hostname -port port

Описание параметров:

ПараметрОписание
-
key

Название файла или URI закрытого ключа.

Если параметр не задан, будет использован файл сертификата

-
keyform

Формат файла закрытого ключа.

Значение по умолчанию: PEM

-
engine

Модуль для работы с криптографическими алгоритмами. 

Задается, если задан параметр -keyform engine

-
certПуть к сертификату
-
hostАдрес сервера, с которым нужно установить соединение
-
portПорт сервера, с которым нужно установить соединение

Примеры команд:

Code Block
languagepowershell
titleКлиент, ключ в файле
openssl s_client -key privatekey.pem -cert cert.cer -host 127.0.0.1 -port 44330

...

Таблица значений -pkeyopt для OpenSSL

ГОСТ 34.10-2001

АлгоритмOID парамсетаДопустимое значение аргумента

gost2001

1.2.643.2.2.35.1
  • A;
  • id-GostR3410-2001-CryptoPro-A-ParamSet
1.2.643.2.2.35.2
  • B;
  • id-GostR3410-2001-CryptoPro-B-ParamSet
1.2.643.2.2.35.3
  • C;
  • id-GostR3410-2001-CryptoPro-C-ParamSet
1.2.643.2.2.36.0
  • XA;
  • id-GostR3410-2001-CryptoPro-XchA-ParamSet
1.2.643.2.2.36.1
  • XB;
  • id-GostR3410-2001-CryptoPro-XchB-ParamSet
ГОСТ 34.10-2012-256
АлгоритмOID парамсетаДопустимое значение аргумента

gost2012_256 

1.2.643.7.1.2.1.1.1

  • A;
  • id-tc26-gost-3410-2012-256-paramSetA

1.2.643.7.1.2.1.1.2

  • B;
  • id-tc26-gost-3410-2012-256-paramSetB

1.2.643.7.1.2.1.1.3

  • C;
  • id-tc26-gost-3410-2012-256-paramSetC

1.2.643.7.1.2.1.1.4

  • D;
  • id-tc26-gost-3410-2012-256-paramSetD
1.2.643.2.2.35.1id-GostR3410-2001-CryptoPro-A-ParamSet
1.2.643.2.2.35.2id-GostR3410-2001-CryptoPro-B-ParamSet
1.2.643.2.2.35.3id-GostR3410-2001-CryptoPro-C-ParamSet
1.2.643.2.2.36.0id-GostR3410-2001-CryptoPro-XchA-ParamSet
1.2.643.2.2.36.1id-GostR3410-2001-CryptoPro-XchB-ParamSet

ГОСТ 34.10-2012-512

АлгоритмOID парамсетаДопустимое значение аргумента

gost2012_512

1.2.643.7.1.2.1.2.1
  • A;
  • id-tc26-gost-3410-2012-512-paramSetA
1.2.643.7.1.2.1.2.2
  • B;
  • id-tc26-gost-3410-2012-512-paramSetB
1.2.643.7.1.2.1.2.3
  • C;
  • id-tc26-gost-3410-2012-512-paramSetC

Таблица значений --key-type для pkcs11-tool

...