Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Panel
borderColor#c0c0c0
bgColortransparent

КриптоПро CSP

Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.

На устройстве объемом 64 Кб можно хранить до 15 ключевых контейнеров.

Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.

Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).

Совместимость подтверждается сертификатами совместимости.

Tip

В КриптоПро CSP 5.0 и новее появился режим, в котором Рутокен выступает как средство формирования электронной подписи –  «активный – «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.

Tip

Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.

Info
bgColortransparent
titleПолезные знания и руководства:

Режимы работы с Рутокенами, доступные в КриптоПро 5.0 R2 

Работа

с внутренним криптоядром Рутокена через библиотеку PKCS#11

Panel
bgColortransparent

1. Работа

Panel
borderColor#c0c0c0

КриптоПро CSP версии 5.0 R2

В этой версии доступны следующие режимы работы с Рутокенами:

Panel
borderColor#c0c0c0
bgColortransparent
Этот режим может быть не всегда активен, возможно, потребуется дополнительная настройка:

  • Если на компьютере с ОС Windows установлены Драйверы Рутокен, и производится первичная установка КриптоПро CSP 5.0 R2, то необходимая настройка системы будет выполнена автоматически.
  • При обновлении программы с предыдущих версий
, потребуется произвести дополнительную настройку внутри интерфейса
  • КриптоПро CSP, нужно:

1) Установить актуальную версию «Драйверов Рутокен» (или библиотеку rtpkcs11ecp для Linux и macOS)

2) Запустить «КриптоПро CSP» с правами Администратора

3) Выбрать «Оборудование» -

«Настройить

«Настроить считыватели» - «Считыватель смарт-карт PKCS#11»

На компьютерах под управлением Linux или macOS перед установкой КриптоПро CSP нужно

Установка на Linux

Перед инсталляцией КриптоПро необходимо установить библиотеку rtpkcs11ecp.

Работа теперь возможна через библиотеку rtpkcs11ecp. В этом режиме ключи создаются сразу в защищенной памяти устройства.

Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

Ключи и сертификаты, созданные в этом режиме полностью совместимы с ключами, созданными, например, через Рутокен Плагин.

Если на компьютере установлены Драйверы Рутокен в ОС Windows или библиотека rtpkcs11ecp в ОС Linux и macOS, то настройка будет выполнена автоматически при установке КриптоПро CSP. 

При создании ключей необходимо выбирать считывать PKCS#11.

Image Removed

so. Доступна по ссылке https://www.rutoken.ru/support/download/pkcs/

  • Если установка КриптоПро происходит скриптом install_gui.sh, то необходимо отметить пункт "Поддержка токенов и смарт-карт".
  • Если установка КриптоПро происходит скриптом install.sh, то после установки основных пакетов необходимо установить пакеты cprocsp-rdr-cryptoki и cprocsp-rdr-rutoken.
transparent
Info

Установка на Windows

Note
Panel
bgColor
Expand
titleПоддерживаемые модели Рутокен
  • Рутокен ЭЦП 2.0 2100
  • Рутокен ЭЦП 2.0 (micro)
  • Рутокен ЭЦП 2.0 3000 (Type-C/micro)
  • Рутокен ЭЦП 2.0 Flash/Touch
  • Рутокен ЭЦП Bluetooth
  • Рутокен ЭЦП PKI
  • Смарт-карты Рутокен ЭЦП 2.0 2100
  • Смарт-карты Рутокен ЭЦП SC
  • Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению
Info

Работа теперь возможна через библиотеку rtpkcs11ecp. В этом режиме ключи создаются сразу в защищенной памяти устройства.

Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

Ключи и сертификаты, созданные в этом режиме полностью совместимы с ключами, созданными, например, через Рутокен Плагин.

При создании ключей необходимо выбирать считыватель PKCS#11.

Image Added


Tip

Для работы со смарт-картой Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать режим "Работа с внутренним криптоядром Рутокена с обеспечением защиты канала".

Генерация контейнера ФКН на смарт-карте Рутокен ЭЦП 3

.

0 NFC с помощью КриптоПро CSP 5.0 R2

Panel
borderColor#c0c0c0
bgColortransparent

2. Работа с внутренним криптоядром Рутокена с обеспечением защиты канала 

В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который

так же

поддерживается в сертифицированной модели Рутокен ЭЦП 2.0 3000

 и смарт-карте

и Рутокен ЭЦП 3.0

NFC

.

Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.
Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: "ФКН с защитой канала (rutoken_fkc_xxxxxxxx)"

.
Info
bgColortransparent
titleПолезные знания и руководства:
  • Как проверить, что ключи на смарт-карте Рутокен ЭЦП 3.0 NFC сгенерированы в формате ФКН?
  • Tip
    Для работы со смарт-картой Рутокен с Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать данный режим.

    Image Modified

    Image Modified

    #c0c0c0
    Panel
    borderColor
    bgColortransparent

    3. Хранение в защищенной файловой системе Рутокен

    Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.

    Panel
    bgColortransparent
    Expand
    titleПоддерживаемые модели Рутокен
    • Рутокен ЭЦП 2.0 2100 (Type-C/micro)
    • Рутокен S (micro)
    • Рутокен Lite (micro)
    • Рутокен ЭЦП Flash
    • Рутокен ЭЦП 2.0 (micro)
    • Рутокен ЭЦП 2.0 Touch
    • Рутокен ЭЦП 2.0 3000 (Type-C/micro)
    • Рутокен ЭЦП PKI
    • Рутокен ЭЦП Bluetooth
    • Смарт-карта Рутокен ЭЦП SC
    • Смарт-карта Рутокен ЭЦП 2.0
    • Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению

    Для генерации такого типа ключей надо выбирать режим работы: "CSP (rutoken_xxxx_xxxxxxxx)".

    Image Modified

    panel
    В операционной системе Windows
    1. Запустить панель управления КриптоПро (Пуск->КриптоПро CSP).
      Image Modified
    2. Нажать «Запустить с правами администратора».
    3. Перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей…».
    4. В списке выбрать «Рутокен ECP» и нажать кнопку «Свойства».
      Image Modified
    5. Перейти на вкладку «Настройки» и установить галочку «Включить режим совместимости со старыми ключами».
      Image Modified
    borderColor
    В операционной системе Linux

    Запустить терминал и выполнить следующую команду:

    sudo /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\Parameters" -add long EnableNativeTokenCryptMode 1

    panel

    В операционной системе macOS

    Запустить терминал и выполнить следующую команду:

    sudo /opt/cprocsp/sbin/cpconfig -ini '\config\Parameters' -add long EnableNativeTokenCryptMode 1

    В режиме «ФКН без защиты канала» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства. 

    Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.

    Ключи, созданные в этом режиме, частично совместимы с режимом считывателя PKCS#11.

    Expand
    title4.
    borderColor#c0c0c0
    bgColortransparent
    Прежний режим работы с внутренним криптоядром Рутокена

    Данный режим по умолчанию отключен в этой версии криптопровайдера и оставлен для совместимости.

    Tip

    Этот режим не совместим с Рутокен ЭЦП 2.0 3000 и смарт-картой Рутокен ЭЦП 3.0 NFC.

    Для включения этого режима необходимо выполнить следующие действия:

    panel

    borderColor#c0c0c0
    bgColortransparent
    Panel
    #c0c0c0
    bgColortransparent
    borderColor#c0c0c0
    bgColortransparent
    transparent

    Tip

    С ключами и сертификатами в контейнерах, созданными в режиме "ФКН без защиты канала", возможна работа практически во всех продуктах КриптоПро.

    Panel
    bgColor
    Expand
    titleПоддерживаемые модели Рутокен
    • Рутокен ЭЦП 2.0 2100
    • Рутокен ЭЦП 2.0 (micro)
    • Рутокен ЭЦП 2.0 Flash/Touch
    • Рутокен ЭЦП Bluetooth
    • Рутокен ЭЦП PKI
    • Смарт-карты Рутокен ЭЦП 2.0 2100
    • Смарт-карты Рутокен ЭЦП SC

    Чтобы на токене был создан ключ в режиме "ФКН без защиты канала", при генерации в окне выбора носителя надо выбирать режим работы: "Активный токен без защиты канала (rutoken_crypt_xxxx)".

    Image Modified

    Info
    bgColortransparent
    titleПолезные знания и руководства: