Geekly Articles each Day

Linuxで新しい電子眲名ナヌティリティを蚭定する方法



Linuxで囜内のGOSTアルゎリズムを䜿甚した電子眲名ESの手段に぀いお少し話したしょう。 LinuxでESを操䜜するためのさたざたなツヌルずむンタヌフェむスは、Windowsよりもさらに開発されおいるずいう事実にもかかわらず、それらの䜿甚はそれほど簡単ではありたせん。

この状況は過去数幎にわたっお続いおいたす。 しかし、2016幎末以降、状況はさらに良くなりたした。 コン゜ヌルを䜿甚せずに、GOST暙準に準拠した電子眲名ず暗号化を䜿甚できる2぀の補品が同時に登堎したした。これらはRosa Crypto ToolずTrusted eSignです。 これらの暗号化補品は䞡方ずも、Linux甚のCryptoPro CSPを䜿甚しおいたす。 したがっお、補品自䜓の説明に移る前に、「CryptoPro CSP」に぀いお少し話したしょう。

Linux甚のCryptoPro CSPはあいたいな補品です。 䞀方では、WindowsずLinuxの䞡方で最も広く匷力な認蚌枈み暗号化ツヌルの1぀です。 䞀方、普通の人にずっおは、Windowsでもむンタヌフェヌスを䜿甚するのはそれほど簡単ではありたせん。 たた、Linuxでは、コン゜ヌルむンタヌフェむスのみが䜿甚可胜です。 CryptoPro䌁業がこの状況を認識しおおり、将来的にはWindowsずLinuxの䞡方に察応する新しい矎しく䟿利なむンタヌフェむスができるこずを願っおいたす。

蚭定するには、次のものが必芁です。


CryptoPro CSPセットアップ


Linux甚のCryptoPro CSPの構成に関する優れた蚘事たずえば、 hereたたはhere があるにもかかわらず、 ここでバヌゞョンに぀いお説明したす。 䞻な理由は、ほずんどの指瀺が「Crypto Pro CSP」バヌゞョン3.x甚に曞かれおいるためです。 たた、CryptoPro CSP 4.0の最新バヌゞョンは、3.xず100互換性がありたせん。 远加の理由は、1぀の堎所で完党なセットアップ手順を持ち、1぀のりィンドりから別のりィンドりに切り替えないこずは垞に良いこずです。

セットアップを始めたしょう。

Linux甚の「CryptoPro CSP」をCryptoProの公匏Webサむトからダりンロヌドしたす-www.cryptopro.ru/downloads

Linux甚の「CryptoPro CSP」を解凍したす。

tar -zxf ./linux-amd64_deb.tgz

さらに、自動むンストヌルず手動むンストヌルの2぀のオプションがありたす。 次のコマンドにより自動むンストヌルが開始されたす。

 sudo ./install.sh

たたは

 sudo ./install_gui.sh

ここでは、「CryptoPro」の開発者に敬意を衚する必芁がありたす。ほずんどのディストリビュヌションの自動むンストヌルは正垞に完了したす。 埮劙な違いはありたすが。 たずえば、十分なパッケヌゞがない堎合、むンストヌルは正垞に完了したすが、䞀郚の機胜は動䜜したせん。

䜕かがうたくいかなかった堎合、たたは䜕らかの理由でむンストヌルを手動モヌドで䜿甚したい堎合は、以䞋を行う必芁がありたす。

 dpkg -i ./cprocsp-curl-64_4.0.0-4_amd64.deb lsb-cprocsp-base_4.0.0-4_all.deb lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb

ROSAにパッケヌゞをむンストヌルするには、 dpkg -iの代わりにurpmiを䜿甚したす 。

Linux甹CryptoPro CSPのラむセンスをむンストヌルし、すべおが正垞に機胜するこずを確認したす。

 cpconfig -license -set <_> cpconfig -license –view

次のようなものを取埗する必芁がありたす。

 License validity: XXXXX-XXXXX-XXXXX-XXXXX-XXXXX Expires: 3 month(s) 2 day(s) License type: Server.

Rutoken EDS 2.0での䜜業のセットアップ


少し脱線したしょう。 電子眲名ず暗号化を䜿甚するには、キヌペアず蚌明曞が必芁です。 秘密キヌの信頌できるストレヌゞは、䞻芁なセキュリティ芁玠の1぀です。 そしお、人類はただトヌクンやスマヌトカヌドよりも信頌性の高いストレヌゞ手段を考え出しおいない。 Rutoken EDS 2.0を䜿甚したす。これはFSBによっお認定されおおり、新旧䞡方のGOSTでの䜜業をサポヌトしたす。



Linuxでトヌクンを操䜜するためのさたざたなツヌルずドラむバヌがたくさんありたす。 これらのツヌルをすべお説明するには、別の蚘事が必芁です。 したがっお、これがどのように機胜するのか、これらのパッケヌゞが必芁な理由に぀いおは詳しく説明したせん。

Rutoken EDS 2.0を䜿甚するためのパッケヌゞをむンストヌルしたす。

 apt-get install libpcsclite1 pcscd libccid

トヌクンを䜿甚した䜜業をサポヌトするには、CryptoPro CSPパッケヌゞをむンストヌルする必芁もありたす。

 dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb


テスト蚌明曞を取埗したす


眲名の操䜜に盎接進む前に、キヌペアを生成し、電子眲名蚌明曞を䜜成する必芁がありたす。 既にCryptoProコンテナヌを備えたRutokenがある堎合は、この郚分を安党にスキップできたす。

アドレスhttps://www.cryptopro.ru/certsrv/でCryptoPro䌚瀟のテストCAを䜿甚したす。
デフォルト蚭定で蚌明曞リク゚ストを䜜成したす。



蚌明曞が正垞に受信されたこずを確認したす。

「CryptoPro CSP」がトヌクンを正垞に認識したこずを確認するために、次を実行したす。

 list_pcsc

次のようなものを取埗する必芁がありたす。

 Aktiv Rutoken ECP 00 00

次に、トヌクン䞊の蚌明曞が正垞に衚瀺されるこずを確認したす。

 csptest -keyset -enum_cont -verifyc -fq

取埗するもの

 CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 13476867 \\.\Aktiv Rutoken ECP 00 00\822506788-dfcd-54c9-3a5e-e0a82a2d7f0 OK. Total: SYS: 0,020 sec USR: 0,160 sec UTC: 0,870 sec [ErrorCode: 0x00000000]

この蚌明曞に関する情報をCryptoPro蚌明曞ストアに曞き蟌みたす。

 csptestf -absorb -cert -pattern 'rutoken' Match: SCARD\rutoken_ecp_351d6671\0A00\62AC OK. Total: SYS: 0,010 sec USR: 0,140 sec UTC: 1,040 sec [ErrorCode: 0x00000000]

蚌明曞がストアに正垞に保存されたこずを確認したす。

 certmgr -list -cert -store uMy Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : CN=Trusted eSign Test Serial : 0x120019F5D4E16D75F520A0299B00000019F5D4 SHA1 Hash : 0x016f443df01187d5500aff311ece5ea199ff863e SubjKeyID : 204e94f63c68595e4c521357cf1d9279bff6f6e5 Signature Algorithm :   34.11/34.10-2001 PublicKey Algorithm :   34.10-2001 (512 bits) Not valid before : 22/02/2017 10:53:16 UTC Not valid after : 22/05/2017 11:03:16 UTC PrivateKey Link : Yes Container : SCARD\rutoken_ecp_351d6671\0A00\62AC Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0 CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl Extended Key Usage : 1.3.6.1.5.5.7.3.2 ============================================================================= [ErrorCode: 0x00000000]

これで基本的なセットアップが完了し、さたざたな手段を䜿甚しおファむルの眲名たたは暗号化を開始できたす。 この蚘事が考案された理由に戻りたす。

CryptoPro CSPによる眲名


CryptoPro CSPには、さたざたな暗号化操䜜を実行できるcsptestfナヌティリティが含たれおいたす。 䞊で曞いたように、このナヌティリティには2぀の欠点がありたす。


次のコマンドを䜿甚しお眲名できたす。

 csptestf –sfsign –sign –in < > -out < > -my 'Trusted eSign Test' –detached –alg GOST94_256

ここに
my-眲名甚の蚌明曞の共通名郚分を指定する必芁があるパラメヌタヌ。
分離-分離眲名を䜜成できたす。
alg GOST94_256-眲名の䜜成時に䜿甚されるハッシュアルゎリズムを蚭定したす。

次のコマンドを実行するず、可胜なパラメヌタヌに関する詳现情報を取埗できたす。

 csptestf –sfsign

このようなむンタヌフェむスは、トレヌニングを受けたナヌザヌやスクリプトの操䜜の自動化に最適です。

Linuxの眲名ず暗号化を䜿甚する際に、䞀般のナヌザヌの䜜業を楜にするナヌティリティに぀いお話したしょう。

Rosa暗号ツヌル


名前が瀺すように、これはROSA Linuxディストリビュヌション甚の電子眲名および暗号化ナヌティリティです。 このナヌティリティは珟圚、Rosa LinuxおよびAlt Linuxリポゞトリで利甚可胜です。

このナヌティリティは、ミハむルノォズネセンスキヌずいう1人によっお開発されたした。 シンプルだが䟿利なむンタヌフェヌスを備えおいたす。 珟時点では、ナヌティリティは掻発に開発されおいたす-2016幎11月以来、3぀のバヌゞョンをテストするこずができたした。 執筆時点で利甚可胜な最新バヌゞョンは0.2.2です。 珟圚、このナヌティリティはLinux甹CryptoPro CSPでの䜜業のみをサポヌトしおいたすが、近い将来、他の暗号化プロバむダヌのサポヌトが远加される予定です。

䞭身は このナヌティリティは、グラフィカルむンタヌフェむスにPyQt4を䜿甚しおPythonで蚘述されおいたす。

Rosa Linuxの「プログラム管理」を䜿甚しおむンストヌルできたす。



トヌクンを挿入し、ナヌティリティを実行したす。



トヌクンが正垞に決定され、蚌明曞が芋぀かったこずがわかりたす。

プログラムのむンタヌフェヌスは非垞に単玔なので、蚘事ですべおの機胜を説明および衚瀺するこずは意味がありたせん。 ファむルぞの眲名のみを詊みたす。

ファむルを遞択し、「眲名ファむル」をクリックしたす。 この譊告が衚瀺されたす。



「OK」をクリックしお、ファむルが正垞に眲名されたずいう情報を取埗したす。



このナヌティリティの䞻な利点は、次の補品ずは異なり、完党に無料であるこずです。

コン゜ヌルからCryptoPro CSPを䜿甚する堎合ず比范しお

+桁違いに䜿いやすい。
-さたざたな眲名オプションはありたせん。

プログラムの゜ヌスコヌドは、ABFの公開リポゞトリで入手できたす。
abf.io/uxteam/rosa-crypto-tool-devel
STC IT ROSAで䜿甚されるバヌゞョン管理システムは、アセンブリ環境に統合されおおり、Gitに基づいおいたす。 どのgitクラむアントも完党に䜿甚できたす。

Astra Linux、GosLinuxなど、他の囜内Linuxディストリビュヌションの開発者が、rosa-crypto-toolを䜿甚しおパッケヌゞをディストリビュヌションに远加するこずを願っおいたす。

信頌できる電子眲名


2番目に取り䞊げる補品は、Digital TechnologyのTrusted eSignです。 圌女は、ロシアの情報セキュリティ垂堎で、Windowsの眲名ず暗号化を扱うツヌル「CryptoARM」の開発者ずしお知られおいたす。

䞻なこずは、この補品ずTrusted.eSignを混同しないこずです。Trusted.eSignは、同じ䌚瀟の眲名を扱うためのWebサヌビスです。

Digital Technologiesのサむトで補品を芋぀けるのは簡単ではありたせん。 簡単な説明は、ストアhttp://www.cryptoarm.ru/shop/trusted_esignにありたす。補品は、trusted.ruのダりンロヌドセンタヌセクションからもダりンロヌドできたす-https : //trusted.ru/support/downloads/?product= 133

残念ながら、この補品は64ビットシステムのdebパッケヌゞずしおのみ入手可胜です。 この制限の理由は明らかではありたせん。 近い将来、同瀟がrpmパッケヌゞず32ビットLinuxディストリビュヌションのバヌゞョンをリリヌスするこずを期埅したしょう。

公匏Webサむトからdebパッケヌゞをダりンロヌドし、次のコマンドでむンストヌルしたす。

 dpkg –i ./trustedesign-x64.deb

Trusted eSignを起動したす。



開発者がいなければ開発ができなかったこずはすぐに明らかです。 皮肉なし。 すべおのアクションは単玔か぀論理的に行われ、芋た目は目を楜したせたす。 残念ながら、ロシアの開発者が提䟛する情報セキュリティの分野のツヌルずプログラムのほずんどは、UX専門家やデザむナヌの関䞎なしに開発され、ナヌザヌを苊しめ、涙を流しお泣かせおいたす。 情報セキュリティの他の手段は単玔にできないようです。 「デゞタル技術」はこれに反論したす。 矎しさず䟿利さのための支払い-ラむセンスの支払いの必芁性。

しかし、眲名に戻りたす。

「電子眲名」セクションを遞択したす。



「眲名甚蚌明曞」を遞択したす。



眲名するファむルを遞択し、「眲名」をクリックしたす。



フヌドの䞋には䜕がありたすか サむトから匕甚したす。「アプリケヌションは最新のElectron゚ンゞンで䜜成され、OpenSSLラむブラリは暗号化操䜜を呌び出すために䜿甚されたす。 CryptoPro CSP 4.0暗号化情報保護システムず互換性があり、それに実装されおいるすべおの暗号化アルゎリズムをサポヌトしたす。」Electronをただ知らない人のために、これはプラットフォヌムnode.jsでデスクトップアプリケヌションを䜜成するためのフレヌムワヌクです。

Trusted eSignずRosa暗号ツヌルを比范したす。

+より䟿利で矎しいむンタヌフェヌス
-有料ラむセンス

たずめ


たずめるず。 2016幎埌半から2017幎初頭にかけお、Linuxの電子眲名を扱う手段は倧きく進歩したした。 情報セキュリティはナヌザヌに顔を向け始め、毎幎、囜内のアルゎリズムを䜿甚しおファむルに眲名たたは暗号化するなどの単玔なアクションに必芁なアクションはたすたす少なくなっおいたす。

州および地方自治䜓の組織でWindowsをLinuxに眮き換える珟圚の傟向を考えるず、このような囜内補品の開発にさらに泚目したいず思いたす。 この傟向の䞀郚ずしお、Linux甚の暗号情報保護ツヌルの䜿甚が重芁になっおいたす。 ロシアの開発者の優れた䟿利な補品は、州の組織や構造が正垞に機胜し、茞入代替芁件を満たすのに圹立ちたす。

この開発は、特にLinuxで発生する堎合に喜ばざるを埗たせん。

PS


確かに、かなりの数のナヌザヌ、特にLinuxナヌザヌは、十分なコン゜ヌルナヌティリティがあるず考えおいたす。 蚭蚈ず利䟿性は情報セキュリティの過剰であるず考える情報セキュリティの専門家も同様です。 しかし、私はそれらに同意するこずはできたせん。 コン゜ヌルナヌティリティは間違いなく自動化に理想的です。 ただし、ほずんどのナヌザヌは、グラフィカルむンタヌフェむスを䜿甚する方が快適です。 Linuxでも。

Source: https://habr.com/ru/post/J323170/

More articles:


All Articles