Вы находитесь на странице: 1из 148

ViPNet CSP Linux 4.

2
Руководство пользователя
© ОАО «ИнфоТеКС», 2019

ФРКЕ.00106-04 34 02

Версия продукта 4.2.11

Этот документ входит в комплект поставки ViPNet CSP Linux, и на него распространяются все условия лицензионного
соглашения.

Ни одна из частей этого документа не может быть воспроизведена, опубликована, сохранена в электронной базе данных
или передана в любой форме или любыми средствами, такими как электронные, механические, записывающие или иначе,
для любой цели без предварительного письменного разрешения ОАО «ИнфоТеКС».

ViPNet® является зарегистрированным товарным знаком ОАО «ИнфоТеКС».

Все названия компаний и продуктов, которые являются товарными знаками или зарегистрированными товарными знаками,
принадлежат соответствующим владельцам.

ОАО «ИнфоТеКС»

127287, г. Москва, Старый Петровско-Разумовский проезд, д. 1/23, стр. 1, 2 этаж

Телефон: +7 (495) 737-6192, 8-800-250-0260 — бесплатный звонок из России (кроме Москвы)

Веб-сайт: https://infotecs.ru

Служба технической поддержки: hotline@infotecs.ru


Copyright (c) InfoTeC S. All Rights Reserved
Содержание
Введение....................................................................................................................................................................... 7
О документе ................................................................................................................................................................. 8
Для кого предназначен документ .......................................................................................................... 8
Соглашения документа ................................................................................................................................ 8
О программе ............................................................................................................................................................. 10
Состав программного обеспечения ................................................................................................... 11
Системные требования .............................................................................................................................. 14
Комплект поставки ....................................................................................................................................... 15
Новые возможности версии 4.2.11 ................................................................................................................ 17
Обратная связь ......................................................................................................................................................... 18

Глава 1. Использование криптографических функций в системах защиты данных ........................ 19


Шифрование и заверение данных электронной подписью .............................................................. 20
Использование электронной подписи для обеспечения подлинности
передаваемых электронных документов ......................................................................................... 20
Использование шифрования для конфиденциальной передачи электронных
документов ...................................................................................................................................................... 21
Хранение контейнеров ключей и сертификатов .................................................................................... 23

Глава 2. Установка, обновление и удаление ViPNet CSP Linux ............................................................... 25


Установка и регистрация ViPNet CSP Linux ................................................................................................ 26
Установка ViPNet CSP Linux...................................................................................................................... 26
Предварительная настройка ОС Astra Linux для работы ViPNet CSP Linux в
режиме замкнутой программной среды .......................................................................................... 28
Регистрация ViPNet CSP Linux ................................................................................................................. 28
Проверка целостности файлов ViPNet CSP Linux ......................................................................... 30
Проверка функциональности ViPNet CSP Linux ............................................................................ 30
Обновление пакетов ViPNet CSP Linux ......................................................................................................... 32
Удаление пакетов ViPNet CSP Linux ............................................................................................................... 33

Глава 3. Получение и установка сертификата и закрытого ключа ....................................................... 34


Порядок получения и установки контейнера ключей и сертификата ......................................... 35
Начало работы, если требуется самостоятельно сформировать запрос на
издание сертификата .................................................................................................................................. 35
Начало работы, если у вас есть контейнер ключей и файл с сертификатом ................. 37
Формирование запроса на издание сертификата .................................................................................. 39
Формирование запроса на обновление действующего сертификата ......................................... 44
Установка списков CRL и сертификатов издателей в системное хранилище ........................... 46
Установка списков CRL и сертификатов издателей в системное хранилище с
помощью графического интерфейса ................................................................................................. 46
Установка списков CRL и сертификатов издателей в системное хранилище с
помощью командного интерфейса ..................................................................................................... 48
Установка сертификата в системное хранилище .................................................................................... 50
Установка сертификата в системное хранилище с помощью утилиты для
формирования запросов на издание и обновление сертификата ...................................... 50
Установка сертификата в системное хранилище с помощью утилиты для работы
с системным хранилищем, имеющей графический интерфейс ............................................ 51
Установка сертификата в системное хранилище с помощью утилиты для работы
с системным хранилищем, имеющей командный интерфейс ............................................... 53

Глава 4. Работа с хранилищем сертификатов ............................................................................................... 54


Просмотр свойств сертификатов и списков CRL в хранилище ........................................................ 55
Просмотр свойств сертификатов и списков CRL в хранилище с помощью
графического интерфейса ........................................................................................................................ 55
Просмотр свойств сертификатов и списков CRL в хранилище с помощью
командного интерфейса ........................................................................................................................... 56
Перенос сертификатов, списков CRL и закрытых ключей между компьютерами ................. 58
Экспорт сертификата или списка CRL из хранилища ................................................................. 59
Экспорт сертификата или списка CRL из хранилища с помощью
графического интерфейса ............................................................................................................. 59
Экспорт сертификата или списка CRL из хранилища c помощью
командного интерфейса ................................................................................................................. 60
Экспорт закрытого ключа и сертификата в файл ......................................................................... 61
Экспорт закрытого ключа и сертификата в файл с помощью графического
интерфейса ............................................................................................................................................ 61
Экспорт закрытого ключа и сертификата в файл с помощью командного
интерфейса ............................................................................................................................................ 63
Импорт закрытого ключа и сертификата из файла ..................................................................... 63
Импорт закрытого ключа и сертификата из файла с помощью
графического интерфейса ............................................................................................................. 64
Импорт закрытого ключа и сертификата из файла с помощью командного
интерфейса ............................................................................................................................................ 65
Удаление сертификатов или списков CRL из хранилища ................................................................... 66
Удаление сертификатов или списков CRL из хранилища с помощью
графического интерфейса ........................................................................................................................ 66
Удаление сертификатов или списков CRL из хранилища с помощью командного
интерфейса ...................................................................................................................................................... 67
Глава 5. Операции с контейнерами ключей ................................................................................................. 68
Работа с контейнерами ключей в ViPNet CSP Linux .............................................................................. 69
Просмотр списка установленных контейнеров ключей ..................................................................... 70
Просмотр содержимого контейнера ключей .......................................................................................... 71
Удаление контейнера ключей вместе с соответствующим сертификатом ................................ 72

Глава 6. Работа с внешними устройствами .................................................................................................... 73


Использование датчика случайных чисел ................................................................................................. 74
Выбор датчика случайных чисел с помощью графического интерфейса ....................... 74
Проверка работоспособности датчика случайных чисел с помощью
графического интерфейса ............................................................................................................. 76
Выбор датчика случайных чисел с помощью командного интерфейса ........................... 77
Проверка работоспособности датчика случайных чисел с помощью
командного интерфейса ................................................................................................................. 78
Настройка списка опрашиваемых внешних устройств ........................................................................ 79
Взаимодействие с ПАК ViPNet HSM ............................................................................................................... 80
Общие сведения о ViPNet HSM ............................................................................................................. 80
Настройка ViPNet CSP Linux для взаимодействия с ПАК ViPNet HSM ................................ 80

Глава 7. Использование расширенной электронной подписи ............................................................... 82


Электронная подпись формата CAdES-BES в ViPNet CSP Linux ........................................................ 83
Включение и выключение добавления атрибутов CAdES-BES ........................................................ 84

Глава 8. Использование функций криптопровайдера при разработке программ ......................... 85


Настройка проекта для использования функций ViPNet CSP Linux ............................................... 86
Криптографические библиотеки, входящие в состав ViPNet CSP Linux ...................................... 87

Глава 9. Регистрация событий криптопровайдера ..................................................................................... 88


Общие сведения ...................................................................................................................................................... 89
Настройка системы логирования .................................................................................................................... 91

Глава 10. Настройка кэширования при выполнении криптографических операций ..................... 92


Общие сведения ...................................................................................................................................................... 93
Настройка параметров кэширования ........................................................................................................... 94

Глава 11. Выполнение криптографических операций с помощью тестовой утилиты


cryptofile ..................................................................................................................................................................... 95
Назначение утилиты cryptofile .......................................................................................................................... 96
Особенности работы с утилитой cryptofile ................................................................................................ 97
Глава 12. Надежное удаление файлов с помощью утилиты wipe .......................................................... 99
Для чего нужно надежно удалять файлы ................................................................................................ 100
Работа с утилитой wipe...................................................................................................................................... 101

Глава 13. Примеры использования ViPNet CSP Linux ............................................................................... 102


Получение сертификата и установка его в системное хранилище ............................................ 103
Выполнение криптографических операций с файлами ................................................................... 104
Надежное удаление файла .............................................................................................................................. 106

Приложение A. Установка отдельных пакетов ViPNet CSP Linux ......................................................... 107

Приложение B. Справочник команд и параметров утилит, входящих в ViPNet CSP Linux ......... 110
Описание команд и параметров утилиты certreq ................................................................................ 111
Описание команд и параметров утилиты certmgr .............................................................................. 113
Описание команд и параметров утилиты cryptofile ........................................................................... 119
Описание команд и параметров утилиты csp-gost............................................................................. 127
Описание команд и параметров утилиты rngcmgr ............................................................................. 129

Приложение C. Идентификаторы алгоритмов хэширования ............................................................... 130

Приложение D. Возможные неполадки и способы их устранения ..................................................... 131


На внешнем устройстве eToken PRO 32k 4.2B некорректно удаляется контейнер
ключей ....................................................................................................................................................................... 132
Внешнее устройство JaCarta PKI не отображается в списке опрашиваемых устройств .. 133
Внешнее устройство eToken GOST/JaCarta GOST не отображается в списке
опрашиваемых устройств ................................................................................................................................ 134

Приложение E. История версий ...................................................................................................................... 135


Версия 4.2.10 ................................................................................................................................................ 135
Версия 4.2.8 ................................................................................................................................................... 137

Приложение F. Внешние устройства .............................................................................................................. 139


Общие сведения ........................................................................................................................................ 139
Список поддерживаемых внешних устройств ............................................................................ 139
Алгоритмы и функции, поддерживаемые внешними устройствами............................... 141

Приложение G. Глоссарий ................................................................................................................................. 143


Введение
О документе 8

О программе 10

Новые возможности версии 4.2.11 17

Обратная связь 18

ViPNet CSP Linux 4.2. Руководство пользователя | 7


О документе
Для кого предназначен документ
Руководство предназначено для пользователей программного обеспечения ViPNet CSP Linux:
разработчиков, добавляющих в свои приложения криптографические функции, и пользователей
этих приложений.

В руководстве содержится информация о назначении программного обеспечения ViPNet CSP Linux,


приведены основные сценарии работы с контейнерами ключей (см. глоссарий, стр. 146) и
сертификатами (см. глоссарий, стр. 147), описаны процесс установки и способ использования
данного ПО при разработке приложений. Кроме того, описана работа с криптографическими
утилитами, входящими в состав ПО.

Предполагается, что читатель имеет общее представление об информационной безопасности и


навыки работы с операционными системами семейства Linux.

Соглашения документа
Ниже перечислены соглашения, принятые в этом документе для выделения информации.

Таблица 1. Обозначения, используемые в примечаниях

Обозначение Описание

Внимание! Указывает на обязательное для исполнения или следования действие


или информацию.

Примечание. Указывает на необязательное, но желательное для исполнения или


следования действие или информацию.

Совет. Содержит дополнительную информацию общего характера.

ViPNet CSP Linux 4.2. Руководство пользователя | 8


Таблица 2. Обозначения, используемые для выделения информации в тексте

Обозначение Описание

Название Название элемента интерфейса. Например, заголовок окна, название


поля, кнопки или клавиши.

Клавиша+Клавиша Сочетание клавиш. Чтобы использовать сочетание клавиш, следует


нажать первую клавишу и, не отпуская ее, нажать вторую клавишу.

Меню > Подменю > Иерархическая последовательность элементов. Например, пункты меню
Команда или разделы на панели навигации.

Код Имя файла, путь, фрагмент текстового файла (кода) или команда,
выполняемая из командной строки.

ViPNet CSP Linux 4.2. Руководство пользователя | 9


О программе
Программное обеспечение ViPNet CSP Linux позволяет организовать выполнение
криптографических операций на компьютерах, работающих под управлением операционных
систем семейства Linux, и обеспечить защищенный обмен данных на основе инфраструктуры
открытых ключей (PKI) (см. глоссарий, стр. 144).

Основой ПО ViPNet CSP Linux является одноименный криптопровайдер (см. глоссарий, стр. 146).
При создании своих приложений вы можете обращаться к криптопровайдеру ViPNet CSP Linux с
помощью функций интерфейса ViPNet CryptoAPI for Linux, описанных в документе «ViPNet
CryptoAPI for Linux. Руководство разработчика». Данный интерфейс представляет собой
подмножество функций интерфейса Microsoft CryptoAPI (см. глоссарий, стр. 143), портированных
для работы в операционной системе Linux.

Рисунок 1. Взаимодействие внешних приложений с криптопровайдером ViPNet CSP Linux

Кроме того, для выполнения криптографических функций вы можете использовать подмножество


функций библиотеки BCrypt криптопровайдера Microsoft CNG, портированных для работы в
операционной системе Linux. Эти функции также описаны в руководстве «ViPNet CryptoAPI for
Linux. Руководство разработчика».

Для работы с электронными ключами на внешних устройствах вы можете использовать функции


интерфейса ViPNet PKCS#11, описанные в руководстве «ViPNet SoftToken. Руководство
разработчика».

ViPNet CSP Linux также предоставляет инструменты для работы с хранилищем сертификатов
операционной системы и включает в себя ряд криптографических утилит (см. Состав
программного обеспечения на стр. 11).

С помощью ViPNet CSP Linux вы можете выполнять следующие действия:

 Создание ключей электронной подписи (см. глоссарий, стр. 148) в соответствии с алгоритмами
ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012.

 Формирование и проверка электронной подписи в соответствии с алгоритмами ГОСТ Р


34.10-2001 и ГОСТ Р 34.10-2012.

 Хэширование данных в соответствии с алгоритмами ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012.

 Шифрование и имитозащита данных в соответствии с алгоритмом ГОСТ 28147-89.

 Создание последовательностей случайных и псевдослучайных чисел, сессионных ключей


шифрования.

 Хранение сертификатов открытых ключей непосредственно в контейнерах ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 10


 Работа с электронными ключами на различных внешних устройствах: eToken, Рутокен и других.

 Надежное удаление файлов с накопителя (см. Надежное удаление файлов с помощью утилиты
wipe на стр. 99).

 Эмуляция внешнего устройства хранения ключей, работающего в соответствии со стандартом


PKCS#11 (см. документ «ViPNet SoftToken 4.4. Руководство разработчика»).

Состав программного обеспечения


Программное обеспечение ViPNet CSP Linux состоит из нескольких пакетов. В зависимости от
ваших задач вы можете установить лишь некоторые из них (см. Установка ViPNet CSP Linux на стр.
26).

Каждый пакет представлен в следующих вариантах:

 в форматах RPM и DEB;

 в форматах для 32- и 64-разрядной архитектур процессора.

Кроме того, существуют специальные варианты для ОС Astra Linux Special Edition («Смоленск») 1.5,
1.6 с включенным режимом замкнутой программной среды.

Имя пакета состоит из следующих частей, разделенных символами « _» или «-»:

<название пакета> <номер версии> <архитектура>,

где часть имени <архитектура> может принимать следующие значения:

 i386 — в названиях RPM- и DEB-пакетов обозначает 32-разрядную архитектуру процессора


x86;

 amd64 — в названиях DEB-пакетов обозначает 64-разрядную архитектуру процессора x86;

 x86_64 — в названиях RPM-пакетов обозначает 64-разрядную архитектуру процессора x86;

 all — в названиях DEB-пакетов обозначает, что пакет предназначен для обеих архитектур
процессора x86;

 noarch — в названиях RPM-пакетов обозначает, что пакет предназначен для обеих архитектур
процессора x86.

Слово astra в части имени <название пакета> обозначает, что пакет предназначен для ОС Astra
Linux Special Edition («Смоленск») 1.5, 1.6 с включенным режимом замкнутой программной среды.

Пакеты ПО ViPNet CSP Linux, их назначение и состав представлены в таблице ниже.

ViPNet CSP Linux 4.2. Руководство пользователя | 11


Таблица 3. Пакеты, входящие в ПО ViPNet CSP Linux

Название пакета Основные файлы Назначение

itcs-licensing license Утилита для регистрации ViPNet CSP Linux.

Библиотека Служебная библиотека системы


liblicense.so лицензирования.

itcs-winapi certmgr Утилита с командным интерфейсом для работы с


хранилищем сертификатов.

certreq Утилита с командным интерфейсом для создания


контейнеров ключей и запросов на издание, а
также обновление сертификата.

regsvr32 Служебная утилита для регистрации библиотек.

Набор библиотек Библиотеки с функциями интерфейса ViPNet


CryptoAPI for Linux, представляющего собой
подмножество функций Microsoft CryptoAPI (см.
глоссарий, стр. 143) и Microsoft Windows API (см.
глоссарий, стр. 143), портированных для работы
в операционной системе Linux.

INF-файлы Примеры файлов с параметрами, необходимых


для запроса на издание сертификата того или
иного типа, а также на обновление сертификата.

itcs-winapi-gui certmgr-gui Утилита с графическим пользовательским


интерфейсом для работы с хранилищем
сертификатов.

Графическая Содержит элементы, реализующие графический


библиотека пользовательский интерфейс пакета
itcs-winapi. К таким элементам относятся,
например, окна для работы с хранилищем
сертификатов.

itcs-entropy-gost rngcmgr Утилита с командным интерфейсом для работы с


датчиками случайных чисел.

rngpkcs11host Утилита, вызов которой используется при


использовании датчика случайных чисел,
реализованного на поддерживаемом внешнем
устройстве

Набор библиотек для Содержит библиотеки, необходимые для работы


работы с датчиками с датчиками случайных чисел. В том числе
случайных чисел реализация «биологического» клавиатурного
датчика случайных чисел.

itcs-known-path Служебная библиотека Библиотека для задания пути к данным


криптокомпонентов.

ViPNet CSP Linux 4.2. Руководство пользователя | 12


Название пакета Основные файлы Назначение

itcs-known-path-dev Заголовочные файлы Набор заголовочных файлов для задания пути к


*.h данным криптокомпонентов.

itcs-entropy-gost-gui rngqtmgr Утилита с графическим пользовательским


интерфейсом для работы с датчиками случайных
чисел.

Набор библиотек для Содержит библиотеки элементов, реализующие


работы с датчиками графический пользовательский интерфейс
случайных чисел пакета itcs-entropy-gost. К таким элементам
относится, например, окно Электронная рулетка
(см. глоссарий, стр. 148).

itcs-csp-gost Библиотеки Криптопровайдер ViPNet CSP содержит набор


криптопровайдера (см. библиотек, выполняющих криптографические
глоссарий, стр. 146) функции при обращении к ним внешних
приложений.

csp-integral-test Утилита для проверки функциональности


криптопровайдера.

csp-gost Утилита с командным интерфейсом для


настройки криптопровайдера ViPNet CSP Linux.
Позволяет выполнять следующие действия:
 Просмотр и удаление контейнеров ключей.
 Просмотр и настройка списка опрашиваемых
внешних устройств.
 Регламентный контроль датчика случайных
чисел.

csp.ini Конфигурационный файл для настройки


кэширования и логирования.

csp_trial.csp Демо-лицензия на 14 дней.

itcs-csp-gost-gui Библиотека Содержит элементы, реализующие графический


графических элементов пользовательский интерфейс криптопровайдера.
К таким элементам относятся, например, окна
для работы с контейнерами ключей.

itcs-integrity-check check_prg Служебная утилита для проверки контроля


целостности файлов программного обеспечения
вручную.

make_ext_crg Служебная утилита для создания списка


системных файлов ОС Linux, подлежащих
контролю целостности.

itcs-csp-dev Заголовочные файлы Набор заголовочных файлов для работы с


*.h функциями ViPNet CSP Linux.

Примеры Примеры использования ViPNet CSP Linux.

ViPNet CSP Linux 4.2. Руководство пользователя | 13


Название пакета Основные файлы Назначение

Справка Руководство разработчика в формате HTML.

Файл *.cmake Файл, необходимый для сборки примеров.

itcs-cryptofile cryptofile Тестовая утилита, которая позволяет выполнять


следующие операции с файлами:
 формирование и проверка электронной
подписи;
 шифрование и расшифрование файлов;
 кодирование данных в формат Base64 (см.
глоссарий, стр. 143) и раскодирование из
этого формата.

itcs-wiper wipe Утилита для надежного удаления файлов.

itcs-itpkcs11 libitpkcs11_client Библиотека для хранения ключей и выполнения


.so криптографических операций на ПАК ViPNet
HSM (см. глоссарий, стр. 144).

pkicmd libpki_client_cryp Библиотека, реализующая высокоуровневые


to_core.so криптографические операции.

pkicmd Утилита, с помощью которой можно запустить


криптографические операции библиотеки
pki_client_crypto_core.so.

itcs-softtoken token_manager Утилита для работы с программными токенами.

Криптографические Библиотеки для работы с программными


библиотеки ViPNet токенами.
SoftToken

softtoken_trial.cs Демо-лицензия.
p

itcs-softtoken-dev Заголовочные файлы Набор заголовочных файлов для работы с


*.h функциями ViPNet SoftToken.

Также в состав ПО входят следующие компоненты:

 установочный скрипт vipnetcsp_pkg_manager.sh (см. Установка ViPNet CSP Linux на стр. 26);

 открытый ключ infotecs_pub_key.gpg, необходимый для работы ViPNet CSP Linux в режиме
замкнутой программной среды Astra Linux Special Edition («Смоленск») 1.5, 1.6.

Системные требования
Требования к компьютеру для установки программного обеспечения ViPNet CSP Linux:

 Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый


процессор с количеством ядер 2 и более.

ViPNet CSP Linux 4.2. Руководство пользователя | 14


 Объем оперативной памяти — не менее 512 Мбайт.

 Свободное место на жестком диске — не менее 100 Мбайт.

 Операционная система — Linux, поддерживаются следующие дистрибутивы (32- и


64-разрядные):

o Альт Линукс СПТ 7.0;

o Альт 8 СП;

o ГосЛинукс 6.4, 6.6;

o Astra Linux Special Edition («Смоленск») 1.4, 1.5, 1.6;

Примечание. Работа с включенным режимом замкнутой программной среды ОС Astra


Linux поддерживается только в ОС Astra Linux Special Edition («Смоленск») 1.5, 1.6.

o Astra Linux Сommon Edition («Орёл») 1.11, 2.12;

o CentOS 6.9, 7.3;

o Debian 7.9, 7.11, 8.7, 8.8;

o OpenSUSE 42.2;

o Red Hat Enterprise Linux (RHEL) 7.3;

o ROSA Desktop Fresh R9;

o ROSA Enterprise Linux Server 6.9;

o Ubuntu Server 14.04, 16.04;

o Ubuntu 14.10.

Примечание. Для работы утилит с графическим интерфейсом, входящих в состав ViPNet


CSP Linux (см. Состав программного обеспечения на стр. 11), должен быть установлен
пакет Qt (входит в состав некоторых дистрибутивов Linux).

Комплект поставки
Комплект поставки программного обеспечения ViPNet СSP Linux включает следующие компоненты:

 Пакеты установки в форматах DEB и RPM для различных архитектур процессора (см. Состав
программного обеспечения на стр. 11).

 Установочный скрипт vipnetcsp_pkg_manager.sh.

 Открытый ключ infotecs_pub_key.gpg, необходимый для работы ViPNet CSP Linux в режиме
замкнутой программной среды Astra Linux Special Edition («Смоленск») 1.5, 1.6.

 Документация:

o «ViPNet CSP Linux. Руководство пользователя» в формате PDF.

ViPNet CSP Linux 4.2. Руководство пользователя | 15


o «ViPNet CSP Linux. Лицензионные соглашения на компоненты сторонних производителей»
в формате PDF.

o «ViPNet CryptoAPI for Linux. Руководство разработчика» в формате PDF, а также в формате
HTML (входит в состав пакета itcs-csp-dev).

o «Криптографический интерфейс ViPNet CSP. Руководство разработчика» в формате PDF.

o «Криптографический интерфейс ViPNet SoftToken. Руководство разработчика» в формате


PDF.

ViPNet CSP Linux 4.2. Руководство пользователя | 16


Новые возможности версии 4.2.11
В этом разделе представлен краткий обзор изменений и новых возможностей программного
обеспечения ViPNet CSP Linux версии 4.2.11 по сравнению с версией 4.2.10. Информация об
изменениях в предыдущих версиях программы приведена в приложении История версий (на стр.
135).

 Расширен список поддерживаемых дистрибутивов ОС Linux

Реализована поддержка функционирования ПО ViPNet CSP Linux на следующих дистрибутивах


ОС Linux:

o Astra Linux Сommon Edition («Орел») 2.12;

o Astra Linux Special Edition («Смоленск») 1.6.

 Поддержка работы в режиме замкнутой программной среды ОС Astra Linux Special Edition
(«Смоленск») 1.5, 1.6

Предыдущая версия ViPNet CSP Linux могла быть установлена на компьютеры под
управлением ОС Astra Linux Special Edition, но работа при включенном режиме замкнутой
программной среды не поддерживалась (подробнее о режиме замкнутой программной среды
ОС Astra Linux см. документ «Операционная система специального назначения Astra Linux
Special Edition. Руководство администратора»).

В новую версию были добавлены специальные пакеты (см. Состав программного обеспечения
на стр. 11), после установки которых и после предварительной настройки ОС (см.
Предварительная настройка ОС Astra Linux для работы ViPNet CSP Linux в режиме замкнутой
программной среды на стр. 28) вы сможете работать с ViPNet CSP Linux на компьютерах под
управлением ОС Astra Linux Special Edition «Смоленск» 1.5, 1.6 при включенном режиме
замкнутой программной среды.

 Улучшена внутренняя функциональность программы

Исправлены незначительные ошибки, выявленные в процессе эксплуатации версии 4.2.10.

ViPNet CSP Linux 4.2. Руководство пользователя | 17


Обратная связь
Дополнительная информация
Сведения о продуктах и решениях ViPNet, распространенные вопросы и другая полезная
информация собраны на сайте ОАО «ИнфоТеКС»:

 Информация о продуктах ViPNet https://infotecs.ru/product/.

 Информация о решениях ViPNet https://infotecs.ru/resheniya/.

 Часто задаваемые вопросы https://infotecs.ru/support/faq/.

 Форум пользователей продуктов ViPNet https://infotecs.ru/forum/.

Контактная информация
Если у вас есть вопросы, свяжитесь со специалистами ОАО «ИнфоТеКС»:

 Единый многоканальный телефон:

+7 (495) 737-6192,

8-800-250-0-260 — бесплатный звонок из России (кроме Москвы).

 Служба технической поддержки: hotline@infotecs.ru.

Форма для обращения в службу технической поддержки через сайт


https://infotecs.ru/support/request/.

Консультации по телефону для клиентов с расширенной схемой технической поддержки:


+7 (495) 737-6196.

 Отдел продаж: soft@infotecs.ru.

Если вы обнаружили уязвимости в продуктах компании, сообщите о них по адресу


security-notifications@infotecs.ru. Распространение информации об уязвимостях продуктов
ОАО «ИнфоТеКС» регулируется политикой ответственного разглашения
https://infotecs.ru/disclosure.php.

ViPNet CSP Linux 4.2. Руководство пользователя | 18


1
Использование
криптографических функций
в системах защиты данных
Шифрование и заверение данных электронной подписью 20

Хранение контейнеров ключей и сертификатов 23

ViPNet CSP Linux 4.2. Руководство пользователя | 19


Шифрование и заверение данных
электронной подписью
Для создания и проверки электронной подписи, а также для шифрования и расшифрования данных
используется пара ключей: закрытый ключ (или ключ электронной подписи (см. глоссарий, стр.
145)) и открытый ключ (или ключ проверки электронной подписи (см. глоссарий, стр. 145)).
Закрытый ключ генерируется криптопровайдером, а открытый может быть однозначно вычислен
из него посредством математических преобразований. При этом определить закрытый ключ по
открытому невозможно.

Закрытый ключ должен быть известен только его владельцу. Открытый ключ должен быть доступен
всем, с кем пользователь собирается обмениваться защищенными данными. Чтобы подтвердить
факт принадлежности открытого ключа пользователю, удостоверяющий центр (см. глоссарий, стр.
147) издает сертификат соответствующего открытого ключа пользователя (или сертификат ключа
проверки электронной подписи (см. глоссарий, стр. 147) пользователя — далее «сертификат»).
Сертификат включает в себя данные пользователя и открытый ключ, соответствующий закрытому
ключу пользователя.

Использование электронной подписи для


обеспечения подлинности передаваемых
электронных документов
Для создания электронной подписи криптопровайдер использует закрытый ключ пользователя,
подписывающего документ (пользователь сам указывает этот ключ в процессе подписания).

Для проверки электронной подписи криптопровайдер использует открытый ключ, находящийся в


сертификате пользователя, подписавшего документ.

Процесс формирования и проверки электронной подписи представлен ниже.

ViPNet CSP Linux 4.2. Руководство пользователя | 20


Рисунок 2. Процесс формирования и проверки электронной подписи документа

Пользователю А необходимо заверить документ (например, сообщение электронной почты)


электронной подписью, для того чтобы остальные пользователи не смогли внести в него
изменения и каждый мог удостовериться, что автор данного документа — пользователь А. Для
этого пользователи выполняют следующие действия:

1 Пользователь А подписывает документ своим закрытым ключом.

2 Пользователь А отправляет документ всем заинтересованным лицам (пользователи В, C и D)


или выкладывает для общего доступа.

3 Пользователь В запрашивает сертификат открытого ключа пользователя А в сетевом


хранилище, где хранятся сертификаты, изданные удостоверяющим центром.

4 Пользователь В проверяет электронную подпись документа с помощью открытого ключа


пользователя А, который находится в сертификате пользователя A.

Если проверка прошла успешно, это означает, что автор документа — действительно пользователь
А и документ не подвергался изменениям с момента подписания.

Если проверка показала несоответствие электронной подписи и открытого ключа в сертификате


отправителя, это означает, что документ либо не принадлежит пользователю А, либо
редактировался сторонними лицами, либо был поврежден в процессе пересылки. В этом случае
пользователь В может запросить у пользователя А документ повторно.

Использование шифрования для


конфиденциальной передачи электронных
документов
Для шифрования электронных документов криптопровайдер использует открытый ключ,
находящийся в сертификате пользователя, которому адресован зашифрованный документ.

ViPNet CSP Linux 4.2. Руководство пользователя | 21


Для расшифрования криптопровайдер использует закрытый ключ пользователя,
расшифровывающего документ (пользователь сам указывает этот ключ в процессе
расшифрования).

На рисунке ниже представлена схема защищенного обмена документами на примере передачи


конфиденциального сообщения электронной почты.

Рисунок 3. Схема обмена защищенными документами

Пользователю А необходимо передать пользователю В конфиденциальное сообщение


электронной почты. Для этого пользователи выполняют следующие действия:

1 Пользователь А запрашивает из сетевого хранилища сертификат открытого ключа


пользователя В и сопоставляет его с контактом В в своей почтовой программе.

2 Пользователь А зашифровывает документ с использованием открытого ключа из сертификата


пользователя В.

3 Пользователь А отправляет пользователю В зашифрованное сообщение.

4 Пользователь В расшифровывает документ с помощью своего закрытого ключа.

Таким образом, пользователь В получает конфиденциальное сообщение от пользователя А.

Если сообщение перехватит злоумышленник, прочитать письмо ему не удастся, поскольку у него
нет закрытого ключа пользователя В.

Если пользователь В не сможет расшифровать сообщение, пришедшее от пользователя А, это


значит, что это сообщение было изменено сторонними лицами или повреждено в процессе
пересылки. В этом случае пользователь В может запросить у пользователя А повторную отправку
сообщения.

ViPNet CSP Linux 4.2. Руководство пользователя | 22


Хранение контейнеров ключей и
сертификатов
Для создания и проверки электронной подписи, а также для шифрования и расшифрования
электронных документов вам могут потребоваться следующие файлы:

 Контейнер ключей (см. глоссарий, стр. 146) — содержит закрытый ключ пользователя, который
необходим для формирования электронной подписи и расшифрования файлов. Также
контейнер ключей может включать сертификат, соответствующий данному закрытому ключу.

Внимание! Программное обеспечение ViPNet CSP Linux не может работать с


контейнерами ключей, созданными с помощью других криптопровайдеров.

 Файл с сертификатом:

o Файл с собственным сертификатом пользователя. Сертификат открытого ключа


пользователя издается в удостоверяющем центре по запросу пользователя или по
инициативе администратора удостоверяющего центра (см. глоссарий, стр. 147). Запрос на
издание сертификата пользователя вы можете сформировать с помощью утилиты certreq,
входящей в программное обеспечение ViPNet CSP Linux (см. Формирование запроса на
издание сертификата на стр. 39).

o Файл с сертификатом другого пользователя. Эти файлы находятся в общем доступе либо
вы можете их получить у пользователей, с которыми собираетесь обмениваться
защищенной информацией.

Криптопровайдер ViPNet CSP Linux работает с файлами сертификатов в бинарном формате (см.
глоссарий, стр. 144) и текстовом формате с кодировкой Base64 (см. глоссарий, стр. 143).

 Файл с сертификатом издателя (см. глоссарий, стр. 147) (или несколько файлов с
сертификатами издателей, включая корневой сертификат (см. глоссарий, стр. 146), образующие
цепочку сертификации (см. глоссарий, стр. 147)), а также один или несколько файлов со
списками аннулированных сертификатов (CRL) (см. глоссарий, стр. 147) — данные файлы
нужны для проверки подлинности и актуальности сертификата открытого ключа пользователя.

Файлы сертификатов всегда создаются только в определенных стандартных форматах:

 Файл формата X.509, содержащий только сертификат (файлы с расширениями * .cer, *.crt).

 Файл формата PKCS#12. Этот формат предназначен для передачи зашифрованных на пароле
закрытых ключей и сертификатов (файлы с расширениями *.pfx, *.p12). Файлы формата
PKCS#12 формируются в соответствии с рекомендациями Технического комитета по
стандартизации (ТК 26) «Криптографическая защита информации».

ViPNet CSP Linux 4.2. Руководство пользователя | 23


Примечание. Файлы формата PKCS#12, не соответствующие рекомендациям ТК 26
(например, файлы, созданные в ПО компании «КриптоПро»), не поддерживаются.

Криптопровайдер работает с контейнерами ключей, расположенными в специальных каталогах


(см. глоссарий, стр. 145).

При выполнении криптографических операций внешнее приложение обращается к


криптопровайдеру, передавая ему информацию о выбранном сертификате. Чтобы обеспечить
приложениям доступ к сертификатам, все сертификаты, а также списки CRL и сертификаты
издателей необходимо установить в одно из хранилищ сертификатов операционной системы:

 Хранилище сертификатов пользователя (Current User) (см. глоссарий, стр. 147) — используется
для хранения сертификатов, требующихся только текущему пользователю компьютера.

 Хранилище сертификатов компьютера (Local Machine) (см. глоссарий, стр. 147) — используется
для хранения сертификатов, доступ к которым может потребоваться всем пользователям
компьютера, а также системным демонам.

ViPNet CSP Linux 4.2. Руководство пользователя | 24


2
Установка, обновление и
удаление ViPNet CSP Linux
Установка и регистрация ViPNet CSP Linux 26

Обновление пакетов ViPNet CSP Linux 32

Удаление пакетов ViPNet CSP Linux 33

ViPNet CSP Linux 4.2. Руководство пользователя | 25


Установка и регистрация ViPNet
CSP Linux
Чтобы начать работу с ПО ViPNet CSP Linux, выполните действия из приведенного ниже списка.

Таблица 4. Порядок установки ViPNet CSP Linux

Действие Ссылка

Установите нужные пакеты ViPNet CSP Linux Установка ViPNet CSP Linux (на стр.
Примечание. Если вы устанавливаете ПО ViPNet CSP 26)
Linux на компьютер под управлением ОС Astra Linux
Special Edition («Смоленск») 1.5 или 1.6 и планируете
использовать данное ПО в режиме замкнутой
программной среды, выполните предварительную
настройку ОС (см. Предварительная настройка ОС
Astra Linux для работы ViPNet CSP Linux в режиме
замкнутой программной среды на стр. 28).

Зарегистрируйте программное обеспечение Регистрация ViPNet CSP Linux (на


стр. 28)

При необходимости проверьте целостность Проверка целостности файлов


установленных файлов, а также функциональность ViPNet CSP Linux (на стр. 30)
ПО Проверка функциональности
ViPNet CSP Linux (на стр. 30)

Совет. Мы рекомендуем распечатать список и отмечать в нем шаги по мере их


выполнения.

Установка ViPNet CSP Linux


Вы можете установить необходимые пакеты ViPNet CSP Linux с помощью специального скрипта
vipnetcsp_pkg_manager.sh. При этом зависимости между пакетами будут учтены автоматически.
Для этого выполните следующие действия:

1 Скопируйте пакеты ViPNet CSP Linux в произвольный каталог на вашем компьютере.

Примечание. В каталоге могут находиться и пакеты, не подходящие для установки на


вашем компьютере (например, рассчитанные на работу с другой архитектурой
процессора), — скрипт автоматически выберет подходящие пакеты.

ViPNet CSP Linux 4.2. Руководство пользователя | 26


2 Запустите скрипт vipnetcsp_pkg_manager.sh, входящий в комплект поставки, со следующими
параметрами:
./vipnetcsp_pkg_manager.sh install --package <тип> --platform <архитектура> --profile
<набор пакетов> --version_ossl <версия OpenSSL> --dist <путь>,

где:

o <тип> — тип пакета (DEB или RPM).

o <архитектура> — архитектура процессора, на которую рассчитана ваша операционная


система.

o <набор пакетов> — наборы пакетов, подлежащие установке. Возможные значения:

 all — все подходящие пакеты, находящиеся в каталоге.

 vipnet_csp — все подходящие пакеты ViPNet CSP Linux без пакетов, отвечающих за
работу утилит с графическим интерфейсом, а также без пакетов, отвечающих за
работу с программными токенами (см. документ «ViPNet SoftToken 4.4. Руководство
разработчика»).

 vipnet_csp_gui — все подходящие пакеты ViPNet CSP Linux без пакетов, отвечающих
за работу с программными токенами (см. документ «ViPNet SoftToken 4.4. Руководство
разработчика»).

 softtoken — пакеты, отвечающие за работу с программными токенами.

 openssl — пакеты, входящие в состав продукта ViPNet OSSL (OpenSSL GOST Engine),
если эти пакеты находятся в каталоге. Подробнее о продукте см. документ «ViPNet
OSSL (OpenSSL GOST Engine). Руководство разработчика».

o <версия OpenSSL> — параметр используется только в случае установки пакетов продукта


ViPNet OSSL (OpenSSL GOST Engine); задает версию утилиты OpenSSL, используемую в
продукте ViPNet OSSL (OpenSSL GOST Engine); возможные значения: 1.0.2 или 1.1.0.

o <путь> — путь к каталогу, в котором находятся устанавливаемые пакеты.

В результате выбранные пакеты будут установлены и будут работать в демо-режиме, то есть срок
использования ViPNet CSP Linux будет ограничен двумя неделями (по истечении этого срока
операции с контейнерами ключей станут невозможны). Чтобы использовать ПО ViPNet CSP Linux
без ограничений, пройдите процедуру регистрации (см. Регистрация ViPNet CSP Linux на стр. 28).

Примечание. Вы также можете устанавливать пакеты из состава ViPNet CSP Linux


вручную, однако в таком случае необходимо учитывать зависимости между этими
пакетами (см. Установка отдельных пакетов ViPNet CSP Linux на стр. 107).

Расположение файлов после установки пакетов будет следующим:

 Библиотеки и утилиты, входящие во все пакеты, кроме пакета разработчика, — /opt/itcs/bin.

 Файлы из пакета разработчика:

o Примеры использования — /opt/itcs/share/itp11engine/examples.

o Заголовочные файлы — /opt/itcs/include.

ViPNet CSP Linux 4.2. Руководство пользователя | 27


o Исполняемые файлы — /opt/itcs/bin.

Кроме того, будут созданы необходимые служебные каталоги:

 Каталог для файлов настроек: /etc/opt/itcs.

 Каталог для хранения данных приложений: /var/opt/itcs/vipnet-csp.

Каталог для хранения пользовательских данных (например, контейнеров ключей): /home/<user


name>/.itcs/vipnet-csp.

Предварительная настройка ОС Astra Linux для


работы ViPNet CSP Linux в режиме замкнутой
программной среды
Если вы устанавливаете ПО ViPNet CSP Linux на компьютер под управлением ОС Astra Linux Special
Edition («Смоленск») 1.5 и планируете работать с данным ПО в режиме замкнутой программной
среды, используйте открытый ключ infotecs_pub_key.gpg, входящий в комплект поставки ViPNet
CSP Linux, и следуйте инструкциям из справочного центра Astra Linux
https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212431.

Если вы устанавливаете ПО ViPNet CSP Linux на компьютер под управлением ОС Astra Linux Special
Edition («Смоленск») 1.6 и планируете использовать данное ПО в режиме замкнутой программной
среды, выполните следующие действия:

1 Установите пакет из состава Astra Linux astra-digsig-oldkeys.

2 Поместите открытый ключ infotecs_pub_key.gpg, входящий в комплект поставки ViPNet CSP


Linux, в следующий каталог:
/etc/digsig/keys/legacy/keys/

3 Следуйте инструкциям из справочного центра Astra Linux


https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212431.

Регистрация ViPNet CSP Linux


После установки на компьютер программное обеспечение ViPNet CSP Linux работает в
демо-режиме, то есть срок его использования ограничен двумя неделями. По истечении этого
срока операции с контейнерами ключей станут невозможны. Приобрести и зарегистрировать
ViPNet CSP Linux вы можете в любой момент, и тогда ПО будет доступно для использования
неограниченное время.

Мы рекомендуем поступить следующим образом:

 установите ViPNet CSP Linux и пользуйтесь незарегистрированной версией, чтобы оценить


возможности и преимущества продукта;

ViPNet CSP Linux 4.2. Руководство пользователя | 28


 по истечении срока действия демо-версии приобретите и зарегистрируйте вашу копию ViPNet
CSP Linux.

Внимание! Для регистрации ViPNet CSP Linux необходимо обладать правами


суперпользователя.

Чтобы приобрести и зарегистрировать ViPNet CSP Linux, следуйте приведенным ниже указаниям.

1 Обратитесь в отдел продаж ОАО «ИнфоТеКС», отправив письмо с запросом на приобретение


ViPNet CSP Linux на адрес электронной почты soft@infotecs.ru.

2 После приобретения продукта получите серийный номер по электронной почте.

3 Создайте запрос на регистрацию. Для этого в командной строке перейдите в каталог


/opt/itcs/bin и запустите утилиту license со следующими параметрами:

./license request --product=csp_linux --serial=<серийный номер> --file=<файл запроса>,

где:

 <серийный номер> — серийный номер, полученный от отдела продаж.

 <файл запроса> — путь к файлу запроса на регистрацию.

Примечание. Файл запроса будет создан автоматически по указанному пути.

Пример создания запроса на регистрацию:


./license request --product=csp_linux --serial=12AB-34CD-56EF-78GH
--file=/home/user/request.txt

4 Отправьте созданный файл запроса на регистрацию в ОАО «ИнфоТеКС» по адресу


электронной почты reg@infotecs.biz и получите код регистрации в ответном письме.

5 Чтобы зарегистрировать ViPNet CSP Linux с помощью полученного кода регистрации, в


командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту license со
следующими параметрами:
sudo ./license register --product=csp_linux --serial=<серийный номер>
--code=<регистрационный код>,

где:

 <серийный номер> — серийный номер, полученный от отдела продаж.

 <регистрационный код> — полученный вами регистрационный код.

Пример регистрации программного обеспечения с помощью полученного регистрационного


кода:
sudo ./license register --product=csp_linux --serial=12AB-34CD-56EF-78GH
--code=12345AB-67890CD-12345AB-67890CD-12345AB

ViPNet CSP Linux 4.2. Руководство пользователя | 29


Чтобы убедиться, что программное обеспечение ViPNet CSP Linux зарегистрировано, запустите
утилиту license со следующими параметрами:
./license status --product csp_linux

В результате будет выведена информация о состоянии регистрации продукта.

Примечание. Остальные параметры утилиты license предназначены для разработчиков


системы лицензирования.

Проверка целостности файлов ViPNet CSP Linux


Проверка целостности ViPNet CSP Linux проводится автоматически при выполнении любой
криптографической операции.

Если правилами вашей организации предусмотрено периодическое проведение регламентной


проверки целостности файлов используемого ПО, то для ПО ViPNet CSP Linux вы можете провести
такую проверку и просмотреть ее результаты. Целостность проверяется по контрольным суммам,
указанным в файлах с расширением *.prg. Файлы с контрольными суммами находятся в папке
установки ПО.

Для проверки целостности файлов ПО запустите утилиту check_prg со следующими параметрами:


/opt/itcs/bin/check_prg --product_path /opt/itcs /opt/itcs/*.prg

Утилита начнет последовательно проверять целостность файлов. Результаты проверки


отображаются в консоли. После проверки всех файлов выводится общий отчет. Например:
Total:
12 PRG files checked, 12 checks passed, 0 checks failed, 0 checks skipped
67 files checked, 67 checks passed, 0 files corrupted, 0 checks failed

Если какой-либо из файлов ПО ViPNet CSP не соответствует заявленной контрольной сумме,


необходимо обновить ПО (см. Обновление пакетов ViPNet CSP Linux на стр. 32).

Проверка функциональности ViPNet CSP Linux


После установки вы можете проверить функциональность ПО ViPNet CSP Linux. Для этого запустите
следующую утилиту:
/opt/itcs/bin/csp-integral-test

Утилита начнет последовательно проверять следующую функциональность:

 создание ключей;

 работу алгоритма шифрования;

 экспорт ключей;

 работу алгоритма электронной подписи;

ViPNet CSP Linux 4.2. Руководство пользователя | 30


 работу алгоритма Диффи — Хеллмана.

Результаты проверки отображаются в консоли. После окончания проверки выводится общий


отчет. Например:
!!!Error!!! [IntegralTest] Tests finished with error:
capi-1-Encryption
capi-1-Exportation
capi-1-Signing

Если при проверке функциональности какая-либо из криптографических операций завершилась с


ошибкой, убедитесь, что ПО зарегистрировано (см. Регистрация ViPNet CSP Linux на стр. 28). Если
ошибка повторяется, попробуйте заново установить ПО (см. Обновление пакетов ViPNet CSP Linux
на стр. 32).

ViPNet CSP Linux 4.2. Руководство пользователя | 31


Обновление пакетов ViPNet CSP
Linux
Вы можете обновить пакеты ViPNet CSP Linux с версии 4.2.8 на версию 4.2.10. При этом
зависимости между пакетами будут учтены автоматически. Для этого, не удаляя установленные
пакеты, запустите скрипт vipnetcsp_pkg_manager.sh и выполните процедуру установки (см.
Установка ViPNet CSP Linux на стр. 26). При этом перед установкой новых пакетов будут
автоматически удалены ранее установленные.

ViPNet CSP Linux 4.2. Руководство пользователя | 32


Удаление пакетов ViPNet CSP Linux
Вы можете удалить пакеты ViPNet CSP Linux с помощью скрипта vipnetcsp_pkg_manager.sh,
входящего в комплект поставки ViPNet CSP Linux. При этом зависимости между пакетами будут
учтены автоматически. Для удаления ViPNet CSP Linux запустите скрипт vipnetcsp_pkg_manager.sh
со следующим параметром:
./vipnetcsp_pkg_manager.sh uninstall

В результате все ранее установленные пакеты ViPNet CSP Linux будут удалены.

Примечание. После удаления настройки ПО ViPNet CSP Linux, а также данные, с


которыми работал криптопровайдер, такие как контейнеры ключей и сертификаты,
сохраняются. Если вы уверены, что эти файлы вам впоследствии не понадобятся, удалите
следующие каталоги:

 /etc/opt/itcs/
 /var/opt/itcs/
 /home/<user name>/.itcs

ViPNet CSP Linux 4.2. Руководство пользователя | 33


3
Получение и установка
сертификата и закрытого
ключа
Порядок получения и установки контейнера ключей и сертификата 35

Формирование запроса на издание сертификата 39

Формирование запроса на обновление действующего сертификата 44

Установка списков CRL и сертификатов издателей в системное хранилище 46

Установка сертификата в системное хранилище 50

ViPNet CSP Linux 4.2. Руководство пользователя | 34


Порядок получения и установки
контейнера ключей и сертификата
Чтобы начать работу с криптографическими функциями, вам необходимо иметь контейнер ключей
и сертификат, изданный в удостоверяющем центре. Порядок получения и установки сертификата и
закрытого ключа определяется регламентом работы вашего удостоверяющего центра:

 Если регламент работы удостоверяющего центра предполагает самостоятельное создание


запроса на издание сертификата, следуйте указаниям раздела Начало работы, если требуется
самостоятельно создать запрос на сертификат (см. Начало работы, если требуется
самостоятельно сформировать запрос на издание сертификата на стр. 35).

 Если в удостоверяющем центре вы получили и контейнер ключей, и сертификат, следуйте


указаниям раздела Начало работы, если у вас есть контейнер ключей и файл с сертификатом
(на стр. 37).

После указанных действий вы сможете выполнять криптографические операции, используя ваши


ключи. Кроме того, с помощью утилит certmgr и certmgr-gui вы можете просматривать свойства,
а также выполнять другие операции с сертификатами и списками CRL, установленными в
системное хранилище сертификатов.

Начало работы, если требуется самостоятельно


сформировать запрос на издание сертификата
Если регламент работы вашего удостоверяющего центра предполагает самостоятельное
формирование запроса на издание сертификата, выполните действия, указанные в таблице ниже.

ViPNet CSP Linux 4.2. Руководство пользователя | 35


Рисунок 4. Формирование запроса на издание сертификата и получение готового сертификата
из удостоверяющего центра

Таблица 5. Порядок действий, если требуется самостоятельно сформировать запрос на издание


сертификата

Действие Ссылка

Сформируйте запрос на издание сертификата. При Формирование запроса на издание


этом будет создан контейнер ключей, содержащий сертификата (на стр. 39)
закрытый ключ.

Передайте файл запроса на издание сертификата


администратору удостоверяющего центра (см.
глоссарий, стр. 144) и дождитесь получения
сертификата.

Установите в системное хранилище сертификатов Установка списков CRL и


один или несколько сертификатов издателей и сертификатов издателей в системное
списков CRL. хранилище (на стр. 46)

Установите полученный сертификат в системное Установка сертификата в системное


хранилище сертификатов с помощью утилиты хранилище с помощью утилиты для
certreq. формирования запросов на издание
Примечание. Для установки рекомендуется и обновление сертификата (на стр.
использовать именно утилиту для создания 50)
запроса на сертификат, потому что при этом
контейнер ключей, соответствующий сертификату,
будет найден автоматически.

ViPNet CSP Linux 4.2. Руководство пользователя | 36


Совет. Мы рекомендуем распечатать список и отмечать в нем шаги по мере их
выполнения.

Когда впоследствии срок действия вашего сертификата будет подходить к концу, создайте запрос
на обновление действующего сертификата и получите новый сертификат в удостоверяющем
центре (см. Формирование запроса на обновление действующего сертификата на стр. 44).

Начало работы, если у вас есть контейнер


ключей и файл с сертификатом
Приведенный ниже порядок действий подходит для следующих случаев:

 Если в удостоверяющем центре вы получили контейнер ключей, включающий в себя


сертификат.

 Если в удостоверяющем центре вы получили два файла: контейнер ключей, содержащий


закрытый ключ, и файл с сертификатом.

Таблица 6. Порядок действий после получения контейнера ключей с сертификатом

Действие Ссылка

Подключите к вашему компьютеру внешнее


устройство хранения ключей (поддерживаемый
токен или смарт-карту либо USB-накопитель) с
контейнером ключей и сертификатом.

Если вы не будете хранить закрытый ключ на


внешнем устройстве, скопируйте контейнер
ключей на жесткий диск вашего компьютера в
каталог хранения контейнеров ключей (см.
глоссарий, стр. 145).

Установите в системное хранилище сертификатов Установка списков CRL и


один или несколько сертификатов издателей и сертификатов издателей в системное
списков CRL с помощью утилиты certmgr или хранилище (на стр. 46)
certmgr-gui.
Примечание. Файлы со списками CRL и
сертификатами издателей также предоставляются
удостоверяющим центром. Обычно их можно
загрузить с веб-страницы удостоверяющего
центра.

Установите сертификат в системное хранилище Установка сертификата в системное


ключей с помощью утилиты certmgr или хранилище (на стр. 50)
certmgr-gui, указав расположение контейнера
ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 37


Совет. Мы рекомендуем распечатать список и отмечать в нем шаги по мере их
выполнения.

ViPNet CSP Linux 4.2. Руководство пользователя | 38


Формирование запроса на
издание сертификата
Для формирования запроса на издание сертификата выполните следующие действия:

1 В произвольном каталоге создайте текстовый файл с параметрами запрашиваемого


сертификата. Файл может содержать две секции: [NewRequest] и
[EnhancedKeyUsageExtension] с параметрами сертификата, приведенными в таблице ниже.
Минимальный допустимый состав файла — секция [NewRequest] с параметром Subject.

Внимание! Для корректного отображения символов текстовый файл с параметрами


запрашиваемого сертификата должен иметь кодировку UTF-8.

Мы рекомендуем создавать файлы запросов на издание сертификата на основе готовых


примеров, находящихся в каталоге /opt/itcs/share/certreq. В частности, там находятся
файлы с параметрами запрашиваемого сертификата, содержащие поля, необходимые для
получения квалифицированного сертификата (см. глоссарий, стр. 145).

Примечание. Структура файла с параметрами запрашиваемого сертификата аналогична


структуре INF-файла, используемого при работе со стандартной утилитой certreq.exe
операционной системы Windows.

Таблица 7. Возможные параметры запрашиваемого сертификата

Параметр Возможные значения

Параметры секции [NewRequest]

Subject Субъект сертификата.


Может содержать атрибуты в соответствии со стандартом X.509
(см. RFC 1422 (https://tools.ietf.org/html/rfc1422)), например SN — ФИО
владельца, O — компания владельца и так далее, а также
дополнительные атрибуты INN, OGRN, SNILS и OGRNIP.

Exportable Параметр задает возможность экспорта закрытого ключа вместе с


сертификатом:
 TRUE — закрытый ключ и сертификат можно будет экспортировать в
файл формата PKSC#12;
 FALSE — закрытый ключ и сертификат нельзя будет экспортировать
в файл формата PKSC#12.

ViPNet CSP Linux 4.2. Руководство пользователя | 39


Параметр Возможные значения

ProviderName Название криптопровайдера, с помощью которого будет создана пара


ключей:
 Infotecs Cryptographic Service Provider (по умолчанию) —
для использования алгоритма ГОСТ Р 34.10-2001.
 Infotecs GOST 2012/512 Cryptographic Service Provider —
для использования алгоритма ГОСТ Р 34.10-2012 (размер открытого
ключа — 512 бит).
 Infotecs GOST 2012/1024 Cryptographic Service
Provider — для использования алгоритма ГОСТ Р 34.10-2012
(размер открытого ключа — 1024 бит).

KeyUsage Параметр задает назначение сертификата. Параметр должен иметь


шестнадцатеричное значение. Значения приведены в соответствующем
разделе документации Microsoft
(https://technet.microsoft.com/ru-ru/library/dn296456(v=ws.11).aspx).
Если сертификат должен иметь несколько назначений,
соответствующие шестнадцатеричные значения складываются.

KeyContainer Параметр используется в случае, если контейнер ключей, для открытого


ключа которого запрашивается сертификат, был создан заранее, то есть
параметр UseExistingKeySet имеет значение TRUE. Значением
параметра является путь к заранее созданному контейнеру ключей.
По умолчанию параметр не используется.

KeySpec Значением параметра является одна из следующих цифр:


 1 — сертификат может применяться в алгоритмах электронной
подписи и шифрования;
 2 (по умолчанию) — сертификат может применяться только в
алгоритмах электронной подписи.

MachineKeySet Параметр может иметь одно из следующих значений:


 TRUE — будет запрошен выпуск сертификата, предназначенного для
установки в хранилище локального компьютера (см. Хранение
контейнеров ключей и сертификатов на стр. 23);
 FALSE (по умолчанию) — будет запрошен выпуск сертификата,
предназначенного для установки в хранилище текущего
пользователя (см. Хранение контейнеров ключей и сертификатов на
стр. 23).

UseExistingKeySet Параметр может иметь одно из следующих значений:


 TRUE— контейнер ключей, для открытого ключа которого
запрашивается сертификат, был создан заранее;
 FALSE (по умолчанию) — при формировании запроса на издание
сертификата создается контейнер ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 40


Параметр Возможные значения

ProviderType Тип алгоритма, реализуемого криптопровайдером. Для


криптопровайдеров Infotecs параметр должен иметь следующие
значения:
 2 (по умолчанию) — Infotecs Cryptographic Service Provider.
 77 — Infotecs GOST 2012/512 Cryptographic Service Provider.
 78 — Infotecs GOST 2012/1024 Cryptographic Service Provider.
RenewalCert Используйте этот параметр, если требуется создать запрос на
обновление уже имеющегося сертификата (см. Формирование запроса
на обновление действующего сертификата на стр. 44).
Примечание. Так как в этом случае запрос будет подписан имеющимся
сертификатом, необходимо, чтобы на момент создания запроса на
обновление срок действия сертификата еще не истек.
Если необходимо, при создании запроса на обновление сертификата вы
можете задать новые параметры и данные о владельце.
В качестве значения параметра необходимо указать хэш-сумму
обновляемого сертификата, вычисленную по алгоритму SHA-1.
Примечание. Чтобы узнать хэш-сумму сертификата, выполните одно из
следующих действий:
 Запустите утилиту certmgr-gui, откройте окно свойств
необходимого сертификата (см. Просмотр свойств сертификатов и
списков CRL в хранилище с помощью графического интерфейса на
стр. 55) и перейдите на вкладку Состав.
 Запустите утилиту certmgr со следующими параметрами (см.
Просмотр свойств сертификатов и списков CRL в хранилище с
помощью командного интерфейса на стр. 56):
./certmgr print_items --location=<хранилище>
--store=<раздел>,
где <хранилище> и <раздел> — имена хранилища и раздела, в
котором находится требуемый сертификат.

Параметры секции [EnhancedKeyUsageExtension]

OID Объектные идентификаторы (OID) (см. глоссарий, стр. 144) расширений


запрашиваемого сертификата. Задаются опционально.

Примечание. Вы также можете задать сроки действия сертификата и закрытого ключа с


помощью параметров, указанных в секциях [PrivateKeyUsagePeriod] и
[MicrosoftAdditionalEnrollmentInfo], однако не все удостоверящие центры
поддерживают обработку таких параметров. Пример см. в файле full.inf,
расположенном в каталоге /opt/itcs/share/certreq.

Пример файла с параметрами запрашиваемого сертификата:


[NewRequest]
Subject = CN=John Smith, O=Infotecs, L=Moscow, C=RU, INN=1234567890
ProviderName = Infotecs Cryptographic Service Provider

ViPNet CSP Linux 4.2. Руководство пользователя | 41


KeyUsage = 0x80a0
KeySpec = 1
MachineKeySet = FALSE
UseExistingKeySet = FALSE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1;
OID=1.3.6.1.5.5.7.3.3;
OID=1.3.6.1.5.5.7.3.4

2 В командной строке вашей операционной системы Linux перейдите в каталог /opt/itcs/bin и


запустите утилиту certreq со следующими параметрами:

./certreq new --inf_file=<файл с параметрами> --req_file=<файл запроса>, где:

o <файл с параметрами> — путь к файлу с параметрами запрашиваемого сертификата (см.


пункт 1 данного списка).

o <файл запроса> — путь к формируемому файлу запроса на издание сертификата.

Примечание. По умолчанию файл запроса на издание сертификата имеет кодировку


Base64 (см. глоссарий, стр. 143). Если файл запроса должен иметь кодировку DER, также
укажите параметр --binary без значения.
Если в издаваемом сертификате необходимо отметить некоторые расширения как
критичные, также укажите параметр --critical, в качестве значения которого
перечислите названия или идентификаторы OID таких расширений через запятую.
Описание всех дополнительных параметров утилиты certreq см. в разделе Описание
команд и параметров утилиты certreq (на стр. 111).

Пример запуска утилиты certreq приведен ниже.


./certreq new --inf_file=/home/user1/Doc/inf1 --req_file=/home/user1/Doc/req1.p10
--binary

После запуска утилиты в командной строке отобразится содержимое файла с параметрами


запрашиваемого сертификата.

Далее выполните следующие шаги, необходимые для создания контейнера ключей.

Примечание. Описание дальнейших шагов справедливо, если вы установили пакет с


графическим интерфейсом itcs-csp-gost-gui. Если вы не устанавливали этот пакет,
выполните аналогичные действия в командной строке.

3 В появившемся окне ViPNet CSP - инициализация контейнера ключей укажите имя


создаваемого контейнера ключей и место, где он будет создан: на жестком диске в каталоге
хранения контейнеров ключей (см. глоссарий, стр. 145) или на внешнем устройстве (см.
Внешние устройства на стр. 139). При необходимости введите ПИН-код устройства.

ViPNet CSP Linux 4.2. Руководство пользователя | 42


Рисунок 5. Задание параметров контейнера ключей

4 В окне ViPNet CSP - пароль контейнера ключей задайте пароль доступа к контейнеру ключей.

Рисунок 6. Задание пароля доступа к контейнеру ключей

5 Для создания закрытого ключа выбранный по умолчанию датчик случайных чисел должен
сгенерировать случайную последовательность. Например, если выбрана электронная рулетка
(см. глоссарий, стр. 148), появится соответствующее окно, в котором необходимо поводить
указателем мыши (см. рисунок на стр. 75).

В результате в заданных каталогах будут созданы контейнер ключей и файл с запросом на издание
сертификата.

Чтобы просмотреть содержимое запроса на издание сертификата, запустите утилиту certreq со


следующими параметрами:
./certreq print --req_file=<путь к файлу запроса>

В случае если запрос на издание сертификата был создан в файле бинарного формата (см.
глоссарий, стр. 144), для просмотра его содержимого добавьте при запуске утилиты параметр
--binary.

ViPNet CSP Linux 4.2. Руководство пользователя | 43


Формирование запроса на
обновление действующего
сертификата
Если срок действия вашего сертификата подходит к концу, вы можете сформировать запрос на
обновление действующего сертификата и получить новый сертификат в удостоверяющем центре.

Примечание. Так как в этом случае запрос будет подписан имеющимся сертификатом,
необходимо, чтобы на момент создания запроса на обновление срок действия
сертификата еще не истек.
В противном случае сформировать запрос на обновление сертификата не удастся. Вместо
этого вам будет необходимо заново сформировать файл запроса на издание сертификата
и передать его в удостоверяющий центр доверенным способом (см. Формирование
запроса на издание сертификата на стр. 39).

Для создания запроса на обновление действующего сертификата выполните следующие действия:

1 Узнайте хэш-сумму, вычисленную по алгоритму SHA-1, для сертификата, который требуется


обновить. Для этого выполните одно из следующих действий:

o Запустите утилиту certmgr-gui, откройте окно свойств необходимого сертификата и


перейдите на вкладку Состав.

o Запустите утилиту certmgr со следующими параметрами:

./certmgr print_items --location=<хранилище> --store=<раздел>,

где <хранилище> и <раздел> — имена хранилища и раздела, в котором находится


обновляемый сертификат.

2 В произвольном каталоге создайте текстовый файл, структура которого соответствует структуре


аналогичного файла, создаваемого при запросе на издание сертификата (см. Формирование
запроса на издание сертификата на стр. 39), и укажите в нем параметры запрашиваемого
обновления:

o Если при обновлении не требуется изменять параметры сертификата, в файле достаточно


указать только два параметра: RenewalCert, значением которого является хэш-сумма
обновляемого сертификата и ProviderType.

o Если при обновлении требуется изменить какие-либо параметры сертификата, их также


нужно указать в файле.

Внимание! Для корректного отображения символов текстовый файл с параметрами


запрашиваемого сертификата должен иметь кодировку UTF-8.

ViPNet CSP Linux 4.2. Руководство пользователя | 44


Мы рекомендуем создавать файлы запросов на основе готовых примеров, находящихся в
каталоге /opt/itcs/share/certreq.

Примечание. Структура файла с параметрами запроса на обновление сертификата


аналогична структуре INF-файла, используемого при работе со стандартной утилитой
certreq.exe операционной системы Windows.

3 В командной строке вашей операционной системы Linux перейдите в каталог /opt/itcs/bin и


запустите утилиту certreq с командой new и параметрами, указанными в разделе
Формирование запроса на издание сертификата (на стр. 39).

4 Дальнейшие действия аналогичны алгоритму создания запроса на сертификат (см.


Формирование запроса на издание сертификата на стр. 39).

В результате в заданных каталогах будут созданы новый контейнер ключей и файл с запросом на
обновление сертификата.

ViPNet CSP Linux 4.2. Руководство пользователя | 45


Установка списков CRL и
сертификатов издателей в
системное хранилище
Для выполнения криптографических операций необходимо установить в хранилище один или
несколько сертификатов издателей и списков CRL (см. глоссарий, стр. 147). Списки и сертификаты
предоставляются удостоверяющим центром и обычно доступны на веб-сайте удостоверяющего
центра.

Вы можете установить списки CRL и сертификаты издателей в системное хранилище одним из


следующих способов:

 С помощью утилиты с графическим интерфейсом (см. Установка сертификата в системное


хранилище с помощью утилиты для работы с системным хранилищем, имеющей
графический интерфейс на стр. 51).

 С помощью утилиты с командным интерфейсом (см. Установка сертификата в системное


хранилище с помощью утилиты для работы с системным хранилищем, имеющей командный
интерфейс на стр. 53).

После установки списков CRL и сертификатов издателей установите в системное хранилище ваш
сертификат, полученный в удостоверяющем центре (см. Установка сертификата в системное
хранилище на стр. 50).

Установка списков CRL и сертификатов


издателей в системное хранилище с помощью
графического интерфейса
Чтобы установить список CRL или сертификат издателя в системное хранилище с помощью утилиты
с графическим интерфейсом, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui.

2 В окне Хранилище сертификатов на панели инструментов выберите, в какое хранилище


сертификатов вы хотите установить список CRL или сертификат издателя:

o Текущий пользователь — если вы хотите установить сертификат или список CRL в


хранилище сертификатов пользователя (см. глоссарий, стр. 147).

ViPNet CSP Linux 4.2. Руководство пользователя | 46


o Локальный компьютер — если вы хотите установить сертификат или список CRL в
хранилище сертификатов компьютера (см. глоссарий, стр. 147).

Рисунок 7. Работа с системным хранилищем сертификатов с помощью утилиты certmgr-gui

3 Выполните одно из следующих действий:

o Если вы устанавливаете список CRL, на левой панели выберите раздел Промежуточные


центры сертификации (CA).

o Если вы устанавливаете сертификат издателя, на левой панели выберите раздел


Доверенные корневые центры сертификации (Root).

4 На панели инструментов нажмите кнопку Импорт . Откроется мастер импорта элемента.

ViPNet CSP Linux 4.2. Руководство пользователя | 47


Рисунок 8. Выбор элемента для импорта

5 В окне мастера на странице Выбор элемента установите переключатель в положение


Сертификат или CRL на диске и выберите список CRL или сертификат издателя, который вы
хотите установить в хранилище.

6 Пропустите страницу Выбор контейнера ключей (см. рисунок на стр. 52), нажав кнопку Далее.

7 На последней странице мастера нажмите кнопку Завершить.

В результате список CRL или сертификат издателя будет установлен в выбранное хранилище.

Установка списков CRL и сертификатов


издателей в системное хранилище с помощью
командного интерфейса
Чтобы установить список CRL в системное хранилище с помощью утилиты с командным
интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr
со следующими параметрами:
./certmgr add_crl --location=<хранилище> --store=CA --file=<путь к CRL>,
где:
 <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

o CurrentUser — если вы хотите установить список CRL в хранилище сертификатов


пользователя (см. глоссарий, стр. 147),

ViPNet CSP Linux 4.2. Руководство пользователя | 48


o LocalMachine — если вы хотите установить список CRL в хранилище сертификатов
компьютера (см. глоссарий, стр. 147).

 <путь к CRL> — путь к файлу с устанавливаемым списком CRL.

Пример запуска утилиты certmgr для установки списка CRL в системное хранилище:
./certmgr add_crl --location=CurrentUser --store=CA --file=/home/user1/CRL2014

Чтобы установить сертификат издателя в хранилище сертификатов, запустите утилиту certmgr со


следующими параметрами:
./certmgr add_certificate --location=<хранилище> --store=Root --file=<путь к
сертификату>,
где:
 <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

o CurrentUser — если вы хотите установить сертификат издателя в хранилище сертификатов


пользователя (см. глоссарий, стр. 147) (является значением по умолчанию);

o LocalMachine — если вы хотите установить сертификат издателя в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

 <путь к сертификату> — путь к файлу с устанавливаемым сертификатом издателя.

Пример запуска утилиты certmgr для установки сертификата издателя в системное хранилище:
./certmgr add_certificate --location=CurrentUser --store=Root
--file=/home/user1/RootCert1

В результате список CRL или сертификат издателя будет установлен в выбранное хранилище.

ViPNet CSP Linux 4.2. Руководство пользователя | 49


Установка сертификата в
системное хранилище
Вы можете установить сертификат в системное хранилище одним из следующих способов:

 С помощью утилиты для создания запроса на издание и обновление сертификата (см.


Установка сертификата в системное хранилище с помощью утилиты для формирования
запросов на издание и обновление сертификата на стр. 50) — рекомендуется, если запрос на
издание данного сертификата формировался с помощью этой утилиты.

 С помощью утилиты для работы с системным хранилищем, имеющей графический интерфейс


(см. Установка сертификата в системное хранилище с помощью утилиты для работы с
системным хранилищем, имеющей графический интерфейс на стр. 51).

 С помощью утилиты для работы с системным хранилищем, имеющей командный интерфейс


(см. Установка сертификата в системное хранилище с помощью утилиты для работы с
системным хранилищем, имеющей командный интерфейс на стр. 53).

После установки своего сертификата пользователя, а также необходимых сертификатов издателей


и списков CRL в хранилище сертификатов вы можете приступать к выполнению криптографических
операций.

Установка сертификата в системное хранилище


с помощью утилиты для формирования
запросов на издание и обновление
сертификата
Если для получения сертификата вы самостоятельно создавали файл запроса на издание
сертификата и передавали его в удостоверяющий центр, мы рекомендуем установить полученный
сертификат в системное хранилище с помощью утилиты certreq. В этом случае вам не придется
указывать путь к контейнеру ключей, соответствующему полученному сертификату.

Чтобы установить сертификат в системное хранилище с помощью утилиты certreq, выполните


следующие действия:

1 В командной строке перейдите в каталог /opt/itcs/bin и запустите эту утилиту со


следующими параметрами:
./certreq accept --cert_file=<путь к сертификату>

В случае если сертификат был создан в файле бинарного формата (см. глоссарий, стр. 144), для
просмотра его содержимого добавьте при запуске утилиты параметр --binary.

ViPNet CSP Linux 4.2. Руководство пользователя | 50


2 Укажите пароль к контейнеру ключей, соответствующему данному сертификату.

В результате сертификат будет установлен в системное хранилище, доступное только текущему


пользователю либо всем пользователям компьютера в зависимости от параметра MachineKeySet,
заданного при формировании запроса на издание сертификата (см. Формирование запроса на
издание сертификата на стр. 39). Кроме того, будут выполнены следующие операции:

 сертификат будет добавлен в соответствующий контейнер ключей;

 в сертификат, установленный в системное хранилище, будет добавлена информация о


расположении соответствующего ему контейнера ключей. Это позволит внешним
приложениям, работающим с сертификатом, обращаться к соответствующему контейнеру
ключей и выполнять с помощью него криптографические операции.

Установка сертификата в системное хранилище


с помощью утилиты для работы с системным
хранилищем, имеющей графический
интерфейс
Чтобы установить сертификат в системное хранилище с помощью утилиты с графическим
интерфейсом пользователя, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui.

2 В окне Хранилище сертификатов (см. рисунок на стр. 47) на панели инструментов выберите, в
какое хранилище сертификатов вы хотите установить сертификат:

o Текущий пользователь — если вы хотите установить сертификат в хранилище


сертификатов пользователя (см. глоссарий, стр. 147).

o Локальный компьютер — если вы хотите установить сертификат в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел Личное (My).

4 На панели инструментов нажмите кнопку Импорт . Откроется мастер импорта элемента.

5 В окне мастера на странице Выбор элемента (см. рисунок на стр. 48) выполните следующие
действия:

o Если вы устанавливаете отдельный сертификат, не находящийся в контейнере ключей,


установите переключатель в положение Сертификат или CRL на диске и выберите
сертификат, который вы хотите установить в системное хранилище.

ViPNet CSP Linux 4.2. Руководство пользователя | 51


o Если вы устанавливаете сертификат, находящийся в контейнере ключей, установите
переключатель в положение Сертификат из контейнера ключей и выберите
необходимый сертификат из списка.

Примечание. Контейнер ключей, сертификат из которого устанавливается в хранилище


сертификатов, должен находиться в каталоге хранения контейнеров ключей (см.
глоссарий, стр. 145).

6 Если вы устанавливаете отдельный сертификат, не находящийся в контейнере ключей, на


странице Выбор контейнера ключей выполните следующие действия:

o Если на жестком диске вашего компьютера в каталоге хранения контейнеров ключей (см.
глоссарий, стр. 145) сохранен контейнер ключей с закрытым ключом, соответствующим
устанавливаемому сертификату, выберите его из списка.

o Если на жестком диске вашего компьютера не сохранен контейнер ключей с закрытым


ключом, соответствующим устанавливаемому сертификату, пропустите эту страницу
мастера и нажмите кнопку Далее.

Рисунок 9. Выбор контейнера ключей, соответствующего устанавливаемому сертификату

7 На последней странице мастера нажмите кнопку Завершить.

В результате сертификат будет установлен в выбранное хранилище. Если вы указали путь к


соответствующему контейнеру ключей, между сертификатом и контейнером ключей будет
установлена связь. Это позволит внешним приложениям, работающим с сертификатом, обращаться
к соответствующему контейнеру ключей и выполнять с помощью него криптографические
операции.

ViPNet CSP Linux 4.2. Руководство пользователя | 52


Установка сертификата в системное хранилище
с помощью утилиты для работы с системным
хранилищем, имеющей командный интерфейс
Чтобы установить сертификат в системное хранилище с помощью утилиты с командным
интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr
со следующими параметрами:
./certmgr add_certificate --location=<хранилище> --store=My --file=<путь к
сертификату> --container=<путь к контейнеру>,

где:

 <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

o CurrentUser — если вы хотите установить сертификат в хранилище сертификатов


пользователя (см. глоссарий, стр. 147) (является значением по умолчанию);

o LocalMachine — если вы хотите установить сертификат в хранилище сертификатов


компьютера (см. глоссарий, стр. 147).

 <путь к сертификату> — путь к файлу с устанавливаемым сертификатом.

 <путь к контейнеру> — путь к контейнеру ключей, соответствующему устанавливаемому


сертификату; параметр --container можно опустить, если на жестком диске вашего
компьютера не сохранен нужный контейнер.

Пример запуска утилиты certmgr с параметрами:


./certmgr add_certificate --location=CurrentUser --store=My --file=/home/user1/cert1
--container=/home/user1/.itcs/vipnet-csp/containers/cont1

В результате сертификат будет установлен в выбранное хранилище. Если вы указали путь к


соответствующему контейнеру ключей, между сертификатом и контейнером ключей будет
установлена связь. Это позволит внешним приложениям, работающим с сертификатом, обращаться
к соответствующему контейнеру ключей и выполнять с помощью него криптографические
операции.

ViPNet CSP Linux 4.2. Руководство пользователя | 53


4
Работа с хранилищем
сертификатов
Просмотр свойств сертификатов и списков CRL в хранилище 55

Перенос сертификатов, списков CRL и закрытых ключей между компьютерами 58

Удаление сертификатов или списков CRL из хранилища 66

ViPNet CSP Linux 4.2. Руководство пользователя | 54


Просмотр свойств сертификатов и
списков CRL в хранилище
С помощью ViPNet CSP Linux вы можете просматривать свойства сертификатов и списков CRL,
например значения полей сертификатов, сроки действия сертификатов и списков CRL, одним из
следующих способов:

 При помощи утилиты с графическим интерфейсом (см. Просмотр свойств сертификатов и


списков CRL в хранилище с помощью графического интерфейса на стр. 55).

 При помощи утилиты с командным интерфейсом (см. Просмотр свойств сертификатов и


списков CRL в хранилище с помощью командного интерфейса на стр. 56).

Список дополнительных действий с сертификатами и списками CRL, реализованных только в


утилите с командным интерфейсом certmgr, приведен в приложении (см. Описание команд и
параметров утилиты certmgr на стр. 113).

Просмотр свойств сертификатов и списков CRL


в хранилище с помощью графического
интерфейса
Чтобы просмотреть свойства сертификата или списка CRL с помощью утилиты с графическим
интерфейсом пользователя, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui, появится окно


Хранилище сертификатов (см. рисунок на стр. 47).

2 На панели инструментов выберите хранилище сертификатов, в котором установлен


сертификат или список CRL, свойства которого вы хотите просмотреть:

o Текущий пользователь — если сертификат или список CRL находится в хранилище


сертификатов пользователя (см. глоссарий, стр. 147).

o Локальный компьютер — если сертификат или список CRL находится в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел хранилища ключей, в котором установлен сертификат или
список CRL, свойства которого вы хотите просмотреть.

4 На правой панели дважды щелкните сертификат или список CRL, свойства которого вы хотите
просмотреть, либо выберите этот сертификат или список CRL и на панели инструментов

нажмите кнопку Свойства .

ViPNet CSP Linux 4.2. Руководство пользователя | 55


В результате появится окно со свойствами выбранного сертификата или списка CRL.

Рисунок 10. Просмотр свойств сертификата

Просмотр свойств сертификатов и списков CRL


в хранилище с помощью командного
интерфейса
Чтобы просмотреть свойства сертификата или списка CRL с помощью утилиты с командным
интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr
со следующими параметрами:

 Если вы хотите просмотреть свойства сертификата:

./certmgr print_certificates --location =<хранилище> --store=<раздел хранилища>,

где:

o <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

 CurrentUser — если вы хотите просмотреть свойства сертификата из хранилища


сертификатов пользователя (см. глоссарий, стр. 147),

 LocalMachine — если вы хотите просмотреть свойства сертификата из хранилища


сертификатов компьютера (см. глоссарий, стр. 147).

o <раздел хранилища> — раздел хранилища, в котором находится сертификат, свойства


которого вы хотите просмотреть.

ViPNet CSP Linux 4.2. Руководство пользователя | 56


Отобразится список сертификатов, установленных в заданном разделе хранилища. Каждому
сертификату присваивается порядковый номер (параметр Index). Используйте его при
следующем запуске утилиты с новыми параметрами:
./certmgr print_certificate --location =<хранилище> --store=<раздел хранилища>
--index=<порядковый номер сертификата>

 Если вы хотите просмотреть свойства списка CRL:

./certmgr print_crls --location =<хранилище> --store=<раздел хранилища>,

где:

o <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

 CurrentUser — если вы хотите просмотреть свойства списка CRL из хранилища


сертификатов пользователя,

 LocalMachine — если вы хотите просмотреть свойства списка CRL из хранилища


сертификатов компьютера.

o <раздел хранилища> — раздел хранилища, в котором находится список CRL, свойства


которого вы хотите просмотреть.

Отобразится перечень списков CRL, установленных в заданном разделе хранилища. Каждому


списку CRL присваивается порядковый номер (параметр Index). Используйте его при
следующем запуске утилиты с новыми параметрами:
./certmgr print_crl --location =<хранилище> --store=<раздел хранилища>
--index=<порядковый номер списка CRL>

Пример запуска утилиты для просмотра свойств сертификата:


./certmgr print_certificates --location=CurrentUser --store=My
./certmgr print_certificate --location=CurrentUser --store=My --index=4

Пример запуска утилиты для просмотра свойств списка CRL:


./certmgr print_crls --location=CurrentUser --store=My
./certmgr print_crl --location=CurrentUser --store=My --index=2

В результате на экран будут выведены свойства выбранного сертификата или списка CRL.

ViPNet CSP Linux 4.2. Руководство пользователя | 57


Перенос сертификатов, списков
CRL и закрытых ключей между
компьютерами
Часто для выполнения криптографических операций требуется переносить сертификаты и списки
CRL с одного компьютера на другой. Так, чтобы проверить действительность сертификата,
необходимо получить в удостоверяющем центре сертификат издателя и список CRL, чтобы
зашифровать файл, требуется предварительно получить и установить на компьютере сертификат
получателя.

Если при смене рабочего места на вашем новом компьютере установлен другой криптопровайдер,
вам может потребоваться не только перенос сертификатов и списков CRL, но и закрытых ключей.
Для переноса закрытых ключей можно воспользоваться файлами формата PKCS#12 (см. Хранение
контейнеров ключей и сертификатов на стр. 23).

Если вы хотите перенести сертификаты, списки CRL или закрытые ключи с компьютера, на котором
установлено ПО ViPNet CSP Linux, на другой компьютер с ViPNet CSP Linux либо на компьютер с
другим криптопровайдером, выполните следующие действия:

1 На компьютере с ViPNet CSP Linux выполните одно из действий:

o экспортируйте сертификат или список CRL в файл с разрешением *.cer и *.crl


соответственно (см. Экспорт сертификата или списка CRL из хранилища с помощью
графического интерфейса на стр. 59);

o экспортируйте закрытый ключ с сертификатом в файл формата PKCS#12 (см. Экспорт


закрытого ключа и сертификата в файл на стр. 61).

2 На компьютере, где вы хотите использовать экспортированный сертификат, список CRL или


закрытый ключ, выполните одно из следующих действий:

o Если на компьютере установлен криптопровайдер ViPNet CSP Linux, выполните одно из


действий:

 установите сертификат или список CRL в системное хранилище (см. Получение и


установка сертификата и закрытого ключа на стр. 34);

 импортируйте закрытый ключ с сертификатом из файла формата PKCS#12 (см.


Импорт закрытого ключа и сертификата из файла на стр. 63).

o Если на компьютере используется криптопровайдер другого производителя, импортируйте


сертификат, список CRL или закрытый ключ, следуя руководству для данного
криптопровайдера.

ViPNet CSP Linux 4.2. Руководство пользователя | 58


Экспорт сертификата или списка CRL из
хранилища
Чтобы перенести сертификат или список CRL, установленный в хранилище, с одного компьютера на
другой, вы можете экспортировать этот сертификат или список CRL в отдельный файл одним из
следующих способов:

 С помощью утилиты с графическим интерфейсом (см. Экспорт сертификата или списка CRL из
хранилища с помощью графического интерфейса на стр. 59).

 С помощью утилиты с командным интерфейсом (см. Экспорт сертификата или списка CRL из
хранилища c помощью командного интерфейса на стр. 60).

После экспорта вы сможете установить сертификат или список CRL в системное хранилище на
другом компьютере с ПО ViPNet CSP Linux (см. Получение и установка сертификата и закрытого
ключа на стр. 34) либо с другим криптопровайдером.

Экспорт сертификата или списка CRL из хранилища с помощью


графического интерфейса
Чтобы экспортировать сертификат или список CRL, установленный в хранилище сертификатов с
помощью утилиты с графическим интерфейсом, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui, появится окно


Хранилище сертификатов (см. рисунок на стр. 47).

2 На панели инструментов выберите хранилище сертификатов, где установлен сертификат или


список CRL, который вы хотите экспортировать в файл:

o Текущий пользователь — если сертификат или список CRL находится в хранилище


сертификатов пользователя (см. глоссарий, стр. 147).

o Локальный компьютер — если сертификат или список CRL находится в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел хранилища ключей, где установлен сертификат или список
CRL, который вы хотите экспортировать, и на правой панели выберите этот сертификат или
список CRL.

4 На панели инструментов нажмите кнопку Экспорт . Откроется мастер экспорта элемента.

5 Если для выбранного сертификата задан соответствующий контейнер ключей, на первой


странице мастера выберите Нет, не экспортировать закрытый ключ. В иных случаях эта
страница не отображается.

ViPNet CSP Linux 4.2. Руководство пользователя | 59


Рисунок 11. Запрос на экспорт закрытого ключа

6 На странице Экспорт сертификата укажите каталог, в который вы хотите экспортировать


сертификат или список CRL, задайте имя файла для этого сертификата или списка и нажмите
кнопку Далее.

7 На последней странице мастера нажмите кнопку Завершить.

В результате сертификат или список CRL будет экспортирован в файл, находящийся в заданном
каталоге. Теперь вы можете передать его другому пользователю или сохранить в качестве
резервной копии.

Экспорт сертификата или списка CRL из хранилища c помощью


командного интерфейса
Чтобы экспортировать сертификат или список CRL, установленный в хранилище сертификатов, с
помощью утилиты с командным интерфейсом, в командной строке перейдите в каталог
/opt/itcs/bin и запустите утилиту certmgr со следующими параметрами:

 Если требуется экспортировать сертификат:


./certmgr export_certificate --location=<хранилище> --store=<раздел> --index=<номер
сертификата> --file=<путь к файлу>

 Если требуется экспортировать список CRL:


./certmgr export_crl --location=<хранилище> --store=<раздел> --index=<номер CRL>
--file=<путь к файлу>

Где:

o <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

 CurrentUser — если вы хотите экспортировать сертификат или список CRL,


находящийся в хранилище сертификатов пользователя (см. глоссарий, стр. 147),

ViPNet CSP Linux 4.2. Руководство пользователя | 60


 LocalMachine — если вы хотите экспортировать сертификат или список CRL,
находящийся в хранилище сертификатов компьютера (см. глоссарий, стр. 147).

o <раздел> — раздел хранилища сертификатов, в котором установлен сертификат или


список CRL, который вы хотите экспортировать.

o <номер сертификата> или <номер CRL> — порядковый номер сертификата или списка CRL.

Примечание. Чтобы узнать порядковый номер сертификата, запустите утилиту certmgr с


командой print_certificates.
Чтобы узнать порядковый номер списка CRL, запустите утилиту certmgr с командой
print_crls.

o <путь к файлу> — путь к создаваемому файлу, в который вы производите экспорт


сертификата или списка CRL.

В результате сертификат или список CRL будет экспортирован в файл, находящийся в заданном
каталоге. Теперь вы можете передать его другому пользователю или сохранить в качестве
резервной копии.

Экспорт закрытого ключа и сертификата в файл


Чтобы перенести закрытый ключ и соответствующий ему сертификат с одного компьютера на
другой, вы можете экспортировать закрытый ключ вместе с сертификатом в файл формата PKCS#12
одним из следующих способов:

 С помощью утилиты с графическим интерфейсом (см. Экспорт закрытого ключа и сертификата


в файл с помощью графического интерфейса на стр. 61).

 С помощью утилиты с командным интерфейсом (см. Экспорт закрытого ключа и сертификата


в файл с помощью командного интерфейса на стр. 63).

После экспорта закрытого ключа вместе с сертификатом в файл вы сможете импортировать его на
другом компьютере, где установлен криптопровайдер ViPNet CSP Linux (см. Импорт закрытого
ключа и сертификата из файла на стр. 63) либо криптопровайдер другого производителя.

Экспорт закрытого ключа и сертификата в файл с помощью


графического интерфейса
Чтобы экспортировать сертификат вместе с закрытым ключом в файл формата PKCS#12 с помощью
утилиты с графическим интерфейсом, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui.

2 В окне Хранилище сертификатов (см. рисунок на стр. 47) на панели инструментов выберите
хранилище, в котором находится сертификат, который вы хотите экспортировать вместе с
закрытым ключом:

ViPNet CSP Linux 4.2. Руководство пользователя | 61


o Текущий пользователь — если сертификат находится в хранилище сертификатов
пользователя (см. глоссарий, стр. 147).

o Локальный компьютер — если сертификат находится в хранилище сертификатов


компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел, где находится сертификат, который вы хотите


экспортировать вместе с закрытым ключом, и на правой панели выберите этот сертификат.

4 На панели инструментов нажмите кнопку Экспорт . Откроется мастер экспорта элемента.

5 На первой странице мастера (см. рисунок на стр. 60) выберите Да, экспортировать закрытый
ключ.

6 На странице Параметры экспорта задайте необходимые параметры.

7 На странице Безопасность задайте и подтвердите пароль к создаваемому файлу PKCS#12.

Рисунок 12. Задание пароля к файлу формата PKCS#12

8 На странице Имя экспортируемого файла задайте путь к каталогу, где вы хотите создать
экспортируемый файл и задайте имя этого файла.

9 На последней странице мастера нажмите кнопку Завершить.

10 В появившемся окне ViPNet CSP - пароль контейнера ключей задайте пароль к контейнеру,
закрытый ключ и сертификат из которого вы экспортируете.

В результате сертификат с соответствующим закрытым ключом будут экспортированы в файл


формата PKCS#12, который вы сможете импортировать на другом компьютере.

ViPNet CSP Linux 4.2. Руководство пользователя | 62


Экспорт закрытого ключа и сертификата в файл с помощью
командного интерфейса
Чтобы экспортировать сертификат вместе с закрытым ключом в файл формата PKCS#12 с помощью
утилиты с командным интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и
запустите утилиту certmgr со следующими параметрами:
./certmgr export_keys_to_pfx --export_private_keys --location=<хранилище>
--store=<раздел> --index=<номер сертификата> --pfx_container=<путь к файлу PKCS#12>
--password_pfx <пароль>,
где:
 <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

o CurrentUser — если вы хотите экспортировать закрытый ключ и соответствующий


сертификат, находящийся в хранилище сертификатов пользователя (см. глоссарий, стр.
147),

o LocalMachine — если вы хотите экспортировать закрытый ключ и соответствующий


сертификат, находящийся в хранилище сертификатов компьютера (см. глоссарий, стр. 147).

 <раздел> — раздел хранилища сертификатов, где установлен сертификат, который вы хотите


экспортировать вместе с закрытым ключом.

 <номер сертификата> — порядковый номер сертификата (см. Описание команд и параметров


утилиты certmgr на стр. 113).

 <путь к файлу PKCS#12> — путь к создаваемому файлу, в который вы производите экспорт


закрытого ключа и сертификата.

 <пароль> — пароль для доступа к файлу PKCS#12.

Пример запуска утилиты certmgr для экспорта сертификата и соответствующего ему закрытого
ключа в файл key_cert1.pfx:
./certmgr export_keys_to_pfx --export_private_keys --location=CurrentUser --store=My
--index=1 --pfx_container="/home/user1/key_cert1.pfx" --password_pfx=11111111,

В результате указанный сертификат с соответствующим закрытым ключом будут экспортированы в


файл PKCS#12.

Импорт закрытого ключа и сертификата из


файла
После экспорта закрытого ключа вместе с сертификатом в файл вы сможете импортировать его на
другом компьютере, где установлен криптопровайдер ViPNet CSP Linux либо криптопровайдер
другого производителя.

Вы можете импортировать сертификат и соответствующий ему закрытый ключ из файла формата


PKCS#12, вместе с сертификатом в файл формата PKCS#12 одним из следующих способов:

ViPNet CSP Linux 4.2. Руководство пользователя | 63


 С помощью утилиты с графическим интерфейсом (см. Импорт закрытого ключа и сертификата
из файла с помощью графического интерфейса на стр. 64).

 С помощью утилиты с командным интерфейсом (см. Импорт закрытого ключа и сертификата


из файла с помощью командного интерфейса на стр. 65).

Импорт закрытого ключа и сертификата из файла с помощью


графического интерфейса
Чтобы импортировать сертификат вместе с закрытым ключом из файла формата PKCS#12 с
помощью утилиты с графическим интерфейсом, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui.

2 В окне Хранилище сертификатов (см. рисунок на стр. 47) на панели инструментов выберите, в
какое хранилище сертификатов вы хотите импортировать сертификат из файла формата
PKCS#12:

o Текущий пользователь — если вы хотите экспортировать сертификат в хранилище


сертификатов пользователя (см. глоссарий, стр. 147).

o Локальный компьютер —если вы хотите экспортировать сертификат в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел хранилища, в который вы хотите экспортировать


сертификат.

4 На панели инструментов нажмите кнопку Импорт . Откроется мастер импорта элемента.

5 В окне мастера на странице Выбор элемента (см. рисунок на стр. 48) выберите Сертификат
или закрытый ключ из файла PKCS#12.

6 На странице Параметры импорта укажите пароль для доступа к фалу PKCS#12 и при
необходимости задайте дополнительный параметры.

7 На последней странице мастера нажмите кнопку Завершить.

8 В появившемся окне ViPNet CSP - инициализация контейнера ключей укажите, следует ли


сохранить закрытый ключ в контейнере ключей на жестоком диске или на внешнем
устройстве.

В результате сертификат будет установлен в указанный раздел хранилища, а закрытый ключ будет
импортирован в созданный контейнер ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 64


Импорт закрытого ключа и сертификата из файла с помощью
командного интерфейса
Чтобы импортировать сертификат вместе с закрытым ключом из файла формата PKCS#12 с
помощью утилиты с командным интерфейсом, в командной строке перейдите в каталог
/opt/itcs/bin и запустите утилиту certmgr со следующими параметрами:
./certmgr import_keys_from_pfx --location=<хранилище> --store=<раздел>
--pfx_container=<путь к файлу PKCS#12> --password_pfx <пароль>,
где:
 <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

o CurrentUser — если вы хотите установить сертификат из файла формата PKCS#12 в


хранилище сертификатов пользователя (см. глоссарий, стр. 147),

o LocalMachine — если вы хотите установить сертификат из файла формата PKCS#12 в


хранилище сертификатов компьютера (см. глоссарий, стр. 147).

 <раздел> — раздел хранилища сертификатов, в который вы хотите установить сертификат из


файла формата PKCS#12.

 <путь к файлу PKCS#12> — путь к файлу, из которого выполняется импорт.

 <пароль> — пароль для доступа к файлу PKCS#12.

Пример запуска утилиты certmgr для импорта сертификата и соответствующего ему закрытого
ключа из файла key_cert1.pfx:
./certmgr import_keys_from_pfx --location=CurrentUser --store=My
--pfx_container="/home/user1/key_cert1.pfx" --password_pfx=11111111

В результате сертификат будет установлен в указанный раздел хранилища, а закрытый ключ будет
импортирован в созданный контейнер ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 65


Удаление сертификатов или
списков CRL из хранилища
С помощью ViPNet CSP Linux вы можете при необходимости удалять сертификаты или списки CRL
одним из следующих способов:

 При помощи утилиты с графическим интерфейсом (см. Удаление сертификатов или списков
CRL из хранилища с помощью графического интерфейса на стр. 66).

 При помощи утилиты с командным интерфейсом (см. Удаление сертификатов или списков CRL
из хранилища с помощью командного интерфейса на стр. 67).

Удаление сертификатов или списков CRL из


хранилища с помощью графического
интерфейса
Чтобы удалить сертификат или список CRL с помощью утилиты с графическим интерфейсом
пользователя, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr-gui, появится окно


Хранилище сертификатов (см. рисунок на стр. 47).

2 На панели инструментов выберите хранилище сертификатов, в котором установлен


сертификат или список CRL, который вы хотите удалить:

o Текущий пользователь — если сертификат или список CRL находится в хранилище


сертификатов пользователя (см. глоссарий, стр. 147).

o Локальный компьютер — если сертификат или список CRL находится в хранилище


сертификатов компьютера (см. глоссарий, стр. 147).

3 На левой панели выберите раздел хранилища ключей, в котором установлен сертификат или
список CRL, который вы хотите удалить.

4 На правой панели выберите сертификат или список CRL, который вы хотите удалить, и на

панели инструментов нажмите кнопку Удалить .

В результате выбранный сертификат или список CRL будет удален из хранилища.

ViPNet CSP Linux 4.2. Руководство пользователя | 66


Удаление сертификатов или списков CRL из
хранилища с помощью командного интерфейса
Чтобы удалить сертификат или список CRL из хранилища сертификатов с помощью утилиты с
командным интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите
утилиту certmgr со следующими параметрами:

 Если требуется удалить сертификат:


./certmgr remove_certificate <номер сертификата> --location =<хранилище>
--store=<раздел>

 Если требуется удалить список CRL:


./certmgr remove_crl <номер CRL> --location =<хранилище> --store=<раздел>

Где:

o <хранилище> — хранилище сертификатов, задайте одно из следующих значений:

 CurrentUser — если вы хотите просмотреть свойства сертификата из хранилища


сертификатов пользователя (см. глоссарий, стр. 147),

 LocalMachine — если вы хотите просмотреть свойства сертификата из хранилища


сертификатов компьютера (см. глоссарий, стр. 147).

o <раздел> — раздел хранилища, в котором находится сертификат, свойства которого вы


хотите просмотреть.

o <номер сертификата> или <номер CRL> — порядковый номер сертификата или списка CRL.

Примечание. Чтобы узнать порядковый номер сертификата, запустите утилиту certmgr с


командой print_certificates.
Чтобы узнать порядковый номер списка CRL, запустите утилиту certmgr с командой
print_crls.

В результате выбранный сертификат или список CRL будет удален из хранилища.

ViPNet CSP Linux 4.2. Руководство пользователя | 67


5
Операции с контейнерами
ключей
Работа с контейнерами ключей в ViPNet CSP Linux 69

Просмотр списка установленных контейнеров ключей 70

Просмотр содержимого контейнера ключей 71

Удаление контейнера ключей вместе с соответствующим сертификатом 72

ViPNet CSP Linux 4.2. Руководство пользователя | 68


Работа с контейнерами ключей в
ViPNet CSP Linux
С помощью утилиты csp-gost, входящей в программное обеспечение ViPNet CSP Linux, вы можете
выполнять с контейнерами ключей следующие действия:

 Просмотр каталогов хранения контейнеров ключей (см. Просмотр списка установленных


контейнеров ключей на стр. 70).

 Просмотр свойств конкретных контейнеров ключей (см. Просмотр содержимого контейнера


ключей на стр. 71).

 Удаление контейнеров ключей (см. Удаление контейнера ключей вместе с соответствующим


сертификатом на стр. 72).

ViPNet CSP Linux 4.2. Руководство пользователя | 69


Просмотр списка установленных
контейнеров ключей
Чтобы просмотреть список контейнеров ключей, находящихся на подключенных внешних
устройствах либо установленных в соответствующий каталог (см. глоссарий, стр. 145), выполните
следующие действия:

1 Перейдите в каталог /opt/itcs/bin.

2 Выполните одно из следующих действий:

o Чтобы просмотреть список контейнеров ключей, сертификаты, соответствующие которым,


устанавливаются в хранилище ключей текущего пользователя (Current User), запустите
утилиту csp-gost со следующими параметрами:
./csp-gost print_containers

o Чтобы просмотреть список контейнеров ключей, сертификаты, соответствующие которым,


устанавливаются в хранилище ключей локального компьютера (Local Machine), запустите
утилиту csp-gost со следующими параметрами:
./csp-gost print_containers --machine_keyset

Контейнеры ключей, находящиеся на подключенных внешних устройствах, отображаются в списке


при обоих случаях запуска утилиты. По умолчанию в качестве имени устройства используется
название семейства внешних устройств. Если для разработки внешних приложений требуется
использовать канонические имена контейнеров ключей на внешних устройствах (см. документ
«Криптографический интерфейс ViPNet CSP. Руководство разработчика», раздел «Работа с
контейнерами ключей на внешних устройствах»), добавьте при запуске утилиты параметр
--canonical.

При необходимости вы можете просмотреть свойства (см. Просмотр содержимого контейнера


ключей на стр. 71) или удалить выбранный контейнер ключей (см. Удаление контейнера ключей
вместе с соответствующим сертификатом на стр. 72).

ViPNet CSP Linux 4.2. Руководство пользователя | 70


Просмотр содержимого
контейнера ключей
Если вы хотите просмотреть свойства одного из установленных контейнеров ключей, выполните
следующие действия:

1 Перейдите в каталог /opt/itcs/bin.

2 Выберите нужный контейнер ключей из списка и запомните его имя (см. Просмотр списка
установленных контейнеров ключей на стр. 70).

3 Запустите утилиту csp-gost со следующими параметрами:


./csp-gost container_content --container <имя контейнера>

В результате на экран будет выведен список свойств контейнера ключей, а также


соответствующего сертификата, если таковой имеется.

ViPNet CSP Linux 4.2. Руководство пользователя | 71


Удаление контейнера ключей
вместе с соответствующим
сертификатом
Если вы хотите удалить один из установленных контейнеров ключей вместе с соответствующим
сертификатом, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin.

2 Выберите нужный контейнер ключей из списка и запомните его имя (см. Просмотр списка
установленных контейнеров ключей на стр. 70).

3 Запустите утилиту csp-gost со следующими параметрами:


./csp-gost delete_keyset --container <имя контейнера>

В результате указанный контейнер ключей будет удален. Вместе с ним будет удален из системного
хранилища соответствующий сертификат, если таковой имеется.

ViPNet CSP Linux 4.2. Руководство пользователя | 72


6
Работа с внешними
устройствами
Использование датчика случайных чисел 74

Настройка списка опрашиваемых внешних устройств 79

Взаимодействие с ПАК ViPNet HSM 80

ViPNet CSP Linux 4.2. Руководство пользователя | 73


Использование датчика случайных
чисел
Датчик случайных чисел создает случайные последовательности чисел для использования в
криптографических операциях. Например, на основе случайных последовательностей
формируются закрытые ключи.

В качестве датчика случайных чисел в программе ViPNet CSP Linux можно использовать один из
встроенных датчиков:

 «Биологический» датчик Электронная рулетка (см. глоссарий, стр. 148).

Внимание! Датчик случайных чисел «электронная рулетка» используется по умолчанию,


однако для его установки необходим пакет ДСЧ с графическим интерфейсом
(itcs-entropy-gost-gui). Если вы не установили этот пакет, перед тем как начинать
работать с криптопровайдером, выберите другой датчик случайных чисел.

 «Биологический» датчик, основанный на нажатиях клавиш клавиатуры. Этот датчик может


использоваться, если вы не установили пакет ДСЧ с графическим интерфейсом.

Кроме того, вы можете использовать аппаратный датчик случайных чисел (поддерживаются


датчики из программно-аппаратных комплексов «Аккорд» производства ОКБ САПР и «Соболь»
производства ООО «Код Безопасности»), предварительно созданную последовательность
случайных чисел, полученную в ключевом блокноте ДСДР (см. глоссарий, стр. 145), или датчик,
встроенный в ОС Linux.

Выбрать используемый датчик случайных чисел вы можете одним из следующих способов:

 С помощью графического интерфейса (см. Выбор датчика случайных чисел с помощью


графического интерфейса на стр. 74).

 С помощью командного интерфейса (см. Выбор датчика случайных чисел с помощью


командного интерфейса на стр. 77).

Выбор датчика случайных чисел с помощью


графического интерфейса
Внимание! Чтобы выбрать используемый по умолчанию датчик случайных чисел,
необходимо обладать правами суперпользователя.

Чтобы выбрать используемый по умолчанию датчик случайных чисел с помощью графического


интерфейса, выполните следующие действия:

ViPNet CSP Linux 4.2. Руководство пользователя | 74


1 Перейдите в каталог /opt/itcs/bin и запустите утилиту rngqtmgr с правами
суперпользователя:
sudo ./rngqtmgr

Рисунок 13. Выбор и настройка датчика случайных чисел

2 В окне Настройка ДСЧ в списке доступных ДСЧ выберите один из вариантов:

o Биологический — чтобы использовать для создания последовательности случайных чисел


«электронную рулетку» (см. глоссарий, стр. 148).

Рисунок 14. Электронная рулетка

o Биологический (клавиатурный) — чтобы использовать для создания последовательности


случайных чисел случайные нажатия клавиш клавиатуры.

ViPNet CSP Linux 4.2. Руководство пользователя | 75


o DSDR — чтобы использовать предварительно созданную последовательность случайных
чисел (гамму). После выбора этого варианта выполните следующие действия:

 Нажмите кнопку Настройки.

 В окне Свойства нажмите кнопку Добавить гамму и укажите каталог, в котором


находятся файлы, содержащие последовательность случайных чисел.

Примечание. Последовательности случайных чисел (гаммы) поставляются в ключевых


блокнотах ДСДР (см. глоссарий, стр. 145), которые вы можете получить в Федеральной
службе безопасности (ФСБ) России.

o Стандартное устройство — чтобы использовать датчик случайных чисел, встроенный в ОС


Linux.

o Аппаратный датчик случайных чисел, установленный на компьютере.

Примечание. Аппаратные датчики случайных чисел, не установленные на компьютере, не


отображаются в списке.
Поддерживаются аппаратные датчики случайных чисел, входящие в ПАК «Аккорд-АМДЗ»
производства ОКБ САПР, ПАК «Соболь» производства ООО «Код Безопасности», а также
ДСЧ на некоторых внешних устройствах.

3 Нажмите кнопку По умолчанию.

Перед использованием встроенного датчика случайных чисел вы можете проверить его


работоспособность (см. Проверка работоспособности датчика случайных чисел с помощью
графического интерфейса на стр. 76).

Проверка работоспособности датчика случайных чисел с


помощью графического интерфейса
Чтобы предварительно проверить работоспособность датчика случайных чисел, выполните
следующие действия:

1 В окне Настройка ДСЧ (см. рисунок на стр. 75) выполните следующие действия:

1.1 В области Настройки укажите, сколько байт случайных чисел необходимо сгенерировать
для проверки работоспособности. Рекомендуемое значение — 32 байта.

1.2 Нажмите кнопку Тест.

2 При необходимости выполните предложенные действия (например, при использовании


«электронной рулетки», поводите указателем мыши в пределах окна).

3 После проверки сгенерированная последовательность случайных чисел отображается в


области Результат.

ViPNet CSP Linux 4.2. Руководство пользователя | 76


При необходимости вы можете сохранить сгенерированную последовательность в файле, для
этого нажмите кнопку Сохранить.

После проверки работоспособности вы гарантированно можете использовать выбранный датчик


случайных чисел при выполнении криптографических операций.

Выбор датчика случайных чисел с помощью


командного интерфейса
Внимание! Чтобы выбрать используемый по умолчанию датчик случайных чисел,
необходимо обладать правами суперпользователя.

Чтобы выбрать используемый по умолчанию датчик случайных чисел с помощью командной


строки, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту rngcmgr с параметром print:


./rngcmgr print

В командной строке отобразится список доступных датчиков случайных чисел. По умолчанию


это датчики со следующими идентификаторами:

o unixx11 — датчик «электронная рулетка».

o dsdr — использование предварительно созданной последовательности случайных чисел


(гаммы).

Примечание. Последовательности случайных чисел (гаммы) поставляются в ключевых


блокнотах ДСДР (см. глоссарий, стр. 145), которые вы можете получить в Федеральной
службе безопасности России (ФСБ).

o biokbd — датчик, использующий для создания последовательности случайных чисел


произвольные нажатия клавиш клавиатуры.

o unixdev — датчик случайных чисел, встроенный в ОС Linux.

o Идентификатор аппаратного датчика случайных чисел, установленного на компьютере


(при наличии).

Запомните идентификатор датчика, который вы хотите использовать.

2 Запустите утилиту rngcmgr с правами администратора и следующими параметрами:


sudo ./rngcmgr default --rng <идентификатор датчика>

Если вы хотите использовать предварительно созданную последовательность случайных чисел,


вам также необходимо указать каталог, в котором находятся файлы, содержащие эту
последовательность. Для этого запустите утилиту rngcmgr со следующими параметрами:
./rngcmgr append_gamma --gamma_src=<путь к каталогу>

ViPNet CSP Linux 4.2. Руководство пользователя | 77


Перед использованием того или иного датчика случайных чисел вы можете проверить его
работоспособность (см. Проверка работоспособности датчика случайных чисел с помощью
командного интерфейса на стр. 78).

Проверка работоспособности датчика случайных чисел с


помощью командного интерфейса
Чтобы проверить работоспособность датчика случайных чисел, заданного по умолчанию,
запустите утилиту rngcmgr со следующим параметром:
./rngcmgr generate

При этом будет создана и отобразится случайная последовательность размером 32 байта.

Описание всех команд утилиты rngcmgr см. в приложении (см. Описание команд и параметров
утилиты rngcmgr на стр. 129).

ViPNet CSP Linux 4.2. Руководство пользователя | 78


Настройка списка опрашиваемых
внешних устройств
Программное обеспечение ViPNet CSP Linux позволяет работать с контейнерами ключей, которые
хранятся на внешних устройствах.

Вы можете указать типы устройств, которыми будете пользоваться, с помощью утилиты с


командным интерфейсом csp-gost. По умолчанию ViPNet CSP Linux проводит поиск устройств всех
поддерживаемых типов (см. Внешние устройства на стр. 139). Чтобы сократить время поиска
нужного ключа, а также для предотвращения возможных конфликтов драйверов внешних
устройств, отключите неиспользуемые устройства. Для этого выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin и запустите утилиту csp-gost с параметром


print_device_types:
./csp-gost print_device_types

Будет выведен список типов опрашиваемых внешних устройств и их статусы:

o enabled — опрашивается.

o disabled — не опрашивается.

Примечание. По умолчанию все типы устройств из списка, кроме Infotecs Software Token
и ViPNet HSM, опрашиваются.

2 Чтобы тип устройств не опрашивался, присвойте ему статус disabled. Для этого запустите
утилиту csp-gost со следующими параметрами:
sudo ./csp-gost ctrl_device_type --device_type <имя типа устройства> --disable

Повторите эту операцию для всех типов устройств, опрос которых требуется отключить.

Например, чтобы не опрашивались устройства типа ESMART Token, запустите утилиту со


следующими параметрами:
sudo ./csp-gost ctrl_device_type --device_type "ESMART Token" --disable

Примечание. Чтобы снова включить опрос устройства, запустите утилиту csp-gost со


следующими параметрами:
sudo ./csp-gost ctrl_device_type --device_type <имя типа устройств>

ViPNet CSP Linux 4.2. Руководство пользователя | 79


Взаимодействие с ПАК ViPNet HSM
Общие сведения о ViPNet HSM
ViPNet HSM (https://infotecs.ru/product/vipnet-hsm-1-0.html) представляет собой
программно-аппаратный комплекс (ПАК), предназначенный для выполнения криптографических
операций по запросам клиентов, а также для защищенного хранения ключей и конфиденциальных
данных клиентов. О назначении ПАК ViPNet HSM и работе с ним см. в документе
«Программно-аппаратный комплекс ViPNet HSM. Руководство администратора».

С помощью ViPNet CSP Linux вы можете подключаться к ПАК ViPNet HSM и использовать его для
защищенного хранения ключей и выполнения криптографических операций. Для этого между
ViPNet CSP Linux и ПАК ViPNet HSM необходимо настроить соединение (см. Настройка ViPNet CSP
Linux для взаимодействия с ПАК ViPNet HSM на стр. 80).

Настройка ViPNet CSP Linux для


взаимодействия с ПАК ViPNet HSM
Для направления ПАК ViPNet HSM (см. глоссарий, стр. 144) запросов на выполнение
криптографических операций и получения результатов их выполнения, а также для работы с
ключами, хранящимися на ПАК ViPNet HSM, предварительно настройте программу ViPNet CSP
Linux. Для этого выполните следующие действия:

1 Перейдите в каталог /home/<user name>/.itcs/itpkcs11/ и откройте для редактирования


файл pkcs11_proxy_settings.xml.

2 В файле pkcs11_proxy_settings.xml между тегами <url> и </url> задайте IP-адрес и порт


для подключения к серверу ViPNet HSM в формате <IP-адрес>:<порт>.

Например, чтобы задать подключение к ПАК ViPNet HSM с IP-адресом 192.168.1.32 через порт
9090, файл pkcs11_proxy_settings.xml должен иметь следующее содержание:
<pkcs11_settings>
<general>
<url>192.168.1.32:9090</url>
</general>
</pkcs11_settings>

3 Сделайте устройство ViPNet HSM доступным в списке опрашиваемых внешних устройств (см.
Настройка списка опрашиваемых внешних устройств на стр. 79).

ViPNet CSP Linux 4.2. Руководство пользователя | 80


Предварительная настройка ViPNet CSP Linux для взаимодействия с ПАК ViPNet HSM выполнена.
Теперь вы можете работать с ключами, хранящимися в ПАК ViPNet HSM, как если бы они
находились на токене, подключенном к вашему компьютеру (см. Операции с контейнерами
ключей на стр. 68).

ViPNet CSP Linux 4.2. Руководство пользователя | 81


7
Использование
расширенной электронной
подписи
Электронная подпись формата CAdES-BES в ViPNet CSP Linux 83

Включение и выключение добавления атрибутов CAdES-BES 84

ViPNet CSP Linux 4.2. Руководство пользователя | 82


Электронная подпись формата
CAdES-BES в ViPNet CSP Linux
В обычной электронной подписи формата CMS дополнительные атрибуты не добавляются в
подпись, а передаются вместе с ней в качестве дополнительных параметров. Подмена или
удаление этих параметров может привести к тому, что ПО при проверке признает такую
электронную подпись недействительной. Во избежание таких ситуаций используется расширенная
электронная подпись формата CAdES-BES (см. глоссарий, стр. 146).

Электронная подпись формата CAdES-BES сохраняет структуру обычной электронной подписи


формата CMS, но при этом к ней добавляются следующие атрибуты:

 тип подписываемых данных;

 хэш-сумма подписываемых данных;

 идентификатор подписывающей стороны, вычисляемый по ее сертификату.

При этом сохраняется полная обратная совместимость: подпись формата CAdES-BES сможет
верифицировать ПО, которое может верифицировать подпись формата CMS. Однако для
использования всех возможностей расширенной электронной подписи (формата CAdES-BES)
необходимо ПО, способное анализировать атрибуты CAdES-BES.

По умолчанию в ViPNet CSP Linux возможность использовать атрибуты CAdES-BES при подписи
включена. Отключить возможность использования атрибутов CAdES-BES вы можете отдельно для
каждой криптографической операции либо глобальное с помощью утилиты csp-gost (см.
Включение и выключение добавления атрибутов CAdES-BES на стр. 84).

ViPNet CSP Linux 4.2. Руководство пользователя | 83


Включение и выключение
добавления атрибутов CAdES-BES
По умолчанию добавление атрибутов CAdES-BES при подписи включено. При необходимости вы
можете отключить добавление атрибутов для какой-либо криптографической операции или
отключить добавление атрибутов CAdES-BES глобально.

Если вы хотите отключить возможность использования атрибутов CAdES-BES при формировании


электронной подписи глобально, выполните следующие действия:

1 Перейдите в каталог /opt/itcs/bin.

Внимание! Чтобы включать или выключать добавление атрибутов CAdES-BES глобально,


необходимо обладать правами суперпользователя.

2 Запустите утилиту csp-gost с правами суперпользователя и следующими параметрами:


sudo ./csp-gost cades_bes --disable

Примечание. Чтобы впоследствии вернуть добавление атрибутов CAdES-BES по


умолчанию, необходимо запустить утилиту csp-gost с командой cades_bes без
параметров:
sudo ./csp-gost cades_bes

ViPNet CSP Linux 4.2. Руководство пользователя | 84


8
Использование функций
криптопровайдера при
разработке программ
Настройка проекта для использования функций ViPNet CSP Linux 86

Криптографические библиотеки, входящие в состав ViPNet CSP Linux 87

ViPNet CSP Linux 4.2. Руководство пользователя | 85


Настройка проекта для
использования функций ViPNet
CSP Linux
Внимание! Для сборки проектов, использующих библиотеки ViPNet CSP Linux, вам
понадобится компилятор GCC.

Для использования функций ViPNet CSP Linux в своем проекте выполните следующие действия:

1 В настройках проекта укажите следующие каталоги:

o /opt/itcs/include — каталог, содержащий заголовочные файлы ViPNet CSP Linux;

o /opt/itcs/lib — каталог, содержащий файлы библиотек ViPNet CSP Linux.

2 Настройте линковку с библиотекой libadvapi32.so. Для этого в make-файле проекта укажите


флаг -ladvapi32.

Примечание. С помощью библиотеки libadvapi32.so вы сможете выполнять


криптографические функции, определенные в интерфейсе Microsoft CryptoAPI 1.0.
Если требуется использовать также криптографические функции, определенные в
более поздних версиях интерфейса, настройте линковку с библиотекой
libcrypt32.so с помощью флага -lcrypt32.

Также в make-файле проекта в настройках компилятора задайте в качестве rpath каталог, в


который установлены библиотеки:
-Wl,-rpath=/opt/itcs/lib

3 В исходный код проекта включите заголовочный файл wincrypt.h:


#include <wincrypt.h>

В результате вы сможете использовать в своем проекте функции, описанные в руководстве «ViPNet


CryptoAPI for Linux. Руководство разработчика».

Также вы сможете применять типы данных, используемые с этими функциями.

ViPNet CSP Linux 4.2. Руководство пользователя | 86


Криптографические библиотеки,
входящие в состав ViPNet CSP
Linux
После установки пакетов программного обеспечения ViPNet CSP Linux библиотеки, входящие в их
состав, будут размещены в каталоге /opt/itcs/lib.

Описание используемых криптографических библиотек приведено в документе «ViPNet CryptoAPI


for Linux. Руководство разработчика».

ViPNet CSP Linux 4.2. Руководство пользователя | 87


9
Регистрация событий
криптопровайдера
Общие сведения 89

Настройка системы логирования 91

ViPNet CSP Linux 4.2. Руководство пользователя | 88


Общие сведения
В большинстве дистрибутивов операционной системы Linux по умолчанию события
регистрируются в файле журнала, расположение которого задается в конфигурации установленной
системы логирования (в большинстве случаев /var/log/messages или /var/log/syslog). Файл
журнала обычно доступен пользователям без прав суперпользователя только для чтения.

Все утилиты, входящие в состав ViPNet CSP Linux, используют в качестве имени логера значение
vipnetcsp и тип событий (facility) LOG_USER. Библиотеки самостоятельно не инициализируют
систему логирования, а используют имя логера и тип сообщений, установленные для
выполняемого приложения.

Для удобства просмотра журнала событий мы рекомендуем настроить перенаправление вывода


событий ViPNet CSP Linux в отдельный файл (см. Настройка системы логирования на стр. 91).

В журнале регистрируются события, связанные с использованием следующих функций


криптопровайдера (описание этих функций см. в документе «Криптографический интерфейс ViPNet
CSP. Руководство разработчика»):

 CPAcquireContext;

 CPSetProvParam;

 CPGetProvParam;

 CPGenRandom;

 CPGenKey;

 CPGetKeyParam;

 CPSetKeyParam;

 CPDuplicateKey;

 CPGetUserKey;

 CPReleaseContext;

 CPCreateHash;

 CPDestroyHash;

 CPGetHashParam;

 CPSetHashParam;

 CPHashData;

 CPSignHash;

 CPDuplicateHash;

 CPVerifySignature;

 CPExportKey;

ViPNet CSP Linux 4.2. Руководство пользователя | 89


 CPImportKey;

 CPDestroyKey;

 CPHashSessionKey;

 CPEncrypt;

 CPDecrypt;

 CPDeriveKey.

Вы можете задать один из четырех уровней логирования либо отключить запись событий. Для
этого выполните следующие действия:

1 Перейдите в каталог /etc/opt/itcs/vipnet-csp.

2 Откройте файл csp.ini с помощью текстового редактора.

3 Присвойте параметру log_level одно из следующих значений:

o error — уровень логирования LOG_ERR (3), в журнал добавляются только сообщения об


ошибках.

o warn — уровень логирования LOG_WARNING (4), в журнал также добавляются


предупреждения. Этот уровень используется по умолчанию.

o info — уровень логирования LOG_INFO (6); в журнал также добавляются


информационные сообщения.

o debug — уровень логирования LOG_DEBUG (7), в журнал также добавляются отладочные


сообщения.

o none — отключение регистрации событий.

Например, для того чтобы в журнал добавлялись только сообщения об ошибках, добавьте в
файл следующую строку:
log_level = error

4 Закройте файл csp.ini, сохранив изменения.

ViPNet CSP Linux 4.2. Руководство пользователя | 90


Настройка системы логирования
После установки пакетов ViPNet CSP Linux вы можете для удобства доступа к записям журнала
настроить систему логирования операционной системы следующим образом:

1 Перенаправьте регистрацию событий ViPNet CSP Linux в отдельный файл.

2 Установите разрешения на доступ к этому файлу.

Способы настройки системы логирования зависят от установленной реализации syslog (rsyslog,


syslog-ng и так далее). Например, чтобы настроить логирование в операционной системе Ubuntu
15.04 (rsyslog), в каталоге /etc/rsyslog.d создайте файл 30-vipnetcsp.conf со следующим
содержимым:
if $programname == "vipnetcsp" and $syslogseverity <= 4
then {
action(type="omfile" file="/var/log/vipnetcsp.log" fileCreateMode="0600")
}
:programname, isequal, "vipnetcsp" stop

Эти настройки указывают системе логирования на перенаправление вывода приложений с именем


логера vipnetcsp в файл /var/log/vipnetcsp.log. Доступ к файлу имеет только сама система
логирования и пользователь с правами суперпользователя. Кроме того, задается фильтр на
уровень логирования LOG_WARNING ($syslogseverity <= 4). В данном случае в журнал
добавляются сообщения об ошибках и предупреждениях.

ViPNet CSP Linux 4.2. Руководство пользователя | 91


10
Настройка кэширования при
выполнении
криптографических
операций
Общие сведения 93

Настройка параметров кэширования 94

ViPNet CSP Linux 4.2. Руководство пользователя | 92


Общие сведения
При выполнении таких криптографических операций, как проверка электронной подписи и
расшифрование списков CRL, в криптопровайдере ViPNet CSP Linux используется кэширование
служебных данных в оперативной памяти компьютера. Благодаря этому значительно
увеличивается быстродействие. Так, скорость проверки электронной подписи увеличивается до 4
раз.

Для оптимизации работы криптопровайдера на вашем компьютере вы можете изменить


максимальный размер кэша или максимальное время хранения данных в кэше (см. Настройка
параметров кэширования на стр. 94).

По умолчанию кэширование включено, но в целях отладки существует возможность полностью


отключить его.

ViPNet CSP Linux 4.2. Руководство пользователя | 93


Настройка параметров
кэширования
Чтобы изменить настройки кэширования, выполните следующие действия:

1 Перейдите в каталог /etc/opt/itcs/vipnet-csp.

2 Откройте файл csp.ini с помощью текстового редактора.

3 Чтобы настроить кэширование при расшифровании списков CRL, при необходимости измените
следующие параметры:

o crl_cache_enable — по умолчанию кэширование включено и параметру присвоено


значение yes. Чтобы отключить кэширование, присвойте параметру значение no.

o crl_cache_size_mb — размер кэша в мегабайтах. Значение по умолчанию — 128.

o crl_cache_storage_time_s — время хранения кэшированных данных в секундах.


Значение по умолчанию — 600.

4 Чтобы настроить кэширование при проверке подлинности электронной подписи, при


необходимости измените следующие параметры:

o sign_cache_enable — по умолчанию кэширование включено и параметру присвоено


значение yes. Чтобы отключить кэширование, присвойте параметру значение no.

o sign_cache_size_mb — размер кэша в мегабайтах. Значение по умолчанию — 64.

5 Закройте файл csp.ini, сохранив изменения.

6 Если в данный момент запущены утилиты, входящие в состав ПО ViPNet CSP Linux,
перезапустите их.

ViPNet CSP Linux 4.2. Руководство пользователя | 94


11
Выполнение
криптографических
операций с помощью
тестовой утилиты cryptofile
Назначение утилиты cryptofile 96

Особенности работы с утилитой cryptofile 97

ViPNet CSP Linux 4.2. Руководство пользователя | 95


Назначение утилиты cryptofile
Утилита cryptofile предназначена для защиты файлов любых форматов с помощью шифрования и
электронной подписи. В составе ViPNet CSP Linux утилита может использоваться для тестирования
и проверки результатов работы криптопровайдера.

С помощью утилиты cryptofile вы можете выполнять следующие операции:

 Шифрование и расшифрование файлов.

 Создание и проверка электронной подписи данных.

 Взаимодействие с TSP-сервером (см. глоссарий, стр. 144) и создание электронной подписи со


штампом времени либо добавление к имеющейся электронной подписи штампа времени.

 Добавление к файлу, заверенному электронной подписью, еще одной электронной подписи.

 Удаление из файла, заверенного несколькими электронными подписями, одной из них.

 Преобразование данных в формат Base64 (см. глоссарий, стр. 143) и раскодирование из него.

Об особенностях работы с утилитой см. соответствующий раздел (см. Особенности работы с


утилитой cryptofile на стр. 97).

ViPNet CSP Linux 4.2. Руководство пользователя | 96


Особенности работы с утилитой
cryptofile
Команды и параметры утилиты cryptofile приведены в приложении (см. Описание команд и
параметров утилиты cryptofile на стр. 119).

Ниже перечислены особенности работы с утилитой:

 При создании электронной подписи вы можете использовать прикрепленную и открепленную


подписи.

 Вы можете задавать один или несколько необходимых сертификатов следующими способами:

o Задавать путь к сертификату.

o Задавать путь к контейнеру ключей, включающему в себя требуемый сертификат.

o Задавать пути к сертификату и соответствующему контейнеру ключей (в случае если


сертификат не установлен в контейнер).

o Задавать имя издателя и серийный номер сертификата, установленного в системное


хранилище.

o Задавать поле subject key identifier сертификата, установленного в системное


хранилище.

o Задавать хэш-сумму сертификата, установленного в системное хранилище («fingerprint»).

 Вы можете задавать один или несколько контейнеров ключей следующими способами:

o Задавать путь к контейнеру ключей.

o Задавать путь к сертификату, соответствующему требуемому контейнеру ключей.

o Задавать пути к контейнеру ключей и соответствующему сертификату (в случае если


сертификат не установлен в контейнер).

o Задавать имя издателя и серийный номер сертификата, установленного в системное


хранилище и соответствующего контейнеру ключей.

o Задавать поле subject key identifier сертификата, установленного в системное


хранилище и соответствующего контейнеру ключей.

o Задавать хэш-сумму сертификата, установленного в системное хранилище и


соответствующего контейнеру ключей («fingerprint»).

 При создании электронной подписи могут добавляться атрибуты расширенной электронной


подписи CAdES-BES (см. Использование расширенной электронной подписи на стр. 82).

 При создании электронной подписи вы можете указывать адрес TSP-сервера и добавлять


штамп времени.

 При выполнении всех криптографических операций вы можете менять размер блоков


обрабатываемых данных. Это может быть полезно при обработке файлов больших размеров.

ViPNet CSP Linux 4.2. Руководство пользователя | 97


Примеры работы с утилитой cryptofile см. в разделе Выполнение криптографических операций с
файлами (на стр. 104).

ViPNet CSP Linux 4.2. Руководство пользователя | 98


12
Надежное удаление файлов
с помощью утилиты wipe
Для чего нужно надежно удалять файлы 100

Работа с утилитой wipe 101

ViPNet CSP Linux 4.2. Руководство пользователя | 99


Для чего нужно надежно удалять
файлы
С помощью утилиты wipe, входящей в состав ПО ViPNet CSP Linux, вы можете удалить какой-либо
файл с жесткого диска или съемного носителя без возможности восстановления, например, если из
соображений безопасности вы хотите безвозвратно удалить конфиденциальный файл после
прочтения.

Алгоритм работы с утилитой wipe приведен в разделе Работа с утилитой wipe (на стр. 101).

ViPNet CSP Linux 4.2. Руководство пользователя | 100


Работа с утилитой wipe
Надежное удаление файла выполняется в несколько этапов:

1 Создание блока случайных данных (размер блока по умолчанию — 512 байт, размер блока
может быть изменен при вызове утилиты).

2 Повторяющаяся запись блока случайных данных до заполнения области накопителя, на


которой записан стираемый файл.

3 Побитовое инвертирование блока случайных данных.

4 Повторяющаяся запись инвертированного блока случайных данных до заполнения области


накопителя, на которой был записан стираемый файл.

5 Повтор предыдущих шагов заданное количество раз.

6 Изменение имени файла на случайное заданное количество раз. Количество переименований


совпадает с количеством циклов стирания.

7 Удаление файла.

После всех операций записи на жесткий диск компьютера выполняется вызов команды fsync().

Чтобы надежно удалить какой-либо файл, перейдите в каталог /opt/itcs/bin и запустите утилиту
wipe, указав нужные параметры:

 -f, --file (arg) — путь к файлу, который требуется надежно удалить.

 -r, --randomizer (arg) — тип датчика случайных чисел, используемого в процессе надежного
удаления. Необязательный параметр. Значение по умолчанию — gost. Может принимать
следующие значения:

o gost — случайные данные получаются следующим образом: часть удаляемого файла


шифруется в соответствии с алгоритмом ГОСТ 28147-89 в режиме гаммирования, при этом
ключ шифрования генерируется с помощью системного датчика случайных чисел ОС Linux
(/dev/urandom).

o system — системный датчик случайных чисел ОС Linux (/dev/urandom).

o std — датчик случайных чисел стандартной библиотеки C++ (std::rand()).

 -n, --iterations (arg) — количество циклов стирания. Значение по умолчанию — 3.

 -b, --block_size (arg) — размер блока в байтах. Значение по умолчанию — 512.

 -u, --no_remove — служебный параметр, при его задании файл после стирания не удаляется.

ViPNet CSP Linux 4.2. Руководство пользователя | 101


13
Примеры использования
ViPNet CSP Linux
Получение сертификата и установка его в системное хранилище 103

Выполнение криптографических операций с файлами 104

Надежное удаление файла 106

ViPNet CSP Linux 4.2. Руководство пользователя | 102


Получение сертификата и
установка его в системное
хранилище
Чтобы начать работу с механизмом электронной подписи или асимметричного шифрования,
необходимо после установки ПО ViPNet CSP Linux выполнить ряд команд. Пример такой
последовательности команд приведен ниже.

1 Формирование запроса на издание сертификата:


/opt/itcs/bin/certreq new --inf_file=/opt/itcs/share/certreq/full.inf
--req_file=/home/req1.p10 --pin=Aa123456

2 Просмотр полученного файла с запросом на издание сертификата:


/opt/itcs/bin/certreq print --req_file=/home/req1.p10

Файл с запросом на издание сертификата необходимо передать в удостоверяющий центр и


получить изданный сертификат, а также один или несколько списков CRL и сертификатов
издателей.

3 Установка сертификата издателя в системное хранилище:


/opt/itcs/bin/certmgr add_certificate --location=CurrentUser --store=Root
--file=/home/user1/RootCert1

4 Установка списка CRL в системное хранилище:


/opt/itcs/bin/certmgr add_crl --location=CurrentUser --store=CA
--file=/home/user1/CRL2015

5 Установка сертификата в системное хранилище:


/opt/itcs/bin/certreq accept --cert_file=/home/cert1.cer

6 Просмотр информации об установленном сертификате:


/opt/itcs/bin/certmgr print_certificates --location=CurrentUser --store=Root
/opt/itcs/bin/certmgr print_certificate --location=CurrentUser --store=Root
--index=0

ViPNet CSP Linux 4.2. Руководство пользователя | 103


Выполнение криптографических
операций с файлами
С помощью тестовой утилиты cryptofile вы можете зашифровывать и расшифровывать файлы,
подписывать файлы электронной подписью и проверять электронную подпись. Примеры команд
для выполнения таких операций приведены ниже.

 Пример подписания файла test.doc (для задания закрытого ключа используется имя издателя
и серийный номер соответствующего ему сертификата):
/opt/itcs/bin/cryptofile sign --in=/home/user1/test.doc
--out=/home/user1/test.doc.sig --nodetach --DER
--issuer_serial="CRYPTO-CA|4ee987f40000000009fd"

 Пример подписания файла test.doc c помощью двух закрытых ключей (для задания закрытых
ключей используются имена издателей и серийные номера соответствующих сертификатов):
/opt/itcs/bin/cryptofile sign --in=/home/user1/test.doc
--out=/home/user1/test.doc.sig --nodetach --DER
--issuer_serial="CRYPTO-CA|4ee987f40000000009fd"
--issuer_serial="CRYPTO-CA|4ee987f40000000009fe"

 Пример подписания файла test.doc (для задания закрытого ключа используются имя издателя
и серийный номер соответствующего ему сертификата) с добавлением штампа времени:
/opt/itcs/bin/cryptofile sign --in=/home/user1/test.doc
--out=/home/user1/test.doc.sig --nodetach --DER
--issuer_serial="CRYPTO-CA|4ee987f40000000009fd"
--tsp="http://192.168.58.201:8777/tsp"

 Пример подписания файла test.doc (для задания закрытых ключей используются пути к
контейнерам ключей, указанные в файле signers.ini):
/opt/itcs/bin/cryptofile sign --in=/home/user1/test.doc
--out=/home/user1/test.doc.sig --settings ./signers.ini --nodetach --DER

Пример содержимого файла signers.ini:


container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2001-cnt
container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2012-1024-cnt
container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2012-512-cnt
keyid=95bdd6f344263d04b6f1e64728d03c5f62ae29b5
fingerprint=0f9abe9c93863cdb9ad1f1c0c7a2e09f73fabed2

 Пример подписания файла test.doc (для задания всех параметров подписания используется
файл signers.ini):
/opt/itcs/bin/cryptofile sign --settings ./signers.ini

Пример содержимого файла signers.ini:


in=/home/kbs/temp/test.doc
out=/home/kbs/temp/test.doc.sig
container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2001-cnt

ViPNet CSP Linux 4.2. Руководство пользователя | 104


container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2012-1024-cnt
container=/var/opt/itcs/vipnet-csp/containers/test-itcs-gost-2012-512-cnt
nodetach=

 Пример зашифрования файла test.doc:


/opt/itcs/bin/cryptofile encrypt --in=/home/user1/test.doc
--out=/home/user1/test.doc.enc --issuer_serial="CRYPTO-CA|4ee987f40000000009fd"

 Пример проверки электронной подписи файла test.doc.sig:


/opt/itcs/bin/cryptofile verify --in=/home/user1/test.doc.sig
--out=/home/user1/test.doc

 Пример расшифрования файла test.doc.enc:


/opt/itcs/bin/cryptofile decrypt --in=/home/user1/test.doc.enc
--out=/home/user1/test.doc

ViPNet CSP Linux 4.2. Руководство пользователя | 105


Надежное удаление файла
С помощью утилиты wipe вы можете надежно удалять файлы.

Например, чтобы удалить файл file1.txt из каталога /home/user, используя параметры


надежного удаления по умолчанию, запустите утилиту wipe со следующими параметрами:
/opt/itcs/bin/wipe -f /home/user/file1.txt

В результате выбранный файл будет удален с жесткого диска. Восстановление файла, удаленного
таким образом, невозможно.

ViPNet CSP Linux 4.2. Руководство пользователя | 106


A
Установка отдельных пакетов
ViPNet CSP Linux
При необходимости вы можете выбрать и установить только пакеты ViPNet CSP Linux, которые
требуются для выполнения вашей конкретной задачи (см. Состав программного обеспечения на
стр. 11).

Примечание. Для установки используйте варианты пакетов, соответствующие


вашему дистрибутиву ОС Linux (см. Состав программного обеспечения на стр. 11).

Между пакетами ПО ViPNet CSP Linux существуют зависимости, приведенные на рисунке ниже. Для
установки того или иного пакета необходимо, чтобы пакеты, изображенные на рисунке левее, уже
были установлены.

ViPNet CSP Linux 4.2. Руководство пользователя | 107


Рисунок 15. Зависимости пакетов ПО ViPNet CSP Linux

Примечание. Пакет itcs-licensing на рисунке выделен, так как это базовый пакет,
содержащий систему регистрации (см. Регистрация ViPNet CSP Linux на стр. 28).

Например, если вам необходимы только базовые функции криптопровайдера, последовательно


установите пакеты:

1 itcs-licensing.

2 itcs-known-path.

3 itcs-entropy-gost.

4 itcs-winapi.

5 itcs-csp-gost.

Затем, в зависимости от ваших задач, вы можете установить следующие пакеты:

ViPNet CSP Linux 4.2. Руководство пользователя | 108


 Чтобы добавить библиотеки и утилиты с реализацией графического интерфейса
криптопровайдера, установите пакеты:

o itcs-winapi-gui.

o itcs-entropy-gost-gui.

o itcs-csp-gost-gui.

 Чтобы добавить набор заголовочных файлов и примеры использования ViPNet CSP Linux,
установите пакет itcs-csp-dev.

 Чтобы добавить служебные утилиты для контроля целостности файлов, установите пакет
itcs-integrity-check.

 Чтобы добавить тестовую утилиту, выполняющую криптографические операции, установите


пакет itcs-cryptofile.

 Чтобы добавить утилиту, предназначенную для надежного удаления файлов с жесткого диска,
установите пакет itcs_wiper.

 Чтобы добавить библиотеки, которые используются сторонним ПО ViPNet PKI Client,


установите пакет pkicmd.

Если же вам требуется только работа с программными токенами, см. документ «ViPNet SoftToken.
Руководство разработчика», раздел «Установка ViPNet SoftToken».

Кроме того, вне зависимости от остальных пакетов вы можете установить пакет itcs-itpkcs11,
предназначенный для взаимодействия с ПАК ViPNet HSM (см. Взаимодействие с ПАК ViPNet HSM
на стр. 80).

Для установки любого из пакетов ViPNet CSP Linux выполните следующие действия:

1 Войдите в консоль ОС Linux.

2 В зависимости от типа пакета выполните одну из следующих команд:

o Для DEB-пакетов:
sudo dpkg -i <путь к каталогу>/<имя пакета_номер версии_архитектура>.deb

o Для RPM-пакетов:
sudo rpm -ivh <путь к каталогу>/<имя пакета-номер версии.архитектура>.rpm

ViPNet CSP Linux 4.2. Руководство пользователя | 109


B
Справочник команд и
параметров утилит,
входящих в ViPNet CSP Linux

ViPNet CSP Linux 4.2. Руководство пользователя | 110


Описание команд и параметров
утилиты certreq
В данном разделе приведен полный список команд и параметров консольной утилиты certreq.

Таблица 8. Команды и параметры утилиты certreq

Команда Описание Параметры

new Формирует --inf_file — путь к файлу с параметрами запрашиваемого


запрос на сертификата.
издание или
--req_file — путь к формируемому файлу запроса на издание или
обновление
обновление сертификата.
сертификата.
Необязательные параметры:
--binary — параметр без значения. По умолчанию запрос на издание
или обновление сертификата создается в кодировке Base64. При
указании этого параметра файл запроса создается в кодировке DER.
--pin — с помощью данного параметра можно задать пароль для
создаваемого контейнера ключей непосредственно в параметре
команды. При указании этого параметра окно для задания пароля не
появляется.
--req_sign_pin — параметр используется при обновлении
сертификата. Задает пароль к контейнеру ключей, где находится
закрытый ключ, которым подписывается запрос на обновление
сертификата.
--no_sign_tool — параметр без значения. По умолчанию в
издаваемом сертификате должно присутствовать поле SubjectSign Tool
(«средство электронной подписи владельца»). Это поле необходимо для
квалифицированных сертификатов. С помощью данного параметра вы
можете создать запрос на издание сертификата без указанного поля.
Параметр служит для тестовых целей.
--disable_rdn_check — параметр без значения. Отменяет проверку
форматов значений в параметре Subject INF-файла.
--reverse_subject_name — параметр без значения. Представляет
значения параметра Subject INF-файла в обратном порядке (такое
представление характерно для криптографического ПО компании
Microsoft).
--critical — задает расширения сертификата, которые должны быть
отмечены как критичные. В качестве значения этого параметра вы
можете через запятую указать несколько названий расширений либо
несколько соответствующих идентификаторов OID.

ViPNet CSP Linux 4.2. Руководство пользователя | 111


Команда Описание Параметры

print Отображает --req_file — путь к сформированному файлу запроса на издание или


содержимое обновление сертификата.
запроса на
--binary — параметр без значения. Его необходимо указать, если
сертификат.
запрос создан не в кодировке Base64, а в кодировке DER.

accept Устанавливает --cert_file — путь к изданному сертификату.


сертификат,
--binary — параметр без значения. Его необходимо указать, если
полученный по
сертификат издан не в кодировке Base64, а в кодировке DER.
запросу,
сделанному с --pin — пароль к контейнеру ключей, соответствующему данному
помощью сертификату.
данной утилиты.

ViPNet CSP Linux 4.2. Руководство пользователя | 112


Описание команд и параметров
утилиты certmgr
В данном разделе приведен полный список команд и параметров консольной утилиты certmgr.

Таблица 9. Команды и параметры утилиты certmgr

Команда Описание Параметры

print_locations Выводит список хранилищ


сертификатов: CurrentUser и
LocalMachine.

print_stores Выводит список разделов --location — имя хранилища


заданного хранилища сертификатов.
сертификатов.

print_certificates Выводит перечень сертификатов в --location — имя хранилища


заданном разделе заданного сертификатов.
хранилища. Каждому сертификату
--store — раздел хранилища
присваивается порядковый номер
сертификатов.
(индекс).

print_certificate Выводит свойства заданного Сертификат можно задать


сертификата. следующими способами:
 --location — имя хранилища
сертификатов.
--store — имя раздела
хранилища сертификатов.
--index — порядковый номер
сертификата (см. описание
команды print_certificates).
 --file — путь к файлу с
сертификатом.
 --container — путь к
контейнеру ключей,
включающему сертификат.

print_crls Выводит перечень списков CRL --location — имя хранилища


в заданном разделе заданного сертификатов.
хранилища. Каждому списку CRL
--store — раздел хранилища
присваивается порядковый номер
сертификатов.
(индекс).

ViPNet CSP Linux 4.2. Руководство пользователя | 113


Команда Описание Параметры

print_crl Выводит свойства заданного Список CRL можно задать


списка CRL. следующими способами:
 --location — имя хранилища
сертификатов.
--store — имя раздела
хранилища сертификатов.
--index — порядковый номер
списка CRL (см. описание
команды print_crls).
 --file — путь к файлу со
списком CRL.

print_items Выводит перечень сертификатов и --location — имя хранилища


списков CRL, установленных в сертификатов.
заданном хранилище.

add_store Добавляет в указанное хранилище --location — имя хранилища


сертификатов раздел с заданным сертификатов.
именем.
--store — имя добавляемого
раздела хранилища сертификатов.

remove_store Удаляет указанный раздел --location — имя хранилища


хранилища сертификатов. сертификатов.
--store — имя добавляемого
раздела хранилища сертификатов.

add_certificate Добавляет один или несколько --location — имя хранилища


сертификатов в указанный раздел сертификатов.
указанного хранилища.
--store — раздел хранилища
сертификатов.
--file — путь к файлу с
устанавливаемым сертификатом.
--container — необязательный
параметр, путь к контейнеру
ключей, соответствующему
устанавливаемому сертификату.
--dir — путь к каталогу с
устанавливаемыми сертификатами.
Фильтровать сертификаты,
находящиеся в заданном каталоге,
можно с помощью следующих
необязательных параметров:
 --root-only — добавление
только корневых сертификатов.
 --intermediate-only —
добавление только
промежуточных сертификатов.

ViPNet CSP Linux 4.2. Руководство пользователя | 114


Команда Описание Параметры
 --end-only — добавление
только сертификатов конечных
пользователей.
 --with-aki — добавление
только сертификатов с
расширением идентификатора
ключа центра сертификации (AKI).
 --with-aki2 — добавление
только сертификатов с
расширением идентификатора
ключа центра сертификации
(AKI2).
 --with-subj-key-id —
добавление только сертификатов
с идентификатором ключа
субъекта.
 --file-ext — добавление
только сертификатов с заданным
расширением.

remove_certificate Удаляет заданный сертификат из --location — имя хранилища


хранилища сертификатов. сертификатов.
--store — раздел хранилища
сертификатов.
--index — порядковый номер
сертификата (см. описание команды
print_certificates).

add_crl Добавляет один или несколько --location — имя хранилища


списков CRL в указанный раздел сертификатов.
указанного хранилища
--store — раздел хранилища
сертификатов.
сертификатов.
--file — путь к файлу с
устанавливаемым списком CRL.
--dir — путь к каталогу с
устанавливаемыми списками CRL.
Фильтровать списки CRL,
находящиеся в заданном каталоге,
можно с помощью следующих
необязательных параметров:
 --with-aki — добавление
только списков CRL с
расширением идентификатора
ключа центра сертификации (AKI).
 --with-aki2 — добавление
только списков CRL с
расширением идентификатора

ViPNet CSP Linux 4.2. Руководство пользователя | 115


Команда Описание Параметры
ключа центра сертификации
(AKI2).
 --file-ext — добавление
только списков CRL с заданным
расширением.

remove_crl Удаляет указанный список CRL из --location — имя хранилища


хранилища сертификатов. сертификатов.
--store — раздел хранилища
сертификатов.
--index — порядковый номер
списка CRL (см. описание команды
print_crls).

get_chain Пытается установить цепочку Сертификат можно задать


сертификации для указанного следующими способами:
сертификата.  --location — имя хранилища
сертификатов.
--store — имя раздела
хранилища сертификатов.
--index — порядковый номер
сертификата (см. описание
команды print_certificates).
 --file — путь к файлу с
сертификатом.
 --container — путь к
контейнеру ключей,
включающему сертификат.
--cache-only-chain —
необязательный параметр; попытка
установления цепочки
сертификации, используя только
сертификаты, установленные в
системное хранилище либо
находящиеся в кэше системы.
--cache-only-revocation —
необязательный параметр; попытка
установления цепочки
сертификации, используя только
списки CRL, установленные в
системное хранилище либо
находящиеся в кэше системы.
Примечание. При отсутствии
данного параметра и в случае, если
в сертификате указан URL-адрес
точки распространения списков
аннулированных сертификатов или
OCSP-сервера (см. глоссарий, стр.

ViPNet CSP Linux 4.2. Руководство пользователя | 116


Команда Описание Параметры
143), попытка установить цепочку
сертификации производится также с
помощью этой точки
распространения или этого
OCSP-сервера.

clear_store Удаляет сертификаты и списки CRL --location — имя хранилища


из указанного раздела хранилища сертификатов.
сертификатов.
--store — раздел хранилища
сертификатов.

extract_certificate Извлекает сертификат из --container — путь к контейнеру


контейнера ключей и сохраняет ключей.
его в файле.
--file — путь к файлу с
извлеченным сертификатом.

export_certificate Экспортирует сертификат из --location — имя хранилища


хранилища в файл формата X.509 сертификатов.
(c расширениями .cer, .crt). --store — раздел хранилища
сертификатов.
--index — порядковый номер
сертификата (см. описание команды
print_certificates).
--file — путь к файлу формата
X.509.

export_crl Экспортирует список CRL из --location — имя хранилища


хранилища в отдельный файл с сертификатов.
расширением .crl. --store — раздел хранилища
сертификатов.
--index — порядковый номер
сертификата (см. описание команды
print_certificates).
--file — путь к файлу с
расширением .crl.

ViPNet CSP Linux 4.2. Руководство пользователя | 117


Команда Описание Параметры

export_keys_to_pfx Экспортирует сертификат либо --location — имя хранилища


сертификат вместе с закрытым сертификатов.
ключом в файл формата PKCS#12
--store — раздел хранилища
сертификатов.
--index — порядковый номер
сертификата (см. описание команды
print_certificates).
--export_private_keys —
необязательный параметр; экспорт
закрытого ключа вместе с
сертификатом.
--pfx_container — путь к файлу
формата PKCS#12.
--password_pfx — пароль для
доступа к файлу формата PKCS#12.
--include_extended_prop —
необязательный параметр; попытка
добавления в файл формата
PKCS#12 расширенных свойств
сертификата.

import_keys_from_pf Импортирует сертификат либо --location — имя хранилища


x сертификат вместе с закрытым сертификатов.
ключом из файла формата
--store — раздел хранилища
PKCS#12
сертификатов.
--pfx_container — путь к файлу
формата PKCS#12.
--password_pfx — пароль для
доступа к файлу формата PKCS#12.
--crypt_exportable —
необязательный параметр; ключи из
файла формата PKCS#12 отмечаются
как экспортируемые.
--include_extended_prop —
необязательный параметр; попытка
импорта из файла формата PKCS#12
расширенных свойств сертификата.

ViPNet CSP Linux 4.2. Руководство пользователя | 118


Описание команд и параметров
утилиты cryptofile
В данном разделе приведен полный список команд и параметров консольной утилиты cryptofile
(см. Выполнение криптографических операций с помощью тестовой утилиты cryptofile на стр. 95).

ViPNet CSP Linux 4.2. Руководство пользователя | 119


Таблица 10. Команды и параметры утилиты cryptofile

Команда Описание Параметры

encrypt Зашифровывает файл с --in — путь к файлу, который требуется зашифровать.


помощью указанных
--out — путь к зашифрованному файлу.
сертификатов
получателей. Задайте один или несколько сертификатов, с помощью
которых необходимо зашифровать файл по алгоритму
шифрования ГОСТ Р 28147-89. Если сертификатов
несколько, они задаются через пробел. Каждый
сертификат задается одним из следующих способов:
 --cert — путь к сертификату (при этом сертификаты в
кодировке Base64 не поддерживаются).
 --container — путь к контейнеру ключей с
требуемым сертификатом.
 --cert_container — пути к сертификату и
соответствующему контейнеру ключей (в случае если
сертификат не установлен в контейнер), разделенные
символом |.
 --issuer_serial — задает сертификат,
установленный в системное хранилище, по имени
издателя и серийному номеру. Задается в формате:
"<имя издателя>|<серийный номер>".
 --keyid — задает сертификат, установленный в
системное хранилище, по полю subject key
identifier.
 --fingerprint — задает сертификат, установленный
в системное хранилище, по хэш-сумме, вычисленной в
соответствии с алгоритмом SHA-1.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).
--BER — необязательный параметр, изменяет кодировку
зашифрованного файла на BER (см. глоссарий, стр. 144)
(применяется по умолчанию, если размер файла
превышает 1 Гбайт).
--DER — необязательный параметр, изменяет кодировку
зашифрованного файла на DER (см. глоссарий, стр. 144)
(применяется по умолчанию, если размер файла не
превышает 1 Гбайт).

ViPNet CSP Linux 4.2. Руководство пользователя | 120


Команда Описание Параметры

decrypt Расшифровывает файл --in — путь к файлу, который требуется расшифровать.


с помощью указанного
--out — путь к расшифрованному файлу.
контейнера ключей.
Закрытый ключ, с помощью которого необходимо
расшифровать файл, задается одним из следующих
способов:
 --container — путь к контейнеру ключей с закрытым
ключом.
 --pin — пароль доступа к контейнеру ключей.
Примечание. Если установлен пакет с графическим
интерфейсом itcs-csp-gost-gui, вы можете не
задавать пароль доступа к закрытому ключу в
контейнере ключей. В этом случае при выполнении
команды появится окно с запросом пароля.
 --cert — путь к сертификату, который соответствует
требуемому закрытому ключу (при этом сертификаты в
кодировке Base64 не поддерживаются).
 --cert_container — пути к контейнеру ключей и
соответствующему сертификату (в случае если
сертификат не установлен в контейнер), разделенные
символом |.
 --issuer_serial — задает сертификат,
установленный в системное хранилище, которому
соответствует контейнер ключей с закрытым ключом,
по имени издателя и серийному номеру. Задается в
формате: "<имя издателя>|<серийный номер>".
 --keyid — задает сертификат, которому соответствует
требуемый закрытый ключ, по полю subject key
identifier.
 --fingerprint — задает сертификат, которому
соответствует требуемый закрытый ключ, по
хэш-сумме, вычисленной в соответствии с алгоритмом
SHA-1.
При задании закрытого ключа одним из указанных
способов через знак | вы можете указать пароль для
доступа к закрытому ключу в контейнере ключей.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).

ViPNet CSP Linux 4.2. Руководство пользователя | 121


Команда Описание Параметры

sign Создает электронную --in — путь к файлу, который требуется заверить


подпись файла с электронной подписью.
помощью указанных
--out — путь к файлу, заверенному электронной
контейнеров ключей.
подписью.
Задайте один или несколько закрытых ключей, с
помощью которых необходимо подписать файл
электронной подписью. Если закрытых ключей несколько,
они задаются через пробел. Каждый закрытый ключ
задается одним из следующих способов:
 --container — путь к контейнеру ключей с закрытым
ключом.
 --cert — путь к сертификату, который соответствует
требуемому закрытому ключу (при этом сертификаты в
кодировке Base64 не поддерживаются).
 --cert_container — пути к контейнеру ключей и
соответствующему сертификату (в случае если
сертификат не установлен в контейнер), разделенные
символом |.
 --pin — пароль доступа к контейнеру ключей.
Примечание. Если установлен пакет с графическим
интерфейсом itcs-csp-gost-gui, вы можете не
задавать пароль доступа к закрытому ключу в
контейнере ключей. В этом случае при выполнении
команды появится окно с запросом пароля.
 --issuer_serial — задает сертификат,
установленный в системное хранилище, которому
соответствует контейнер ключей с закрытым ключом,
по имени издателя и серийному номеру. Задается в
формате: "<имя издателя>|<серийный номер>".
 --keyid — задает сертификат, которому соответствует
требуемый закрытый ключ, по полю subject key
identifier.
 --fingerprint — задает сертификат, которому
соответствует требуемый закрытый ключ, по
хэш-сумме, вычисленной в соответствии с алгоритмом
SHA-1.
Также вы можете указать один или несколько закрытых
ключей, с помощью которых необходимо подписать файл
электронной подписью, в текстовом файле. Чтобы
использовать закрытые ключи, указанные в файле,
задайте путь к этому файлу в параметре --settings.
Примеры использования текстового файла при
подписании файла см. в разделе Выполнение
криптографических операций с файлами (на стр. 104).
По умолчанию при формировании электронной подписи
используемый алгоритм хэширования зависит от

ViPNet CSP Linux 4.2. Руководство пользователя | 122


Команда Описание Параметры
открытого ключа, входящего в сертификат. Если вы хотите
использовать другой алгоритм хэширования, укажите этот
алгоритм после сертификата через знак |. Вы можете
использовать идентификатор ALG_ID, OID либо название
алгоритма хэширования. См. приложение
Идентификаторы алгоритмов хэширования (на стр. 130).
При задании закрытого ключа одним из указанных
способов через знак | вы можете указать пароль для
доступа к закрытому ключу в контейнере ключей.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).

--BER — необязательный параметр, изменяет кодировку


подписанного файла на BER (применяется по умолчанию,
если размер файла превышает 1 Гбайт).
--DER — необязательный параметр, изменяет кодировку
подписанного файла на DER (применяется по умолчанию,
если размер файла не превышает 1 Гбайт).
--nodetach — при задании параметра используется
прикрепленная подпись.
--include_intermediate_cert_chain —
необязательный параметр, используется для добавления к
электронной подписи цепочки сертификации.
--not_include_sign_time — необязательный
параметр, используется для отключения добавления
атрибута со временем подписания файла.
--cades_bes_disable — необязательный параметр,
отключает использование атрибутов CAdES-BES для
данной операции.
--cades_bes_strict — необязательный параметр; если
он задан и не удается добавить атрибуты CAdES-BES,
операция завершается с ошибкой.
--cades_bes_disable_cert_search —
необязательный параметр; отключает поиск сертификата
подписывающего в системном хранилище.
--tsp — необязательный параметр, адрес TSP-сервера.
При указании данного параметра к подписи будет
добавляться штамп времени.
--tsp_hash — необязательный параметр, алгоритм
хэширования, используемый на TSP-сервере. Вы можете
использовать идентификатор ALG_ID, OID либо название
алгоритма хэширования. См. приложение
Идентификаторы алгоритмов хэширования (на стр. 130).

ViPNet CSP Linux 4.2. Руководство пользователя | 123


Команда Описание Параметры

verify Проверяет --in — путь к файлу, заверенному электронной


электронную подпись подписью.
файла с помощью
--out — используется только при проверке
указанного
прикрепленной подписи — в этом случае задает путь к
сертификата.
извлеченному содержимому подписанного файла.
--signature — используется только при проверке
открепленной подписи — задает путь к файлу с
открепленной подписью.
Сертификат, с помощью которого необходимо проверить
электронную подпись файла, задается одним из
следующих способов.
 --cert — путь к сертификату (при данном методе
задания сертификаты в кодировке Base64 не
поддерживаются).
 --container — путь к контейнеру ключей с
требуемым сертификатом.
 --cert_container — пути к сертификату и
соответствующему контейнеру ключей (в случае если
сертификат не установлен в контейнер), разделенные
символом |.
 --issuer_serial — задает сертификат,
установленный в системное хранилище, по имени
издателя и серийному номеру.
 --keyid — задает сертификат, установленный в
системное хранилище, по полю subject key
identifier.
 --fingerprint — задает сертификат, установленный
в системное хранилище, по хэш-сумме, вычисленной в
соответствии с алгоритмом SHA-1.
--cache_only_chain — необязательный параметр;
попытка установления цепочки сертификации, используя
только сертификаты, установленные в системное
хранилище либо находящиеся в кэше системы.
--cache_only_revocation — необязательный
параметр; попытка установления цепочки сертификации,
используя только списки CRL, установленные в системное
хранилище либо находящиеся в кэше системы.
--no_signer_cert_verify — необязательный
параметр; разрешение не проверять цепочку
сертификации.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).
--capi_flags — необязательный параметр, показывает
в цепочке сертификации вместо статуса сертификата или
списка CRL соответствующий флаг CryptoAPI.

ViPNet CSP Linux 4.2. Руководство пользователя | 124


Команда Описание Параметры

to_base64 Кодирует содержимое --in — путь к файлу, содержимое которого требуется


файла в формат Base64. закодировать в формат Base64.
--out — необязательный параметр, путь к
закодированному файлу; если параметр не указан,
закодированное содержимое файла выводится на экран.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).

from_base64 Раскодирует --in — путь к файлу, закодированному в формате


содержимое файла из Base64, содержание которого требуется раскодировать.
формата Base64.
--out — путь к раскодированному файлу.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).

hash Вычисляет хэш-сумму --in — путь к файлу, содержимое которого требуется


содержимого файла. хэшировать.
--hash_alg — необязательный параметр, задает
используемый алгоритм хэширования. В качестве
значения параметра можно задать идентификатор ALG_ID,
OID либо название алгоритма хэширования. См.
приложение Идентификаторы алгоритмов хэширования
(на стр. 130). По умолчанию используется алгоритм
хэширования, заданный в сертификате.
--block_size — необязательный параметр, задает
размер блока данных в байтах (значение по умолчанию
— 1024 (1 Кбайт)).

add_timesta Добавляет штамп --in — путь к файлу, содержащему электронную


mp времени к имеющейся подпись.
электронной подписи.
--out — путь к файлу, содержащему электронную
подпись с добавленным штампом времени.
--data — путь к файлу с подписанными данными
(параметр используется только в случае открепленной
подписи).
--tsp — адрес TSP-сервера.
--tsp-hash — необязательный параметр, алгоритм
хэширования, используемый на TSP-сервере. Вы можете
использовать идентификатор ALG_ID, OID либо название
алгоритма хэширования. См. приложение
Идентификаторы алгоритмов хэширования (на стр. 130).
--signer_index — необязательный параметр, индекс
электронной подписи (начиная с 0), к которой требуется
добавить штамп времени.

ViPNet CSP Linux 4.2. Руководство пользователя | 125


Команда Описание Параметры

add_sign Добавляет в уже --in — путь к файлу, содержащему электронную


подписанный файл еще подпись.
одну электронную
--out — путь к файлу с добавленной электронной
подпись.
подписью.
Задайте закрытый ключ, с помощью которого
необходимо подписать файл электронной подписью.
Способы задания закрытого ключа см. в описании
команды sign.
--data — путь к файлу с подписанными данными
(параметр используется только в случае открепленной
подписи).
--hash_alg — необязательный параметр, задает
используемый алгоритм хэширования. В качестве
значения параметра можно задать идентификатор ALG_ID,
OID либо название алгоритма хэширования. См.
приложение Идентификаторы алгоритмов хэширования
(на стр. 130). По умолчанию используется алгоритм
хэширования, заданный в сертификате.
--pin — пароль для доступа к закрытому ключу в
контейнере ключей.
Примечание. Если установлен пакет с графическим
интерфейсом itcs-csp-gost-gui, вы можете не
задавать пароль доступа к закрытому ключу в контейнере
ключей. В этом случае при выполнении команды
появится окно с запросом пароля.
--cades_bes_disable — необязательный параметр,
отключает использование атрибутов CAdES-BES для
данной операции.
--cades_bes_strict — необязательный параметр; если
не удается добавить атрибуты CAdES-BES, операция
завершается с ошибкой.
--cades_bes_disable_cert_search —
необязательный параметр, отключает поиск сертификата
подписывающего в системном хранилище.

remove_sign Удаляет одну из --in — путь к файлу, содержащему несколько


электронных подписей электронных подписей.
из подписанного файла.
--out — путь к файлу с удаленной электронной
подписью.
--data — путь к файлу с подписанными данными
(параметр используется только в случае открепленной
подписи).
--signer_index — индекс электронной подписи
(начиная с 0), которую требуется удалить.

ViPNet CSP Linux 4.2. Руководство пользователя | 126


Описание команд и параметров
утилиты csp-gost
В данном разделе приведен полный список команд и параметров консольной утилиты csp-gost.

Таблица 11. Команды и параметры утилиты csp-gost

Команда Описание Параметры

rng_control Выполняет
регламентный контроль
датчиков случайных
чисел.

print_conta Выводит список --machine_keyset — выводит список контейнеров


iners установленных ключей, которым соответствуют сертификаты,
контейнеров ключей, а установленные в хранилище ключей локального
также контейнеров компьютера (Local Machine).
ключей, находящихся
Примечание. Чтобы просмотреть список контейнеров
на подключенных ключей, которым соответствуют сертификаты,
внешних устройствах. установленные в хранилище ключей текущего
пользователя (Current User), запустите утилиту с командой
print_containers без параметров.
--canonical — выводит канонические имена
контейнеров ключей на внешних устройствах (см.
документ «Криптографический интерфейс ViPNet CSP.
Руководство разработчика», раздел «Работа с
контейнерами ключей на внешних устройствах»).

container_c Выводит содержимое --container — имя контейнера ключей.


ontent контейнера ключей.

delete_keys Удаляет контейнер --container — имя контейнера ключей.


et ключей вместе с
--pin — пароль доступа к контейнеру ключей.
соответствующим
сертификатом.

print_devic Выводит список


e_types опрашиваемых
внешних устройств.

ViPNet CSP Linux 4.2. Руководство пользователя | 127


Команда Описание Параметры

ctrl_device Редактирует список --device_type — тип внешних устройств.


_type опрашиваемых
--disable — отключает опрос указанного типа внешних
внешних устройств.
устройств.
Примечание. Чтобы включить опрос указанного типа
внешних устройств, достаточно запустить утилиту с
командой ctrl_device_type и параметром
--device_type.

cades_bes Выключает или --disable — выключает добавление в файл подписи


включает добавление в атрибутов CAdES-BES.
файл подписи Для последующего добавления в файл подписи атрибутов
атрибутов CAdES-BES CAdES-BES необходимо запустить утилиту с командной
(см. глоссарий, стр.
cades_bes без параметров.
146).
Примечание. По
умолчанию добавление
атрибутов CAdES-BES
включено.

ViPNet CSP Linux 4.2. Руководство пользователя | 128


Описание команд и параметров
утилиты rngcmgr
В данном разделе приведен полный список команд и параметров консольной утилиты rngcmgr.

Таблица 12. Команды и параметры утилиты rngcmgr

Команда Описание Параметры

print Выводит список доступных


датчиков случайных чисел

default Выбирает датчик случайных чисел --rng — идентификатор датчика


по умолчанию случайных чисел, выводимого
командной print.
--serial — если подключены два
одинаковых устройства, серийный
номер требуемого устройства.

append_gamma Используется только для датчика --gamma_src — путь к каталогу с


ДСДР. файлами, содержащими случайную
Задает случайную последовательность.
последовательность для этого
датчика

generate Запускает выбранный датчик --bytes — количество байт


случайных чисел и выводит создаваемой случайной
результат последовательности.
Необязательный параметр.
Значение по умолчанию — 32 байта.
--file — необязательный
параметр; путь в к файлу, в который
требуется записать полученную
последовательность случайных
чисел.

ViPNet CSP Linux 4.2. Руководство пользователя | 129


C
Идентификаторы алгоритмов
хэширования
Таблица 13. Идентификаторы алгоритмов хэширования

Идентификатор Идентификатор Имя для использования в


Алгоритм
ALG_ID OID командах

ГОСТ Р 34.11-94 32798 1.2.643.2.2.9 Gost94

ГОСТ Р 34.11-2012/256 32801 1.2.643.7.1.1.2.2 Gost12S256

ГОСТ Р 34.11-2012/512 32802 1.2.643.7.1.1.2.3 Gost12S512

SHA 32772 1.3.14.3.2.26 Sha

SHA-1 32772 1.3.14.3.2.26 Sha1

MD2 32769 1.2.840.113549.2.2 Md2

MD5 32771 1.2.840.113549.2.5 Md5

ViPNet CSP Linux 4.2. Руководство пользователя | 130


D
Возможные неполадки и
способы их устранения

ViPNet CSP Linux 4.2. Руководство пользователя | 131


На внешнем устройстве eToken
PRO 32k 4.2B некорректно
удаляется контейнер ключей
После удаления контейнера ключей, хранящегося на персональном электронном ключе или
смарт-карте eToken PRO 32k 4.2B, занимаемое им место может не освободиться.

Ошибка возникает из-за известной неисправности этого устройства. Чтобы полностью очистить
память на устройстве, проинициализируйте его.

ViPNet CSP Linux 4.2. Руководство пользователя | 132


Внешнее устройство JaCarta PKI не
отображается в списке
опрашиваемых устройств
Если после установки драйвера JaCarta PKI для Linux ПО ViPNet CSP Linux не может обратиться к
устройству JaCarta PKI (устройство не появляется в списке опрашиваемых внешних устройств (см.
Настройка списка опрашиваемых внешних устройств на стр. 79), списке устройств при создании
контейнера ключей и так далее), добавьте в каталог /usr/lib файл с недостающей ссылкой. Для
этого в командной строке вашей операционной системы Linux выполните следующую команду:
sudo ln -s /usr/lib/x64-athena/libASEP11.so /usr/lib/libASEP11.so

После этого перейдите в каталог /opt/itcs/bin и запустите утилиту csp-gost с параметром


print_device_types:
./csp-gost print_device_types

Устройство JaCarta PKI должно появиться в списке опрашиваемых внешних устройств.

ViPNet CSP Linux 4.2. Руководство пользователя | 133


Внешнее устройство eToken
GOST/JaCarta GOST не
отображается в списке
опрашиваемых устройств
Если после установки драйвера JaCarta ГОСТ для Linux ПО ViPNet CSP Linux не может обратиться к
устройству eToken GOST/JaCarta GOST (устройство не появляется в списке опрашиваемых внешних
устройств (см. Настройка списка опрашиваемых внешних устройств на стр. 79), списке устройств
при создании контейнера ключей и так далее), добавьте в каталог /usr/lib файл с недостающей
ссылкой. Для этого в командной строке вашей операционной системы Linux выполните следующую
команду:
sudo ln -sf /usr/lib64/libjcPKCS11.so.1.5.3 /usr/lib/libjcPKCS11.so

После этого перейдите в каталог /opt/itcs/bin и запустите утилиту csp-gost с параметром


print_device_types:
./csp-gost print_device_types

Устройство eToken GOST/JaCarta GOST должно появиться в списке опрашиваемых внешних


устройств.

ViPNet CSP Linux 4.2. Руководство пользователя | 134


E
История версий
В данном приложении описаны основные изменения в предыдущих версиях программы ViPNet
CSP Linux.

Версия 4.2.10
В этом разделе представлен краткий обзор изменений и новых возможностей программного
обеспечения ViPNet CSP Linux версии 4.2.10 по сравнению с версией 4.2.8.

 Поддержка экспорта закрытых ключей и соответствующих сертификатов в файлы PKCS#12 и


импорта из них

В новой версии ViPNet CSP Linux появилась возможность переносить закрытые ключи и
соответствующие сертификаты с компьютера, на котором установлено ПО ViPNet CSP Linux, на
другой компьютер с ViPNet CSP Linux либо на компьютер с криптопровайдером другого
производителя. Для этого вы можете экспортировать закрытый ключ с сертификатом в файл
формата PKCS#12, а на другом компьютере импортировать закрытый ключ и сертификат из
этого файла.

 Возможность обновления сертификата

В новой версии ViPNet CSP Linux вы можете создать не только запрос на издание сертификата,
но и запрос на обновление сертификата. Это полезно сделать, если срок действия вашего
сертификата подходит к концу; при этом запрос на обновление подписывается действующим
сертификатом, что позволяет передавать запрос в удостоверяющий центр любым способом,
например через Интернет. Для задания пароля к контейнеру ключей, где находится закрытый
ключ, которым подписывается запрос на обновление сертификата, в утилите certreq в
команде new добавлен параметр --req_sign_pin.

ViPNet CSP Linux 4.2. Руководство пользователя | 135


 Обновление команд для работы с программными токенами Infotecs Software Token

В новой версии ViPNet CSP Linux обновлена версия Infotecs Software Token — программной
реализации интерфейса PKCS#11. Новые команды для работы с программными токенами см. в
документе «ViPNet SoftToken 4.4. Руководство разработчика», в приложении «Использование
утилиты token_manager для работы с программными токенами».

Внимание! Чтобы продолжить работу с программными токенами, необходимо перед


обновлением ПО экспортировать объекты, хранящиеся на программных токенах (ключи,
сертификат), в файлы, а после обновления создать новые программные токены и
импортировать в них эти объекты. Подробнее см. в документе «ViPNet SoftToken 4.4.
Руководство разработчика», раздел «Перенос токенов при обновлении ViPNet SoftToken с
версии 4.3 на версию 4.4».

 Автоматизация процесса установки ViPNet CSP Linux

Ранее для установки ViPNet CSP Linux необходимо было учитывать зависимости пакетов и
предварительно вручную выбирать пакеты, подходящие для вашей операционной системы.

В новой версии ViPNet CSP Linux в состав продукта добавлен скрипт, позволяющий
автоматически выполнить установку необходимых пакетов. При этом выбираются пакеты,
предназначенные для работы в вашей операционной системе, а зависимости между пакетами
учитываются автоматически.

 Возможность обновления ViPNet CSP Linux

В ПО ViPNet CSP Linux появилась возможность обновить пакеты версии 4.2.8 до версии 4.2.10.
Для этого достаточно, не удаляя предыдущую версию ViPNet CSP Linux, запустить
установочный скрипт и указать пакеты новой версии ViPNet CSP Linux.

 Изменение в списке поддерживаемых внешних устройств

Из-за конфликта ПО ViPNet CSP Linux с внешним устройством Рутокен S, который может быть
устранен только силами производителя устройства, поддержка таких внешних устройств
временно прекращена.

 Добавление новых команд и параметров в утилитах certmgr и certreq

Для унификации возможностей утилит certmgr (с командным интерфейсом) и certmgr-gui (с


графическим интерфейсом) в утилиту certmgr добавлены команды export_crl и
export_certificate, предназначенные, соответственно, для экспорта списков CRL и
сертификатов в отдельные файлы.

Для тонкой настройки запрашиваемого сертификата в утилите certreq добавлены новые


параметры команды new: --no_sign_tool, --disable_rdn_check, --reverse_subject_name,
--cert, --critical (см. Описание команд и параметров утилиты certreq на стр. 111).

 Изменение названий некоторых пакетов

В новой версии ViPNet CSP Linux для удобства использования названия некоторых пакетов
изменены следующим образом:

o Пакет itcs-csp-devel переименован в itcs-csp-dev.

ViPNet CSP Linux 4.2. Руководство пользователя | 136


o Пакеты pki-client-crypto-core и pkicmd объединены в пакет pkicmd.

Версия 4.2.8
В этом разделе представлен краткий обзор изменений и новых возможностей программного
обеспечения ViPNet CSP Linux версии 4.2.8 по сравнению с версией 4.2.2.

 Поддержка расширенной электронной подписи CAdES-BES

В новой версии ПО ViPNet CSP Linux появилась возможность при формировании электронной
подписи добавлять в файл атрибуты CAdES-BES (см. глоссарий, стр. 146). Включать и отключать
добавление атрибутов CAdES-BES вы можете отдельно для каждой криптографической
операции либо глобально с помощью утилиты csp-gost (см. Описание команд и параметров
утилиты csp-gost на стр. 127).

 Взаимодействие с TSP-серверами и поддержка расширенной электронной подписи CAdES-T

В новой версии ПО ViPNet CSP Linux появилась возможность при формировании электронной
подписи взаимодействовать с TSP-сервером (см. глоссарий, стр. 144) и добавлять в файл штамп
времени (см. глоссарий, стр. 147). Тем самым достигается соответствие формату электронной
подписи CAdES-T (см. глоссарий, стр. 146). Кроме того, появилась возможность добавления
штампа времени к уже имеющейся электронной подписи.

 Взаимодействие с OCSP-серверами и точками распространения списков аннулированных


сертификатов

В новой версии ПО ViPNet CSP Linux при попытке установления цепочки сертификации по
умолчанию используется точка распространения списков аннулированных сертификатов или
OCSP-сервер (см. глоссарий, стр. 143), URL-адрес к которым указан в проверяемом
сертификате. Эта возможность отключается при запуске утилиты certmgr с параметром
--cache-only-revocation.

 Новые возможности работы с файлами, заверенными электронной подписью

В новой версии ПО ViPNet CSP Linux появились следующие возможности:

o Добавление в уже подписанный файл еще одной электронной подписи.

o Удаление конкретной электронной подписи из файла, подписанного несколькими


электронными подписями.

 Новые возможности тестовой утилиты cryptofile

В утилиту cryptofile были добавлены функции, иллюстрирующие все перечисленные выше


новые возможности ViPNet CSP Linux. Кроме того, в синтаксисе команд произошли следующие
изменения:

o Во избежание отдельного употребления параметры --cert_issuer и --cert_serial


заменены единым общим параметром --issuer_serial.

o При выполнении криптографических операций появилась возможность задавать сразу


несколько сертификатов или закрытых ключей.

ViPNet CSP Linux 4.2. Руководство пользователя | 137


o Появилась возможность задавать сертификаты или закрытые ключи с помощью
следующих параметров:

 --keyid — задает сертификат (или соответствующий ему закрытый ключ) по


значению поля subject key identifier.

 --fingerprint — задает сертификат (или соответствующий ему закрытый ключ) по


хэш-сумме, вычисленной в соответствии с алгоритмом SHA-1.

 --cert_container — задает пути к контейнеру ключей и соответствующему


сертификату через символ | (используется в случае, если сертификат не установлен в
контейнер).

 Поддержка аппаратных датчиков случайных чисел

В новой версии ПО ViPNet CSP Linux появилась поддержка аппаратных датчиков случайных
чисел «Аккорд-АМДЗ», «Соболь», а также ДСЧ на некоторых внешних устройствах.

 Хранение ключей и выполнение криптографических операций на ПАК ViPNet HSM

В новой версии ПО ViPNet CSP Linux появилась возможность подключения к ПАК ViPNet HSM
(см. глоссарий, стр. 144). Вы можете хранить закрытые и открытые ключи на этом ПАК, как если
бы эти ключи находились на токене, подключенном к вашему компьютеру. Кроме того, ПАК
ViPNet HSM обеспечивает выполнение основных криптографических операций в защищенном
окружении.

ПАК ViPNet HSM отображается в списке опрашиваемых внешних устройств (см. Настройка
списка опрашиваемых внешних устройств на стр. 79). Предварительно требуется задать
параметры подключения к ПАК ViPNet HSM (см. Настройка ViPNet CSP Linux для
взаимодействия с ПАК ViPNet HSM на стр. 80).

 Изменение названия параметра утилиты certreq

Для унификации параметров утилит из состава продуктов ViPNet CSP и ViPNet CSP Linux
параметр --password утилиты certreq был переименован в --pin.

 Добавлены компоненты для взаимодействия с другим ПО ViPNet

В новой версии ПО ViPNet CSP Linux добавлены следующие новые компоненты:

o pki-client-crypto-core — библиотека, реализующая высокоуровневые


криптографические операции;

o pkicmd — утилита, с помощью которой можно запустить криптографические операции


библиотеки из пакета pki-client-crypto-core.

ViPNet CSP Linux 4.2. Руководство пользователя | 138


F
Внешние устройства
Общие сведения
Внешние устройства предназначены для хранения контейнеров ключей, которые вы можете
использовать для аутентификации, формирования электронной подписи (см. глоссарий, стр. 148)
или для других целей.

На внешнем устройстве могут храниться ключи, созданные по различным алгоритмам в


программном обеспечении ViPNet или в сторонних программах. Максимальное количество
контейнеров ключей, которое может храниться на одном внешнем устройстве, зависит от объема
памяти устройства.

Все операции с контейнерами ключей и внешними устройствами вы можете выполнить в


программе ViPNet CSP Linux. Чтобы использовать какое-либо внешнее устройство, на компьютер
необходимо установить драйверы этого устройства. Перед записью ключей на устройство
убедитесь, что оно отформатировано.

Список поддерживаемых внешних устройств


В следующей таблице перечислены внешние устройства, которые могут быть использованы в
программном обеспечении ViPNet. Для каждого семейства устройств в таблице приведено
описание, указаны условия и особенности работы с устройствами.

ViPNet CSP Linux 4.2. Руководство пользователя | 139


Таблица 14. Поддерживаемые внешние устройства

Название
семейства
Полные названия и типы Необходимые и рекомендуемые условия работы
устройств
устройств с семейством устройств
ViPNet CSP
Linux

ESMART Token Смарт-карты и токены Необходимые пакеты для дистрибутивов Linux c


семейств ESMART Token, расширениями пакетов *.deb:
ESMART Token ГОСТ
 isbc-pkcs11
 libccid
Необходимые пакеты для дистрибутивов Linux c
расширениями пакетов *.rpm:
 isbc-pkcs11

Infotecs Infotecs Software Token — Необходимое ПО входит в поставку ViPNet CSP


Software Token программная реализация Linux.
стандарта PKCS#11 С помощью утилиты token_manager на компьютере
должен быть создан программный токен.

ViPNet HSM Программно-аппаратный Необходимо задать параметры подключения к


комплекс ViPNet HSM серверу ViPNet HSM.
производства ОАО
«ИнфоТеКС»

JaCarta Персональные электронные На компьютере должен быть установлен драйвер


ключи и смарт-карты JaCarta JaCarta PKI для Linux.
PKI производства компании
«Аладдин Р.Д.»

JCDS Токен JaCarta LT Необходимо скопировать библиотеку


производства компании libjcPKCS11ds.so в каталог /usr/lib/. Пароль
«Аладдин Р.Д.» пользователя по умолчанию — 1234567890.

eToken GOST/ Персональные электронные Для работы с указанными устройствами на


JaCarta GOST ключи eToken ГОСТ и JaCarta компьютере должен быть установлен драйвер
ГОСТ производства компании JaCarta ГОСТ для Linux. Необходимые пакеты: pcscd и
«Аладдин Р.Д.» libpcsclite1.
Перенос ключей подписи на данный тип устройств
невозможен.

Rutoken ECP/ Электронные идентификаторы Для дистрибутивов Linux c расширениями пакетов


Rutoken Lite Рутокен ЭЦП и Рутокен Lite *.deb должны быть установлены: библиотека libccid
производства компании версии не ниже 1.4.2, пакеты pcscd и libpcsclite1,
«Актив» библиотека rtPKCS11ecp.
Для дистрибутивов Linux c расширениями пакетов
*.rpm должны быть установлены: пакеты ccid, pcscd
и pcsc-lite, библиотека rtPKCS11ecp.
Перенос ключей подписи на данный тип устройств
невозможен.

ViPNet CSP Linux 4.2. Руководство пользователя | 140


Название
семейства
Полные названия и типы Необходимые и рекомендуемые условия работы
устройств
устройств с семейством устройств
ViPNet CSP
Linux

SafeNet eToken Персональные электронные На компьютере должно быть установлено ПО


(eToken ключи eToken PRO (Java), SafeNet Authentication Client 9.1.7 для Linux.
Aladdin) eToken PRO, Смарт-карта eToken PRO может использоваться с
смарт-карты любым стандартным PC/SC-совместимым
eToken PRO (Java), eToken устройством считывания карт.
PRO,
JaCarta PRO производства
компании «Аладдин Р.Д.»

Примечание. Список поддерживаемых операционных систем для каждого из


приведенных устройств вы найдете на официальном веб-сайте производителя
этого устройства.

Алгоритмы и функции, поддерживаемые


внешними устройствами
В следующей таблице перечислены криптографические алгоритмы, поддерживаемые внешними
устройствами, приведена информация о возможности использования устройств в качестве
датчиков случайных чисел, а также информация о поддержке стандарта PKCS#11.

Примечание. Стандарт PKCS#11 (также известный как Cryptoki) — один из


стандартов семейства PKCS (Public Key Cryptography Standards —
криптографические стандарты ключа проверки электронной подписи),
разработанных компанией RSA Laboratories. Стандарт определяет независимый от
платформы интерфейс API для работы с криптографическими устройствами
идентификации и хранения данных.

ViPNet CSP Linux 4.2. Руководство пользователя | 141


Таблица 15. Алгоритмы и функции, поддерживаемые внешними устройствами

Использование
Название Программная поддержка
Аппаратная поддержка

ДСЧ в ViPNet
семейства российских

Поддержка
российских

CSP Linux
устройств криптографических

PKCS#11
криптографических
ViPNet CSP алгоритмов
алгоритмов (на устройстве)
Linux (в ViPNet CSP Linux)

ESMART Token ESMART Token — ESMART Token — Нет Да


отсутствует; ГОСТ Р 34.10-2001,
ESMART Token ГОСТ — ГОСТ Р 34.10-2012
ГОСТ Р 34.10-2001, ESMART Token ГОСТ —
ГОСТ Р 34.10-2012 отсутствует
(может не поддерживаться
на старых устройствах)

Infotecs ГОСТ Р 34.10-2001, отсутствует Нет Да


Software Token ГОСТ Р 34.10-2012
(изолированная программная
реализация)

ViPNet HSM ГОСТ Р 34.10-2001, отсутствует Нет Да


ГОСТ Р 34.10-2012

JaCarta отсутствует ГОСТ Р 34.10-2001, Нет Да


ГОСТ Р 34.10-2012

JCDS отсутствует ГОСТ Р 34.10-2001, Нет Да


ГОСТ Р 34.10-2012

eToken GOST/ ГОСТ Р 34.10-2001, отсутствует Да Да


JaCarta GOST ГОСТ Р 34.10-2012
(короткий ключ)

Rutoken ECP/ Рутокен ЭЦП — Рутокен ЭЦП — отсутствует; ЭЦП — Да


Rutoken Lite ГОСТ Р 34.10-2001, Рутокен Lite — да

ГОСТ Р 34.10-2012 ГОСТ Р 34.10-2001, Lite —


нет
(короткий ключ); ГОСТ Р 34.10-2012
Рутокен Lite — отсутствует

SafeNet отсутствует ГОСТ Р 34.10-2001, Нет Да


eToken ГОСТ Р 34.10-2012
(eToken
Aladdin)

Примечание. Шифрование поддерживается не всеми перечисленными устройствами.


Для получения более подробной информации см. документацию по необходимому
устройству.

ViPNet CSP Linux 4.2. Руководство пользователя | 142


G
Глоссарий
Base64
Кодировка текстовых файлов, применяемая в криптографии. Сертификаты и списки CRL,
хранящиеся в файлах с данной кодировкой, поддерживаются криптопровайдером ViPNet CSP Linux.

Microsoft CryptoAPI
Интерфейс программирования приложений, который обеспечивает стандартный набор функций
для взаимодействия сторонних приложений с криптопровайдером.

Подмножество функций Microsoft CryptoAPI реализовано в интерфейсе ViPNet CryptoAPI for Linux.

Microsoft Windows API


Набор базовых функций интерфейсов программирования приложений операционных систем
семейства Microsoft Windows корпорации Microsoft.

Подмножество функций Microsoft Windows API реализовано в интерфейсе ViPNet CryptoAPI for
Linux.

OCSP-сервер (сервис проверки статуса сертификатов)


Доверенный субъект PKI, предоставляющий информацию о статусах сертификатов по
соответствующим запросам в режиме реального времени.

PKCS#12
Формат файлов, предназначенных для передачи зашифрованных на пароле закрытых ключей и
сертификатов (файлы с расширениями .pfx, .p12). Файлы формата PKCS#12 формируются в

ViPNet CSP Linux 4.2. Руководство пользователя | 143


соответствии с рекомендациями Технического комитета по стандартизации (ТК 26)
«Криптографическая защита информации».

PKI (инфраструктура открытых ключей)


Инфраструктура открытых ключей — комплекс аппаратных и программных средств, политик и
процедур, обеспечивающих распространение доверительного отношения к открытым ключам (в
том числе ключам проверки электронной подписи) в распределенных системах через создание
сертификатов ключей проверки электронной подписи и поддержание их жизненного цикла.

TSP-сервер (служба штампов времени)


Доверенный субъект инфраструктуры открытых ключей, обладающий точным и надежным
источником времени и оказывающий услуги по созданию штампов времени.

ViPNet HSM
Программно-аппаратный комплекс производства ОАО «ИнфоТеКС». Представляет собой сервер,
который предоставляет клиентам защищенное хранилище ключей электронной подписи и
обеспечивает выполнение основных криптографических операций в защищенном окружении.
Взаимодействие клиентов с ViPNet HSM осуществляется по стандарту PKCS#11.

Асимметричное шифрование
Система шифрования, при которой алгоритмы используют два математически связанных ключа.
Открытый ключ используется для зашифрования и передается по незащищенному каналу.
Закрытый ключ служит для расшифрования.

Бинарный формат файла


Формат файла для записи сертификатов и списков CRL, поддерживаемый криптопровайдером
ViPNet CSP Linux. В рамках формата используются следующие кодировки:

 BER — базовые правила кодирования;

 CER — канонические правила кодирования;

 DER — особые правила кодирования.

Доверенное лицо (администратор) удостоверяющего центра


Лицо, обладающее правом издавать сертификаты от имени удостоверяющего центра.

Идентификатор объекта (OID)


От англ. «object identifier». Уникальная числовая последовательность, позволяющая однозначно
идентифицировать класс или атрибут объекта.

Частным случаем использования OID является обозначение видов атрибутов и классов объектов в
стандартах серии Х.500.

ViPNet CSP Linux 4.2. Руководство пользователя | 144


Иерархия удостоверяющих центров
Система доверительных отношений между удостоверяющими центрами, в которой вышестоящие
удостоверяющие центры выпускают сертификаты для подчиненных удостоверяющих центров.

Каталог хранения контейнеров ключей


Контейнеры ключей, с которыми работает программное обеспечение ViPNet CSP Linux, могут
располагаться на жестком диске вашего компьютера в следующих каталогах:

 /home/<user name>/.itcs/vipnet-csp/containers — контейнеры ключей, доступ к которым


имеет текущий пользователь, а также администратор операционной системы; сертификаты,
соответствующие таким контейнерам, устанавливаются в хранилище ключей текущего
пользователя (Current User).

 /var/opt/itcs/vipnet-csp/containers — контейнеры ключей, доступ к которым имеют


администраторы операционной системы, а также системные демоны; сертификаты,
соответствующие таким контейнерам, устанавливаются в хранилище ключей локального
компьютера (Local Machine).

Квалифицированный сертификат
Сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим
центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным
органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ проверки электронной подписи


В соответствии с федеральным законом N 63-ФЗ «Об электронной подписи» от 6 апреля 2011 г.
ключом проверки электронной подписи называется открытый ключ, который является не
секретной частью пары асимметричных ключей и представляет собой уникальную
последовательность символов, однозначно связанную с закрытым ключом и предназначенную для
проверки подлинности электронной подписи.

Ключ электронной подписи


В соответствии с федеральным законом N 63-ФЗ «Об электронной подписи» от 6 апреля 2011 г.
ключом электронной подписи называется закрытый ключ, который является секретной частью
пары асимметричных ключей и представляет собой уникальную последовательность символов,
предназначенную для создания электронной подписи.

Ключевой блокнот ДСДР


CD-диск, содержащий последовательность случайных чисел. Формируется в Федеральной службе
безопасности России.

ViPNet CSP Linux 4.2. Руководство пользователя | 145


Контейнер ключей
Файл, в котором хранится пара ключей: ключ электронной подписи и ключ проверки электронной
подписи.

Корневой сертификат
Сертификат администратора удостоверяющего центра, являющийся последним сертификатом в
цепочке доверия. Другими словами, для корневого сертификата нет сертификата, с помощью
которого можно было бы проверить его достоверность. С помощью корневого сертификата
проверяется достоверность сертификатов (пользователей и издателей), заверенных этим
сертификатом.

Криптопровайдер
Независимый программный модуль, позволяющий выполнять криптографические функции в
операционной системе.

Открепленная подпись
Тип электронной подписи, при использовании которого электронная подпись и служебная
информация помещаются в отдельный файл. Далее для проверки электронной подписи требуется
не только данный контейнер, но и исходный файл, который в контейнер не входит.

Прикрепленная подпись
Тип электронной подписи, при использовании которого исходный файл, электронная подпись и
служебная информация помещаются совместно в один контейнер. Далее для проверки
электронной подписи требуется только данный контейнер, который содержит и электронную
подпись, и исходный файл.

Программный токен
Программный аналог внешнего устройства хранения ключей и сертификатов, для взаимодействия с
которым используется расширенный интерфейс PKCS#11 (подробнее см. документ «ViPNet
SoftToken. Руководство разработчика»).

Расширенная электронная подпись CAdES


CAdES (CMS Advanced Electronic Signatures) — расширенная версия стандарта электронной подписи
CMS (Cryptographic Message Syntax).

CAdES-BES — простейший формат CAdES, регламентирующий наличие в файле электронной


подписи следующих атрибутов:

 тип содержимого;

 хэш-сумма подписываемых данных;

 идентификатор подписывающей стороны, вычисляемый по её сертификату.

ViPNet CSP Linux 4.2. Руководство пользователя | 146


CAdES-T — формат CAdES, регламентирующий наличие в файле электронной подписи помимо
атрибутов CAdES-BES атрибута, содержащего отметку времени, представленную поставщиком
доверенных услуг (TSP-сервером).

Сертификат издателя
Сертификат удостоверяющего центра, которым заверяются издаваемые сертификаты.

Сертификат ключа проверки электронной подписи


Электронный документ или документ на бумажном носителе, выданный удостоверяющим центром
либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа
проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Список аннулированных сертификатов (CRL)


Список сертификатов, которые до истечения срока их действия были аннулированы или
приостановлены администратором Удостоверяющего центра и потому недействительны на
момент, указанный в данном списке аннулированных сертификатов.

Удостоверяющий центр
Организация, осуществляющая выпуск сертификатов ключей проверки электронной подписи, а
также сертификатов другого назначения.

Хранилище сертификатов компьютера


База данных, в которую устанавливаются сертификаты и списки CRL. База данных доступна для
изменения администраторам операционной системы, а также системным демонам. Английское
название этого хранилища — Local Machine.

Хранилище сертификатов пользователя


База данных, в которую устанавливаются сертификаты и списки CRL. База данных доступна для
изменения текущему пользователю и администраторам операционной системы. Английское
название этого хранилища — Current User.

Цепочка сертификации
Упорядоченная последовательность сертификатов, соответствующая иерархии издателей этих
сертификатов. Сертификат считается действительным, если цепочка сертификации полна (то есть
завершается корневым сертификатом) и все входящие в нее сертификаты также действительны.

Штамп времени
Реквизит электронного документа, подтверждающий точное время создания документа. Также
штамп времени может подтверждать время получения или отправления документа.

ViPNet CSP Linux 4.2. Руководство пользователя | 147


В штампе времени указывается следующее: значение хэш-функции документа, на который выдан
штамп; идентификатор политики (OID), в соответствии с которой был выдан штамп; время выдачи
штампа; точность времени и другие параметры.

Электронная подпись
Информация в электронной форме, которая присоединена к другой информации в электронной
форме (подписываемой информации) или иным образом связана с такой информацией и которая
используется для определения лица, подписывающего информацию.

Электронная рулетка
Встроенный компонент программного обеспечения ViPNet, который позволяет инициализировать
датчик случайных чисел на основе действий пользователя. Полученная последовательность
используется при формировании ключей узла.

ViPNet CSP Linux 4.2. Руководство пользователя | 148