Re: ЭЦП и RuToken
Grigory Fateyev пишет: > А есть вероятность запустить всё это хозяйство на Debian stretch? > Выпустил сертификат в виртуальной винде, оно встало криво, просят > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, > может на дебе проще будет? Присоединяюсь к вашему вопросу про Рутокен. Только у меня другая ситуация, мне нужно зарегистрировать онлайн-кассу (кто не в курсе что это, наберите в поиске «54-ФЗ»). В общем я столкнулся с российской криптографией, расскажу подробнее. Собственно регистрации онлайн-кассы в налоговой мало, кассу ещё нужно правильно прошить (фискализировать), процесс регистрации и прошивки между собой не связаны. Если это сделать не аккуратно (а я кассами никогда дела не имел), то можно получить штраф и испортить фискальный накопитель (минимум 7000 руб на ветер). Не беда подумал я, есть же специалисты которые мне помогут. Да, есть такие мастера, но для этого у меня должно быть ЭЦП, без этого они за работу не берутся. Я принцип работы ЭЦП понимаю (использую SSL-сертификат, S/MIME), но не понимаю что такое «российское ЭЦП». Я понял какую ЭЦП нужно купить, называется «ОФД», подходит для работы с ОФД и налоговой. Но так как подпись эта официальная и равна моей собственноручной, я же не могу отдать её мастеру на флешке или послать почтой вместе с открытым и закрытым ключом, как-то несекурно, нужен токен. Вопросы для тех, кто сталкивался с российской криптографией: 1. Что представляет ЭЦП в электронном виде, это стандартный контейнер .pfx [1], но только внутри сертификаты и закрытый ключ на базе российской криптографии? Или специфический русский контейнер, «черный ящик». При покупке ЭЦП нужно что-то дополнительно указать? У них у всех один формат? 2. Какой токен, для ЭЦП подойдет? Рутокен Lite [2] подойдет? 3. Загрузить открытый и закрытый ключ в токен можно стандартными средствами [3] или нужен российский криптопровайдер (купить программу, купить лицензию, продлить лицензию… понятно, что всё это нормально работает только под Windows, но сейчас интересует только суть). 4. Какой криптопровайдер купить, их несколько? Они совместимы между собой? Контейнер нужно конвертировать из одного формата в другой? [1]: https://ru.wikipedia.org/wiki/PKCS12 [2]: https://www.rutoken.ru/products/all/rutoken-lite/ [3]: https://dev.rutoken.ru/pages/viewpage.action?pageId=4227146 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: ЭЦП и RuToken
В Wed, 27 Mar 2019 14:51:56 +0300 Victor Wagner пишет: > On Wed, 27 Mar 2019 14:14:24 +0300 > Eugene Berdnikov wrote: > > ... > > > Вот идея, что оно под виртуальной виндой встало криво и просят > > > физическую, наводит на мысль, что то ли там стало все намного > > > хуже, > > > > Стало хуже по сравнению с чем? Хотелось бы услышать от спецов по > > Чем было десять лет назад. > > > виртуализации, какие гипервизоры сегодня дают полноценный проброс > > usb-устройств с физической на виртуальную машину, даже если > > Лично меня все устраивало даже с KVM и пробросом USB через > SPICE-протокол. Правда, токен был Алладиновский, к котоорому > PKCS10-драйвер под linux был, и мне его даже удалось заставить > работать под Debian (исходно он был под редхат). > > Но мне этот токен нужен был для доступа к VPN, использоваваший > протокол SSTP. Причем авторизация по сертификату там требовалась > дважды - при установлении самого SSTP-соединения и при запуске поверх > него PPP-сессии. И если сам sstp-клиент под Linux я сумел попатчить > так, чтобы он использовал токен, то с PPPD - не получилось. > > Поэтому пришлось поднимать VPN через виртуальную винду, благо для > винды SSTP -родной протокол. > > А на сайте у рутокена прямым текстом пишут, что проброс в виртуальные > машины из-под линукс-хоста поддерживается. Правда, не факт что именно > как USB-девайса, а не как смарт-карты. > > Вот с пробросом USB-подключения к смартфону Sony, чтобы с ним потом > заработал проприетарный софт от самой Sony были сложности. Дело в том > что там предлагалось по ходу дела подключать-отключать телефон от > компьютера и организовать дело так, чтобы при втыкании выключенного > телефона он сразу пробрасывался - у меня не получилось. > Возможно у меня проблема из-за винды, я использую бесплатный образ для UI тестеров. В ней нет Russian language pack, а сам ключ с кириллицей в имени и все буквы заменились знаками вопроса. КриптоПро его находит через (by certificate), но не показывает в списке доступных. -- Best regards!
Re: ЭЦП и RuToken
On Wed, 27 Mar 2019 14:30:00 +0300 Artem Chuprina wrote: > Там с большими шансами еще прослойка в виде КриптоПро CSP. Которая как > раз может как-то по-разному вести себя в случае виртуальной и > физической винды. Она платная, и там может быть защита. Что-то я не припомню чтобы самому КриптоПро CSP (без PCSC-дополнений) виртуальная машина как-то мешала. Я не говорю про тесты на совместимость с этим CSP, которые мы с тобой вместе делали некогда, но во время работы в более другой криптографической фирме, мы разворачивали в VMWare ESX целые криптографические сети на базе этого CSP и прекрасно отлаживались. --
Re: ЭЦП и RuToken
On Wed, 27 Mar 2019 14:14:24 +0300 Eugene Berdnikov wrote: ... > > Вот идея, что оно под виртуальной виндой встало криво и просят > > физическую, наводит на мысль, что то ли там стало все намного > > хуже, > > Стало хуже по сравнению с чем? Хотелось бы услышать от спецов по Чем было десять лет назад. > виртуализации, какие гипервизоры сегодня дают полноценный проброс > usb-устройств с физической на виртуальную машину, даже если Лично меня все устраивало даже с KVM и пробросом USB через SPICE-протокол. Правда, токен был Алладиновский, к котоорому PKCS10-драйвер под linux был, и мне его даже удалось заставить работать под Debian (исходно он был под редхат). Но мне этот токен нужен был для доступа к VPN, использоваваший протокол SSTP. Причем авторизация по сертификату там требовалась дважды - при установлении самого SSTP-соединения и при запуске поверх него PPP-сессии. И если сам sstp-клиент под Linux я сумел попатчить так, чтобы он использовал токен, то с PPPD - не получилось. Поэтому пришлось поднимать VPN через виртуальную винду, благо для винды SSTP -родной протокол. А на сайте у рутокена прямым текстом пишут, что проброс в виртуальные машины из-под линукс-хоста поддерживается. Правда, не факт что именно как USB-девайса, а не как смарт-карты. Вот с пробросом USB-подключения к смартфону Sony, чтобы с ним потом заработал проприетарный софт от самой Sony были сложности. Дело в том что там предлагалось по ходу дела подключать-отключать телефон от компьютера и организовать дело так, чтобы при втыкании выключенного телефона он сразу пробрасывался - у меня не получилось.
Re: ЭЦП и RuToken
Eugene Berdnikov -> debian-russian@lists.debian.org @ Wed, 27 Mar 2019 14:14:24 +0300: >> >> > А есть вероятность запустить всё это хозяйство на Debian stretch? >> >> > Выпустил сертификат в виртуальной винде, оно встало криво, просят >> >> > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, >> >> > может на дебе проще будет? > ... >> Вот идея, что оно под виртуальной виндой встало криво и просят >> физическую, наводит на мысль, что то ли там стало все намного хуже, > Стало хуже по сравнению с чем? Хотелось бы услышать от спецов по > виртуализации, какие гипервизоры сегодня дают полноценный проброс > usb-устройств с физической на виртуальную машину, даже если физическая > поддерживает vt-d. Меня лично одолевают подозрения, что стоит выйти > за рамки списка "мышка, клава, флешка" как встретятся проблемы. В моем опыте был USB-ключ от некой программы (нашей), который вполне годным образом работал по крайней мере в VmWare Player и в VirtualBox с несвободным пакетом дополнений, включающим проброс USB. >> то ли проблема не в рутокене самом по себе, а в системе PKI и подписи, >> которая им пользуется. Поскольку нужен-то не сам рутокен, а положенный >> на него сверху софт. > Вряд ли проблема в верхнем софте, поскольку внутрисистемное взаимодействие > (софта с драйвером токена) не должно быть проблемой при виртуализации. Там с большими шансами еще прослойка в виде КриптоПро CSP. Которая как раз может как-то по-разному вести себя в случае виртуальной и физической винды. Она платная, и там может быть защита.
Re: ЭЦП и RuToken
On Wed, Mar 27, 2019 at 01:49:24PM +0300, Artem Chuprina wrote: > >> > А есть вероятность запустить всё это хозяйство на Debian stretch? > >> > Выпустил сертификат в виртуальной винде, оно встало криво, просят > >> > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, > >> > может на дебе проще будет? ... > Вот идея, что оно под виртуальной виндой встало криво и просят > физическую, наводит на мысль, что то ли там стало все намного хуже, Стало хуже по сравнению с чем? Хотелось бы услышать от спецов по виртуализации, какие гипервизоры сегодня дают полноценный проброс usb-устройств с физической на виртуальную машину, даже если физическая поддерживает vt-d. Меня лично одолевают подозрения, что стоит выйти за рамки списка "мышка, клава, флешка" как встретятся проблемы. > то ли проблема не в рутокене самом по себе, а в системе PKI и подписи, > которая им пользуется. Поскольку нужен-то не сам рутокен, а положенный > на него сверху софт. Вряд ли проблема в верхнем софте, поскольку внутрисистемное взаимодействие (софта с драйвером токена) не должно быть проблемой при виртуализации. -- Eugene Berdnikov
Re: ЭЦП и RuToken
Victor Wagner -> debian-russian@lists.debian.org @ Wed, 27 Mar 2019 11:59:44 +0300: >> > А есть вероятность запустить всё это хозяйство на Debian stretch? >> > Выпустил сертификат в виртуальной винде, оно встало криво, просят >> > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, >> > может на дебе проще будет? >> >> Подозреваю, что нет. Даже если сам рутокен заведется (хотя в этом есть >> большие сомнения, если он даже виртуальную винду не осилил), то тот >> софт, для подписи в котором он вообще нужен, наверняка еще более крив >> и виндоус-онли. > Погоди, погоди, мы ж с тобой десять лет назад вместе делали систему > для ДНС-регистраторов как раз на рутокенах. И оно даже под > Solaris-ом работало, не то что под линуксами. То есть какие-то > PCSC-драйвера для Linux у Актив-а есть. Насколько я помню, тогда была > совместимость с openct. Как сейчас - не знаю. Но тогда у меня сложилось > впечатление об Актив, как о наиболее open source friendly производителе > криптотокенов. > Сейчас я у них на сайте вижу среди партнеров почти всех производителей > российских сертифицированных дистрибутивов Linux - Astra, AltLinux, > RosaLabs, Red Soft, МСВСфера. Вот идея, что оно под виртуальной виндой встало криво и просят физическую, наводит на мысль, что то ли там стало все намного хуже, то ли проблема не в рутокене самом по себе, а в системе PKI и подписи, которая им пользуется. Поскольку нужен-то не сам рутокен, а положенный на него сверху софт.
Re: ЭЦП и RuToken
В Wed, 27 Mar 2019 11:59:44 +0300 Victor Wagner пишет: > On Wed, 27 Mar 2019 11:35:53 +0300 > Artem Chuprina wrote: > > > Grigory Fateyev -> debian-russian@lists.debian.org @ Wed, 27 Mar > > 2019 10:52:16 +0300: > > > > > А есть вероятность запустить всё это хозяйство на Debian stretch? > > > Выпустил сертификат в виртуальной винде, оно встало криво, просят > > > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, > > > может на дебе проще будет? > > > > Подозреваю, что нет. Даже если сам рутокен заведется (хотя в этом > > есть большие сомнения, если он даже виртуальную винду не осилил), > > то тот софт, для подписи в котором он вообще нужен, наверняка еще > > более крив и виндоус-онли. > > Погоди, погоди, мы ж с тобой десять лет назад вместе делали систему > для ДНС-регистраторов как раз на рутокенах. И оно даже под > Solaris-ом работало, не то что под линуксами. То есть какие-то > PCSC-драйвера для Linux у Актив-а есть. Насколько я помню, тогда была > совместимость с openct. Как сейчас - не знаю. Но тогда у меня > сложилось впечатление об Актив, как о наиболее open source friendly > производителе криптотокенов. > > Сейчас я у них на сайте вижу среди партнеров почти всех производителей > российских сертифицированных дистрибутивов Linux - Astra, AltLinux, > RosaLabs, Red Soft, МСВСфера. > Судя по ссылке[1] шанс есть. Может альтовцы что подскажут. [1] https://www.cryptopro.ru/forum2/default.aspx?g=topics=7=Linux,%20Solaris%20etc. -- Best regards!
Re: ЭЦП и RuToken
On Wed, 27 Mar 2019 11:35:53 +0300 Artem Chuprina wrote: > Grigory Fateyev -> debian-russian@lists.debian.org @ Wed, 27 Mar > 2019 10:52:16 +0300: > > > А есть вероятность запустить всё это хозяйство на Debian stretch? > > Выпустил сертификат в виртуальной винде, оно встало криво, просят > > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, > > может на дебе проще будет? > > Подозреваю, что нет. Даже если сам рутокен заведется (хотя в этом есть > большие сомнения, если он даже виртуальную винду не осилил), то тот > софт, для подписи в котором он вообще нужен, наверняка еще более крив > и виндоус-онли. Погоди, погоди, мы ж с тобой десять лет назад вместе делали систему для ДНС-регистраторов как раз на рутокенах. И оно даже под Solaris-ом работало, не то что под линуксами. То есть какие-то PCSC-драйвера для Linux у Актив-а есть. Насколько я помню, тогда была совместимость с openct. Как сейчас - не знаю. Но тогда у меня сложилось впечатление об Актив, как о наиболее open source friendly производителе криптотокенов. Сейчас я у них на сайте вижу среди партнеров почти всех производителей российских сертифицированных дистрибутивов Linux - Astra, AltLinux, RosaLabs, Red Soft, МСВСфера. --
Re: ЭЦП и RuToken
Grigory Fateyev -> debian-russian@lists.debian.org @ Wed, 27 Mar 2019 10:52:16 +0300: > А есть вероятность запустить всё это хозяйство на Debian stretch? > Выпустил сертификат в виртуальной винде, оно встало криво, просят > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, может > на дебе проще будет? Подозреваю, что нет. Даже если сам рутокен заведется (хотя в этом есть большие сомнения, если он даже виртуальную винду не осилил), то тот софт, для подписи в котором он вообще нужен, наверняка еще более крив и виндоус-онли.
ЭЦП и RuToken
Добрый день! А есть вероятность запустить всё это хозяйство на Debian stretch? Выпустил сертификат в виртуальной винде, оно встало криво, просят физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, может на дебе проще будет? Спасибо! -- Best regards!
