Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline seevve  
#1 Оставлено : 16 ноября 2021 г. 14:33:30(UTC)
seevve

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.11.2021(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Добрый день. Может плохо ищу, а есть ли пример работы с Rutoken/esmart пример работы? Или статейка какая-то?
Есть задача получать электронную подпись на ключе с токена.

Куда хотя бы смотреть? какие библитеки заголовки?

Про pkcs11 немного в курсе. Дополню вопрос. Писать на либах pkcs11 от производителя, или от криптвс есть каакя-то обёртка надстройка для работы с ключевыми носителями?

С уважением.

Отредактировано пользователем 16 ноября 2021 г. 14:41:32(UTC)  | Причина: Не указана

Offline Андрей Русев  
#2 Оставлено : 25 ноября 2021 г. 18:01:12(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 826

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 207 раз в 161 постах
Здравствуйте.
КриптоПро CSP предоставляет единый интерфейс (CryptoAPI) для работы с ключами на любых носителях. Выбор конкретных устройств обычно происходит в диалогах, которые провайдер показывает при необходимости. По сути это выбор имён в некотором формате: https://cpdn.cryptopro.r...LPSZ_CONTAINER_NAME.html
Лучше начинать знакомство с помощью прикладных программ. Для Linux есть хорошие описания у партнёров:
https://wiki.astralinux....e.action?pageId=32833902
https://www.altlinux.org...%D0%BE%D0%9F%D1%80%D0%BE
К написанию кода лучше и не переходить, а воспользоваться приложениями из состава: либо графическим (cptools/Инструменты КриптоПро), либо консольными (cryptcp, csptest).
Официальная техподдержка. Официальная база знаний.
Offline seevve  
#3 Оставлено : 25 ноября 2021 г. 19:09:29(UTC)
seevve

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.11.2021(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

спасибо за ссылки, но боюсь это не то. Мне всё таки про встраивание задача. И если бы задача не касалась росийских алгоритмов и генерации CMS с подписью мне бы исходников pkcs11-tool хватил вполне, для "творческого" осмысления и надёргать код. Плюс на машине где этот код будет выпоняться, вот нет уверенности что будет стоять полноценный крипто про, хватило бы и pkcs11 библиотек от вендоров м/или крипто про для выполнения задачи: "генерации подписанного CMS на неизвлекаемом ключе".

Такой вопрос для работы через библиотеку крипто про с rutoken/esmart через pkcs11 на машине не обязательно должны быть установлены библиотеки pkcs11 от вендоров? Тут прельщает, что будет один код для работы с разными токенами, ибо работа с CMS у рутокена и esmart сделана по разному, хоть и в рамках pkcs11.
А что с точки зрения лицензии такое использование только pkcs11 библиотек от крипто про?

Вероятно задача может быть решена скриптом на базе утилит (как вы написали cryptcp, csptest) и взовом оного через popen() я о таком как-то не подумал сразу, но это явно требует установки крипто про и полноценной лицензии. но и тут я бы предпочёл обойтись более стандартизованным (если бы его хватало)
pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11...
Offline Андрей Русев  
#4 Оставлено : 26 ноября 2021 г. 12:48:17(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 826

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 207 раз в 161 постах
Обычно там, где нужен ГОСТ, нужны сертифицированные решения, так что зачастую pkcs11-интерфейсом и pkcs11-tool не обойтись. По тем же причинам при встраивании лучше использовать наши приложения - можно сэкономить на проверке корректности встраивания.

Наличие pkcs11-модулей от вендоров для работы не требуется: нужны только pcsc+ccid-драйвер (обычно все устройства поддерживаются из коробки) + наш модуль поддержки типа cprocsp-rdr-rutoken и cprocsp-rdr-esmart + пакет cprocsp-rdr-pcsc - они в комплекте с дистрибутивом КриптоПро CSP. Для Рутокен в режиме ФКН также нужен cprocsp-rdr-cpfkc.

Лицензия не потребуется для создания контейнера с ключом и запроса на сертификат. Но потребуется в дальнейшем, чтобы делать подпись.

Если-таки будете программировать: https://support.cryptopr...7/0/sbork-primerov-n-nix
Но CryptoAPI - большой и сложный интерфейс, с наскоку корректно решать в нём задачи будет тяжело.
Официальная техподдержка. Официальная база знаний.
Offline seevve  
#5 Оставлено : 26 ноября 2021 г. 13:39:26(UTC)
seevve

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.11.2021(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Примеры я конечно уже посмотрел и функционал связанный с шифрованием и проверкой подписи на CSP там нашёл и реализовал у себя, а вот примеров работы через pkcs11 там нет.
Ну по крайней мере по C_Login, C_Init, pkcs11 ничего не grep-ается.
Offline Андрей Русев  
#6 Оставлено : 26 ноября 2021 г. 15:00:33(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 826

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 207 раз в 161 постах
Примеров для pkcs11 у нас нет, но если вы уже используете CryptoAPI из примеров, то вам это и не нужно.
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.