35,01
рейтинг
1 марта 2012 в 13:40

Разное → Рутокен ЭЦП и Open Source



Мне нравится современный Open Source. Нравится не как идея, а с вполне прагматической точки зрения. Фактом является то, что компания любого масштаба может использовать Open Source приложения в своей информационной системе и получить в результате кроссплатформенные, удобные и бесплатные решения практически любых проблем.

Мы прилагаем много усилий, чтобы «подружить» Рутокен ЭЦП и различные приложения Open Source. Для этой цели мы добавили поддержку российских криптоалгоритмов (ГОСТ 28147-89, ГОСТ Р 34-11.94 и ГОСТ Р 34-10.2001) и устройств Рутокен и Рутокен ЭЦП в проект OpenSC, а также разработали свою собственную кроссплатформенную библиотеку PKCS#11, работающую на операционных системах Microsoft Windows, GNU/Linux, Mac OS X, FreeBSD и др.

Стандарт PKCS#11 поддерживается большинством Open Source приложений для подключения криптографических USB-токенов. Основная проблема, с которой мы столкнулись — популярные Open Source приложения прекрасно работают с аппаратной реализацией алгоритма RSA «на борту» Рутокен ЭЦП и не умеют использовать ГОСТы, также реализованные «на борту» Рутокен ЭЦП. Пришлось «обучать» их этому. На сегодняшний день удалось решить эту задачу для OpenSC, OpenSSL и sTunnel, что, если разобраться, не так уж и мало :-).

На выходе мы получили интеграцию Рутокен ЭЦП с различными приложениями Open Source через библиотеку PKCS#11 и через другие механизмы. Ниже приводится сводная таблица, в которой можно найти ссылки на подробные инструкции по интеграции. Список приложений, представленных в таблице, будет постоянно расширяться.

Хочется также отметить, что Форум проекта Рутокен — это, наверное, одно из самых информационно наполненных мест в русскоязычном интернете, где можно получить ответы на вопросы, связанные с использованием криптографических токенов в Linux и приложениях Open Source.

OpenSC Открытая реализация стандартов для поддержки криптографических токенов в различных приложениях Интеграция с Рутокен ЭЦП по алгоритмам ГОСТ и RSA: http://www.opensc-project.org/opensc/wiki/AktivRutokenECP
OpenSSL Криптографическая библиотека, команднострочная утилита Интеграция с Рутокен ЭЦП по алгоритмам ГОСТ: http://forum.rutoken.ru/topic/1639/

Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://www.opensc-project.org/engine_pkcs11
sTunnel SSL/TLS-прокси Интеграция с Рутокен ЭЦП по алгоритмам ГОСТ: http://habrahabr.ru/blogs/infosecurity/135369/

Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://www.stunnel.org/static/stunnel.html (опция engine)
OpenVPN Создание VPN на базе инфраструктуры Интернет Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://habrahabr.ru/blogs/infosecurity/137306
Putty SSH-клиент для Windows Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://forum.rutoken.ru/topic/1673/
XCA Программа для управления ключами, сертификатами и токенами Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://habrahabr.ru/blogs/infosecurity/137306
rdesktop RDP-клиент для Linux Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://forum.rutoken.ru/topic/1666/
Mozilla FireFox и Mozilla Thunderbird Браузер и почтовый клиент Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://www.rutoken.ru/products/rt4osx/example-of-using/
PAM Аутентификация в Linux Интеграция с Рутокен ЭЦП по алгоритмам RSA: http://forum.rutoken.ru/post/4546/#p4546
Cryptonit GUI-приложение для подписи и шифрования файлов Интеграция с Рутокен ЭЦП по алгоритмам RSA http://www.opensc-project.org/opensc/wiki/ApplicationSupport (раздел Cryptonit)
Автор: @mkirya
Компания «Актив»
рейтинг 35,01

Комментарии (15)

  • 0
    Спасибо за работу и за ссылки — буду изучать.
    Нашел еще по ходу статью www.ib-bank.ru/bis/a/104 — ваши токены там указаны в сравнительных таблицае.


    Исходя из статьи они соответствуют стандартам по ФЗ-152 — я правильно понял?
    п.с:
    после весьма долгого копания в поиске вашем сайте все таки нашел — то что искал(причем не по запросу «ФЗ-152», а на втором листе поиска по запросу «персональные данные»): конечно такие данные лучше делать легкодоступными на ресурсе — мне как IT-шнику в госконторе это очень важно.

    • +1
      Рутокен S имеет сертификат ФСТЭК и может использоваться в ИСПДн до класса К1 включительно. Рутокен ЭЦП так же вскоре получит такой сертификат.

      Но следует понимать, что защита ПДн требует комплексного решения (защита при хранении, при передаче при использовании), одним из компонентов которого могут выступать электронные идентификаторы Рутокен.
      • 0
        Спасибо за разъяснения
        что касается:
        >Но следует понимать, что защита ПДн требует комплексного решения (защита при хранении, при >передаче при использовании), одним из компонентов которого могут выступать электронные >идентификаторы Рутокен.
        Саму процедуру я знаю — в данный момент интересно оборудование сертифицированное по ФСТЭК и совместимое с linux — особо интересны: PAM, OpenSSL, OpenVPN, Putty и браузер(радует что это все нашел в вашей таблице).
    • 0
      Кроме сертификатов ФСТЭК Рутокены имеют сертификаты ФСБ. Рутокен ЭЦП представляет собой полноценное аппаратное средство криптографической защиты информации, сертифицированное в ФСБ по классу КС2.
  • 0
    Как-то возился с Рутокеном для участию в тендрах на площадке сбербанка… Честно говоря желание пользоваться электронной подписью пропало полностью, хотя до этого я грезил об этой технологии.

    Два ключевых фактора, которые меня убили:

    1) Работала подпись только в IE (какая-то там библиотечка была допотопная, которую надо еще было найти), гореть ему в аду. И из вашего топика не понятно изменилась ли ситуация.

    2) Все дико сложно организовано. Когда я это все пытался запустить, то у меня возникло ощущение, что надо идти еще одно высшее получать минимум. Абсолютно все неинтуитивно и наворочено так, что… А я раньше думал, что 1С Бухгалтерия — перегруженная и сложная программа.

    Я даже понял, что подписывать документы рукой гораздо проще.
    • 0
      Спасибо за ваше мнение, просто по любому, весьма скоро — придется с подобной технологией столкнуться, потому очень не хочется ошибиться в выборе.
      Тоже интересны ответы на ваш «крик души».
      • 0
        Сейчас то, что касается самих токенов, работает в общем-то вполне нормально и без особых плясок с бубном. Воткнул, поставил драйвера, токен увиделся, криптопро цсп с ним работает.
        А вот софт, использующий это дело, частенько пишется поставщиком в пьяном угаре. И да, микрософт+ие+активх — неизменно богаты на сюрпризы.

        ps по личному опыту: даже на пользовательской машине лучше всего всю эту криптографию ставить в отдельную виртуалку, пробрасывать в нее usb, делать резервную ее копию, и инструктировать пользователя вусмерть чтобы на этой виртуалке работали только и исключительно с этой криптографией, ни-че-го больше туда не ставя. Даже системные обновления туда накатывать только после теста на копии.
    • +1
      Я с вами полностью согласен — нет ничего ужаснее, чем бороться с настройками безопасности IE для запуска ActiveX CAPICOM, устанавливать и настраивать нужный софт.

      Но хочется все же разделить мух и котлеты. Под ЭЦП в РФ понимается набор из программной части, реализующей ГОСТы (СКЗИ) и ключа/сертификата. Обычно этот ключ/сертификат хранится на токене, в ряде случаев программная часть СКЗИ производит подпись аппаратно, «на борту» токена.

      Так вот, озвученные вами претензии — это претензии к производителям СКЗИ и разработчикам электронных площадок. Сформировался тренд — Windows + IE + ActiveX, который портит жизнь рядовым пользователя и техподдержке. И переломить его трудно:(

      Технические возможности сейчас имеются, например, я описывал более удобные кроссплатформенные и мультибраузерные решения в статьях habrahabr.ru/blogs/infosecurity/134890/ и habrahabr.ru/blogs/infosecurity/134890/. И это далеко не все возможные решения.

      Нужна воля крупных торговых площадок, операторов сдачи отчетности в электронном виде и т.п.
      • 0
        Решение с кроссплатформенным апплетом не сертифицировано ФАПСИ и не может использоваться например для сдачи отчетности в налоговую и ПФР. Вторая статься ссылается тудаже куда и первая :)
        • 0
          • +1
            За ссылку спасибо, вообще я считаю что ЭЦП давно пора сделать частью стандарта HTML, а то постоянные танцы с бубном если надо сформировать ЭЦП в браузере уже достали.
            • 0
              Стандарты ЭЦП, вообще криптографические стандарты, на мой взгляд, слишком «толстые», чтобы их запихнуть в HTML.
        • 0
          А CAPICOM, через который сейчас осуществляется подпись, сертифицирован?

          Сертифицировано СКЗИ, которое работает «под ним».

          Чем принципиально отличается от схемы с апплетом, «под которым» работает Рутокен ЭЦП?
        • 0
          Апплет — это пример того, как можно сделать лучше:)
  • 0

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное