Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Приветствую всех.

На домашней машине использую Linux.

А по работе имею дело с носителями Rutoken.
Посему, смотрел документацию, характеристики устройств и т.п.
Из прочитанного можно сделать вывод, что для Linux-систем лучше подходит носитель, что называется, "с чипом", то есть Rutoken ECP, а не Rutoken S, к примеру.

В личное пользование мной был приобретен Рутокен ЭЦП 2.0.
Вроде неплохая штука, аппаратная криптография, ГОСТ и всё такое.

Но есть большой вопрос.
Вот хочу я использовать аппаратные возможности токена. Причем, под Linux. И заходить на портал Госуслуг, к примеру.
Но для госуслуг нужна квалифицированная ЭП, соответствующая ГОСТу.

Я сгенерирую пару ключей средствами токена и, скажем, OpenSSL, а дальше нужно создать запрос на сертификат и отправить этот запрос в УЦ. Кто-нибудь может назвать мне хоть один УЦ, который это примет?
Некоторые УЦ я видел. УЦ КриптоПро заточен под КриптоПро, что как бы ожидаемо.
УЦ федерального казначейства тоже требует КриптоПро.
У компании КриптоКом своего УЦ вообще нет (раньше что-то такое было).
У компании Тензор тоже КриптоПро. Хотя в прайсе присутствует Рутокен ЭЦП, но с пометкой "только для ЕГАИС".
А я не хочу КриптоПро.

Более того, генерация ключей в этих УЦ происходит там же через веб-интерфейс, в процессе создания запроса, то есть скормить туда заранее подготовленный запрос невозможно.

В итоге получается, что я могу использовать только самоподписанные сертификаты с ключами RSA для входа на какой-нибудь github. И не более.

Отсюда два вопроса:
1. Существуют ли УЦ, где можно получить КЭП нужного вида именно с условием использования аппаратных возможностей токена?
2. Какова в принципе область применения Рутокен ЭЦП (имею в виду аппаратную реализацию ГОСТ-алгоритмов), если УЦ (по крайней мере, на первый взгляд) такой вариант не поддерживают?

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Alex_K, приветствую.

1. Нужно узнавать в аккредитованных УЦ. Действительно, не у всех УЦ регламентирована такая возможность. Еще роль играет для кого планируется получение - для юридического лица, или вы хотите получить как физическое лицо. 

2. Без использования "КриптоПро CSP" из популярных сервисов неизвлекаемые ключи можно использовать в ЕГАИС, Портале Госуслуг, в системе Честный знак, в ЛК ИП и ЛК ЮЛ на сайте nalog.ru
В версии КриптоПро CSP 5.0 R2 и выше добавлена поддержка формата ключей PKCS#11 и с ними теперь можно работать во всех сервисах, где работают обычные программные ключи КриптоПро (связка КриптоПро Browser Plug-In). В таком случае обязательно нужно будет приобрести лицензию на КриптоПро CSP.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Ксения Шаврова пишет:

2. Без использования "КриптоПро CSP" из популярных сервисов неизвлекаемые ключи можно использовать в ЕГАИС, Портале Госуслуг, в системе Честный знак, в ЛК ИП и ЛК ЮЛ на сайте nalog.ru

Согласно вашей же документации для Linux использование ЛК ЮЛ на сайте nalog.ru не возможно.
Всвязи с этим вопрос чем вызвано подобное ограничение?

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

LedokolEvgen, приветствую.
Да, на текущий момент, техническая реализация входа в ЛК ФНС по аппаратным ключам реализована только для ОС Windows. В будущем, уверена список операционных систем расширится.
С нашей стороны разработки Рутокен Коннекта также ведутся.

Проверила описание всех входов в ЛК ФНС ЮЛ. Нигде ОС Linux не указана как поддерживаемая.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Уважаемая, Ксения. Вы так и не пояснили в чем техническая сложность работы с ЛК Юр лица ФНС. Весь необходимый софт(Рутокен плагин, крипто про), как я понимаю, успешно работает. Это политика самой ФНС или все же есть какие-то технические осоебнности о которых мне не известно.

Дело в том что сейчас стою перед выбором взять рутокен лайт(продлить сертификат) или приобретать рутокен ЭЦП 2.0.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Для входа в ЛК ЮЛ по аппаратному ключу, помимо Рутокен Плагина (который есть под Linux), используется еще Рутокен Коннект, который создает защищенное соединение. Рутокен Коннект есть только под Windows.
И сама страница входа по неизвлекаемым ключам на семействах Рутокен ЭЦП в ЛК ЮЛ ФНС тоже разработана пока только под Windows.
На странице входа в ЛК ИП по неизвлекаемым ключам используется только Рутокен Плагин и возможность входа реализована в бОльшем количестве браузеров. Только там вход с Linux теоретически возможен.

Собрали для вас списки официально поддерживаемых ОС для каждого типа входа в ЛК ФНС:

ЛК ЮЛ "По сертификату ключа проверки ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ЮЛ "По сертификату ЕГАИС на аппаратном ключе" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) или выше;

ЛК ИП "Ключ ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ИП "Рутокен ЭЦП 2.0" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Ксения Шаврова, Здравствуйте. Помогите с установкой "Не установлен программный компонент для работы с электронной подписью с использованием Web-браузера Internet Explorer ( Фсрар-Крипто 3 ). Скачать и установить"
Никак не получается. Может удаленно у вас получится. спасибо

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Здравствуйте, Amur, для начала попробуйте выполнить действия описанные в инструкции по ссылке.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

LedokolEvgen пишет:

Уважаемая, Ксения. Вы так и не пояснили в чем техническая сложность работы с ЛК Юр лица ФНС. Весь необходимый софт(Рутокен плагин, крипто про), как я понимаю, успешно работает. Это политика самой ФНС или все же есть какие-то технические осоебнности о которых мне не известно.

Дело в том что сейчас стою перед выбором взять рутокен лайт(продлить сертификат) или приобретать рутокен ЭЦП 2.0.

Возможно. Я заходил, но с бубнами. Ограничение вызвано тем, что помимо использования ГОСТовых ключей для авторизации, само соединение TLS должно быть установлено с использованием алгоритмов ГОСТ. И если подпись документов можно прикрутить к браузеру плагинами, то вот использование алгоритмов ГОСТ для TLS требует патчинга браузера и библиотек. У Крипто-Про есть версия Chromium GOST. Ставьте её. На сайте налоговой нужно будет в настройках для разработчиков поменять User-Agent браузера, чтобы сайт думал, что браузер на Windows работает. После этого всё получится.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Alex_K пишет:

Отсюда два вопроса:
1. Существуют ли УЦ, где можно получить КЭП нужного вида именно с условием использования аппаратных возможностей токена?
2. Какова в принципе область применения Рутокен ЭЦП (имею в виду аппаратную реализацию ГОСТ-алгоритмов), если УЦ (по крайней мере, на первый взгляд) такой вариант не поддерживают?

К сожалению, поздно прочитал, но если вопрос ещё актуальный, то для личных целей рекомендую вам взять Рутокен ЭЦП 2.0 в варианте 3000. Или Рутокен ЭЦП 3.0 в виде смарткарты.

УЦ такие есть - рекомендую лично УЦ Росреестра.

Подробнее тут https://habr.com/ru/post/517388/. Постараюсь на выходных запилить статью про Рутокен ЭЦП 3.0 и работу в Linux.

Ксения Шаврова, пишу обзоры на ваши токены, пишу. Могли бы и сослаться на пост, там, полагаю, инфы для новичка много полезной и ответов на многие такие вопросы тоже  =)

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Я посмотрел несколько УЦ.
С некоторыми пообщался в чатах/эл. почте.
Практически везде используется КриптоПро.
Тот вариант, который предложили здесь -- УЦ Росреестра -- на данный момент использует КриптоПро.
Такском -- единственный УЦ из списка партнеров на сайте rutoken.ru, который присутствует в нашем городе, судя по информации на их сайте, тоже использует КриптоПро. А на моё обращение они вообще не ответили.

И все меня отправляют к менеджерам. Как будто менеджеры что-то понимают в линуксах, плагинах, библиотеках и прочих технических тонкостях.

Короче говоря, это безнадежно. Почти.

Единственный вариант, который откопали с грехом пополам -- это подпись для ЕГАИС.
В этом случае действительно используется Рутокен ЭЦП и аппаратное шифрование.
Для тех задач, которые у меня есть (Госуслуги и т.п.) этого должно быть достаточно.
И один из УЦ такой вариант предлагает. Но поскольку речь идет о Linux и отсутствии КриптоПро,
они сами не знают, заработает или нет. И обещают, что поддержки не будет.

Похоже, никому это не интересно (кроме меня). В конце концов, есть же разные СКЗИ. Но нет, все вцепились в КриптоПро, как черт в грешную душу.

Так что не знаю, уважаемые, для кого вы создаете ваши устройства.
Вы бы хоть свой УЦ запили бы что ли, с учетом специфики. Я бы хоть к вам пришел.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Завершение истории с Рутокен ЭЦП+аппаратное шифрование+Linux.

Итак, исходная задача:
Аутентификация на портале Госуслуг и т.п. с помощью аппаратного СКЗИ Рутокен ЭЦП
без использования КриптоПро.

Решение:
УЦ СКБ Контур предоставляет такую возможность, хотя и не совсем штатным способом.
В процессе создания заявки на создание подписи
я обратился в техподдержку, чтобы они заменили СКЗИ на аппаратное (прямо в создаваемой заявке -- на лету).
Дальнейшие шаги по созданию подписи выполняются как обычно. Ключевая пара генерируется аппаратными средствами токена.
В процессе создания заявки потребуется и КриптоПро, и (возможно) Windows,
поскольку работа в их ЛК требует наличия определенных компонентов. На их портале есть средства диагностики и настройки.
Но когда подпись уже создана, для её использования ни КриптоПро, ни Windows не требуются.

Результат: Успешно.

Проверена работа с порталом Госуслуг и сопутствующими сервисами. Без КриптоПро.

Проверка проводилась на "чистой" установке Windows, то есть программа КриптоПро не устанавливалась.
Также проверка проводилась на моей основной системе Linux Slackware, где КриптоПро в принципе никогда не было. В обоих случаях удалось успешно войти в ЛК Госуслуг.

Для успешного использования требуется драйвер на рутокен и плагины к браузеру. КриптоПро не требуется.

Задача решена.