Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Приветствую всех.

На домашней машине использую Linux.

А по работе имею дело с носителями Rutoken.
Посему, смотрел документацию, характеристики устройств и т.п.
Из прочитанного можно сделать вывод, что для Linux-систем лучше подходит носитель, что называется, "с чипом", то есть Rutoken ECP, а не Rutoken S, к примеру.

В личное пользование мной был приобретен Рутокен ЭЦП 2.0.
Вроде неплохая штука, аппаратная криптография, ГОСТ и всё такое.

Но есть большой вопрос.
Вот хочу я использовать аппаратные возможности токена. Причем, под Linux. И заходить на портал Госуслуг, к примеру.
Но для госуслуг нужна квалифицированная ЭП, соответствующая ГОСТу.

Я сгенерирую пару ключей средствами токена и, скажем, OpenSSL, а дальше нужно создать запрос на сертификат и отправить этот запрос в УЦ. Кто-нибудь может назвать мне хоть один УЦ, который это примет?
Некоторые УЦ я видел. УЦ КриптоПро заточен под КриптоПро, что как бы ожидаемо.
УЦ федерального казначейства тоже требует КриптоПро.
У компании КриптоКом своего УЦ вообще нет (раньше что-то такое было).
У компании Тензор тоже КриптоПро. Хотя в прайсе присутствует Рутокен ЭЦП, но с пометкой "только для ЕГАИС".
А я не хочу КриптоПро.

Более того, генерация ключей в этих УЦ происходит там же через веб-интерфейс, в процессе создания запроса, то есть скормить туда заранее подготовленный запрос невозможно.

В итоге получается, что я могу использовать только самоподписанные сертификаты с ключами RSA для входа на какой-нибудь github. И не более.

Отсюда два вопроса:
1. Существуют ли УЦ, где можно получить КЭП нужного вида именно с условием использования аппаратных возможностей токена?
2. Какова в принципе область применения Рутокен ЭЦП (имею в виду аппаратную реализацию ГОСТ-алгоритмов), если УЦ (по крайней мере, на первый взгляд) такой вариант не поддерживают?

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Alex_K, приветствую.

1. Нужно узнавать в аккредитованных УЦ. Действительно, не у всех УЦ регламентирована такая возможность. Еще роль играет для кого планируется получение - для юридического лица, или вы хотите получить как физическое лицо. 

2. Без использования "КриптоПро CSP" из популярных сервисов неизвлекаемые ключи можно использовать в ЕГАИС, Портале Госуслуг, в системе Честный знак, в ЛК ИП и ЛК ЮЛ на сайте nalog.ru
В версии КриптоПро CSP 5.0 R2 и выше добавлена поддержка формата ключей PKCS#11 и с ними теперь можно работать во всех сервисах, где работают обычные программные ключи КриптоПро (связка КриптоПро Browser Plug-In). В таком случае обязательно нужно будет приобрести лицензию на КриптоПро CSP.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Ксения Шаврова пишет:

2. Без использования "КриптоПро CSP" из популярных сервисов неизвлекаемые ключи можно использовать в ЕГАИС, Портале Госуслуг, в системе Честный знак, в ЛК ИП и ЛК ЮЛ на сайте nalog.ru

Согласно вашей же документации для Linux использование ЛК ЮЛ на сайте nalog.ru не возможно.
Всвязи с этим вопрос чем вызвано подобное ограничение?

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

LedokolEvgen, приветствую.
Да, на текущий момент, техническая реализация входа в ЛК ФНС по аппаратным ключам реализована только для ОС Windows. В будущем, уверена список операционных систем расширится.
С нашей стороны разработки Рутокен Коннекта также ведутся.

Проверила описание всех входов в ЛК ФНС ЮЛ. Нигде ОС Linux не указана как поддерживаемая.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Уважаемая, Ксения. Вы так и не пояснили в чем техническая сложность работы с ЛК Юр лица ФНС. Весь необходимый софт(Рутокен плагин, крипто про), как я понимаю, успешно работает. Это политика самой ФНС или все же есть какие-то технические осоебнности о которых мне не известно.

Дело в том что сейчас стою перед выбором взять рутокен лайт(продлить сертификат) или приобретать рутокен ЭЦП 2.0.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Для входа в ЛК ЮЛ по аппаратному ключу, помимо Рутокен Плагина (который есть под Linux), используется еще Рутокен Коннект, который создает защищенное соединение. Рутокен Коннект есть только под Windows.
И сама страница входа по неизвлекаемым ключам на семействах Рутокен ЭЦП в ЛК ЮЛ ФНС тоже разработана пока только под Windows.
На странице входа в ЛК ИП по неизвлекаемым ключам используется только Рутокен Плагин и возможность входа реализована в бОльшем количестве браузеров. Только там вход с Linux теоретически возможен.

Собрали для вас списки официально поддерживаемых ОС для каждого типа входа в ЛК ФНС:

ЛК ЮЛ "По сертификату ключа проверки ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ЮЛ "По сертификату ЕГАИС на аппаратном ключе" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) или выше;

ЛК ИП "Ключ ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ИП "Рутокен ЭЦП 2.0" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Ксения Шаврова, Здравствуйте. Помогите с установкой "Не установлен программный компонент для работы с электронной подписью с использованием Web-браузера Internet Explorer ( Фсрар-Крипто 3 ). Скачать и установить"
Никак не получается. Может удаленно у вас получится. спасибо

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Здравствуйте, Amur, для начала попробуйте выполнить действия описанные в инструкции по ссылке.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

LedokolEvgen пишет:

Уважаемая, Ксения. Вы так и не пояснили в чем техническая сложность работы с ЛК Юр лица ФНС. Весь необходимый софт(Рутокен плагин, крипто про), как я понимаю, успешно работает. Это политика самой ФНС или все же есть какие-то технические осоебнности о которых мне не известно.

Дело в том что сейчас стою перед выбором взять рутокен лайт(продлить сертификат) или приобретать рутокен ЭЦП 2.0.

Возможно. Я заходил, но с бубнами. Ограничение вызвано тем, что помимо использования ГОСТовых ключей для авторизации, само соединение TLS должно быть установлено с использованием алгоритмов ГОСТ. И если подпись документов можно прикрутить к браузеру плагинами, то вот использование алгоритмов ГОСТ для TLS требует патчинга браузера и библиотек. У Крипто-Про есть версия Chromium GOST. Ставьте её. На сайте налоговой нужно будет в настройках для разработчиков поменять User-Agent браузера, чтобы сайт думал, что браузер на Windows работает. После этого всё получится.

Re: Рутокен ЭЦП 2.0 под Linux. Варианты использования.

Alex_K пишет:

Отсюда два вопроса:
1. Существуют ли УЦ, где можно получить КЭП нужного вида именно с условием использования аппаратных возможностей токена?
2. Какова в принципе область применения Рутокен ЭЦП (имею в виду аппаратную реализацию ГОСТ-алгоритмов), если УЦ (по крайней мере, на первый взгляд) такой вариант не поддерживают?

К сожалению, поздно прочитал, но если вопрос ещё актуальный, то для личных целей рекомендую вам взять Рутокен ЭЦП 2.0 в варианте 3000. Или Рутокен ЭЦП 3.0 в виде смарткарты.

УЦ такие есть - рекомендую лично УЦ Росреестра.

Подробнее тут https://habr.com/ru/post/517388/. Постараюсь на выходных запилить статью про Рутокен ЭЦП 3.0 и работу в Linux.

Ксения Шаврова, пишу обзоры на ваши токены, пишу. Могли бы и сослаться на пост, там, полагаю, инфы для новичка много полезной и ответов на многие такие вопросы тоже  =)