Рассматриваемая конфигурация:
— macOS 10.13.6 (в других поддерживаемых версиях macOS настройки аналогичны),
— КриптоПро CSP 4.0 R4,(страница загрузки, требует регистрации на сайте)
— КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)
Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html
Замечания:
Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.
Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.
Поддерживаемые ключевые носители:
- Флеш-накопитель;
- Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/{user.name} (возможно еще по этому пути /opt/cprocsp/keys/{user.name});
- Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
- ESMART Token;
- Другие менее распространенные виды токенов;
Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).
Информация: Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.
Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.
Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.
Как можно подписывать документы на macOS по ГОСТу?
На текущий момент российский рынок продуктов для работы с электронной подписью не так богат, как хотелось бы пользователям. Найти удобную и понятную программу, которая бы позволяла работать с электронной подписью и осуществлять шифрование по ГОСТ на macOS, сложно. По этой причине многим по-прежнему приходится иметь дополнительный компьютер под Windows, а некоторые даже не решаются переносить свою работу на ноутбуки компании Apple.
Однако продукт Trusted eSign ГОСТ от может исправить ситуацию. Разработчики предлагают пользователям, для которых работа на MacBook критична, установить Trusted eSign ГОСТ в качестве дополнительного программного обеспечения. Эта программа для работы с электронной подписью позволяет не отказываться от привычной macOS и в то же время использовать российские криптоалгоритмы.
Рисунок 1. Интерфейс приложения Trusted eSign понятен и прост
Ранее мы уже делали обзор , в котором описывали возможности продукта, его системные требования, преимущества и недостатки. Несомненным плюсом его является графический интерфейс, простота в установке и настройке. Стоит отметить, что продукт внесен в реестр отечественного программного обеспечения. Его функциональные возможности:
- Работа с электронной подписью: возможность подписывать многие типы документов, создавать и проверять электронную подпись стандарта CMS.
- Шифрование и расшифрование файлов: шифрование данных в адрес сертификатов получателей, архивирование файлов перед шифрованием, удаление исходных файлов после шифрования, установка ключей и сертификатов по стандартам PKCS#8 и x.509 v3.
- Работа с сертификатами: импорт новых и экспорт зарегистрированных сертификатов.
Для работы на портале nalog.ru необходимо:
иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,
— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды:
sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2012 256 bit’ sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.2!3’ -add string ‘Name’ ‘GOST R 34.10-2012 512 bit’
При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.
— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),
— входить в личный кабинет по прямой ссылке:
https://lkul.nalog.ru — для юридических лиц,
https://lkipgost.nalog.ru/lk — для индивидуальных предпринимателей.
Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.
Основные характеристики:
Длина ключей электронной цифровой подписи:
- закрытый ключ — 256 бит;
- открытый ключ:
- 512 бит при использовании алгоритма ГОСТ Р 34.10-2001
- 1024 бита при использовании алгоритма ГОСТ Р 34.10-94
Длина ключей, используемых при шифровании:
- закрытый ключ — 256 бит;
- Открытый ключ:
- 512 бит на базе алгоритма ГОСТ Р 34.10-2001
1024 бита на базе алгоритма ГОСТ Р 34.10-94
Типы ключевых носителей:
- дискета 3,5″;
- процессорные карты MPCOS-EMV и российские интеллектуальные карты (Оскар, РИК) с использованием считывателей смарт-карт, поддерживающий протокол PС/SC (GemPC Twin, Towitoko, Oberthur OCR126 и др.);
- таблетки Touch-Memory DS1993 — DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
- электронный ключ с интерфейсом USB ;
- сменный носитель с интерфейсом USB;
- реестр ОС Windows;
- файлы ОС Solaris/Linux/FreeBSD.
Поддерживаемые UNIX-подобные операционные системы
CSP 3.6 | CSP 3.9 | CSP 4.0 | |
iOS 9 | ARM7 | ARM7 | |
iOS 8 | ARM7 | ARM7 | |
iOS 6 / 7 | ARM7 | ARM7 | ARM7 |
iOS 4.2 / 4.3 / 5 | ARM7 | ||
Mac OS X 10.11 | x64 | x64 | |
Mac OS X 10.10 | x64 | x64 | |
Mac OS X 10.9 | x64 | x64 | |
Mac OS X 10.8 | x64 | x64 | x64 |
Mac OS X 10.7 | x64 | x64 | x64 |
Mac OS X 10.6 | x86 / x64 | x86 / x64 | |
Android 3.2+ / 4 | ARM7 | ||
Solaris 10 / 11 | x86 / x64 / sparc | x86 / x64 / sparc | x86 / x64 / sparc |
Solaris 9 | x86 / x64 / sparc | ||
Solaris 8 | |||
AIX 5 / 6 / 7 | PowerPC | PowerPC | PowerPC |
FreeBSD 10 | x86 / x64 | x86 / x64 | |
FreeBSD 8 / 9 | x86 / x64 | x86 / x64 | x86 / x64 |
FreeBSD 7 | x86 / x64 | ||
FreeBSD 6 | x86 | ||
FreeBSD 5 | |||
LSB 4.0 | x86 / x64 | x86 / x64 | x86 / x64 |
LSB 3.0 / LSB 3.1 | x86 / x64 | ||
RHEL 7 | x64 | x64 | |
RHEL 4 / 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
RHEL 3.3 спец. сборка | x86 | x86 | x86 |
RedHat 7 / 9 | |||
CentOS 7 | x86 / x64 | x86 / x64 | |
CentOS 5 / 6 | x86 / x64 | x86 / x64 | x86 / x64 |
ТД ОС АИС ФССП России (GosLinux) | x86 / x64 | x86 / x64 | x86 / x64 |
CentOS 4 | x86 / x64 | ||
Ubuntu 14.04 | x86 / x64 | x86 / x64 | |
Ubuntu 12.04 / 12.10 / 13.04 | x86 / x64 | x86 / x64 | |
Ubuntu 10.10 / 11.04 / 11.10 | x86 / x64 | x86 / x64 | |
Ubuntu 10.04 | x86 / x64 | x86 / x64 | x86 / x64 |
Ubuntu 8.04 | x86 / x64 | ||
Ubuntu 6.04 | x86 / x64 | ||
ALTLinux 7 | x86 / x64 | x86 / x64 | |
ALTLinux 6 | x86 / x64 | x86 / x64 | x86 / x64 |
ALTLinux 4 / 5 | x86 / x64 | ||
Debian 8 | x86 / x64 | x86 / x64 | |
Debian 7 | x86 / x64 | x86 / x64 | |
Debian 6 | x86 / x64 | x86 / x64 | x86 / x64 |
Debian 4 / 5 | x86 / x64 | ||
Linpus Lite 1.3 | x86 / x64 | x86 / x64 | x86 / x64 |
Mandriva Server 5 Buisness Server 1 | x86 / x64 | x86 / x64 | x86 / x64 |
Oracle Enterprice Linux 5/6 | x86 / x64 | x86 / x64 | x86 / x64 |
Open SUSE 12.2/12.3 | x86 / x64 | x86 / x64 | x86 / x64 |
SUSE Linux Enterprice 11 | x86 / x64 | x86 / x64 | x86 / x64 |
Поддерживаемые алгоритмы
CSP 3.6 | CSP 3.9 | CSP 4.0 | |
ГОСТ Р 34.10-2012 Создание подписи | 512 / 1024 бит | ||
ГОСТ Р 34.10-2012 Проверка подписи | 512 / 1024 бит | ||
ГОСТ Р 34.10-2001 Создание подписи | 512 бит | 512 бит | 512 бит |
ГОСТ Р 34.10-2001 Проверка подписи | 512 бит | 512 бит | 512 бит |
ГОСТ Р 34.10-94 Создание подписи | 1024 бит* | ||
ГОСТ Р 34.10-94 Проверка подписи | 1024 бит* | ||
ГОСТ Р 34.11-2012 | 256 / 512 бит | ||
ГОСТ Р 34.11-94 | 256 бит | 256 бит | 256 бит |
ГОСТ 28147-89 | 256 бит | 256 бит | 256 бит |
* — до версии КриптоПро CSP 3.6 R2 (сборка 3.6.6497 от 2010-08-13) включительно.
Условия лицензии КриптоПро CSP
Покупая КриптоПро CSP, вы получаете серийный номер, который вам нужно ввести в процессе установки или настройки программы. Срок действия ключа зависит от выбранной лицензии. КриптоПро CSP может распространятся в двух вариантах: с годовой лицензией или бессрочной.
Купив бессрочную лицензию
, вы получите ключ КриптоПро CSP, срок действия которого не будет ограничен. Если же вы купите годовую лицензию , вы получите серийный номер
КриптоПро CSP
, который будет действовать в течение года после покупки.
В жизни у каждого бывают ситуации, когда надо отправить куда-то далеко-далеко документ с обычной подписью (росчерком). Обычно люди едут или отправляют бумажное письмо по почте. Но так страдать совсем необязательно — на цифровой документ вполне можно наложить вашу сигнатуру без особых усилий.
Для работы на портале Госуслуг необходимо:
Скачать файл конфигурации для IFCPlugin в директорию Загрузки.
Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).
Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):
sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents /opt/cprocsp/bin/csptestf -absorb -certs -autoprov
Для Chromium GOST также выполнить в терминале команду:
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts
Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение — Расширение для плагина Госуслуг.
Расширение для Google Chrome/Chromium GOST.
На странице входа на портал Госуслуг:
- Выбираем «Вход с помощью электронной подписи«;
- Нажимаем на кнопку «Готово»;
- Выбрать нужный сертификат электронной подписи;
- В окне Ввод пин-кода нажать кнопку «Продолжить»;
- При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку «OK«.
Основные команды
Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:
Открыть приложение Терминал можно через Finder
>пункт меню Переход>Утилиты>Терминал.
- Просмотр и установка сертификатов с носителя ключа в хранилище «Личные»( My ): /opt/cprocsp/bin/csptestf -absorb -certs
- /opt/cprocsp/bin/certmgr -inst -store my -f ~/downloads/name.cer
- /opt/cprocsp/bin/certmgr -inst -store ca -f ~/downloads/name.cer
- sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/name.cer
- /opt/cprocsp/bin/certmgr -list -store my /opt/cprocsp/bin/certmgr -list -store my | grep -iE ‘^Serial|^Subject’
- /opt/cprocsp/bin/certmgr -list -store ca /opt/cprocsp/bin/certmgr -list -store ca | grep -iE ‘^Serial|^Subject’
- /opt/cprocsp/bin/certmgr -list -store root /opt/cprocsp/bin/certmgr -list -store root | grep -iE ‘^Serial|^Subject’
- /opt/cprocsp/bin/certmgr -delete -store my -all /opt/cprocsp/bin/certmgr -delete -store my -dn CN=CNExample
- /opt/cprocsp/bin/certmgr -delete -store ca -all /opt/cprocsp/bin/certmgr -delete -store ca -dn CN=CNExample
- sudo /opt/cprocsp/bin/certmgr -delete -store root -all sudo /opt/cprocsp/bin/certmgr -delete -store root -dn CN=CNExample
- /opt/cprocsp/bin/csptestf -keyc -contsrc ‘SCARD\rutoken_lt_99999999\0A00’ -contdest ‘\\.\HDIMAGE\123’ /opt/cprocsp/bin/csptestf -keyc -contsrc ‘HDIMAGE\\123.000’ -contdest ‘\\.\FLASH\key’
- /opt/cprocsp/bin/csptestf/csptestf -passwd -cont »\\.\HDIMAGE\123′ -deletek
- /opt/cprocsp/sbin/cpconfig -license -view
- sudo /opt/cprocsp/sbin/cpconfig -license -set xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
- /opt/cprocsp/sbin/cpconfig -defprov -view_type
- /opt/cprocsp/sbin/cpconfig -defprov -view -provtype 81
- /opt/cprocsp/bin/csptest -keyset -container ‘SCARD\rutoken_lt_99999999\0A00\BABA’ -info
- /opt/cprocsp/bin/certmgr -export -cert -store root -dest ~/Downloads/123.cer -dn CN=CNExample
- /opt/cprocsp/bin/certmgr -export -pfx -dn ‘CN=workite.ru’ -dest ~/Downloads/key.pfx -provtype 81
- /opt/cprocsp/bin/certmgr -inst -pfx -file ~/Downloads/key.pfx
Использую sudo, при вводе пароля, символы не отображаются.
Выводы
Устройства компании Apple чаще всего используют в своей работе руководители компаний, менеджеры, дизайнеры и программисты, для которых важным аспектом при выборе ноутбука являются надежность и производительность. Несмотря на это, не все разработчики программ для работы с электронной подписью могут предоставить удобное приложение с графическим интерфейсом. Программа Trusted eSign является исключением. Ее простота, лаконичное и продуманное окно для работы пользователя позволяют сделать вывод о том, что вендор задумывается о своих потребителях и о том, как сократить время, необходимое для знакомства с новым продуктом.
Драйверы для Рутокен ЭЦП в современных операционных системах macOS не требуются. Пользователям устаревших версий macOS X 10.6 Snow Leopard и более ранних может потребоваться внести изменения в конфигурационный файл в соответствии с .
Обратите внимание
В современных macOS, начиная с версии 10.15 Catalina, устройства Рутокен не отображаются в приложении «Связка ключей» (KeyChain). Для отображения сертификатов в самих приложениях необходимо установить Рутокен для macOS .
Рутокен для macOS
Версия: 1.0.0 от 14.11.2019 Поддерживаемые ОС: macOS 10.15 Специальное приложение для работы RSA-сертификатов на устройствах семейства Рутокен ЭЦП с использованием инструментов macOS. Версия: 2.0.0.0 от 18.10.2019 Поддерживаемые ОС: macOS 10.14/10.13/10.12/10.11/10.10/10.9 Модуль поддержки Связки Ключей добавляет поддержку Рутокен ЭЦП при работе с сертификатами RSA. Сертификаты и ключи ГОСТ, хранящиеся на Рутокен ЭЦП в Связке Ключей (KeyChain), видны не будут.
Драйверы для Рутокен Lite в современных операционных системах macOS не требуются. Пользователям операционной системы macOS 10.9 Mavericks и более ранних версий может потребоваться внести изменения в конфигурационный файл в соответствии с инструкцией.
Обратите внимание
Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.
Для быстрой настройки Рутокен Lite в macOS 10.9 Maverics или более ранних установите Модуль поддержки Связки Ключей (KeyChain)
Необходимо загрузить установочный файл, запустить его и следовать указаниям установщика. После завершения процесса установки необходимо подключить Рутокен в свободный USB-порт. Если для работы с Рутокен используется виртуальная ОС Microsoft Windows, запущенная на компьютере Mac, то устанавливать драйверы Рутокен S для Mac не обязательно.
Обратите внимание
Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.
Криптопровайдер КриптоПро CSP предназначен для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS;
- контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Возможные ошибки и методы их решения
- Не работают ключи в сторонних приложениях Просматриваем список доступных ключей командой /opt/cprocsp/bin/csptestf -absorb -certs
- Скопируйте из вывода команды имя ключевого контейнера вида SCARD\rutoken_lt_99999999\0A00 (оно будет выглядит так SCARD\rutoken_lt_99999999\0A00\9999, это значение «\9999» не копируем) или \\.\Aktiv Co. Rutoken S\0A00
- Производим копирование ключа в HDIMAGE, командой /opt/cprocsp/bin/csptestf -keyc -contsrc ‘SCARD\rutoken_lt_99999999\0A00’ -contdest ‘\\.\HDIMAGE\123’
- Выполняем команду для перепривязки сертификата к контейнеру /opt/cprocsp/bin/csptestf -absorb -certs проверяем, что в списке есть контейнер 123.000
Как отключить связку ключей mac os
[Ответить] zhenyanovozhenina
[15.12.2009 11:00]
Возникла проблема со «связкой ключей»:
я обыскала весь интренет, и всякие разные форумы перечитала, но ни где не нашла ответ на свой вопрос. ситуция заключается в чем, была моя учетная запись и к ней был пароль, все работало и было прекрасно, в один прекрасный момент, мне пришлось поменять пароль на скорую руку, а когда я решла зайти через некоторое время, не смогла так сказать его вспомнить. я с помощью установочного диска все испрвила, заменила пароль. но возникла другая проблема, теперь связка ключей требует пароль на вход. как я понимаю, нужно ввести пароль от этой же учетной записи, но который был до этого. но так как я его не помню и не вспомню, ввести мне нечего. а проблема остается. потом я удалила свяку ключей на вход, перезагрузила комп, но не помогло. в общем, я не знаю че делать. а это очень мешает. я уже не знаю что делать.. помогите!
Neo
[15.12.2009 11:03]
:Сброс связки ключей в Mac OS XKorwin
[15.12.2009 11:04]
:
1. Navigate to /Applications/Utilities/