Как подготовить MacBook для электронного документооборота

Рассматриваемая конфигурация:

— macOS 10.13.6 (в других поддерживаемых версиях macOS настройки аналогичны),

— КриптоПро CSP 4.0 R4,(страница загрузки, требует регистрации на сайте)

— КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)

Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html

Замечания:

Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.

Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.

Поддерживаемые ключевые носители:

  • Флеш-накопитель;
  • Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/{user.name} (возможно еще по этому пути /opt/cprocsp/keys/{user.name});
  • Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
  • ESMART Token;
  • Другие менее распространенные виды токенов;

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).

Информация: Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.

Как можно подписывать документы на macOS по ГОСТу?

На текущий момент российский рынок продуктов для работы с электронной подписью не так богат, как хотелось бы пользователям. Найти удобную и понятную программу, которая бы позволяла работать с электронной подписью и осуществлять шифрование по ГОСТ на macOS, сложно. По этой причине многим по-прежнему приходится иметь дополнительный компьютер под Windows, а некоторые даже не решаются переносить свою работу на ноутбуки компании Apple.

Однако продукт Trusted eSign ГОСТ от может исправить ситуацию. Разработчики предлагают пользователям, для которых работа на MacBook критична, установить Trusted eSign ГОСТ в качестве дополнительного программного обеспечения. Эта программа для работы с электронной подписью позволяет не отказываться от привычной macOS и в то же время использовать российские криптоалгоритмы.

Рисунок 1. Интерфейс приложения Trusted eSign понятен и прост

Ранее мы уже делали обзор , в котором описывали возможности продукта, его системные требования, преимущества и недостатки. Несомненным плюсом его является графический интерфейс, простота в установке и настройке. Стоит отметить, что продукт внесен в реестр отечественного программного обеспечения. Его функциональные возможности:

  • Работа с электронной подписью: возможность подписывать многие типы документов, создавать и проверять электронную подпись стандарта CMS.
  • Шифрование и расшифрование файлов: шифрование данных в адрес сертификатов получателей, архивирование файлов перед шифрованием, удаление исходных файлов после шифрования, установка ключей и сертификатов по стандартам PKCS#8 и x.509 v3.
  • Работа с сертификатами: импорт новых и экспорт зарегистрированных сертификатов.

Для работы на портале nalog.ru необходимо:

иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,

— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды:

sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2012 256 bit’ sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.2!3’ -add string ‘Name’ ‘GOST R 34.10-2012 512 bit’

При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.

— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),

— входить в личный кабинет по прямой ссылке:

https://lkul.nalog.ru — для юридических лиц,

https://lkipgost.nalog.ru/lk — для индивидуальных предпринимателей.

Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.

Основные характеристики:

Длина ключей электронной цифровой подписи:

  • закрытый ключ — 256 бит;
  • открытый ключ:
  • 512 бит при использовании алгоритма ГОСТ Р 34.10-2001
  • 1024 бита при использовании алгоритма ГОСТ Р 34.10-94

Длина ключей, используемых при шифровании:

  • закрытый ключ — 256 бит;
  • Открытый ключ:
  • 512 бит на базе алгоритма ГОСТ Р 34.10-2001
  • 1024 бита на базе алгоритма ГОСТ Р 34.10-94

  • симметричный ключ — 256 бит;
  • Типы ключевых носителей:

    • дискета 3,5″;
    • процессорные карты MPCOS-EMV и российские интеллектуальные карты (Оскар, РИК) с использованием считывателей смарт-карт, поддерживающий протокол PС/SC (GemPC Twin, Towitoko, Oberthur OCR126 и др.);
    • таблетки Touch-Memory DS1993 — DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
    • электронный ключ с интерфейсом USB ;
    • сменный носитель с интерфейсом USB;
    • реестр ОС Windows;
    • файлы ОС Solaris/Linux/FreeBSD.

    Поддерживаемые UNIX-подобные операционные системы

    CSP 3.6CSP 3.9CSP 4.0
    iOS 9ARM7ARM7
    iOS 8ARM7ARM7
    iOS 6 / 7ARM7ARM7ARM7
    iOS 4.2 / 4.3 / 5ARM7
    Mac OS X 10.11x64x64
    Mac OS X 10.10x64x64
    Mac OS X 10.9x64x64
    Mac OS X 10.8x64x64x64
    Mac OS X 10.7x64x64x64
    Mac OS X 10.6x86 / x64x86 / x64
    Android 3.2+ / 4ARM7
    Solaris 10 / 11x86 / x64 / sparcx86 / x64 / sparcx86 / x64 / sparc
    Solaris 9x86 / x64 / sparc
    Solaris 8
    AIX 5 / 6 / 7PowerPCPowerPCPowerPC
    FreeBSD 10x86 / x64x86 / x64
    FreeBSD 8 / 9x86 / x64x86 / x64x86 / x64
    FreeBSD 7x86 / x64
    FreeBSD 6x86
    FreeBSD 5
    LSB 4.0x86 / x64x86 / x64x86 / x64
    LSB 3.0 / LSB 3.1x86 / x64
    RHEL 7x64x64
    RHEL 4 / 5 / 6x86 / x64x86 / x64x86 / x64
    RHEL 3.3 спец. сборкаx86x86x86
    RedHat 7 / 9
    CentOS 7x86 / x64x86 / x64
    CentOS 5 / 6x86 / x64x86 / x64x86 / x64
    ТД ОС АИС ФССП России (GosLinux)x86 / x64x86 / x64x86 / x64
    CentOS 4x86 / x64
    Ubuntu 14.04x86 / x64x86 / x64
    Ubuntu 12.04 / 12.10 / 13.04x86 / x64x86 / x64
    Ubuntu 10.10 / 11.04 / 11.10x86 / x64x86 / x64
    Ubuntu 10.04x86 / x64x86 / x64x86 / x64
    Ubuntu 8.04x86 / x64
    Ubuntu 6.04x86 / x64
    ALTLinux 7x86 / x64x86 / x64
    ALTLinux 6x86 / x64x86 / x64x86 / x64
    ALTLinux 4 / 5x86 / x64
    Debian 8x86 / x64x86 / x64
    Debian 7x86 / x64x86 / x64
    Debian 6x86 / x64x86 / x64x86 / x64
    Debian 4 / 5x86 / x64
    Linpus Lite 1.3x86 / x64x86 / x64x86 / x64
    Mandriva Server 5 Buisness Server 1x86 / x64x86 / x64x86 / x64
    Oracle Enterprice Linux 5/6x86 / x64x86 / x64x86 / x64
    Open SUSE 12.2/12.3x86 / x64x86 / x64x86 / x64
    SUSE Linux Enterprice 11x86 / x64x86 / x64x86 / x64

    Поддерживаемые алгоритмы

    CSP 3.6CSP 3.9CSP 4.0
    ГОСТ Р 34.10-2012 Создание подписи512 / 1024 бит
    ГОСТ Р 34.10-2012 Проверка подписи512 / 1024 бит
    ГОСТ Р 34.10-2001 Создание подписи512 бит512 бит512 бит
    ГОСТ Р 34.10-2001 Проверка подписи512 бит512 бит512 бит
    ГОСТ Р 34.10-94 Создание подписи1024 бит*
    ГОСТ Р 34.10-94 Проверка подписи1024 бит*
    ГОСТ Р 34.11-2012256 / 512 бит
    ГОСТ Р 34.11-94256 бит256 бит256 бит
    ГОСТ 28147-89256 бит256 бит256 бит

    * — до версии КриптоПро CSP 3.6 R2 (сборка 3.6.6497 от 2010-08-13) включительно.

    Условия лицензии КриптоПро CSP

    Покупая КриптоПро CSP, вы получаете серийный номер, который вам нужно ввести в процессе установки или настройки программы. Срок действия ключа зависит от выбранной лицензии. КриптоПро CSP может распространятся в двух вариантах: с годовой лицензией или бессрочной.

    Купив бессрочную лицензию

    , вы получите ключ КриптоПро CSP, срок действия которого не будет ограничен. Если же вы купите годовую лицензию , вы получите серийный номер
    КриптоПро CSP
    , который будет действовать в течение года после покупки.

    В жизни у каждого бывают ситуации, когда надо отправить куда-то далеко-далеко документ с обычной подписью (росчерком). Обычно люди едут или отправляют бумажное письмо по почте. Но так страдать совсем необязательно — на цифровой документ вполне можно наложить вашу сигнатуру без особых усилий.

    Для работы на портале Госуслуг необходимо:

    Скачать файл конфигурации для IFCPlugin в директорию Загрузки.

    Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).

    Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):

    sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents /opt/cprocsp/bin/csptestf -absorb -certs -autoprov

    Для Chromium GOST также выполнить в терминале команду:

    sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

    Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение — Расширение для плагина Госуслуг.

    Расширение для Google Chrome/Chromium GOST.

    На странице входа на портал Госуслуг:

    1. Выбираем «Вход с помощью электронной подписи«;
    2. Нажимаем на кнопку «Готово»;
    3. Выбрать нужный сертификат электронной подписи;
    4. В окне Ввод пин-кода нажать кнопку «Продолжить»;
    5. При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку «OK«.

    Основные команды

    Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:

    Открыть приложение Терминал можно через Finder

    • Просмотр и установка сертификатов с носителя ключа в хранилище «Личные»( My ): /opt/cprocsp/bin/csptestf -absorb -certs
  • Установить сертификат из файла в хранилище личные (MY):
      /opt/cprocsp/bin/certmgr -inst -store my -f ~/downloads/name.cer
  • Установить сертификат из файла в хранилище промежуточных центров сертификации (CA):
      /opt/cprocsp/bin/certmgr -inst -store ca -f ~/downloads/name.cer
  • Установить сертификат из файла в хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля):
      sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/name.cer
  • Просмотр сертификатов в хранилище личные (MY):
      /opt/cprocsp/bin/certmgr -list -store my /opt/cprocsp/bin/certmgr -list -store my | grep -iE ‘^Serial|^Subject’
  • Просмотр сертификатов в хранилище промежуточных центров сертификации (CA):
      /opt/cprocsp/bin/certmgr -list -store ca /opt/cprocsp/bin/certmgr -list -store ca | grep -iE ‘^Serial|^Subject’
  • Просмотр сертификатов в хранилище доверенных корневых издателей (ROOT):
      /opt/cprocsp/bin/certmgr -list -store root /opt/cprocsp/bin/certmgr -list -store root | grep -iE ‘^Serial|^Subject’
  • Очистить хранилище личные (MY) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
      /opt/cprocsp/bin/certmgr -delete -store my -all /opt/cprocsp/bin/certmgr -delete -store my -dn CN=CNExample
  • Очистить хранилище промежуточных центров сертификации (CA) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
      /opt/cprocsp/bin/certmgr -delete -store ca -all /opt/cprocsp/bin/certmgr -delete -store ca -dn CN=CNExample
  • Очистить хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
      sudo /opt/cprocsp/bin/certmgr -delete -store root -all sudo /opt/cprocsp/bin/certmgr -delete -store root -dn CN=CNExample
  • Копирование контейнеров ключей (что бы просмотреть, что копировать можно выполнить /opt/cprocsp/bin/csptest -keyset -verifycontext -enum -unique или /opt/cprocsp/bin/csptestf -absorb -certs ):
      /opt/cprocsp/bin/csptestf -keyc -contsrc ‘SCARD\rutoken_lt_99999999\0A00’ -contdest ‘\\.\HDIMAGE\123’ /opt/cprocsp/bin/csptestf -keyc -contsrc ‘HDIMAGE\\123.000’ -contdest ‘\\.\FLASH\key’
  • Видео инструкция:
  • Удаление контейнера ключа:​​
      /opt/cprocsp/bin/csptestf/csptestf -passwd -cont »\\.\HDIMAGE\123′ -deletek
  • Проверка установленной лицензии КриптоПро CSP:
      /opt/cprocsp/sbin/cpconfig -license -view
  • Ввод лицензии КриптоПро CSP (сохраняем все «-» при вводе серийного номера):
      sudo /opt/cprocsp/sbin/cpconfig -license -set xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
  • Какие алгоритмы установленыa (ГОСТ 2001, 2012, …):
      /opt/cprocsp/sbin/cpconfig -defprov -view_type
  • Просмотреть все алгоритмы, одного типа:
      /opt/cprocsp/sbin/cpconfig -defprov -view -provtype 81
  • Информация о ключе:
      /opt/cprocsp/bin/csptest -keyset -container ‘SCARD\rutoken_lt_99999999\0A00\BABA’ -info
  • Экспорт сертификата в файл:
      /opt/cprocsp/bin/certmgr -export -cert -store root -dest ~/Downloads/123.cer -dn CN=CNExample
  • Экспорт ключа в контейнер PFX:
      /opt/cprocsp/bin/certmgr -export -pfx -dn ‘CN=workite.ru’ -dest ~/Downloads/key.pfx -provtype 81
  • Импорт сертификата и закрытого ключа из контейнера PFX:
      /opt/cprocsp/bin/certmgr -inst -pfx -file ~/Downloads/key.pfx
  • Использую sudo, при вводе пароля, символы не отображаются.

    Выводы

    Устройства компании Apple чаще всего используют в своей работе руководители компаний, менеджеры, дизайнеры и программисты, для которых важным аспектом при выборе ноутбука являются надежность и производительность. Несмотря на это, не все разработчики программ для работы с электронной подписью могут предоставить удобное приложение с графическим интерфейсом. Программа Trusted eSign является исключением. Ее простота, лаконичное и продуманное окно для работы пользователя позволяют сделать вывод о том, что вендор задумывается о своих потребителях и о том, как сократить время, необходимое для знакомства с новым продуктом.

    Драйверы для Рутокен ЭЦП в современных операционных системах macOS не требуются. Пользователям устаревших версий macOS X 10.6 Snow Leopard и более ранних может потребоваться внести изменения в конфигурационный файл в соответствии с .

    Обратите внимание

    В современных macOS, начиная с версии 10.15 Catalina, устройства Рутокен не отображаются в приложении «Связка ключей» (KeyChain). Для отображения сертификатов в самих приложениях необходимо установить Рутокен для macOS .

    Рутокен для macOS

    Версия: 1.0.0 от 14.11.2019 Поддерживаемые ОС: macOS 10.15 Специальное приложение для работы RSA-сертификатов на устройствах семейства Рутокен ЭЦП с использованием инструментов macOS. Версия: 2.0.0.0 от 18.10.2019 Поддерживаемые ОС: macOS 10.14/10.13/10.12/10.11/10.10/10.9 Модуль поддержки Связки Ключей добавляет поддержку Рутокен ЭЦП при работе с сертификатами RSA. Сертификаты и ключи ГОСТ, хранящиеся на Рутокен ЭЦП в Связке Ключей (KeyChain), видны не будут.
    Драйверы для Рутокен Lite в современных операционных системах macOS не требуются. Пользователям операционной системы macOS 10.9 Mavericks и более ранних версий может потребоваться внести изменения в конфигурационный файл в соответствии с инструкцией.

    Обратите внимание

    Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.

    Для быстрой настройки Рутокен Lite в macOS 10.9 Maverics или более ранних установите Модуль поддержки Связки Ключей (KeyChain)

    Необходимо загрузить установочный файл, запустить его и следовать указаниям установщика. После завершения процесса установки необходимо подключить Рутокен в свободный USB-порт. Если для работы с Рутокен используется виртуальная ОС Microsoft Windows, запущенная на компьютере Mac, то устанавливать драйверы Рутокен S для Mac не обязательно.

    Обратите внимание

    Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.

    Криптопровайдер КриптоПро CSP предназначен для:

    • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;
    • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS;
    • контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
    • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

    Возможные ошибки и методы их решения

    1. Не работают ключи в сторонних приложениях Просматриваем список доступных ключей командой /opt/cprocsp/bin/csptestf -absorb -certs
    2. Скопируйте из вывода команды имя ключевого контейнера вида SCARD\rutoken_lt_99999999\0A00 (оно будет выглядит так SCARD\rutoken_lt_99999999\0A00\9999, это значение «\9999» не копируем) или \\.\Aktiv Co. Rutoken S\0A00
    3. Производим копирование ключа в HDIMAGE, командой /opt/cprocsp/bin/csptestf -keyc -contsrc ‘SCARD\rutoken_lt_99999999\0A00’ -contdest ‘\\.\HDIMAGE\123’
    4. Выполняем команду для перепривязки сертификата к контейнеру /opt/cprocsp/bin/csptestf -absorb -certs проверяем, что в списке есть контейнер 123.000

    Как отключить связку ключей mac os

    [Ответить] zhenyanovozhenina

    [15.12.2009 11:00]
    Возникла проблема со «связкой ключей»:
    я обыскала весь интренет, и всякие разные форумы перечитала, но ни где не нашла ответ на свой вопрос. ситуция заключается в чем, была моя учетная запись и к ней был пароль, все работало и было прекрасно, в один прекрасный момент, мне пришлось поменять пароль на скорую руку, а когда я решла зайти через некоторое время, не смогла так сказать его вспомнить. я с помощью установочного диска все испрвила, заменила пароль. но возникла другая проблема, теперь связка ключей требует пароль на вход. как я понимаю, нужно ввести пароль от этой же учетной записи, но который был до этого. но так как я его не помню и не вспомню, ввести мне нечего. а проблема остается. потом я удалила свяку ключей на вход, перезагрузила комп, но не помогло. в общем, я не знаю че делать. а это очень мешает. я уже не знаю что делать.. помогите!
    Neo
    [15.12.2009 11:03]
    :Сброс связки ключей в Mac OS XKorwin
    [15.12.2009 11:04]
    :
    1. Navigate to /Applications/Utilities/

    Рейтинг
    ( 1 оценка, среднее 5 из 5 )
    Понравилась статья? Поделиться с друзьями: