Astra linux etoken pki client

Содержание

Операционные системы Astra Linux
Операционные системы Astra Linux
Новости компании
Выпущен обновленный пакет ПО eToken PKI Client для работы в операционных системах на базе Linux
Настройка eToken на Линукс
Добавить комментарий Отменить ответ
Работа с СКЗИ и аппаратными ключевыми носителями в Linux
Причина 1
Причина 2
Причина 3
Причина 4
Руководство по настройке
Установка драйверов и ПО для работы с JaCarta PKI
Установка пакетов КриптоПро CSP
Настройка и диагностика КриптоПро CSP
Работа с токеном JaCarta PKI
Программное извлечение ключей
Результаты

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Очередные обновления (версии) предназначены для:

реализации и совершенствования функциональных возможностей;
поддержки современного оборудования;
обеспечения соответствия актуальным требованиям безопасности информации;
повышения удобства использования, управления компонентами и другие.

инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Источник

Новости компании

Выпущен обновленный пакет ПО eToken PKI Client для работы в операционных системах на базе Linux

Москва, 18 марта 2008 г. Ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности компания «Аладдин Р.Д.» объявляет о выпуске нового пакета программного обеспечения eToken PKI Client версии 4.55 для операционных систем на базе Linux.

eToken PKI Client 4.55 открывает новые возможности применения электронных ключей и смарт-карт eToken для обеспечения информационной безопасности в среде Linux. Обновленный комплект драйверов и утилит промежуточного уровня (middleware) позволяет создать инфраструктуру для функционирования средств персональной аутентификации и хранения ключевой информации, а также PKI-решений на базе eToken под операционной системой Linux. Благодаря eToken PKI Client устройства eToken могут взаимодействовать с приложениями ИБ в следующих дистрибутивах GNU/Linux: Red Hat Enterprise Linux WS 4 и 5, SUSE Linux Enterprise 10.2 и 10.3, Fedora 6 и 7, а так же Ubuntu 7.04 и 7.10.

eToken PKI Client позволяет любому Linux-приложению через интерфейс PKCS#11 использовать криптографические возможности, предоставляемые электронными USB-ключами и смарт-картами eToken. Для работы новой версии eToken PKI Client необходима предварительная установка пакета PCSC-lite версии 1.2.9 или выше. Поддержка 2048-битных ключей шифрования RSA потребует установки версии 1.3.2.

Пакет программного обеспечения eToken PKI Client 4.55 адаптирован для корректной работы с браузерами Firefox 1.5.x/2.0.x и Netscape 7.2., которые могут использовать хранящиеся в памяти eToken сертификаты и закрытые ключи для аутентификации пользователя при защищённом удалённом доступе к Web-сервисам по протоколу SSL. Более того, PKI Client позволяет использовать eToken для аутентификации пользователя при доступе к информационным ресурсам корпоративных сетей через VPN-соединения, а также обеспечивает надёжную двухфакторную аутентификацию при терминальном доступе.

В новом пакете реализована возможность опциональной установки утилиты eToken Properties, представляющей собой полнофункциональный аналог одноименной утилиты для Windows. eToken Properties позволяет производить базовые операции над ключами (например, инициализировать ключ, менять PIN-код, обновлять информацию о пользователе и т.д.) с помощью удобного графического интерфейса.

Как сообщают в «Аладдин Р.Д.», eToken PKI Client 4.55 поддерживает работу со всеми современными моделями устройств eToken, в частности с eToken NG-OTP, eToken NG-FLASH, eToken PRO (в форм-факторе USB-ключа и смарт-карты), а так же с новинкой модельного ряда – eToken PRO (Java). Разработчики особенно подчеркивают впервые реализованную уникальную возможность поддержки, так называемых, виртуальных токенов – софтверных аналогов аппаратных ключей eToken, которые могут быть назначены удаленному пользователю администратором при отсутствии возможности применения физического устройства eToken.

«Не изменяя традиции, мы всегда стремимся удовлетворить нужды всех пользователей eToken, независимо от того, с какой операционной системой они предпочитают работать, – комментирует Антон Крячков, директор по продуктам «Аладдин Р.Д.». – В отличие от многих конкурентов, «Аладдин Р.Д.» ориентируется не только на платформу Windows, но и на Linux, и Mac Os. Интероперабельность наших решений – залог стабильного роста направления аутентификации в «Аладдин Р.Д.» и усиления наших лидерских позиций в этом сегменте рынка».

Стоит добавить, что новый пакет программного обеспечения от «Аладдин Р.Д.» eToken PKI Client 4.55 доступен для бесплатной загрузки на Web-сайте компании.

Источник

Настройка eToken на Линукс

Расскажу как поставить клиент-банк банка Промсвязьбанк на Линукс.

Для начала настраивается работа с eToken, который вы должны получить в банке вместе с памяткой 😉
Делается всё по инструкции самого банка: вот тут вот она

1. Установка (обновление) Java.

Сначала убедитесь, что у вас Java требует обновления (то есть не установлена вовсе либо установлена не очень свежая версия). Для этого в браузере Mozilla Firefox откройте Инструменты->Дополнения->Плагины

Перво-наперво скачиваем свежую версию. Например тут

Далее начинаем «устанавливать». Для Java это означает, что вы должны выбрать какой-нибудь каталог, куда распакуете содержимое скачанного архива. Пусть это будет /usr/java После чего нужно положить ссылку на файл плагина в папку с плагинами браузера. Найти ее не так то просто ) Хорошо, если у вас какая-то версия Java уже есть. Тогда делаем такую команду:

Мы увидим приблизительно такую картину:
/etc/alternatives/libnpjp2.so
/usr/lib/jvm/java-7-oracle/jre/lib/i386/libnpjp2.so
/usr/lib/mozilla/plugins/libnpjp2.so
/var/lib/dpkg/alternatives/libnpjp2.so

Отсюда понятно, что папка, в которой содержатся плагины фаерфокса в нашем линуксе — /usr/lib/mozilla/plugins/
Удалим ссылку на старую версию Java и создадим ссылку на новую (сам процесс установки):

2. Установка драйвера SafeNet Authentication Client 8.3 для Linux

Скачиваем по ссылке из инструкции с сайта банка (см. выше), разархивируем.
Выбираем нужный .deb — пакет в зависимости от архитектуры (32 или 64 bit)
Кликаем на него. В открывшемся окне жмём кнопку «Установить».

У меня с этим возникли сложности: установщик ругался на наличие другого пакета в системе, который мешал:

Распаковывается пакет safenetauthenticationclient (из файла SafenetAuthenticationClient-8.3.34-0_i386.deb)…
dpkg: не удалось обработать параметр SafenetAuthenticationClient-8.3.34-0_i386.deb (—install):
попытка перезаписать «/etc/eToken.common.conf», который уже имеется в пакете pkiclient 5.00.59-0
dpkg-deb: ошибка: подпроцесс вставка уничтожен по сигналу (Обрыв канала)
Обрабатываются триггеры для libc-bin …
ldconfig deferred processing now taking place
При обработке следующих пакетов произошли ошибки:
SafenetAuthenticationClient-8.3.34-0_i386.deb

Читайте также: Rdp app windows 10

Решено было действовать кардинально — удалить мешающийся пакет:

Далее повторяем установку. Должно пройти удачно.

Теперь коротенечко, без лишних скриншотов перескажу инструкцию настройки данного пакета.

3. Настраиваем SafeNet Authentication Client
(кстати, непонятно, почему в банке приложение называют драйвером, ну да Бог с ними)

В конец раздела [GENERAL] добавляем:
TolerantX509Attributes=1
Закрываем редактор.
Можно запустить SafeNet Authentication Client и подключить eToken к компьютеру. Он должен увидеться.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Источник

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

Выдавался ответ, что все хорошо:

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

Поэтому пакет openct удаляем:

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

/opt/cprocsp/bin/amd64/csptest -card -enum -v –v

/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел Astra linux etoken pki client будет добавлена запись:

Astra linux etoken pki client (000000000000) 00 00″\Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

Для доступа к контейнеру с ключами нужно ввести пароль:

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

Если действовать так:

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Источник