Поводом к написанию данной статьи послужило заблуждение (http://habrahabr.ru/post/121268/, http://ru-telecom.livejournal.com/566098.html и другие), что ключ доступа к порталу госуслуг нельзя использовать, кроме как для осуществления этого самого доступа. Сегодня мы развенчаем этот миф и начнём использовать его по прямому назначению - для осуществления электронной подписи.

Предварительно хочу извиниться перед всеми юниксоидами - будем работать во враждебной среде. Есть возможность работать в линуксах, однако задача становится не столь тривиальной и выходит за рамки данной статьи.

Итак, перед нами Microsoft Windows 7 HB. В стоковой комплектации он, во-первых, ничего не знает про алгоритмы российской криптографии, а во-вторых, про то, как работать с ростелекомовским eToken. Именно этот функционал обеспечивается браузерным плагином портала госуслуг. Но поскольку это вещь-в-себе, нам придётся использовать общедоступные методы.

Когда вы вставляете eToken в USB-порт, Windows пытается отыскать драйвер для неизвестного устройства. Он его не находит и ругается. Чтобы этого не происходило, можно установить драйвера от производителя: http://www.aladdin-rd.ru/support/downloads/26037/. Делать это не обязательно. Почему, будет написано ниже.

Работа с сертификатом подписи будет вестись через Microsoft Crypto API, то есть для этого необходимо установить сертификат с eToken в хранилище Windows. Это может сделать практически любой криптопровайдер отечественной криптографии. Поскольку мы не желаем тратить деньги (чуть не написал «лишние»), то установим бесплатный криптопровайдер ViPNet CSP от компании «Инфотекc»: http://infotecs.ru/downloads/product_full.php?id_product=2096 (если коллеги знают другой бесплатный - комментируйте). Единственное неудобство состоит в необходимости зарегистрировать ваш экземпляр - формальное выполнение требования российского законодательства о поэкземплярном учёте криптографических средств.

Криптопровайдер ViPNet CSP умеет самостоятельно обращаться к Aladdin eToken ГОСТ, поэтому установка драйверов для eToken не требуется. Просто Windows будет каждый раз при подключении eToken ругаться на неизвестное устройство.

Предположим, CSP успешно установлен. После запуска получаем следующее окно:

Подключаем eToken, кликаем на «Устройства» (eToken начнёт мигать с десяток секунд, ждите – ничего не зависло), в поле «Подключенные устройства» кликаем на eToken GOST. В поле «Контейнеры ключей на устройстве» наблюдаем ваш сертификат (в моём случае 31 – это некий серийный номер):

Выбираем сертификат, нажимаем «Просмотреть» и попадаем в следующее окно:

Далее – «Сертификат…»:

Наблюдаем предупреждение о невозможности проверить сертификат. Произошло это потому, что Windows не знает сертификат издателя вашего сертификата. Нажимаем «Состав», выбираем поле «Доступ к информации о центрах сертификации» и смотрим:

[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://certenroll.ca.rt.ru/vuc_ca_rtk.crt

То есть ваш сертификат выпущен удостоверяющим центром с сертификатом http://certenroll.ca.rt.ru/vuc_ca_rtk.crt. Зайдём по адресу http://certenroll.ca.rt.ru/:

http://certenroll.ca.rt.ru/root_ca_rtk.crt - корневой сертификат Ростелекома, которым подписан корневой сертификат удостоверяющего центра http://certenroll.ca.rt.ru/vuc_ca_rtk.crt. У каждого из этих двух корневых сертификатов есть свои списки отзыва: http://certenroll.ca.rt.ru/root_ca_rtk.crl и http://certenroll.ca.rt.ru/vuc_ca_rtk.crl. Скачиваем все 4 файла. Открываем Проводник и устанавливаем 2 сертификата + 2 списка отзыва к ним: сертификаты кликаем дважды и выбираем «Установить сертификат…», выбираем хранилище автоматически, либо «Доверенные корневые центры сертификации»; списки отзыва устанавливаем по клику правой кнопкой с выбором «Установить список отзыва (CRL)», выбираем хранилище автоматически.
Теперь ваш сертификат будет выглядеть корректно:

Все сертификаты можно посмотреть в Менеджере сертификатов, выполнив в коммандной строке certmgr.

Необходимо убедиться, что установленные сертификаты не являются поддельными. Им можно сверить с реестром подсистемы удостоверяющих центров Министерства связи по ссылке http://reestr-pki.ru/reestr_uc.html. В поиске вводим "Ростелеком" и смотрим сертификаты УЦ проекта "Электронное правительство" ОАО "Ростелеком". Сертификат по ссылке http://reestr-pki.ru/cert.php?id=710 соответствует сертификату УЛ УЦ ЭП РТК в хранилище сертификатов, а сертификат http://reestr-pki.ru/cert.php?id=711 - серификату УЦ ЭП РТК.

Теперь необходимо настроить прикладное ПО на примере Microsoft Outlook 2010 (также можно использовать подпись в любой программе, которая использует Microsoft Crypto API, например, The Bat! или Microsoft Word).
Ваш сертификат выпущен на почтовый ящик, указанный при регистрации на портале Госуслуг. Смотрите в деталях сертификата в поле «Субъект» позицию «E=мыло@домен.tld». Outlook не даст подписывать письма при несовпадении имени ящика с именем ящика в сертификате.
После настройки почтового ящика в Outlook подключаем eToken и идём в Файл – Параметры – Центр управления безопасностью – Параметры центра управления безопасностью – Защита электронной почты – Параметры… Задаём имя конфигурации и выбираем сертификат подписи и сертификат шифрования. Поиск учётных данных происходит с десяток секунд, в процессе мигает лампочка на eToken. После подобных экспериментов у меня сертификатов много, выбираю сертификат УЦ ЭП РТК:

ОК. Составляем письмо, выбираем вкладку «Параметры» и жмём «Подписать»:

«Отправить», вводим ПИН-код от eToken. Во входящих письмах наблюдаем письмо с электронной подписью (обведено красным):

Правый значок кликабельный, можно посмотреть разнообразную информацию о подписи.
Для того, чтобы ваш адресат сумел проверить подпись, у него также должен быть установлен криптопровайдер отечественной криптографии и 2 сертификата со списками отзыва, которые мы устанавливали ранее. Прошу заметить, что список отзыва удостоверяющего центра обновляется ежедневно.
Похожим образом подписываются документы Microsoft Office.

В ближайшем будущем будет готова статья, как использовать Ростелекомовский и не только eToken по своему усмотрению, а не только так, как хочется Microsoft Crypto API.

__________________________________

5 мая 2012 г., Лабазников Н.В., Начальник отдела сетевых технологий и информационной безопасности ООО"УЦИ"

Все права на статью принадлежат ООО "УЦИ". Разрешается копирование статьи без уведомления правообладателя. При копировании необходимо указывать ссылку на источник.