Электронная подпись для юрлиц, КриптоПро и Linux

10 лет назад, если делать экспортируемый ключ, то его можно было выгрузить в файловый контейнер и работать с ним какой-то тулзой на java.

Как сейчас, хз.

По опыту 10-летней давности оно в линуксе работает, но работает как говно. Вряд ли что-то изменилось.

Оно ж явно под какой-то дистрибутив заточено, или два (на сайте deb и rpm, но не написано, кажется, для каких именно дистрибутивов, поддерживающих deb и rpm).

Хотелось бы узнать хотя бы название поддерживаемых дистрибутивов, которые буду устанавливать в виртуалку.

Ты ж вроде опытный линуксоед, раз с центосью смог разпердолиться. Поддержка дистрибутива это условность, которая не должна тебя останавливать.

Да, но опыт с центосью был настолько травматичным, что повторять его ещё раз не хочется.

Ну ладно, я понял, что никто ещё толком не имел дела с этим… Ножками ходить в налоговую не хочется, буду сам биться, чтобы это заработало в арче. :)

Реквестирую описание опыта. Готов и сам поучаствовать в тестах, если время будет.

Может это не то, но вот видео снятое Bocha.

Заранее предупреждаю что это видео про дистрибутив и его репозиторий которые НЕ находятся в открытом/публичном доступе.

https://www.youtube.com/watch?v=BlN0J2XjDK4&t=1540

Первые 25 минут стандартная установка и похоже не очень стандартное обновление.

Есть у кого-нибудь опыт, можно ли использовать виртуалку, будет ли работать этот токен, если пробросить его в виртуалку?

Ты про обычную флэшку на которой ЭЦП или именно про некий токен? Если первое то будет работать без проблем, часто так делал. Ну а если токен то кто же его знает, тут надо сначала бы разобраться о каком токене идет речь. С токенами тоже так делал, но прогресс в огораживании идет столь быстрыми темпами что утверждать что любые токены будут успешно пробрасываться в виртуалку конечно не возьмусь.

Х/з, вот как в видео выше купил токен, только что пришёл из налоговой, где мне его «записали», в комп не вставлял. Но подозреваю, что это не совсем флешка.

Кстати, налоговая удивила. Записался на 15.30, пришёл в 15.25, две девушки приветливо встретили, провели к окну, где мне записали токен, я поставил две подписи, и готово. Когда вышел из налоговой, на часах было 15.28, то есть, я даже 5 минут не потратил и разделался раньше, чем наступило время моей записи.

Проклятый крававый режим, совсем потерял совесть, и даже не заставил меня три раза приносить недостающие документы, заполнять многотомные анкеты, и тратить часы в очередях каждый раз!

Спасибо, глянул мельком, вряд ли это применимо к Арчу… Или вообще к чему-либо, если это какой-то нестандартный дистриб. Но попробую, может прокатит без проблем…

У меня токен JaCarta 2 ЕГАИС, подпись получил в Сбере, лицензию на КриптоПро купил на сайте КриптоПро. Подпись на сайте ФНС работает в ChromiumGost (сборка с сайта КриптоПро). CentOS Stream 8.

Как записали подпись в сбере мне не нравится. Там какой-то контейнер КриптоПро, как на обычной флешке. То есть закрытый ключ по сути извлекаем. Надеюсь при перевыпуске подписи сделать по человечески, с неизвлекаемым ключом и без КриптоПро.

Ты не вкурил. Конкуренции не осталось. Раньше там обслуживались 100500 субъектов, теперь ты и тот парень)))

На proxmox 6.1 в виртуалку норм токен Jacarta lt пробрасывается через usb passthrough. В виртуалке win10, криптопро 5ххх версии КЭП с токена читает, по от jacarta тоже видит проброшенный токен.
Еще пробрасывали токен с win10 на железке в виртуалку c win2008 server на proxmox пограммой fabule

Как можно на токены (носители электронных подписей) записать КЭП без крипто про?
Вы точно открепляли закрытый ключ от токена JaCarta 2 ЕГАИС ?
нужно открепить закрытый контейнер КриптоПро с токена попроще Jacarta LT

С криптотокеном процедура выпуска подписи должна быть такой:

1. Даём токену команду сгенерировать новую пару ключей
2. Забираем публичный ключ с токена
3. Отсылаем публичный ключ и паспортные данные в ЦС
4. Получаем от ЦС цифровой сертификат
5. (Необязательно) Записываем цифровой сертификат на токен

Постановка подписи:

1. Считаем хеш от подписываемого документа
2. Даём команду токену зашифровать хеш приватным ключом
3. Забираем с токена зашифрованный хеш
4. Делаем цифровую подпись на основе зашифрованного хеша и цифрового сертификата

И никаких контейнеров КриптоПро.

Если у Вас линукс можете привести примеры консольных команд Вашего алгоритма? что за команды какого ПО?

Нужно открепить от токена Jacarta lt КЭП (пусть даже в формате контейнера крипто про) которую выдала ФНС для Генерального.

Или ножками нести им на бумаге, что, конечно, намного хуже.

Сходил бы в налоговую, пробзделся, а то сидишь в своей серверной как сыч 😁

Открепить означает извлечь приватный ключ. Я считаю это неверно. Приватный ключ должен быть неизвлекаем. Именно в этом цель использования криптотокена.

я про свой токен, он у меня не содержит СКЗИ (крипто средства на токене)
мой без этих заморочек
«Я считаю это неверно.» я себя убедил в другом, что тоже верно. тем более что на носители КЭП без СКЗИ сама ФНС разрешает писать.

https://habr.com/ru/post/706474/

Работает всё нормально, использую КриптоПРО и РУТОКЕН lite. Необходимое ПО на сайтах производителей.

В каких дистрибутивах?

На почте работает. Непривычно. Немного вендрво. Сообщения об ошибках никакие. Разбираться долго, если что-то не так. Но оно работает.

Заводил с рутокеном, из терминала работало, но с фуррифоксом подружить не получилось, что-то там не срасталось в глубинах.

будет ли работать этот токен, если пробросить его в виртуалку?

Будет, если правильно пробрасывать.