Многих интересует работа с токенами PKCS#11 с поддержкой российской криптографии в скриптовом языке Python.

В окружении Python имеется замечательный пакет PyKCS11, однако в нём отсутствует поддержка электронной подписи по ГОСТ Р 34.10-2012. Автор пакета PyKCS11, к сожалению, не планирует добавлять эту поддержку пакет. Как альтернатива PyKCS11, можно рассматривать пакет pyp11. В нём реализована поддержка следующих криптографических функций:

• генерация ключевых пар по ГОСТ Р 34.10-2012 (512 и 1024 бита для открытого ключа), и даже по ГОСТ Р 34.10-2001;

• подсчет хэша по ГОСТ Р 34.10-2012 (256 и 512 бит), а также по ГОСТ Р 34.11-94 и SHA1;

• подписание и проверка подписи.

Из общих функций реализованы:

• управление токенами (инициализация токена, установка и смена PIN-кодов);
• получения списка слотов и информации о них;
• импорт сертификатов и ключей (только для ГОСТ-криптографии): установка меток для объектов (сертификаты, ключи); и другие.

>>> Подробности

В комментариях на linux.org.ru к предыдущей версии утилиты cryptoarmpkcs пользователь questin4 резонно заметил:-«Развитие прекращается и больше не будут добавлять новые функции?».

Он был прав, вышла новая версия утилиты, в которой учтены многие замечания. Прежде всего это касается скачивания исходного кода и дистрибутивов. Для скачивания новых версий теперь достаточно открыть окно «О программе» и выбрать соответствующий дистрибутив.

Выпуск новой версии связан прежде всего с добавлением функционала разбора и просмотра ASN1-структур. При этом эти структуры могут храниться не только в DER и PEM-форматах, но и в шестнадцатеричном формате. Есть и утилита командной строки tclderdump, которую можно скачать отдельно. При использовании графической оболочки можно выделить кусок распарсенного кода и тут же его просмотреть в окне.

>>> Подробности

Сертификаты x509 используются организациями и гражданами. Они выдаются в удостоверяющих центрах на отторгаемых носителях. Это токен/смарт-карта с поддержкой криптографических механизмов PKCS#11, для которой удобно иметь графическую утилиту. Она позволяет не только просматривать сертификаты, но и экспортировать сертификаты в файлы, и проверять валидность хранящихся на токенах сертификатов. На habr представлена такая кросплатформенная утилита, которая доступна для свободного скачивания вместе с исходным кодом для платформ Linux, OS X (macOS) и Windows (куда без него). Утилита имеет понятный графический интерфейс.

>>> Подробности

На pypi.org выложен пакет fsb795, который имеет удивительно простой интерфейс для доступа к атрибутам квалифицированного сертификата, созданного в соответствии с требованиями Приказа ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата...»:

• subjectSignTool() – возвращает строку с наименованием СКЗИ владельца сертификата;
• issuerSignTool() – возвращает список из четырех элементов с информацией криптографических средствах издателя сертификата;
• classUser() – возвращает строку с oid-ами классов защищенности СКЗИ владельца сертификата;
• issuerCert() – возвращает информацию об издателя сертификата;
• publicKey() – возвращает полную информацию о публичном ключе;
• и т.д.

  С использованием этого пакета на Python разработана утилита viewCertFL63 для просмотра квалифицированных сертификатов. Пакет может оказаться очень полезной для разработчиков программного обеспечения PKI/ИОК

>>> Подробности

Если говорить об OpenSource-проектах в области инфраструктуры открытых ключей (ИОК) на базе сертификатов X509, то наряду с Network Security Services (NSS), OpenSSL, широкой популярностью пользуется проект GnuPG/SMIME. Криптографическим ядром данного проекта является библиотека LibGCrypt. Существенным при этом является то, что эта библиотека поддерживает криптоалгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 (STRIBOG256 и STRIBOG512) и не требует никакой доработки, по крайней мере, для функций формирования электронной подписи и ее проверки. Для разбора, манипулирования объектами ИОК (сертификаты, запросы на сертификаты, электронная подпись и т.п.) в GnuPG используется библиотека LibKSBA. В отличие от LibGCrypt, в библиотеке libksba не реализованы рекомендации ТК-26 для криптографических сообщений формата CMS.

В статье показано как доработать проект GnuPG, чтобы обеспечить поддержку российской криптографии. Такая модернизация автоматом приводит в поддержки ГОСТ-алгоритмов в утилите Kleopatra, почтовом клиенте KMail и других проектах.

>>> Инфраструктура открытых ключей: GnuPG/SMIME и токены PKCS#11 с поддержкой российской криптографии

Представлена утилита для создания запроса на квалифицированный сертификат с учетом требований Федерального закона от 6 апреля 2011г. №63-ФЗ «Об электронной подписи», а также «Требований к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795. Утилита написана на Tcl/Tk. Дистрибутив утилиты доступен здесь:

http://soft.lissi.ru/downloads/cert_request_util/

>>> Утилита генерации запросов на квалифицированный сертификат