[Информационная безопасность, Криптография, Open source, *nix, ECM/СЭД] ЭЦП по ГОСТ на GNU/Linux с помощью OpenSSL
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Понадобилось как-то раз срочно подписать важный документ и отправить его контрагенту, который доверяет только бумаге с нотариально заверенной подписью или верифицированной ЭЦП. Попробуем же сэкономить время и деньги и по максимуму избежать платных проприетарных и аппаратных решений.Удостоверяющий Центр выдал нам ключ и сертификат в одном PKCS#12 файле auth.p12
Я исхожу из того, что у нас в наличии есть linux и docker. Можно даже не локально - вполне можно закинуть наш документ куда-нибудь на хостинг и подключиться по SSH. Подробности установки docker и работы с докер-образами оставим за пределами этой заметки. Перейдём сразу к делу:Прямо из папки, где лежит наш документ на подпись (document.pdf) и PKCS#12 файл (auth.p12) запускаем замечательный docker образ OpenSSL с поддержкой ГОСТ и заходим в контейнер:sudo docker run --rm -i -t -v pwd:pwd -w pwd rnix/openssl-gost bashВытаскиваем из PKCS#12 файла приватный ключ и сохраняем его в pem-формате. Может потребоваться ввести ваш пароль от PKCS#12 файла.openssl pkcs12 -in auth.p12 -out key.pem -engine gost -nodes -clcertsАналогично вытаскиваем из PKCS#12 файла и сертификат.openssl pkcs12 -in auth.p12 -clcerts -nokeys -out pub.crtПодписываем документ. Подпись будет отсоединенная, в формате PKCS#7 в отдельном файле (document.pdf.sig)openssl smime -sign -signer pub.crt -inkey key.pem -engine gost -binary -noattr -outform DER -in document.pdf -out document.pdf.sigПроверить подпись можно много где, как локально так и на сайте госуслуг, например.
Всё. Можно отправлять контрагенту документ и соответствующий sig файл.Если вдруг у вас сертификат в формате DER (в Windows часто это файл с расширением .cer), то можно конвертировать такой сертификат в pem-формат:openssl x509 -inform DER -in pub.cer -out pub.crtФайлы в примерах команд выше:auth.p12 - бинарный PFX-файл, содержащий сертификат и закрытый ключ
pub.crt - сертификат (содержащий открытый ключ) в текстовом формате PEM
pub.cer - сертификат (содержащий открытый ключ) в бинарном формате DER
key.pem - закрытый ключ
document.pdf - pdf-документ, который необходимо подписать
document.pdf.sig - файл куда будет сохранена отсоединённая подпись к документу Источники вдохновения:Работаем с реестром запрещенных ресурсов
Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации
Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx
OpenSSL: простое шифрование с открытым ключом
https://stackoverflow.com/questions/52980370/how-to-convert-p12-to-crt-file
https://www.emaro-ssl.ru/blog/convert-ssl-certificate-formats/
https://qna.habr.com/q/213942
http://rodji.net/blog/2013/12/27/openssl-по-гост-подписывание-шифрование-пр/
https://polikarpoff.ru/all/eksport-ecp-v-formate-pkcs-12/
===========
Источник:
habr.com
===========
Похожие новости:
- [Open source, *nix] FOSS News №64 – дайджест материалов о свободном и открытом ПО за 29 марта – 4 апреля 2021 года
- [Информационная безопасность, Законодательство в IT] ЦИК обновляет фильтр от DDoS-атак
- [Open source, Python, Программирование] Все важные фичи и изменения в Python 3.10 (перевод)
- [Информационная безопасность, Мессенджеры, Социальные сети и сообщества] Персональные данные 533 миллионов пользователей Facebook утекли в сеть
- [Open source, Законодательство в IT, История IT, IT-компании] Проект Fedora официально выступил против Столлмана и прекратил все отношения с FSF
- [Информационная безопасность, Монетизация мобильных приложений, Контекстная реклама, Законодательство в IT] Яндекс и Mail.ru заявили, что их приложения никуда не передают данные пользователей
- [Информационная безопасность, Контекстная реклама, Аналитика мобильных приложений, Законодательство в IT] Российский предустановленный софт уличили в передаче данных иностранным компаниям
- [Информационная безопасность, Тестирование IT-систем, DNS, Тестирование веб-сервисов] Путаница зависимостей. Как я взломал Apple, Microsoft и десятки других компаний (перевод)
- [Open source, *nix] Перевод статьи «В защиту Ричарда Столлмана» (перевод)
- [Информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисов] Как я нашел баг, который раскрывал ваш пароль от PayPal (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_open_source, #_*nix, #_ecm/sed (ECM/СЭД), #_openssl, #_pkcs12, #_pem, #_der, #_pkcs7, #_docker, #_linux, #_podpis (подпись), #_etsp (эцп), #_gost, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
), #_open_source, #_*nix, #_ecm/sed (
ECM/СЭД
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 19:50
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Понадобилось как-то раз срочно подписать важный документ и отправить его контрагенту, который доверяет только бумаге с нотариально заверенной подписью или верифицированной ЭЦП. Попробуем же сэкономить время и деньги и по максимуму избежать платных проприетарных и аппаратных решений.Удостоверяющий Центр выдал нам ключ и сертификат в одном PKCS#12 файле auth.p12 Я исхожу из того, что у нас в наличии есть linux и docker. Можно даже не локально - вполне можно закинуть наш документ куда-нибудь на хостинг и подключиться по SSH. Подробности установки docker и работы с докер-образами оставим за пределами этой заметки. Перейдём сразу к делу:Прямо из папки, где лежит наш документ на подпись (document.pdf) и PKCS#12 файл (auth.p12) запускаем замечательный docker образ OpenSSL с поддержкой ГОСТ и заходим в контейнер:sudo docker run --rm -i -t -v pwd:pwd -w pwd rnix/openssl-gost bashВытаскиваем из PKCS#12 файла приватный ключ и сохраняем его в pem-формате. Может потребоваться ввести ваш пароль от PKCS#12 файла.openssl pkcs12 -in auth.p12 -out key.pem -engine gost -nodes -clcertsАналогично вытаскиваем из PKCS#12 файла и сертификат.openssl pkcs12 -in auth.p12 -clcerts -nokeys -out pub.crtПодписываем документ. Подпись будет отсоединенная, в формате PKCS#7 в отдельном файле (document.pdf.sig)openssl smime -sign -signer pub.crt -inkey key.pem -engine gost -binary -noattr -outform DER -in document.pdf -out document.pdf.sigПроверить подпись можно много где, как локально так и на сайте госуслуг, например. Всё. Можно отправлять контрагенту документ и соответствующий sig файл.Если вдруг у вас сертификат в формате DER (в Windows часто это файл с расширением .cer), то можно конвертировать такой сертификат в pem-формат:openssl x509 -inform DER -in pub.cer -out pub.crtФайлы в примерах команд выше:auth.p12 - бинарный PFX-файл, содержащий сертификат и закрытый ключ pub.crt - сертификат (содержащий открытый ключ) в текстовом формате PEM pub.cer - сертификат (содержащий открытый ключ) в бинарном формате DER key.pem - закрытый ключ document.pdf - pdf-документ, который необходимо подписать document.pdf.sig - файл куда будет сохранена отсоединённая подпись к документу Источники вдохновения:Работаем с реестром запрещенных ресурсов Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx OpenSSL: простое шифрование с открытым ключом https://stackoverflow.com/questions/52980370/how-to-convert-p12-to-crt-file https://www.emaro-ssl.ru/blog/convert-ssl-certificate-formats/ https://qna.habr.com/q/213942 http://rodji.net/blog/2013/12/27/openssl-по-гост-подписывание-шифрование-пр/ https://polikarpoff.ru/all/eksport-ecp-v-formate-pkcs-12/ =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_kriptografija ( Криптография ), #_open_source, #_*nix, #_ecm/sed ( ECM/СЭД ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 19:50
Часовой пояс: UTC + 5