Skip to content

Latest commit

 

History

History
71 lines (42 loc) · 3.19 KB

README.md

File metadata and controls

71 lines (42 loc) · 3.19 KB

decrypto-pro

Конвертирует ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012 закрытые ключи из упоротого формата Крипто-Про (Криво-Про) в нормальный PEM (OpenSSL) формат.

Почти копия https://github.com/kulikan/privkey, изначально основано на https://habrahabr.ru/post/275039/

Лицензия MIT

Установка

Для сборки требует OpenSSL 1.1 и установленный ГОСТ движок:

apt-get install libengine-gost-openssl1.1 libssl-dev

make

Работает в Debian. В других дистрибутивах нужно будет поправить Makefile.

Конвертация

Конвертация ключа:

  • ./decrypto-pro /path/to/key/dir.000 > privkey.pem

Конвертация сертификата:

  • Копируем директорию ключевого контейнера в /var/opt/cprocsp/keys/<USER>, где <USER> - имя системного пользователя (id -un).
  • /opt/cprocsp/bin/amd64/certmgr -export -dest cert.der и вводим номер нужного сертификата в списке
  • openssl x509 -inform DER -in cert.der -out cert.pem - конвертируем из бинарного формата в привычный PEM

Примеры использования

Подпись PKCS-7 (вместо openssl smime можно также писать openssl cms):

openssl smime -sign -in пример.pdf -out пример_подпись.p7s -engine gost -binary -noattr -outform der -signer cert.pem -inkey privkey.pem

Проверка подписи:

openssl smime -verify -content пример.pdf -in пример_подпись.p7s -engine gost -binary -noattr -inform der -CAfile CA.pem -signer cert.pem

Ещё заметки

Зашифровать приватный ключ:

openssl pkey -in privkey.pem -out privkey_enc.pem -aes256

Наоборот, импортировать приватный ключ PEM (openssl) в Крипто-Про - увы, можно только через PFX и утилиту p12util, скачать которую можно где-то на их форумах. Благо, под wine она тоже работает:

openssl pkcs12 -inkey privkey.pem -in cert.pem -keypbe gost89 -certpbe gost89 -macalg md_gost12_512 -export -out cert_and_key.pfx

wine p12util.x86.exe -p12tocp -infile cert_and_key.pfx -rdrfolder Z:/var/opt/cprocsp/keys -contname Новое_Имя_Ключа -ex -passcp '' -passp12 ''

/opt/cprocsp/bin/amd64/certmgr -install -container '\\.\HDIMAGE\Новое_Имя_Ключа'

Установить корневой сертификат (CA) в Криво-Про, чтобы оно не ругалось при подписи из браузерного плагина:

/opt/cprocsp/bin/amd64/certmgr -install -store root -file CA.crt

Идея вам на будущее

Сделать опенсорсный браузерный плагин, работающий на основе openssl и совместимый с JS-интерфейсом плагина КриптоПро.