72 lines
3.2 KiB
Markdown
72 lines
3.2 KiB
Markdown
# decrypto-pro
|
||
|
||
Конвертирует ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012 закрытые ключи из упоротого формата Крипто-Про (Криво-Про) в нормальный PEM (OpenSSL) формат.
|
||
|
||
Почти копия https://github.com/kulikan/privkey, изначально основано на https://habrahabr.ru/post/275039/
|
||
|
||
Лицензия MIT
|
||
|
||
## Установка
|
||
|
||
Для сборки требует OpenSSL 1.1 и установленный ГОСТ движок:
|
||
|
||
```
|
||
apt-get install libengine-gost-openssl1.1 libssl-dev
|
||
|
||
make
|
||
```
|
||
|
||
Работает в Debian. В других дистрибутивах нужно будет поправить Makefile.
|
||
|
||
## Конвертация
|
||
|
||
Конвертация ключа:
|
||
|
||
* `./decrypto-pro /path/to/key/dir.000 > privkey.pem`
|
||
|
||
Конвертация сертификата:
|
||
|
||
* Копируем директорию ключевого контейнера в `/var/opt/cprocsp/keys/<USER>`, где `<USER>` - имя системного пользователя (`id -un`).
|
||
* `/opt/cprocsp/bin/amd64/certmgr -export -dest cert.der` и вводим номер нужного сертификата в списке
|
||
* `openssl x509 -inform DER -in cert.der -out cert.pem` - конвертируем из бинарного формата в привычный PEM
|
||
|
||
## Примеры использования
|
||
|
||
Подпись PKCS-7 (вместо `openssl smime` можно также писать `openssl cms`):
|
||
|
||
`openssl smime -sign
|
||
-in пример.pdf -out пример_подпись.p7s
|
||
-engine gost -binary -noattr -outform der
|
||
-signer cert.pem -inkey privkey.pem`
|
||
|
||
Проверка подписи:
|
||
|
||
`openssl smime -verify
|
||
-content пример.pdf -in пример_подпись.p7s
|
||
-engine gost -binary -noattr -inform der
|
||
-CAfile CA.pem -signer cert.pem`
|
||
|
||
## Ещё заметки
|
||
|
||
Зашифровать приватный ключ:
|
||
|
||
`openssl pkey -in privkey.pem -out privkey_enc.pem -aes256`
|
||
|
||
Наоборот, импортировать приватный ключ PEM (openssl) в Крипто-Про - увы,
|
||
можно только через PFX и утилиту p12util, скачать которую можно где-то на их форумах.
|
||
Благо, под wine она тоже работает:
|
||
|
||
`openssl pkcs12 -inkey privkey.pem -in cert.pem -keypbe gost89 -certpbe gost89 -macalg md_gost12_512 -export -out cert_and_key.pfx`
|
||
|
||
`wine p12util.x86.exe -p12tocp -infile cert_and_key.pfx -rdrfolder Z:/var/opt/cprocsp/keys -contname Новое_Имя_Ключа -ex -passcp '' -passp12 ''`
|
||
|
||
`/opt/cprocsp/bin/amd64/certmgr -install -container '\\.\HDIMAGE\Новое_Имя_Ключа'`
|
||
|
||
Установить корневой сертификат (CA) в Криво-Про, чтобы оно не ругалось при подписи из браузерного плагина:
|
||
|
||
`/opt/cprocsp/bin/amd64/certmgr -install -store root -file CA.crt`
|
||
|
||
## Идея вам на будущее
|
||
|
||
Сделать опенсорсный браузерный плагин, работающий на основе openssl и совместимый с JS-интерфейсом плагина КриптоПро.
|