Хеш алгоритм крипто арм какой выбрать
При добавлении подписи к файлу, через КриптоАРМ:
"Внимание! Для формирования ЭП был указан хеш-алгоритм, несовместимый с данным файлом подписи. Пожалуйста, выберите другой."
Ошибка связана с тем, что вы пытаетесь подписать документ подписью на разных и, в вашем случае, не поддерживаемых алгоритмов ключа подписи.
Есть два компьютера:
- КриптоАРМ 5.4 (которая работает с новым ГОСТ 2012) и сертифицированная версия КриптоПро CSP 4.0 R4
- КриптоАРМ 4.6 (которая НЕ работает с новым ГОСТ 2012) и сертифицированная версия КриптоПро CSP 4.0 R4
Возможно большое количество вариантов, рассмотрим несколько:
На первом компьютере мы подпишем документ подписью по ГОСТ 2012, передадим на второй компьютер и попробуем добавить подпись по ГОСТ 2001
И получим данную ошибку, т.к. на втором компьютере стоит КриптоАРМ не работающий с ГОСТ 2012.
! Но, если документ будет подписан алгоритмами ГОСТ 2012 и ГОСТ 2001, тогда на втором компьютере нам удастся добавить третью подпись по ГОСТ 2001, т.к. КриптоАРМ увидит поддерживаемый алгоритм.
Может быть еще вариант: например, документ подписан одной или несколькими подписями по алгоритму 2001 на втором компьютере, а мы пробуем подписать на первом по 2012. В такой конфигурации ошибки быть не может, а если ошибка появилась, то нам надо обновить КриптоАРМ и, возможно, КриптоПро CSP, и повторить операцию добавления подписи.
Для установки параметров подписи в настройке выполните следующие шаги:
- На верхней панели главного окна откройте пункт меню Профили - Управление профилями. Это же вы можете сделать через контекстном меню файла или на панели инструментов: выберите пункт Профили.
- Откройте ту настройку, в которой необходимо установить/изменить параметры. В окне Параметры настройки откройте раздел Подпись.
- классическая
Содержимое ключей и сертификатов позволяет установить авторство электронного документа, однако в используемом сегодня формате ЭП не фиксируется время её создания и статус сертификата открытого ключа на момент подписи (действителен, отозван, приостановлен). Это затрудняет процедуру доказательства подлинности электронной подписи. - усовершенствованная
Усовершенствованная электронная подпись. Предназначена для разрешения споров между подписывающей и проверяющей сторонами, которые могут возникать в отдаленном будущем, даже годы спустя момента их создания.
- путь до исходного, подписываемого файла (на компьютере или в Интернете, где находится данный файл)
- имя файла (указывается для того, чтобы в случае изменения имени файла получатель подписанного документа смог определить первоначальное его название).
- на подписываемые данные
При установке этого флага в файл электронной подписи будет включен штамп времени на исходные данные. Штамп времени на документе удостоверяет время создания документа для последующего разрешения конфликтов, связанных с использованием электронного документа. Эта возможность способствует обеспечению неотказуемости от подписи.
Наличие штампа времени в подписанном документе позволяет продлевать срок действия электронной подписи. Например, такой штамп удостоверяет, что подпись была создана до того, как сертификат ключа подписи был аннулирован(отозван). Таким образом, даже после отзыва сертификата останется возможность использовать данный отозванный сертификат для проверки электронных подписей, созданных до момента отзыва. Подобная проблема актуальна для всех систем электронного документооборота. - на подпись
При установке этого флага в файл электронной подписи будет включен штамп времени на создаваемую электронную подпись.
| Флаг доступен только при установленной лицензии на модуль TSP. |
- только сертификат владельца: режим, установленный по умолчанию. В атрибуты подписи добавляется единственный сертификат;
- путь сертификации без корневого сертификата: в атрибуты подписи добавляется цепочка сертификатов, за исключением корневого сертификата;
- все сертификаты пути сертификации: в атрибуты подписи добавляется вся цепочка сертификатов, в том числе, и корневой сертификат;
- не включать сертификаты в подпись: в атрибуты подписи не включаются сертификаты.
- DERencoded binary X.509
Платформенно-независимый метод хранения сертификатов. Может использоваться для их передачи между компьютерами. Расширения подписанного файла *.sig, *.p7s. - - Base64 encoded X.509
Вариант кодирования, разработанный для использования совместно с S/MIME (безопасным протоколом электронной почты). Файл использует ASCII-символы, благодаря чему может пройти неповрежденным через все почтовые шлюзы. Для этого варианта кодирования вы можете указать флаг Отключить служебные заголовки (в этом случае в файле подписи не будут использоваться заголовки, указывающие начало и окончание блока с подписанными данными. Заголовки необходимы для того, чтобы можно было выполнять проверку ЭП более ранними версиями программы «КриптоАРМ»).
В архиве можно сохранять структуру вложенности каталогов.
При развертывании корпоративной системы электронного документооборота для подписанных файлов можно установить специальные расширения, отличные от стандартных. Чтобы при работе с программой «КриптоАРМ» эти файлы обрабатывались, необходимо занести новые расширения в список так называемых «ассоциаций»:
- Добавьте необходимое расширение и нажмите на кнопку Установить ассоциацию.
- Для снятия ассоциации с расширения нажмите на кнопку Снять ассоциации.
Выберите пункт меню Подписать и зашифровать (при этом будет зашифрован и подписан отдельно каждый файл, входящий в указанную папку. Зашифрованные и подписанные файлы автоматически сохраняются в папку с исходными данными).
Далее следуйте рекомендациям Мастера выполнения операции:
1. На первом шаге для упрощения работы вы можете выбрать в списке одну из уже установленных настроек для подписи и шифрования. Если вы хотите в дальнейшем использовать выбранную настройку по умолчанию, установите флаг в пункте Использовать настройку по умолчанию.
2. Выберите отдельный файл и папку с файлами, которые необходимо зашифровать и подписать (кнопки Добавить файл и Добавить папку соответственно).
3. Первым этапом укажите параметры для создания электронной подписи данных. Сначала укажите выходной формат файла подписи: кодировку и расширение выходного файла.
- DER encoded binary X.509. Расширения подписанного файла *.sig, *.p7s.
- Base64 encoded X.509.Для этого варианта кодирования вы можете указать флаг Отключить служебные заголовки. Расширения подписанного файла *.sig.
4. Далее установите параметры подписи.
Использование подписи. Укажите необходимое назначение подписи. О том, как создавать новые назначения вы можете узнать в разделе Операции со справочниками назначений.
Комментарий к подписи. Комментарием к подписи может служить информация, предназначенная людям, просматривающим подписанный документ (например, "Согласовано!").
Включить в подпись:
- только сертификат владельца - режим, установленный по умолчанию. В атрибуты подписи добавляется единственный сертификат;
- путь сертификации без корневого сертификата - в атрибуты подписи добавляется цепочка сертификатов, за исключением корневого сертификата;
- все сертификаты пути сертификации - в атрибуты подписи добавляется вся цепочка сертификатов, в том числе и корневой сертификат;
- не включать сертификаты в подпись - в атрибуты подписи не включаются сертификаты.
Идентификатор ресурса.
Удалить исходный файл после выполнения операции. Если вы решили создать файл совмещенной подписи, вы можете удалить исходный файл после выполнения операции.
Уровень безопасного удаления. Подробнее о настройках уровня безопасного удаления читайте в разделе Настройки каталогов хранения файлов.
Включить время создания подписи. При установке флага - в файл подписи будет включено время подписи.
Флаги Включить штамп времени на подписываемые данные и Включить штамп времени на подпись, доступны только при установленной лицензии на модуль TSP (КриптоПро TSP client 2.0.)
Флаг Включить в подпись доказательства подлинности доступен только при установленной лицензии на модули TSP и OCSP (КриптоПро TSP client 2.0 и КриптоПро OCSP client 2.0.)
5. Если был установлен флаг Включить в подпись Штамп Времени, в следующем окне укажите параметры Службы Штампов Времени.
6. Выберите личный сертификат для создания ЭП (кнопка Выбрать).
7. Для доступа к выбранному ключевому контейнеру (ГОСТ сертификата) введите пароль.
8. Вторым этапом укажите параметры для шифрования данных. Укажите настройки для выходного формата файла.
Кодировка и расширение.
- DER encoded binary X.509
- Base64 encoded X.509.Для этого варианта кодирования вы можете указать флаг Отключить служебные заголовки. Расширения зашифрованного файла *.enc, *.p7m, *.pem.
Помещать выходные файлы в указанный каталог.
Если выбрать этот режим и оставить поле ввода пути к каталогу не заполненным, то выходные файлы будут формироваться в каталоге входных файлов.
Сохранять структуру вложенности каталогов.
В окне Свойства шифрования выберите режим шифрования данных. Для этого поставьте переключатель напротив соответствующей строки:
- Использовать собственный сертификат для шифрования (Для выбора личного сертификата используйте кнопку Выбрать). При выборе личного сертификата проверяется его статус. Личный сертификат автоматически добавляется в список сертификатов получателей шифруемого файла.
Подробнее о настройке параметров шифрования вы можете прочитать в разделе Настройки операции шифрования.
9. На следующем шаге выберите сертификаты получателей шифруемого файла, используя кнопку Добавить.
Чтобы иметь возможность расшифровать зашифрованный вами файл, вы должны добавить личный сертификат в список сертификатов получателей зашифрованного файла. Если на предыдущем шаге вы включили режим, при котором для шифрования будет использоваться ваш личный сертификат, на шаге выбора сертификатов получателей он автоматически будет занесен в список.
Обратите внимание, для шифрования необходимо, чтобы ключи отправителя и получателя могли быть использованы для шифрования данных.
11. После завершения сбора параметров для выполнения шифрования возникнет окно с информацией о статусе операции и об используемых параметрах: сертификат, которым был зашифрован файл и сертификат получателя (-ей). Для продолжения нажмите кнопку Готово.
Все указанные параметры можно сохранить в настройку для дальнейшего использования. Для этого установите флаг в пункте Сохранить данные в настройку для дальнейшего использования и введите наименование настройки. Также вы можете сохранить все данные в уже существующую настройку, выбрав ее название из списка.
12. Начнется процесс подписи и шифрования файла. Вы можете прервать его, нажав на кнопку Отмена.
14. Далее возникнет окно Результат выполнения операции со статусом завершения операции.
Чтобы просмотреть детальную информацию о результатах шифрования и используемых параметрах: имя исходного файла, имя выходного (зашифрованного) файла, статус операции, длительность выполнения операции, нажмите кнопку Детали.
Вы можете отредактировать список получателей зашифрованных и подписанных данных, просмотреть и сохранить исходные данные.
- Просмотреть путь, по которому сохранен зашифрованный файл;
- Просмотреть зашифрованный файл (кнопка Просмотреть напротив строки Файл исходных данных);
- Сохранить исходный файл (расшифрованные данные) по указанному пути (кнопка Сохранить);
- Просмотреть информацию о сертификатах получателей зашифрованных данных и их статусы (кнопка Просмотреть);
Вы можете расширить/сократить список сертификатов получателей файла (кнопки Добавить и Удалить соответственно). При нажатии на кнопку Применить или ОК данные будут повторно зашифрованы и подписаны в адрес измененного списка получателей.
Как установить “КриптоАРМ” версии 5.4 - представляем вам инструкцию со скриншотами, чтобы вы сами убедились как это просто. Итак начнем .
1. Сначала скачиваем дистрибутив.
2. Запускаем установочный файл TrustedDesktopBundle-5.4.exe от имени администратора и нажимаем кнопку "Выполнить". Мастер установки начнет свою работу.
Установщик сам корректно удалит все предыдущие компоненты программы и предложит перезагрузить компьютер. Лучше перезагрузить, но можно игнорировать и перейти к установке КриптоАРМа.
3.Для простоты выбираем “Быструю установку”.
На следующем шаге принимаем условия лицензионного соглашения.
Затем нажимаем кнопку “Начать”, чтобы приступить к установке программы.
5. Установка КриптоАРМа занимает несколько минут и не требует вашего участия. После завершения нажимаем "Готово".
7. Мастер загрузки предложит перезагрузить компьютер после установки продукта, с ним лучше согласиться нажав "да".
Приятная новость - если КриптоАРМ установлен впервые, то на 2 недели вам будет предоставлен полный функционал, если ранее устанавливали - потребуется приобретение лицензии.
Процесс покупки занимает 5 минут, после оплаты ключ приходит на указанный e-mail.
Для ввода лицензии нужно скопировать лицензионный ключ из письма, открыть программу КриптоАРМ и выбрать "Установить лицензию".
Серийный номер для КриптоАРМ для версии 5 должен начинаться TD5. Ключ, начинающийся с символов TD4, не подойдет.
По истечению 14 дней, если вы не установите лицензию, КриптоАРМ перейдет в режим Старт, то есть работа с ГОСТовыми сертификатами будет недоступна. Основные отличия версий КриптоАРМа описаны в статье.
Все вопросы по подписанию, шифрованию доступны в Руководстве пользователя или в статьях нашего блога.
Обратите внимание, что для запуска необходимо обладать правами администратора.
Если вы не являетесь опытным пользователем, рекомендуем выбрать пункт «Быстрая установка». После выбора типа установки нажмите на кнопку «Далее».
Примите условия лицензионного соглашения и нажмите на кнопку «Начать».
Дождитесь окончания установки.
Видеоинструкции:
1. Как подписать документ электронной подписью?
2. Как проверить подпись?
3. Как зашифровать документ?
4. Как установить сторонний сертификат?
Если после прочтения инструкции у вас остались вопросы, скачайте подробную инструкцию.
Установка сертификатов с токенов или смарт-карт:
Для загрузки сертификата на компьютер необходимо
- Установить криптопровайдер (КриптоПро CSP) и соответствующий драйвер для ключевого носителя;
- Подключить токен или смарт-карту к компьютеру (поддерживаются ключевые носители Рутокен, eToken, JaCarta, ESMART, Gemalto);
- Зайти в ветку «Электронные ключи» и дождаться, пока программа «КриптоАРМ» считает все сертификаты, хранящиеся на токене или смарт-карте;
- Неустановленные на компьютере сертификаты, хранящиеся на подключенных электронных ключах, будут отображены серым цветом (см. картинку ниже).
- Выберите интересующие вас сертификаты и нажмите кнопку «Установить» на панели или в меню.
2. Выберите интересующие вас сертификаты и нажмите кнопку «Установить выбранные» или на кнопку «Установить все».
3. Ваши сертификаты будут установлены в «Личное хранилище сертификатов» со статусом «Ошибка построения пути сертификации».
4. Для автоматического построения пути сертификации в «Настройках» воспользуйтесь режимом «Квалифицированная подпись».
Данный режим предназначен только для квалифицированных сертификатов и требует наличия соединения с интернетом. При включении режима неквалифицированные сертификаты будут скрыты.
5. Поздравляем! Все необходимые сертификаты установлены!
Установка лицензии:
Функциональность программы «КриптоАРМ» позволяет решать задачи, связанные с созданием и проверкой электронной подписи, шифрованием и расшифрованием файлов, работой с криптопровайдерами и цифровыми сертификатами. «КриптоАРМ» - универсальная программа, которая используется для защиты информации, передаваемой по Интернету, электронной почте и на съемных носителях.
Для установки лицензии зайдите в раздел «Помощь» – «Установить лицензию», введите название вашей организации и лицензионный ключ.
Если ознакомительный период уже истек, то после каждого запуска программы вам будет предложено установить или купить лицензию.
Читайте также: