КриптоПро CSP на macOS

Я уже пару лет как полностью перенёс свою работу с Windows на macOS. Единственное, что у меня оставалось на Windows — это КриптоПро CSP для подписи документов в системе электронного документооборота (ЭДО). Переключаться между системами неудобно, поэтому перед новым годом я купил в Cryptostore лицензию КриптоПро CSP для macOS и теперь планирую переезд. Времени на это пока не хватает, так что решил начать с обзора: разобраться, что такое КриптоПро CSP, как оно работает на маке и чего ожидать при установке.

Что такое криптопровайдер

Криптопровайдер (Cryptography Service Provider, CSP) — это программный модуль, который выполняет криптографические операции: создаёт электронную подпись, шифрует и расшифровывает данные, генерирует и хранит ключи. По сути, это посредник между операционной системой и криптографическими алгоритмами.

Без криптопровайдера подписать документ квалифицированной электронной подписью (КЭП) невозможно. А в России для работы с государственными порталами и системами ЭДО нужен именно сертифицированный ФСБ криптопровайдер, который поддерживает российские алгоритмы ГОСТ. Стандартные средства Windows или macOS для этого не подходят — у них нет российской сертификации.

На российском рынке два основных сертифицированных криптопровайдера: КриптоПро CSP и ViPNet CSP. КриптоПро — безусловный лидер по распространённости.

Что такое КриптоПро CSP

КриптоПро CSP — это средство криптографической защиты информации (СКЗИ), разработанное компанией «КРИПТО-ПРО». Продукт сертифицирован ФСБ России и применяется для формирования и проверки электронной подписи, шифрования данных и контроля их целостности.

Текущая версия — КриптоПро CSP 5.0, которая объединяет три продуктовые линейки:

• классический CSP с ключами на токенах и в файловой системе;
• решения с неизвлекаемыми ключами на аппаратных токенах;
• распределённое хранение ключей (часть на клиенте, часть на сервере).

Поддерживаемые алгоритмы

КриптоПро CSP 5.0 поддерживает российские криптографические стандарты:

• электронная подпись — ГОСТ Р 34.10-2012, ГОСТ 34.10-2018;
• хэширование — ГОСТ Р 34.11-2012, ГОСТ 34.11-2018;
• шифрование — ГОСТ Р 34.12-2015, ГОСТ 28147-89.

Помимо ГОСТ, поддерживаются и зарубежные алгоритмы: RSA, ECDSA, SHA-1/2, AES.

Поддерживаемые платформы

Одно из преимуществ КриптоПро CSP — широкая кроссплатформенность. Поддерживаются Windows, macOS, Linux, FreeBSD, iOS, Android, Аврора и даже Solaris и AIX. Аппаратные платформы: Intel, AMD, ARM, PowerPC, MIPS, Эльбрус.

Стоимость лицензии

Лицензия КриптоПро CSP 5.0 на одно рабочее место не привязана к конкретной ОС — одна и та же лицензия подходит и для Windows, и для macOS, и для Linux. Ориентировочные цены с 2025 года:

• годовая — около 1 900 рублей;
• бессрочная — около 3 500–3 900 рублей;
• серверная — от 67 000 рублей.

Без лицензии КриптоПро CSP работает в пробном режиме 90 дней с полной функциональностью.

Особенности КриптоПро CSP на macOS

Версия для macOS функционально эквивалентна версии для Windows, но есть ряд особенностей, о которых стоит знать заранее.

Блокировка Apple и санкции

23 февраля 2024 года компания «КРИПТО-ПРО» попала под санкции. 7 марта 2024 года Apple отозвала у неё сертификат разработчика и удалила приложения из магазина. После обновлений macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4) продукты КриптоПро стали блокироваться системой как небезопасные.

Разработчики оперативно выпустили обновлённую версию — КриптоПро CSP 5.0.12998, а затем 5.0.13000, которые устанавливаются и работают в обход блокировки. Но при установке macOS потребует ручного разрешения на запуск — через контекстное меню и системные настройки безопасности.

Графический интерфейс

В КриптоПро CSP 4.0 для macOS графического интерфейса не было вообще, всё делалось через терминал. В КриптоПро CSP 5.0 появилось приложение «Инструменты КриптоПро» (cptools), которое позволяет управлять сертификатами и лицензиями через GUI. Это одна из главных причин использовать именно пятую версию.

Поддержка токенов

На macOS поддерживаются:

• Рутокен — требует установки отдельного драйвера и библиотеки rtPKCS11ECP;
• ESMART Token — поддерживается, но при установке иногда нужно снять галочки с модулей Esmart, если возникает ошибка;
• JaCarta — поддерживается только в КриптоПро CSP 5.0 (в версии 4.0 не работает), при этом пользователи на форумах отмечают нестабильность.

Контейнеры ключей можно также хранить на обычных USB-флешках или на жёстком диске.

Браузеры

Safari не подходит для работы с электронной подписью через КриптоПро — из-за отзыва сертификата разработчика расширения не работают штатно. Рекомендуемые браузеры:

• Яндекс Браузер — с установленным расширением CAdES Plugin;
• Chromium ГОСТ — со встроенной поддержкой российской криптографии.

Apple Silicon (M1, M2 и новее)

Для работы на чипах Apple Silicon требуется КриптоПро CSP версии не ниже 5.0 R2. Более ранние версии могут работать через Rosetta 2, но это ненадёжный вариант.

Установка КриптоПро CSP на macOS

Шаг 1. Регистрация на сайте КриптоПро

Дистрибутив доступен только после регистрации на cryptopro.ru — криптопровайдер является СКЗИ, и его распространение подлежит учёту.

Шаг 2. Скачивание дистрибутива

После авторизации скачайте дистрибутив для macOS. Актуальная версия на момент написания — 5.0.13000. Файл будет называться примерно так: ru.cryptopro.csp-cades-5.0.13000.dmg.

Шаг 3. Установка

1. Откройте скачанный .dmg-файл.
2. Нажмите правой кнопкой мыши (или Ctrl + клик) на файл .pkg и выберите «Открыть». Двойной клик не сработает — macOS заблокирует запуск.
3. Если система выдаёт предупреждение, что не удаётся проверить разработчика, нажмите «Открыть».
4. На macOS Sequoia (15+) может потребоваться дополнительно зайти в Системные настройки → Конфиденциальность и безопасность и нажать «Всё равно открыть».
5. В окне установщика нажмите «Продолжить», примите лицензионное соглашение, оставьте настройки по умолчанию и нажмите «Установить».
6. Если при установке возникает ошибка — повторите процесс, но в разделе «Тип установки» снимите галочки с модулей Esmart.
7. После завершения установки рекомендуется перезагрузить компьютер.

Шаг 4. Ввод лицензии

Лицензию можно ввести двумя способами.

Через графический интерфейс:

1. Откройте приложение «Инструменты КриптоПро» (cptools) из Launchpad.
2. Перейдите на вкладку «Общее».
3. Нажмите «Ввести лицензию».
4. Введите серийный номер и подтвердите.

Через терминал:

sudo /opt/cprocsp/sbin/cpconfig -license -set СЕРИЙНЫЙ-НОМЕР

Проверить статус лицензии:

/opt/cprocsp/sbin/cpconfig -license -view

Шаг 5. Установка сертификатов

Установка корневого сертификата удостоверяющего центра:

sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/Downloads/root-cert.cer

Установка промежуточного сертификата:

/opt/cprocsp/bin/certmgr -inst -store ca -f ~/Downloads/intermediate-cert.cer

Установка личного сертификата из контейнера на токене (установит все найденные сертификаты):

/opt/cprocsp/bin/csptestf -absorb -certs

Полезные команды терминала

Даже при наличии GUI, терминал в macOS-версии КриптоПро остаётся основным инструментом для диагностики и ряда операций. Все утилиты расположены в /opt/cprocsp/bin/ и /opt/cprocsp/sbin/.

Список сертификатов в личном хранилище:

/opt/cprocsp/bin/certmgr -list -store my

Список контейнеров на подключённых носителях:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc

Проверка подключённого токена:

/opt/cprocsp/bin/csptest -card -enum -v -v

Тест считывателя смарт-карт:

pcsctest

В ответ на запрос введите 1 для тестирования токена в первом слоте. Если появилось сообщение PC/SC Test Completed Successfully, токен работает. Сообщение Please insert a working reader означает, что токен не определяется.

Удаление КриптоПро CSP: используйте утилиту uninstall_csp.app, которая поставляется вместе с дистрибутивом.

Итог

КриптоПро CSP на macOS — вполне рабочее решение, хотя и с оговорками. Главные моменты:

• после санкционной блокировки Apple установка требует ручного разрешения в настройках безопасности — это не сложно, но нужно знать заранее;
• версия 5.0 принципиально удобнее четвёртой за счёт графического интерфейса cptools;
• для чипов Apple Silicon нужна версия не ниже 5.0 R2;
• Safari не подходит для работы с ЭП, нужен Яндекс Браузер или Chromium ГОСТ;
• лицензия универсальна и не привязана к ОС;
• терминал по-прежнему пригодится для диагностики и работы с сертификатами.

В целом, если вы работаете с ЭДО или электронной подписью и хотите уйти с Windows — КриптоПро CSP 5.0 на macOS это позволяет. Просто будьте готовы к тому, что некоторые вещи потребуют терминала и чуть больше внимания при первоначальной настройке, чем на Windows.