#vim:set sw=4 ts=8 fileencoding=cp1251::Кодировка:WINDOWS-1251[АБЁЪЯабёъя] # $Revision: 228398 $ # [Random] # Датчики случайных чисел # Bio - Биологический датчик # Dsrf - Датчик ДСРФ # Accord - Датчик Аккорд # Sable - Датчик Соболь [Random\Dsrf] "DLL"="librdrdsrf.so" [Random\CPSD] "DLL"="librdrdsrf.so" [Random\CPSD\Default] Name = "CPSD RNG" Level = 3 "/db1/kis_1" = "/var/opt/cprocsp/dsrf/db1/kis_1" "/db2/kis_1" = "/var/opt/cprocsp/dsrf/db2/kis_1" [Random\DSRF_EX] "DLL"="librdrdsrf.so" [Random\Bio_tui] DLL = "librdrrndmbio_tui.so" [Random\BIO_TUI\Default] Name = "Text bio random" Level = 5 [Random\Bio_gui] DLL = "librdrrndmbio_gui_fgtk.so" [Random\BIO_GUI\Default] Name = "rndm GUI gtk+2.0" Level = 4 [KeyDevices] # Типы считывателей # FAT12 - Считыватель "Дисковод" # HDimage - Считыватель "Структура дискеты на жестком диске" # PCSC - Считыватель смарт-карт GemPC [KeyDevices\FAT12] "DLL"="librdrfat12.so" "Group"=1 [KeyDevices\HDimage] "DLL"="librdrfat12.so" [KeyDevices\HDIMAGE\Default] Name = "HDD key storage" [KeyDevices\HSM] "DLL"="librdrfat12.so" [KeyDevices\FLASH] DLL = "librdrfat12.so" Script = "mount_flash.sh" Group = 1 [KeyDevices\FLASH\"PNP FLASH"\Default] [Capilite] # Исправлять переданные в CryptoAPI неверные алгоритмы repair_bad_algs=1 # Максимальное время в микросекундах, в течение которого разные версии файла # на диске могут получить одну метку времени. CertControlStore при # синхронизации хранилищ использует это значение для оптимизации. # Значение 2000000000 отключает оптимизацию. worst_store_resync_period=3000000 [Capilite\cache_settings] # Параметры CryptRetriveObjectByURL max_elements=100 [Capilite\Stores] # Настройки отдельных хранилищ в формате битовой карты. # Отсутствие переменной или 0 - хранилище в Current User (CU) состоит из # физических хранилищ в CU и Local Machine (LM). # 1 - хранилище в CU состоит только из физического хранилища в LM. Этот флаг # имеет приоритет над флагом 2. # 2 - хранилище в CU состоит только из физического хранилища в CU. # 4 - при открытии физического хранилища с любыми флагами форсируется его # создание. # 8 - macOS: добавить корневые сертификаты из ОС к Capilite-хранилищу Root. [Capilite\Stores\My] settings=6 [Capilite\Stores\Request] settings=6 [Capilite\Stores\Cache] settings=6 [Capilite\Stores\Root] settings=4 [Capilite\Stores\Trust] settings=4 [Capilite\Stores\CA] settings=4 [Capilite\Stores\CryptoProTrustedStore] settings=4 [PKCS11] [PKCS11\slot0] ProvGOST = "" Firefox = "" reader = "" # настройки для PKCS11 # [PKCS11\slot0] # ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP" # ProvRSA = "Microsoft Strong Cryptographic Provider" # reader = hdimage [Parameters] # Параметры провайдера ############################################################################## # Управление работой списка считывателей # ##dynamic_readers=1 # dynamic_readers включает динамическое перестроение списка считывателей: # если во время работы приложения вставляется новое устройство, # то оно станет видимым без необходимости перезапуска приложения. # Динамическое перестроение может замедлять работу провайдера # при больших накладных расходах на взаимодействие с PC/SC. ##dynamic_rdr_refresh_ms=500 # dynamic_rdr_refresh_ms - интервал опроса устройств в миллисекундах ##dynamic_rdr_cache_size=10 # dynamic_rdr_cache_size - размер кэша для списка считывателей ############################################################################## # Настройки TLS # # kb2_tls_mode=0 # tls_client_fixed_dh_allowed=0 # tls_client_disable_legacy_cipher_suites=1 # tls_client_reject_legacy_cipher_suites=0 # tls_client_allow_cipher_suite_renegotiation=0 # tls_client_disable_revocation_check=0 # tls_client_disable_self_certificate_usage_validation=0 # tls_client_strict_certificate_verify=0 # tls_client_disable_extended_master_secret=0 # tls_client_send_root_certificate=0 # tls_client_send_multiple_chains=0 # tls_server_fixed_dh_allowed=0 # tls_server_disable_legacy_cipher_suites=0 # tls_server_allow_cipher_suite_renegotiation=0 # tls_server_disable_revocation_check=0 # tls_server_disable_self_certificate_usage_validation=0 # tls_server_use_renegotiation_info_extension=0 # tls_server_require_renegotiation_info_extension=0 # tls_max_sessions=64 # tls_split_by_messages=0 # tls_server_max_certificate_request_cas=100 # tls_server_disable_extended_master_secret=0 # tls_server_send_root_certificate=0 # tls_server_send_multiple_chains=1 tls_server_fixed_dh_allowed = 1 tls_server_use_renegotiation_info_extension = 1 ############################################################################## # Управление системой самотестирования, целостности и корректности # ##TesterPeriod=10 #TesterPeriod=10 ##TesterPeriod=100 TesterPeriod=600 # TesterPeriod - период работы тестера в секундах ##TesterTimeout=900 # TesterTimeout - таймаут работы тестера в секундах #DisableIntegrity=true #DisableIntegrity=true #DisableIntegrity=true # DisableIntegrity=true отключает динамическую систему контроля целостности ##handle_check=0 # handle_check=1 включает проверку принадлежности объектов криптопровайдеру # handle_check=2 включает проверку соответствия вызывающего пользователя владельцу объекта и криптопровайдера ##DisableLckRec = 0 # DisableLckRec, если не 0, то контроль блокировок не производится. ##EnableLckRecAbortThread = 0 ##EnableLckRecAbortThread = 1 для DEBUG # EnableLckRecAbortThread, если не 0, то при ошибке контроля блокировок # в соответствующем потоке вызывается сигнал ABRT, иначе приходит только # выдача в протокол. ##EnableLckRecCheckRecursion = 0 ##EnableLckRecCheckRecursion = 1 для DEBUG # EnableLckRecCheckRecursion, если 1, то рекурсивные и реверсивные # блокировки протоколируются, если 0, то запрещаются. ############################################################################## # Прочие настройки # ##AddEsAttribute=0 # AddEsAttribute управляет автоматическим добавлением атрибутов # SigningCertificateV2 и signingTimeв CMS-подпись. # См. https://cpdn.cryptopro.ru/content/csp40/html/cadesattrs.html ##CertStoreParamsSupported = 0 # CertStoreParamsSupported = 1 включает поддержку PP_USER_CERTSTORE. ##cryptsrv_fd_ulimit = 12000 # cryptsrv_fd_ulimit задаёт ограничение на число системных дескрипторов, # которые можно открыть в рамках cryptsrv. CurlUseSignals=false # CurlUseSignals=false отключает использование сигналов curl'ом ##disable_rlimit_core = 0 # disable_rlimit_core = 1 отключает запрет создания coredump-ов провайдером. DisableShortcuts=true # DisableShortcuts=true отключает сохранение ярлыков на контейнеры: # соответствия коротких имён контейнеров полным путям на носителе. ##MaxHandles=1048576 # MaxHandles - предельный размер таблицы хэндлов криптопровайдера. # Минимальное значение: 4096, максимальное значение: 67108864, по умолчанию: 1048576; # для мобильных платформ (iOS и Android) максимальное значение: 2097152, по умолчанию: 32768. # Значение должно быть степенью двойки. Таблица заполняется наполовину, # поэтому фактически можно будет создать объектов в половину указанного значения. max_rpc_session=2048 # max_rpc_session задаёт ограничение на число RPC-сессий. ##MMXFuncs = 0 # MMXFuncs - маская для выбора используемого набора процессорных инструкций. # См. CPC_FAST_CODE.UsedMask ##need_stat=0 ##need_audit=0 ##SuppressWarning = false # SuppressWarning = true отключает окно с предупреждением. ##EnableDTBSDisplay = 0 # EnableDTBSDisplay = 1 включает поддержку средств подтверждения подписи. ##ForceDTBSDisplay = 0 # ForceDTBSDisplay = 1 требует обязательного использования устройств # подтверждения подписи. ForceMicrosoftCRLMatching = 1 # ForceMicrosoftCRLMatching = 1 форсирует строгий алгоритм сопоставления CRL с # сертификатом издателя ############################################################################## # Ненастраиваемые параметры # PKZI_Build=12000 # PKZI_Build - номер сборки ПКЗИ, прошивается при создании дистрибутива. [Parameters\SrvThreadException] ##DisableCatchSignal=0 # DisableCatchSignal, если не ноль, то сервис (cryptsrv и т.п.) # завершается по первому сигналу. ##MaxException=77 # MaxException, максимальное количество исключений, если 0, то # максимальное количество исключений 2^31-1. Цикл тестирования provtest # использует 18 исключений, 77 - чтоб хватило на 4 цикла. ##ThrStackSize=sizeof(void*)*256*1024 # ThrStackSize - размер стека рабочего потока сервиса. ##SigStackSize=16384 # SigStackSize - размер стека обработчика сигналов. ##PrefetchThread=16 # PrefetchThread - кол-во предварительно запущенных потоков. ##PrefetchTimeout=10 # PrefetchTimeout - тайм-аут завершения рабочего потока. Если 0, то # потоки предварительно не запускаются. [Parameters\PasswordPolicies] # Регулярное выражение, матчит все видимые ascii-символы. AsciiPasswordPolicy = "[ [:punct:][:digit:]ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz]*" [parameters\"Crypto-Pro RSA Cryptographic Service Provider"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro ECDSA and AES KC1 CSP"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro ECDSA and AES CSP"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro Enhanced RSA and AES KC1 CSP"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro Enhanced RSA and AES CSP"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro Curve25519 and AES KC1 CSP"] KeyTimeValidityControlMode = 128 [parameters\"Crypto-Pro Curve25519 and AES CSP"] KeyTimeValidityControlMode = 128 [Provider] # Шаблоны провайдеров по типам носителей # Проверка алгебраических свойств открытого ключа CheckPublic = true [apppath] "libcapi10.so" = "/opt/cprocsp/lib/amd64/libcapi10.so" "librdrfat12.so" = "/opt/cprocsp/lib/amd64/librdrfat12.so" "librdrdsrf.so" = "/opt/cprocsp/lib/amd64/librdrdsrf.so" "libcpui.so" = "/opt/cprocsp/lib/amd64/libcpui.so" "libcurl.so" = "/opt/cprocsp/lib/amd64/libcpcurl.so" "mount_flash.sh" = "/opt/cprocsp/sbin/amd64/mount_flash.sh" "librdrrndmbio_tui.so" = "/opt/cprocsp/lib/amd64/librdrrndmbio_tui.so" "libcsp.so" = "/opt/cprocsp/lib/amd64/libcsp.so" "libssp.so" = "/opt/cprocsp/lib/amd64/libssp.so" "libcapi20.so" = "/opt/cprocsp/lib/amd64/libcapi20.so" "libcppkcs11.so" = "/opt/cprocsp/lib/amd64/libcppkcs11.so" "librdrrndmbio_gui_fgtk.so" = "/opt/cprocsp/lib/amd64/librdrrndmbio_gui_" \ "fgtk.so" "libxcpui.so" = "/opt/cprocsp/lib/amd64/libfgcpui.so" xcpui_app = "/opt/cprocsp/sbin/amd64/xcpui_app" [apppath\backup] "libcurl.so" = "/lib64/libcurl.so.4" # Пути к библиотекам [Services] # Службы и их параметры. # Параметр "StartService" указывает имя исполняемого файла службы # (в каталоге @ac_default_prefix@/sbin) # Остальные параметры зависят от службы # Секции сервисов: # HSMServer - Служба Феникс-М # HSMClient - Служба поддержки канала "К" (клиент Феникс-М) # CryptSrvKB2 - Служба провайдера KB2 # CryptSrvKC2 - Служба провайдера KC2 [Defaults\Provider] [Defaults\Provider\"Crypto-Pro GOST R 34.10-2001 KC1 CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 75 [Defaults\Provider\"Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 75 [Defaults\Provider\"Crypto-Pro GOST R 34.10-2012 KC1 CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 80 [Defaults\Provider\"Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 80 [Defaults\Provider\"Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 81 [Defaults\Provider\"Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 81 [Defaults\Provider\"Crypto-Pro RSA Cryptographic Service Provider"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 1 [Defaults\Provider\"Crypto-Pro ECDSA and AES KC1 CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 16 [Defaults\Provider\"Crypto-Pro ECDSA and AES CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 16 [Defaults\Provider\"Crypto-Pro Enhanced RSA and AES KC1 CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 24 [Defaults\Provider\"Crypto-Pro Enhanced RSA and AES CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 24 [Defaults\Provider\"Crypto-Pro Curve25519 and AES KC1 CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 32 [Defaults\Provider\"Crypto-Pro Curve25519 and AES CSP"] "Image Path" = "/opt/cprocsp/lib/amd64/libcsp.so" "Function Table Name" = "CPCSP_GetFunctionTable" Type = 32 # Провайдеры. Описание провайдера должно содержать поля: # "Image Path" = путь до разделяемой библиотеки провайдера # "Type"= тип провайдера (71, 75) [Defaults\"Provider Types"] [Defaults\"Provider Types"\"Type 075"] Name = "Crypto-Pro GOST R 34.10-2001 KC1 CSP" TypeName = "GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange" [Defaults\"Provider Types"\"Type 080"] Name = "Crypto-Pro GOST R 34.10-2012 KC1 CSP" TypeName = "GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Ex" \ "change" [Defaults\"Provider Types"\"Type 081"] Name = "Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP" TypeName = "GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Ex" \ "change" [Defaults\"Provider Types"\"Type 001"] Name = "Crypto-Pro RSA Cryptographic Service Provider" TypeName = "RSA Full (Signature and Key Exchange)" [Defaults\"Provider Types"\"Type 016"] Name = "Crypto-Pro ECDSA and AES KC1 CSP" TypeName = "ECDSA Full and AES" [Defaults\"Provider Types"\"Type 024"] Name = "Crypto-Pro Enhanced RSA and AES KC1 CSP" TypeName = "RSA Full and AES" [Defaults\"Provider Types"\"Type 032"] Name = "Crypto-Pro Curve25519 and AES KC1 CSP" TypeName = "Curve25519 Full and AES" # Типы провайдеров. Описание типа провайдера должно содержать поля: # "Name"= имя провайдера по умолчанию для данного типа ["dummy section comment for debug"] # Фильтр отладочных сообщений в формате "Имя модуля"=битовая маска # Флаги фильтрации (mofname=x): # Потери производительности [нет auth.* в syslog.conf] [есть auth.*] # N_DB_ERROR = 1 0% 0% # N_DB_TRACE = 2 77% 98% # N_DB_CALL = 4 70% 98% # N_DB_LOG = 8 1% 30% # N_DB_WARN = 32 N/A (not available) N/A (not available) # Флаги формата (modname_fmt=x): # module 1 # thread 2 # file_and_line 4 # function 8 # text 16 # hex 32 # error 64 [debug] csp=1 csp_fmt=57 capi10=1 capi10_fmt=57 cpext=1 cpext_fmt=57 capi20=1 capi20_fmt=57 cspr=1 cspr_fmt=57 cryptsrv=1 cryptsrv_fmt=57 kchansrv=1 kchansrv_fmt=57 fenixmsrv=1 fenixmsrv_fmt=57 ssp=1 ssp_fmt=25 cppkcs11=1 cppkcs11_fmt=57 ocsp=1 ocsp_fmt=57 tsp=1 tsp_fmt=57 cades=1 cades_fmt=57 pkivalidator=1 pkivalidator_fmt=57 pcsc=0 pcsc_fmt=57 [OID] # Идентификаторы алгоритмов. Описание идентификатора должно содержать поля: # "Name"= имя идентификатора # "Algid"= номер идентификатора (ALG_ID) (опционально) # "ExtraInfo"= бинарный блок доп. информации (опционально) # "Flags"= отсутствует или 0 - запись регистрируется после стандартных, # 1 - перед ними (опционально)