Совсем недавно в общественный доступ вышла сборка КриптоПро CSP 5.0.12600 (предварительная, несертифицированная версия от 02.09.2022г.). Визуальных изменений в новой версии 5.0.12600 по сравнению с 5.0.12500 нет. Как обычно, все основные улучшения и исправления ошибок криптопровайдера «под капотом» и скрыты от глаз пользователя. Список изменений и известных проблем, мы опубликуем ниже. Независимо от того, сталкивались вы с ошибками в работе КриптоПро или нет, мы настоятельно рекомендуем обновиться всем пользователям КриптоПро 5 версии. Пользователям версии КриптоПро 4 версии может потребоваться приобретение лицензии по истечении пробного периода в 90 дней после обновления.
Наша инструкция поможет Вам обновить КриптоПро CSP до версии 5.0.12600.
Если у вас не получается обновить КриптоПро CSP или вы по-прежнему сталкиваетесь с ошибками при работе с ЭЦП, можете обратиться к нашим специалистам. Мы обновим КриптоПро, устраним возникшие ошибки и настроим ваш компьютер.
Изменения в версии 5.0.12600 «Quinotaur» (от 02.09.2022г.)
- bio: Увеличено количество собираемых событий в десктопном БиоДСЧ (CPCSP-12640).
- capilite: Исправлен ряд ошибок CryptStringToBinary при обработке Base64 (CPCSP-12734).
- capilite: В CryptStringToBinary добавлена поддержка CRYPT_STRING_STRICT (CPCSP-12734).
- capilite: Реализованы CryptMsgVerifyCountersignatureEncoded, CryptMsgVerifyCountersignatureEncodedEx, CryptMsgCountersign, CryptMsgCountersignEncoded (CPCSP-12792).
- capilite: Исправлены редкие крэши при работе с CMS (CPCSP-12792).
- capilite: Исправлен ряд ошибок при передаче hCryptProv в CertOpenStore (CPCSP-12888).
- capilite: Поддержка CMSG_CERT_COUNT_PARAM, CMSG_CERT_PARAM, CMSG_CRL_COUNT_PARAM, CMSG_CRL_PARAM для enveloped-сообщений (CPCSP-12931).
- capilite: Исправлена ошибка в CertSetCertificateContextProperty(CERT_KEY_PROV_INFO_PROP_ID) (CPCSP-12955).
- capilite: В CMS-сообщения можно добавлять сертификаты и CRL, в т.ч. одинаковые (CPCSP-12955).
- capilite: Исправлены редкие утечки в CertDeleteCertificateFromStore, CertDeleteCRLFromStore (CPCSP-12955).
- capilite: Поддержан CMSG_UNPROTECTED_ATTR_PARAM для enveloped CMS-сообщений (CPCSP-12965).
- capilite: CertVerifyCRLRevocation добавлена в минипровайдер (CPCSP-12946).
- capilite: CryptRetrieveObjectByUrl заменяет пробелы на %20 перед запросом (CPCSP-13141).
- capilite: UNIX: CertGetCertificateChain() повышена производительность (CPCSP-12842).
- capilite: UNIX: CryptDecodeObject/CryptEncodeObject(X509_KEY_ATTRIBUTES) (CPCSP-12875).
- capilite: Исправлена ошибка при повторном импорте того же PFX без лицензии (CPCSP-12027).
- capilite: Расширена поддержка флага CRYPT_STRING_STRICT (CPCSP-13029).
- capilite: Добавлена поддержка флага CRYPT_STRING_BASE64URI для функций CryptBinaryToString и CryptStringToBinary (CPCSP-13074).
- certmgr: При установке сертификата в хранилище можно также положить его в контейнер по ключу -to-container (CPCSP-12989).
- certmgr: Добавлено отображение authority key identifier и фильтрация по нему (CPCSP-13032).
- certmgr: При неуспехе проверки цепочки выводится детальная информация по статусам (CPCSP-13071).
- certmgr: При импорте pfx можно задавать carrier path и один pin все на создаваемые контейнеры (CPCSP-9359).
- certmgr: Исправлен man (CPCSP-6048).
- certmgr: Добавлен вывод информации о PKUP из сертификата при verbose (CPCSP-13163).
- certmgr: -to-container сообщает об ошибке при установке сертификата в контейнер (CPCSP-13201).
- cloud: Исправлена утечка памяти при перечислении сертификатов DSS через csptest (CPCSP-13101).
- cng: Исправлена ошибка при CMS-зашифровании с заданным HCRYPTPROV_LEGACY (CPCSP-12318).
- cng: При CMS-зашифровании больше не появляется окно БиоДСЧ (CPCSP-12318).
- cng: Исправлены импорт и создание симметричного ключа с параметрами, отличными от параметров по умолчанию (CPCSP-7722).
- core: Основной Base64-декодировщик полностью переработан (CPCSP-12734).
- core: Исправлены редкие проблемы при работе с данными больше 2 ГБ (CPHSM-898).
- core: Исправлены ошибки при закодировании данных в Base64 (CPCSP-13030).
- core: При установке нового сертификата меньшего размера в pkcs#11-контейнер старый всегда удаляется (CPCSP-13072).
- core: Существенно сокращено число чтений файла global.ini на Unix (CPCSP-12997).
- core: Исправлены ошибки журналирования модуля поддержки virt (CPCSP-13001).
- core: Добавлена поддержка KP_CERTIFICATE для закрытых ключей, импортированных в VERIFYCONTEXT (CPCSP-13088).
- core: Исправлено допустимое число итераций в параметрах pbe и pbes2 (PBKDF2) (CPCSP-12927).
- core: Оптимизация ГОСТ Р 34.12-2015 М (CPCSP-12964, CPCSP-12681, CPCSP-12246, CPCSP-13014).
- core: Исправлена ошибка при импорте ключа ГОСТ Р 34.12-2015 K с флагом CP_CRYPT_NOKEYWLOCK (CPCSP-13052).
- core: Сделана нативная сборка под Apple silicon, в частности под Apple M1 (CPCSP-11996, CPCSP-13135, CPCSP-13157, CPCSP-13276, CPCSP-13296).
- core: Создан дистрибутив для Linux на архитектуре RISC-V 64 bit — riscv64 (CPCSP-13011).
- core: Устранена редкая ошибка инициализации, которая могла проявляться на Linux armhf, aarch64, mips32, riscv64 и Android (CPCSP-13090).
- core: CMS-расшифрование с OMAC могло работать некорректно для некоторых длин данных (CPCSP-13216, CPCSP-13220).
- cpanel: В комбобоксе настроек алгоритмов по умолчанию выбран криптопровайдер 80 типа (ГОСТ Р 34.10-2012) (CPCSP-13070).
- cpanel: Добавлен запуск под другим пользователем при отключенном UAC. (CPCSP-13122).
- cptools: На вкладке «Настройки» убрана возможность изменения таймаута DSS (CPCSP-12876).
- cptools: Исправлена ситуация, когда приложение могло не открываться после аварийного завершения (CPCSP-12972).
- cptools: Теперь шифрование использует поточные функции, снято ограничение на размер файла (CPCSP-13056).
- cptools: Добавлена возможность зашифровывать для нескольких адресатов (CPCSP-13060).
- cptools: Исправлена проблема с получением информации об обновлениях КриптоПро CSP на macOS High Sierra 10.13 и Red Hat Enterprise Linux (CPCSP-13141).
- cptools: Исправлены мелкие ошибки с получением информации об обновлениях на Linux (CPCSP-12918).
- cptools: В редких случаях на Unix при проверке подписи внутри PKCS#7 могли не найтись сертификаты подписантов (CPCSP-13226).
- cptools: Улучшено отображение неуспешной проверки подписи (CPCSP-13276).
- cryptcp: Добавлена поддержка поиска сертификата по SubjectKeyIdentifier в подписи PKCS#7 (CPCSP-13144).
- cryptcp: Исправлен вывод процентов при расшифровывании файла (CPCSP-13150).
- cryptcp: Исправлена работа с файлами размером более 4Гб (CPCSP-13150).
- csptest: Флаг -silent отключает диалог выбора сертификата (CPCSP-13075).
- csptest: Добавлена диагностика FIPSAlgorithmPolicy и политик SSL в csptest -tlsc -v (CPCSP-13035).
- csptest: В minica добавлена поддержка не-ASCII в dn на unix (CPCSP-13158).
- detours: Повышена надежность подтверждения подписи при использовании иностранных алгоритмов (CPCSP-13130).
- detours: Исправлен крэш при повторном CMS-шифровании с ГОСТ Р 34-12.2015 OMAC (CPCSP-12970).
- gui: Исправлен крэш в диалоге выбора носителя на Эльбрусе и других Linux платформах (CPCSP-12958).
- gui: На Авроре в приложении и окнах CSP поддержана горизонтальная ориентация (CPCSP-13002).
- gui: Диалоговые окна CSP на Авроре теперь показываются как системные, то есть поверх других приложений без переключений и миганий (CPCSP-13031).
- gui: На Авроре приложение и сервис для показа диалоговых окон теперь запускаются как единый процесс в одной песочнице в соответствии с требованиями ОС. В связи с этим для корректной работы настоятельно не рекомендуется закрывать приложение CSP, пока в браузере открыты страницы, использующие плагин (CPCSP-13058).
- gui: На Авроре доработан внешний вид БиоДСЧ для соответствия оформлению ОС (CPCSP-13091).
- gui: Исправлена редкая ситуация, когда ОС Аврора выдавала сообщение о том, что приложение CSP не отвечает (CPCSP-13041).
- gui: На ОС Аврора реализован диалог выбора ключевого носителя (CPCSP-13042).
- gui: Улучшено поведение диалогов ввода пароля на macOS (CPCSP-13237).
- gui: Добавлено сообщение про истечение лицензии сегодня и завтра (CPCSP-7657).
- installer: Восстанавливаем дефолтные провайдеры 01, 16 и 24 типов (CPCSP-12591).
- installer: Создан дистрибутив, содержащий плагин, CSP и библиотеки pkcs#11 (CPCSP-12712).
- installer: Поддержка обновления в случае исходной установки из .msi с удивительным именем (CPCSP-13173).
- internal: (CPCSP-10735, CPCSP-13044, CPCSP-13147, CPCSP-12730, CPCSP-12801, CPCSP-12890, CPCSP-12984, CPCSP-12967).
- internal: (CPCSP-11657, CPCSP-12429, CPCSP-12866, CPCSP-12933, CPCSP-13019, CPCSP-13103, CPCSP-13106, CPCSP-12929).
- internal: (CPCSP-12892, CPCSP-13022, CPCSP-13023, CPCSP-13039, CPCSP-13049, CPCSP-13125, CPCSP-13141, CPCSP-13155).
- internal: (CPCSP-12747, CPCSP-12930, CPCSP-12986, CPCSP-13114, CPCSP-12732, CPCSP-12983, CPCSP-12654, CPCSP-12985).
- internal: (CPCSP-12937, CPCSP-12881, CPCSP-13138, CPCSP-12723, CPCSP-12982, CPCSP-12994, CPCSP-12607, CPCSP-12943).
- internal: (CPCSP-12849, CPCSP-10629, CPCSP-13204, CPCSP-9415).
- ios: Исправлена инструкция по сборке iOS-приложений с поддержкой Рутокен NFC-карт (CPCSP-12993).
- ios: Добавлена возможность статического включения фреймворка в сторонний динамический фреймворк (CPCSP-13181).
- pkg: В пакете ru.cryptopro.csp для устройств на Авроре теперь указывается архитектура вместо noarch (CPCSP-12848).
- pkg: Установка cptools теперь возможна начиная с Mac OS X 10.10.5 (CPCSP-13139).
- pkg: Устранена ошибка при установке на Linux arm64 cades-пакетов из объединённого дистрибутива (CPCSP-12822).
- pkg: При установке на Linux в install.sh по возможности используем yum или apt-get для разрешения зависимостей из штатного репозитория (CPCSP-13083).
- pkg: Добавлена явная зависимость пакетов от GTK 2 (CPCSP-13098).
- pkg: Небольшие улучшения в псевдографическом установщике на Linux — install_gui.sh (CPCSP-13089).
- pkg: В install_gui.sh устранена проблема с инициализацией, когда root не в sudoers (CPCSP-13109).
- pkg: Из установщика на Авроре удалены устаревшие библиотеки и приложения (CPCSP-13236).
- pkg: Добавили readme.txt в установщик на Linux (CPCSP-13255).
- reader: Добавлена поддержка работы с локальными смарт-картами по RDP (CPCSP-12612).
- reader: Не включаем в перечисление pkcs#11-носители без поддержки механизмов подписи (CPCSP-13010).
- reader: Повышена стабильность «простого» FAT12 на Unix (CPCSP-13051).
- reader: При отсутствии дискеты в дисководе при перечислении считывателей возвращаем NO_MEDIA вместо NO_UNIQUE (CPCSP-13102).
- reader: Обновлены модули поддержки ESmart (CPCSP-13115).
- reader: Работа с неизвлекаемыми ключами ESmart по умолчанию идет через PKCS#11 (CPCSP-12725).
- reader: Исправлена загрузка PKCS#11-библиотеки Рутокен на macOS (CPCSP-12952).
- reader: Добавлен считыватель DIR — «папка на диске с уникальным номером» (CPCSP-13050).
- reader: Исправлено подключение USB-флеш на macOS 13.0 Ventura (CPCSP-13293).
- reader: Добавлена поддержка работы с локальными смарт-картами по RDP (CPCSP-12612).
- stunnel: stunnel-msspi обновлён до 5.65 (CPCSP-13094).
- tests: (CPCSP-12168, CPCSP-12945, CPCSP-13059, CPCSP-4533, CPCSP-8276, CPCSP-9226).
- tls: Исправлена проблема с lsass в TS Gateway (CPCSP-12954).
- tls: Сравнение адреса сервера с адресом из TLS-сертификата происходит регистронезависимо (CPCSP-12963).
- tls: Исправлены внутренние ошибки TLS (CPCSP-7036, CPCSP-10251, CPCSP-12623, CPCSP-13081, CPCSP-13092).
- tls: Поддержан механизм обновления рабочих ключей TLS 1.3 (CPCSP-11898).
- tls: Включена поддержка клиентов TLS 1.3 по умолчанию (CPCSP-13132).
- tls: Проверка сроков действия закрытого ключа в SSP\AP не требует pkivalidator.dll (CPCSP-13190).
Известные ошибки
- license: Начиная с КриптоПро CSP 5.0.11635 Golem требуются лицении от КриптоПро CSP 5.0 (начинаются на 50): от КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. Это поведение не будет исправлено (CPCSP-10478).
- license: Начиная с КриптоПро CSP 5.0.11944 Jackalope для TLS-сервера на *nix требуются особенные лицензии.
- reader: На Apple M1+ могут не работать токены (Rutoken, Jacarta, Esmart), подключаемые к КриптоПро CSP через PKCS#11, так как в библиотеках от их производителей может отсуствовать архитектура arm64. Можно обращаться за новыми библиотеками к производителям токенов, либо запускать приложения из консоли с префиксом «arch -x86_64 » (CPCSP-13202).