Что это такое?

Для применения электронной подписи необходима линейка криптографических утилит, так называемый, криптопровайдер, без которого она просто не будет работать. Большинство пользователей предпочитает быстрые, удобные и недорогие решения, поэтому наибольшую популярность получила программа КриптоПро CSP, содержащая несколько продуктов с разными вариантами хранения и использования ключей. В этот дистрибутив входят взаимосвязанные компоненты, позволяющие легко и просто переключаться с одного криптографического алгоритма на другой.

Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.

В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.

• Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
• Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
• Обзор возможностей СКЗИ КриптоПро CSP 5.0;
• Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.

Участие в мероприятии бесплатное, необходима регистрация.

Для автоматизированных информационных систем, использующих электронную цифровую подпись (электронную подпись), порой бывает необходимо использовать сервисы, обеспечивающие получение наиболее актуальной информации о статусе сертификата открытого ключа и информации о времени подписания электронного документа электронной цифровой подписью (электронной подписью).

Именно для этих целей и предназначен программно-аппаратный комплекс (ПАК) «Службы УЦ», осуществляющий по запросам пользователей предоставление информации о статусе сертификатов ключей подписей, посредством реализации протокола Online Certificate Status Protocol (OCSP) и предоставление меток времени, посредством реализации протокола Time-Stamp Protocol (TSP).

В состав ПАК «Службы УЦ» входят следующие компоненты:

• ПАК «КриптоПро OCSP»;
• ПАК «КриптоПро TSP»;
• Служба проверки сертификатов и электронной подписи «КриптоПро SVS»;
• Модуль проверки статуса сертификата «КриптоПро Revocation Provider»;
• Комплект средств разработки, включающий КриптоПро TSP SDK, КриптоПро OCSP SDK, КриптоПро ЭЦП SDK.

ПАК «КриптоПро OCSP» и ПАК «КриптоПро TSP», реализующие протоколы OCSP и TSP соответственно, являются первыми в Российской Федерации специализированными программно-аппаратными комплексами, успешно прошедшими сертификационные испытания и получившими сертификат соответствия ФСБ России для такого рода продуктов.

Сертификаты соответствия ФСБ России на ПАК «Службы УЦ»

Загрузить КриптоПро OCSP

Загрузить КриптоПро TSP

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище “Промежуточные центры сертификации”.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2. 0 и/или Криптопро OCSP Client 2.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2. 0, КриптоПро OCSP Client 2

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку “Протестировать”, выберите контейнер с закрытым ключом кнопкой “Обзор” или “По сертификату” и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3. 9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

В процессе управления ключами УЦ имеет возможность отзыва выпущенных им сертификатов, что необходимо для досрочного прекращения их действия, например, в случае компрометации ключа. Процедура проверки ЭЦП предусматривает помимо подтверждения ее математической корректности еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке.

Таким образом, проверка статусов сертификатов важна для приложений, использующих ИОК, поскольку, например, принятие к обработке подписанного ЭЦП документа, соответствующий сертификат ключа подписи которого аннулирован, может быть впоследствии оспорено и привести к финансовым потерям.

В ОС Microsoft Windows встроена поддержка технологии ИОК. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.

По умолчанию CryptoAPI осуществляет проверку статусов сертификатов с использованием СОС (CRL). СОС представляет собой список аннулированных или приостановленных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени.

Архитектура CryptoAPI предоставляет возможность подключения внешнего модуля проверки статуса сертификата – Revocation Provider.

КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в ОС Windows.

КриптоПро Revocation Provider, будучи установлен в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причём менять что-либо в самих приложениях не требуется. Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом. Проверка сертификата в реальном времени по протоколу OCSP обеспечивает большую безопасность по сравнению с СОС.

Схема встраивания Revocation Provider в ОС представлена на рисунке.

Чтобы обеспечить использование протокола OCSP для проверки статусов сертификатов, используемых в конкретной информационной системе, необходимо, чтобы в данной системе работал сервер OCSP.

В качестве сервера OCSP для КриптоПро Revocation Provider можно использовать КриптоПро OCSP Server.

КриптоПро Revocation Provider функционирует в операционных системах Microsoft Windows, как англоязычных, так и локализованных.

КриптоПро Revocation Provider:

• Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы.
• Не требует модификации приложений для использования своих возможностей.
• Уменьшает риск стать жертвой мошенничества или понести ответственность.
• Совместим с серверными приложениями.
• Автоматически проверяет статусы сертификатов OCSP-серверов.
• Поддерживает расширение . Если такое расширение присутствует в сертификате сервера, то статус этого сертификата не проверяется.
• Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим Центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
• Настраивается через групповые политики.
• Даёт возможность настройки доверия к конкретным OCSP-серверам.
• При невозможности проверки сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
• Может осуществлять соединения по защищённому протоколу TLS (SSL).
• Устанавливается с помощью Windows Installer.

Как вызывается Revocation Provider

Будучи установленным в системе, Revocation Provider вызывается для проверки сертификата(ов) при каждом вызове функции CryptoAPI CertVerifyRevocation. Фактически, все параметры этой функции передаются без изменений в Revocation Provider. Помимо непосредственного вызова, эта функция, а значит и Revocation Provider, вызывается неявно внутри функций CertGetCertificateChain и WinVerifyTrust.

Как работает Revocation Provider

Когда приложение, работающее с CryptoAPI, вызывает функцию проверки статуса сертификата, в Revocation Provider передаётся этот сертификат вместе с рядом дополнительных параметров.

Revocation Provider, получив на проверку сертификат, создаёт OCSP-запрос на данный сертификат и обращается к одной или нескольким службам OCSP с этим запросом. При получении OCSP-ответа, осуществляет его проверку. Если ответ проходит проверку и содержит статус сертификата good или revoked, в отличие от unknown (см. RFC2560), то на этом проверка заканчивается и полученный статус возвращается приложению. Если же ответ содержит статус unknown или не проходит проверку, то происходит обращение по следующему адресу.

Очерёдность обращения к службам OCSP определяется следующим образом:

• По расширению AIA (AuthorityInformationAccess) в сертификате. Среди различных точек AIA выбирает те, к которым указан метод доступа по протоколу OCSP, обращения к ним происходят по очереди их расположения в сертификате.
• Если ни по одному из адресов OCSP-серверов, указанных в расширении AIA сертификата, не удаётся получить удовлетворяющий этим условиям ответ, или если таких адресов в сертификате не указано, то Revocation Provider пробует обратиться за статусом к OCSP-серверу, адрес которого задан групповой политикой, если она определена.

Если на предыдущих шагах не удаётся получить удовлетворяющем описанным условиям ответ, то сертификат передаётся на проверку в Microsoft Revocation Provider, входящий в состав ОС Windows. Microsoft Revocation Provider осуществляет проверку данного сертификата с использованием СОС. Полученный статус сертификата возвращается приложению.

КриптоПро Revocation Provider использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.

Почти все, что вы хотели знать о КриптоПро CSP

“Что мы знаем о лисе? Ничего. И то не все. Заходер

– 90 дней;

– доступна только для тех, кто впервые устанавливает ПО на компьютер;

Если ранее на вашем компьютере уже стояло ПО Крипто Про, данная версия активирована не будет.

А всем, кто хотел бы узнать, что такое КриптоПро CSP, для чего нужно и как применяется, пригодится наша статья.

Времена, когда любой значимый документ нужно было напечатать, собственноручно подписать, поставить печать и отправить обычной почтой, а то и принести лично, уходят в прошлое. Практически любой документ теперь можно подписать электронной подписью, которая надёжно удостоверяет личность отправителя, а зашифрует документ как раз загадочный КриптоПро.

Купить ЭЦП – этого не достаточно?

Итак, вы купили (или собрались покупать) ЭЦП. И уже добрались до того момента, когда в процессе покупки всплыл термин «криптопровайдер» и название КриптоПро.

Криптопровайдером называется независимый модуль в операционной системе вашего компьютера, который позволяет осуществлять криптографические (то есть защищающие информацию от прочтения и искажения посторонним) операции, такие как, создание электронной подписи, шифрование и защита от навязывания ложных данных.

Большинство известных программ для подписи и шифрования работают в связке с криптопровайдером и не могут ничего подписать при его отсутствии. А КриптоПро (а точнее, КриптоПро CSP – cryptography service provider) – это и есть криптопровайдер.

Для чего нужен КриптоПро CSP?

Криптопровайдер КриптоПро CSP устанавливается на ПК пользователя локально. Он подписывает документы, обращаясь к сертификату электронной подписи в реестре компьютера, на eToken или RuToken («флешка» для хранения ЭЦП), смарт-картах и других носителях. Ведь электронный носитель, будь то токен, дискета или флешка – не является полноценной ЭЦП. Без закрытого ключа внутри и настройки ключевой связки – это просто бесполезные аксессуары.

Главная задача КриптоПро – подтвердить правильность электронной подписи владельца, зашифровать документ и отправить получателю через интернет, подтвердив юридическую достоверность и целостность изначального документа.

Если проводить аналогии с чем-то распространенным в быту, то криптопровайдер можно сравнить с карандашом. Сам по себе карандаш ничего подписать не может, однако поставить свою подпись без него невозможно. Точно также и криптопровайдер – он обеспечивает подписание документа, без него, в большинстве случаев, ничего подписать или зашифровать не получится. Однако сам по себе криптопровайдер ничего не делает. Для письма карандашом нужна человеческая рука, а для криптопровайдера – взаимодействующие с ним программы. И уже пользователь решает, какой программный продукт больше подходит для его целей.

Использование КриптоПро CSP

Использование КриптоПро CSP в современном электронном мире растет ежемесячно, ведь все больше областей нашей жизни цифровизируется.

При этом возникают все новые области, в которых без электронной подписи и вовсе нельзя обойтись. Например, ЭЦП для торгов на коммерческих или государственных электронных площадках открывает владельцу двери в мир коммерческих и федеральных закупок: вам становится доступным участие в торгах и аукционах на электронных торговых площадках. С помощью ЭЦП для торгов можно участвовать в тендерах для строительства, ремонта и реконструкции, в аукционах по банковским, финансовым, страховым услугам и подрядам, в торгах по банкротству и многим другим областям.

Взаимодействуете с Госуслугами или отправляете декларацию в Росалкогольрегулирование как владелец придомового магазина или сети супермаркетов – вам тоже нужно использование КриптоПро CSP.

Сформировать онлайн электронную декларацию и отправить в региональную таможню? Да, для этого вам тоже потребуется воспользоваться ПО КриптоПро CSP.

Уловили суть? Фактически все государственные учреждения и порталы используют КриптоПро CSP в качестве криптопровайдера для сохранения целостности документа и его идентификации между пользователем и получателем. Будьте только внимательны и получайте Квалифицированную усиленную электронную подпись вместо обычной или неквалифицированной, чтобы избежать проблем с взаимодействием ваших документов и официальных порталов, выбирая сертифицированные Удостоверяющие центры.

Какой вариант КриптоПро CSP мне нужен?

Рассмотрим наиболее распространенные варианты связки КриптоПро CSP-ЭЦП, которые мы предлагаем нашим клиентам.

Вы всего лишь просто хотели купить электронную подпись. Это, разумеется, возможно. Но без КриптоПро CSP, вы не сможете ею пользоваться.

У вас не куплена лицензия КриптоПро? Вы, конечно, можете использовать 90 дней бесплатного пробного периода, но лучше сразу купить ключ КриптоПро.

Вам нужна ровно одна ЭЦП для использования на 1 компьютере. В этом случае можно купить 1 электронную подпись и к ней подшить КриптоПро CSP – на 1 компьютер, на 1 год и на 1 ЭЦП.

Также в этом случае следует иметь ввиду, что:а) Пользователь сможет пользоваться ЭЦП только с одного рабочего места, т. лицензионный ключ привязан к конкретному компьютеру. б) Если вы будете докупать еще электронные подписи для разных нужд, вам нужно будет докупать и КриптоПро CSP для них.

Вам требуется использовать больше одной ЭЦП. В этом случае можно купить КриптоПро CSP на неограниченное количество подписей на 1 компьютер, на 1 год. (Лицензионный ключ так же будет привязан к конкретному компьютеру).

Вы все время пользуетесь разными ЭЦП для разных задач. В этом случае вам имеет смысл купить бессрочную версию КриптоПро CSP. Она позволит пользоваться любым количеством подписей на 1 компьютере неограниченное время.

Всегда ли нужно устанавливать криптопровайдер?

Для пользователей, работающих в облачных сервисах, бывает необходимо поставить электронную подпись непосредственно на веб-сайте. В этом случае достаточно установить бесплатный плагин для интернет-браузеров. Данный программный модуль отвечает за создание и проверку электронной подписи на веб-страницах с использованием криптопровайдера КриптоПро CSP. При помощи КриптоПро ЭЦП Browser plug-in пользователь может использовать свою электронную подпись на клиентских порталах, электронных офисах, в системах интернет-банкинга.

Это все про КриптоПро CSP?

Нет, конечно не все. Мир программных решений КриптоПро в полной мере отражает многообразие запросов реальной жизни и бизнеса. Наши менеджеры подберут вам необходимый вариант для использования в конкретно вашей ситуации.

В состав ПАК “КриптоПро OCSP” входят следующие компоненты:

• КриптоПро OCSP Server;
• КриптоПро OCSP Client;
• КриптоПро Revocation Provider.

Структурная схема компонент ПАК “КриптоПро OCSP” отражена на рисунке ниже.

КриптоПро OCSP Server

• Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL);
• Поддерживает развёртывание нескольких экземпляров службы на одном компьютере;
• Может получать информацию о статусах сертификатов из следующих источников:
  папка с одним или несколькими списками отозванных сертификатов (CRL);база данных Центра Регистрации ПАК “КриптоПро УЦ”;база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
• папка с одним или несколькими списками отозванных сертификатов (CRL);
• база данных Центра Регистрации ПАК “КриптоПро УЦ”;
• база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
• Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов;
• Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ “КриптоПро CSP”, другой – с использованием криптопровайдера “Microsoft Base CSP”.
• Устанавливается с помощью Windows Installer.

При совместной работе ПАК “КриптоПро УЦ” и ПАК “КриптоПро OCSP Server” для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК “КриптоПро УЦ”. Подробнее о данном режиме можно узнать здесь.

КриптоПро OCSP Client

“КриптоПро OCSP Client” представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. “КриптоПро OCSP Client” не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции “КриптоПро OCSP Client” в установочный пакет другого продукта включены в комплект средств разработки “КриптоПро PKI SDK” вместе с соответствующим руководством разработчика.

В состав ПАК “КриптоПро OCSP” входит приложение КриптоПро OCSPUTIL, предназначенное для работы с протоколом OCSP в командной строке. Данное приложение позволяет создавать OCSP-запросы, получать OCSP-ответы, сохранять запросы и ответы в файлы, обрабатывать их. КриптоПро OCSPUTIL для выполнения своих функций использует “КриптоПро OCSP Client”, и содержит эту программную библиотеку в своём установочном пакете.

КриптоПро Revocation Provider

В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.

По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.

Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт “КриптоПро Revocation Provider”, который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows. При этом менять что-либо в самих приложениях не требуется. “КриптоПро Revocation Provider” вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.

Схема встраивания “КриптоПро Revocation Provider” в операционные системы семейства Microsoft Windows представлена на рисунке:

Основные характеристики “КриптоПро Revocation Provider”:

• Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.
• Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.
• Автоматически проверяет статусы сертификатов OCSP-серверов.
• Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
• Настраивается через групповые политики.
• Даёт возможность настройки доверия к конкретным OCSP-серверам.
• При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
• Может осуществлять соединения по защищённому протоколу TLS (SSL).
• Устанавливается с помощью Windows Installer.

Загрузить “КриптоПро Revocation Provider”.

Операционная платформа компонент ПАК “КриптоПро OCSP”

КриптоПро применяется для генерации ЭЦП (простой, неквалифицированной или квалифицированной), работы с сертификатами, организации структуры PKI и т. Для пользователя это означает, что программа позволяет в полной мере использовать электронную подпись для подтверждения различных документов при:

• взаимодействии с различными информационными сайтами и торговыми площадками;
• представлении электронной отчетности;
• обмене данными с клиент-банками;
• документообороте по сети.

Кроме того, криптопровайдер использует инфраструктуру управления открытыми ключами (PKI). С ее помощью пользователи ОС Microsoft Windows могут с помощью стандартного ПО операционной системы управлять криптографической защитой в приложениях, поддерживающих PKI.

КриптоПро соответствует всем принятым российским стандартам и находится в списке средств криптографии, утвержденном ФСБ РФ.

Как установить и пользоваться КриптоПро

Установка программы не представляет особой сложности — она поддерживает все основные операционные системы и браузеры, поэтому использование дополнительных приложений не требуется. Инсталляция выполняется под правами администратора. Дополнительные настройки устанавливаются в зависимости от особенностей использования ЭЦП согласно руководству разработчика. По завершению процесса компьютер необходимо перезагрузить.

Разработчик предоставляет возможность использования демо-программы, действующей в течение 90 дней с момента установки. Для дальнейшей работы с ЭЦП потребуется приобрести платную версию — с ценой лицензии Крипто Про можно ознакомиться на сайте разработчика.

Установка ЭП в КриптоПро

Для использования электронной подписи помимо криптопровайдера необходимы корневой сертификат УЦ и личный сертификат ЭП, выдающиеся удостоверяющим центром на каком-либо носителе. Последний инсталлируется средствами КриптоПро. Но прежде необходимо установить драйвера USB-токена(предоставляются УЦ или скачиваются с официальных сайтов), чтобы компьютер распознал ваш ключ.

Как установить электронную подпись в Крипто Про (личный сертификат):

• Подключите к ПК носитель ЭП и запустите через «Пуск» КриптоПро CSP.
• Выберите вкладку “Сервис”.
• Нажмите кнопку “Просмотреть сертификаты в контейнере”.
• В “Обзор”, выберите требуемую электронную подпись (если их несколько, ознакомьтесь с информацией о владельце сертификата или сориентируйтесь по дате выпуска ЭП).
• Нажмите “ОК”, “Далее” и “Установить”.

При установке ЭЦА на устаревших операционных системах операция выполняется через кнопку “Установить личный сертификат» в вкладке «Сервис» программы. Пути к ключу и хранилищу указываются вручную через «Обзор».

Корневой сертификат выдается УЦ или скачивается на официальном сайте удостоверяющего центра. Для установки его достаточно загрузить на компьютер, открыть файл и нажать кнопку «Установить сертификат». После чего следовать инструкциям мастера импорта. После завершения всех операций рекомендуется проверить корректность установки — в Крипто Про в окне просмотра сертификата ЭП при нажатии кнопки «Свойства» во вкладке «Путь сертификации» должны присутствовать все корневые сертификаты УЦ. Это обязательное условие для нормального использования электронной подписи.

Без корневого сертификата ключ ЭЦП не будет признан действительным, так как проверить его подлинность невозможно. Поэтому программа будет выдавать ошибку и не даст подписать документ.

Как получить электронную подпись

Можно использовать простую электронную подпись и без информационной системы. Для этого надо подписать с контрагентом соглашение об обмене документами по электронной почте с использованием такой подписи. В качестве подписи используется адрес электронной почты и пароль к определенному почтовому ящику.

Устанавливаем КриптоПро

Из описания приобретенной программы делаем вывод о том, с какими операционными системами она совместима. Удостоверимся, что у нужного функционала есть сертификат.

Во вкладке «Продукты» выберем раздел «Сертификаты».

Ознакомимся с описанием.

Когда появятся предпочтения по выбору определенной версии, получите представление о возможных затратах. Стоимость и набор продуктов различается в зависимости от того, кто приобретает программу:

• юридические лица;
• ИП;
• физические лица;
• иностранные физические лица.

Опубликован прайс-лист услуг получения лицензий и сертификатов компании по состоянию на июнь 2022 года. Например, для юридических лиц сертификат на годовую техническую поддержку на рабочем месте стоит 850 рублей, а сертификат на установку и (или) обновление на рабочем месте или сервере — 5500 руб.

Подробнее со всеми прайс-листами можно ознакомиться в разделе “Приобретение” на сайте КриптоПро.

Поддержка КриптоПро различными платформамиПравить

При установке программы или сертификатов ЭЦП возможны сбои и появление различных ошибок, связанных с некорректным выполнением операций. В этом случае рекомендуется обращаться в УЦ, где была изготовлена электронная подпись.

В компании «Ленпромаудит» предусмотрена всесторонняя помощь и техническая поддержка для ЭЦП, выпущенных нашим удостоверяющим центром. Обращайтесь к нам, и вас не будет беспокоить вопрос, как добавить подпись в Крипто Про, выбрать драйвер USB-токена или установить корневой сертификат. Наши специалисты возьмут на себя решение всех проблем, возникших при установке, настройке или использовании криптопровайдера, его плагинов и компонентов. Большинство операций проводим дистанционно, с помощью программы TeamViewer, обеспечивающей удаленный доступ к вашему компьютеру.

• Руководство пользователя Системы Интернет-платежей Сбербанка России Архивная копия от 21 сентября 2004 на Wayback Machine(pdf)
• Требования к аппаратно-программному Обеспечению Клиента для работы ПО АС «Банк-Клиент» (BSS). Приложение № 1 (недоступная ссылка)(doc)
• Сертификаты ФСБ на продукты КриптоПро. Дата обращения: 14 сентября 2010. Архивировано 19 сентября 2010 года.
• СКЗИ КриптоПро CSP 5.0. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
• Лицензионное соглашение с ООО “КРИПТО-ПРО” Архивная копия от 14 января 2018 на Wayback Machine
• КриптоПро – Поддержка ОС, аппратных платформ и отделяемых носителей. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
• Инструменты КриптоПро – кроссплатформенный графический интерфейс. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.

Бесплатная установка КриптоПро

Помните, что бесплатная (демонстрационная) версия программы доступна ограниченное количество времени (90 дней), во течение которого функционал неограничен. Бесплатная версия программы доступна только для тех, кто впервые устанавливает ПО на компьютер. Если ранее на вашем компьютере уже стояло ПО КриптоПро, данная версия активирована не будет. Чтобы понять, как установить программу КриптоПро на компьютер бесплатно, обратитесь на официальный сайт разработчика.

Имея необходимые сведения, используем программу в демонстрационном режиме. Вот инструкция, как бесплатно пользоваться КриптоПро:

Шаг 1. Загружаем файлы через продукты и вкладку СКЗИ «КриптоПро CSP».

Шаг 2. Пройдем предварительную регистрацию и ответим на несколько вопросов. Заполняем поля и отправляем запрос на регистрацию, совершаем дальнейшие действия, следуя подсказкам.

Шаг 3. Выбираем продукт, который соответствует операционной системе компьютера, и скачиваем его. Загружается быстро. Запускаем программный файл с расширением. ехе. Программная система безопасности предупредит о том, что в компьютер внесут изменения. Если согласны, нажимаем «Установить». Загружается модуль.

После того как установили последнюю версию, работайте с программой сразу. Если загружали предыдущие версии, перезагрузите компьютер сразу или отложите это действие.

Получается, что бесплатно установить СКЗИ КриптоПро — это означает не вводить серийный номер.

Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.

Теперь вы знаете, как пользоваться КриптоПро бесплатно.

Как учесть расходы на покупку ЭЦП

Чтобы подписывать документы, составленные в электронной форме, надо приобрести электронную подпись (ЭП) в удостоверяющем центре. Покупка складывается из приобретения:

• услуг по созданию ключа, ключа проверки и его сертификата;
• материального носителя ключа (иначе — ключевого носителя, токена);
• неисключительной лицензии (экземпляра программы) на средство криптографической защиты информации (СКЗИ) — специального программного обеспечения для работы.

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 3 января 2017 года; проверки требуют 34 правки.

КриптоПро — разработанная одноименной компанией линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются в других программах для генерации электронной подписи (ЭП), работы с сертификатами, организации структуры PKI и т.

КриптоПро в госзакупках

Функции по контролю и надзору в финансово-бюджетной сфере осуществляет Федеральное казначейство РФ. В случае обнаружения признаков нарушения законодательства о контрактной системе в действиях заказчика при осуществлении им закупки обращение о таком нарушении необходимо направить для рассмотрения в Федеральное казначейство.

• в целях установления законности составления и исполнения бюджетов различных уровней;
• в отношении расходов, связанных с осуществлением закупок;
• в осуществлении достоверности учета таких расходов.

Проще говоря, Федеральное казначейство осуществляет контроль и надзор в финансово-бюджетной сфере.

В приведенной ниже инструкции расскажем, с чего начать и как установить КриптоПро на компьютер пошагово.

Шаг 1. Зайдите на сайт Казначейства РФ.

Шаг 2. Заходим во вкладку «Удостоверяющий центр».

Шаг 3. Нажимаем кнопку «Программное обеспечение».

Шаг 4. Скачиваем файл «АРМ Генерации ключей».

Шаг 5. Извлекаем файлы из скачанной папки.

Шаг 6. Видим первое окно установщика программы. Нажимаем «Далее».

Шаг 7. Соглашаемся с лицензионным соглашением, нажав кнопку «Согласен».

Шаг 8. Действуем по инструкции, размещенной ниже.

Шаг 9. Выбираем «Далее» и «Установить».

Шаг 10. После завершения установки появится окно, свидетельствующее об успешной установке программы. Нажимаем «ОК».

Теперь осталось только запустить программу. Делаем это в два шага.

Шаг 1. Заходим в меню «Пуск».

Шаг 2. После запуска программы нажимаем кнопку «Создать запрос на сертификат». Все.

Как используют программу

Разработчик на сайте указывает, что такое КриптоПро, — это разработанная одноименной компанией линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров, средство криптографической защиты информации (СКЗИ). Эта программа защищает информацию через шифрование и создание электронных подписей (ЭП). Без применения таких программ использование ЭЦП становится невозможным.

Эти сертификаты подтверждают значимость и статус электронных документов при работе:

• с электронными площадками;
• электронной отчетностью;
• клиент-банками;
• при обмене между пользователями в сети.

Криптографическая защита основана на исполнении нацстандартов в этой области:

• ГОСТ Р 34.10-2012 (взамен 34.10-2001) об ЭЦП;
• ГОСТ Р 34.11-2012 (сменил 34.11-94) о кэшировании;
• ГОСТ 28147-89 об алгоритме криптопреобразования.

Компания ввела в действие программные модули CryptoPro Cryptographic Service Provider (CSP), которые совместимы с интерфейсом Microsoft. Простыми словами, КриптоПро — программа, которая шифрует, защищает информацию и хранит секретные ключи.

Продукты КриптоПроПравить

• КриптоПро CSP 2.0
• КриптоПро CSP 2.0 Solaris
• КриптоПро CSP 3.0
• КриптоПро CSP 4.0
• Атликс HSM
• КриптоПро HSM
• КриптоПро JCP
• КриптоПро Sharpei

Средства криптографической защиты информации со смарткартами и USB ключами

• Магистра – CSP
• КриптоПро Рутокен CSP
• КриптоПро eToken CSP

Инфраструктура открытых ключейПравить

• Удостоверяющий центр КриптоПро УЦ
• КриптоПро TSP
• КриптоПро OCSP
• АРМ разбора конфликтных ситуаций
• КриптоПро Revocation Provider
• КриптоПро ЭЦП
• КриптоПро PDF
• Сервер электронной подписи КриптоПро DSS

Защита от несанкционированного доступа с использованием КриптоПро CSPПравить

• КриптоПро TLS
• КриптоПро Winlogon
• КриптоПро EAP-TLS
• КриптоПро IPSec
• КриптоПро NGate
• Secure Pack Rus

Программы и утилитыПравить

• Приложение командной строки cryptcp
• ЭЦП процессор
• cptools – графические инструменты КриптоПро

Сервис сертификата электронной подписи

Из доступных в электронной форме услуг установите сертификат КриптоПро для ЭЦП. Получите юридически значимую подпись, которая проверит, зашифрует и дешифрует документы в электронной форме с помощью сертификата.

Через вкладку «Услуги» откроем «Сервис электронной подписи».

Сервис электронной подписи (СЭП) предназначен для шифрования и расшифрования электронных документов, формирования запросов на создание и управление сертификатами ключей проверки электронной подписи, создания и проверки электронной подписи различного формата криптографических сообщений.

Предлагаются два режима использования ключей ЭП:

• серверный («облачный»). В этом случае никаких дополнительных компонент на рабочее место пользователя устанавливать не требуется, электронная подпись создается на сервере СЭП;
• локальный (DSS Lite). Ключи создаются и используются на рабочих местах (ключевых носителях) пользователей.

Чтобы работать с «облачным» режимом, понадобится криптографический модуль.

Локальный режим позволяет подписывать документы всех распространенных форматов на различных платформах с использованием средства ЭП, установленного на устройстве пользователя.

Для использования требуется установка программного обеспечения.

Для загрузки и проверки электронной подписи на web-страницах с применением КриптоПро CSP понадобится плагин. Он предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах и поддерживает работу с широким набором алгоритмов, как встроенных в операционную систему, так и доустановленных дополнительно.

Просто следуйте указаниям.

Достоинства Крипто Про

Крипто Про устанавливается на компьютер (или сервер) пользователя и обеспечивает формирование ЭП, контроль целостности используемого ПО и защиту конфиденциальности информации при ее передаче. Разноплановые модули могут идти в составе ПО или устанавливаться отдельно. Так, к дистрибутиву предусмотрен дополнительный плагин КриптоПро ЭЦП Browser plug-in, встраивающийся в операционную систему и обеспечивающий использование ЭЦП на электронных площадках. Он подгружает подписанные данные из криптопровайдера и позволяет создавать и проверять электронную подпись на веб-страницах всех современных браузеров — Yandex, Google, Mozilla, Explorer и т.

Плагин Крипто Про ЭЦП Browser plug-in

Плагин поддерживает все популярные операционные системы — Microsoft Windows, Linux, iOS, Android, Apple MacOS и другими ОС, работает со всеми стандартными приложениями — клиент Microsoft Outlook, офисным пакетом Microsoft Office, продуктами Adobe и т. Поэтому с помощью программы можно подписать как загруженный с компьютера файл, так и электронный веб-документ. ЭЦП создается и проверяется на стороне пользователя, при этом подпись может быть сформирована отдельно или сразу добавлена к документу.

Плагин распространяется бесплатно.

Когда переустанавливать

Если заменяете демопрограмму на основную или переходите на следующую версию дистрибутива, переустановите КриптоПро. Удостоверьтесь в том, что на компьютере есть лицензия КриптоПро или сертификаты. Если нет, сохраните их.

Через запуск меню имеющейся программы с функциями администратора системы удалите предыдущую программу стандартным способом.

Если через панель установки и удаления корректно удалить программу не получается, используйте дистрибутив. В аварийном случае удалите через специальную утилиту. Здесь найдете эти программы:

Утилита подходит для всех версий CSP. Для выполнения очистки запустите файл cspclean. exe, перезагрузите компьютер и повторно запустите утилиту.

Теперь установите новый продукт.