Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.
В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.
- Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
- Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
- Обзор возможностей СКЗИ КриптоПро CSP 5.0;
- Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.
Участие в мероприятии бесплатное, необходима регистрация.
- Общие сведения
- Сценарии использования
- Документация
- Лицензирование
- Системные требования
- Сертификаты
- Как вызывается Revocation Provider
- Как работает Revocation Provider
- КриптоПро OCSP Server
- КриптоПро OCSP Client
- КриптоПро Revocation Provider
- Операционная платформа компонент ПАК “КриптоПро OCSP”
- Для чего нужны штампы времени
- Краткое описание протокола TSP
- Запрос на штамп времени
- Ответ сервера штампов времени
- Как хранить штампы времени совместно с документами
- Поддерживаемые форматы электронной подписи
- Требования к окружению
- Безопасность
- Способы аутентификации
- Высокая отказоустойчивость и доступность
- Мониторинг функционирования и доступности
- Назначение КриптоПро CSP
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Классические пассивные USB-токены и смарт-карты
- Инструменты КриптоПро
- Поддерживаемое программное обеспечение
- Интеграция с платформой КриптоПро
- Операционные системы и аппаратные платформы
- Интерфейсы для встраивания
- Производительность на любой вкус
- Регулирующие документы
Общие сведения
КриптоПро. NET – программный продукт, позволяющий использовать средство криптографической защиты информации (СКЗИ) КриптоПро CSP на платформе Microsoft. NET Framework. КриптоПро. NET является новой версией существовавшего ранее программного продукта КриптоПро Sharpei и реализует набор интерфейсов для доступа к криптографическим операциям. NET Cryptographic Provider:
- хэширование;
- подпись;
- шифрование;
- MAC;
- генерация ключей и т.д.
Кроме того КриптоПро. NET позволяет использовать стандартные классы Microsoft для высокоуровневых операций:
- разбор сертификата;
- построение и проверка цепочки сертификатов;
- обработка CMS сообщений;
- XML подпись и шифрование.
КриптоПро. NET состоит из двух частей:
- КриптоПро .NET – клиентский модуль для ОС Windows;
- КриптоПро .NET SDK – комплект разработчика, состоящий из документации, примеров и библиотек.
КриптоПро. NET обеспечивает применение всех алгоритмов, реализуемых КриптоПро CSP.
Сценарии использования
- Разработка приложений и веб-сервисов, в которых требуется использование российских криптоалгоритмов, на .NET Framework;
- Подпись и проверка подписи SOAP сообщений для взаимодействия информационных систем в единой системе межведомственного электронного взаимодействия;
- Пакетная подпись документов XPS и Microsoft Office (соответствующие примеры кода входят в состав КриптоПро .NET SDK);
- Подпись и проверка подписи с использованием Microsoft XPS Viewer;
- Защита соединений Microsoft Lync 2010 с использованием российских криптоалгоритмов;
- Использование российских криптоалгоритмов в службах федеративной аутентификации (AD FS, WIF, CardSpace и т.п.).
Документация
Документация на КриптоПро. NET SDK включена в дистрибутив и доступна на портале для разработчиков cpdn.
Вопросы встраивания и использования можно обсудить на форуме.
Лицензирование
Существует два вида лицензий КриптоПро. NET:
- Клиентская лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением клиентской версии ОС Windows (XP/Vista/7/8/8.1/10);
- Серверная лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением серверной версии ОС Windows (2003/2003 R2/2008/2008 R2/2012/2012 R2/2016/2019).
КриптоПро. NET SDK распространяется на бесплатной основе в составе КриптоПро SDK.
Системные требования
КриптоПро. NET функционирует на платформах Microsoft Windows 2000 и выше (x86 и x64) под управлением Microsoft. NET Framework 2. 0 и выше и требует установленного КриптоПро CSP версии 2. 0 и выше.
Для КриптоПро. NET SDK требуется наличие на компьютере установленного КриптоПро. NET.
Сертификаты
КриптоПро. NET использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.
Загрузить “КриптоПро. NET”
Заказать “КриптоПро. NET”
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Не так давно я рассуждал об особенностях использования ЭЦП в облаке (Облачная ЭЦП или сейф с картонкой). Основной моей претензией к такого рода сервисам было то, что надёжные и проверенные годами технологии (строгая двухфакторная аутентификация, асимметричная криптография) подменяются чем-то более простым – паролем, SMS-ками или чем-то подобным, что придумает использовать владелец такого сервиса для проверки подлинности пользователя, заходящего в свой личный кабинет или иным способом получающего доступ к ЭЦП, находящейся в облаке.
Не такой уж большой секрет, что часто проблемы с безопасностью возникают не по причине уязвимостей в используемых алгоритмах (шифрования, например) и технологиях, а из-за ошибок при их реализации. В уязвимости клиента ДБО средней руки банка я верю больше, чем в уязвимости алгоритма AES или ГОСТ.
Так же и тут – без грамотной релизации с учётом требований к безопасности такие предложения по упрощению жизни пользователю даже если и выглядят маркетингово привлекательно, на практике могут оказаться уязвимы к простейшим атакам.
Другое дело, когда есть внятное описание принципов работы, а решение предлагают профессиональные разработчики ИБ решений с опытом и репутацией. По моему личному глубокому убеждению коллеги из Индид (Indeed ID) относятся как раз к таким, поэтому и решил рассказать про их новинку-старинку AirKey.
Новинка, потому что соответствующий анонс в их блоге появился буквально на днях (да-да, я подписан на многих и отслеживаю даже тех, про кого пока ни разу ещё не писал =) ), а старинка, потому что статья про AirKey была опубликована в Information Security ещё в 2014 году в #4.
Собственно, суть идеи, лежащей в основе AirKey, проста – вместо реальной смарт-карты или токена используется виртуальный вариант, который хранится в хранилище на сервере либо на смартфоне пользователя. При этом эмулируется полноценная работа смарт-карты (стандарт PKCS#11 и интерфейс Microsoft CryptoAPI) и с точки зрения остальной уже, например, имеющейся PKI-инфраструктуры никаких изменений не требуется.
Более детальная схема работы и компоненты решения описаны на сайте разработчика. Понятно, что для работы AirKey потребуется развернуть соответствующую серверную часть внутри компании, если мы говорим про использование AirKey сотрудниками, либо внутри банка/провайдера услуг/etc, если речь про сервис для клиентов или партнёров.
Конечно, чудес не бывает и виртуальная смарт-карта совсем не так безопасна как аппаратный вариант, но разработчики со своей стороны сделали максимум, чтобы повысить безопасность: каналы связи шифруются, вместо SMS используются push уведомления, закрытые ключи могут генерироваться на самом смартфоне, а для их защиты от несанкционированного использования применяются PIN, Touch ID, Keychain, Jailbreak Detection (пока приложение есть только для iPhone, что разумно – всё же в экосистеме Apple с безопасностью чуть получше, чем у Android).
Кстати, AirKey поддерживает работу и с ГОСТом – в демонстрационном ролике как раз показана работа КриптоПро AirKey. Правда, в этом случае уже не скачаешь мобильное приложение для работы с AirKey из AppStore, а если без ГОСТа, то вот оно – по ссылке.
Продукт интересный, а по приведённым мною выше ссылкам можно познакомится с ним ещё ближе. Тем не менее, думаю, что можно договориться с разработчиками о более детальном его тестировании, если вам как читателям это будет интересно. Решать вам (прямая ссылка на опрос на сайте PollDaddy).
Обратил внимание, что по привычке всё ещё использую аббревиатуру ЭЦП, хотя пора бы уже и перейти на ЭП. Ну, зато хотя бы слово криптование не применяю =)
В процессе управления ключами УЦ имеет возможность отзыва выпущенных им сертификатов, что необходимо для досрочного прекращения их действия, например, в случае компрометации ключа. Процедура проверки ЭЦП предусматривает помимо подтверждения ее математической корректности еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке.
Таким образом, проверка статусов сертификатов важна для приложений, использующих ИОК, поскольку, например, принятие к обработке подписанного ЭЦП документа, соответствующий сертификат ключа подписи которого аннулирован, может быть впоследствии оспорено и привести к финансовым потерям.
В ОС Microsoft Windows встроена поддержка технологии ИОК. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.
По умолчанию CryptoAPI осуществляет проверку статусов сертификатов с использованием СОС (CRL). СОС представляет собой список аннулированных или приостановленных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени.
Архитектура CryptoAPI предоставляет возможность подключения внешнего модуля проверки статуса сертификата – Revocation Provider.
КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в ОС Windows.
КриптоПро Revocation Provider, будучи установлен в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причём менять что-либо в самих приложениях не требуется. Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом. Проверка сертификата в реальном времени по протоколу OCSP обеспечивает большую безопасность по сравнению с СОС.
Схема встраивания Revocation Provider в ОС представлена на рисунке.
Чтобы обеспечить использование протокола OCSP для проверки статусов сертификатов, используемых в конкретной информационной системе, необходимо, чтобы в данной системе работал сервер OCSP.
В качестве сервера OCSP для КриптоПро Revocation Provider можно использовать КриптоПро OCSP Server.
КриптоПро Revocation Provider функционирует в операционных системах Microsoft Windows, как англоязычных, так и локализованных.
КриптоПро Revocation Provider:
- Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы.
- Не требует модификации приложений для использования своих возможностей.
- Уменьшает риск стать жертвой мошенничества или понести ответственность.
- Совместим с серверными приложениями.
- Автоматически проверяет статусы сертификатов OCSP-серверов.
- Поддерживает расширение . Если такое расширение присутствует в сертификате сервера, то статус этого сертификата не проверяется.
- Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим Центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
- Настраивается через групповые политики.
- Даёт возможность настройки доверия к конкретным OCSP-серверам.
- При невозможности проверки сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
- Может осуществлять соединения по защищённому протоколу TLS (SSL).
- Устанавливается с помощью Windows Installer.
Как вызывается Revocation Provider
Будучи установленным в системе, Revocation Provider вызывается для проверки сертификата(ов) при каждом вызове функции CryptoAPI CertVerifyRevocation. Фактически, все параметры этой функции передаются без изменений в Revocation Provider. Помимо непосредственного вызова, эта функция, а значит и Revocation Provider, вызывается неявно внутри функций CertGetCertificateChain и WinVerifyTrust.
Как работает Revocation Provider
Когда приложение, работающее с CryptoAPI, вызывает функцию проверки статуса сертификата, в Revocation Provider передаётся этот сертификат вместе с рядом дополнительных параметров.
Revocation Provider, получив на проверку сертификат, создаёт OCSP-запрос на данный сертификат и обращается к одной или нескольким службам OCSP с этим запросом. При получении OCSP-ответа, осуществляет его проверку. Если ответ проходит проверку и содержит статус сертификата good или revoked, в отличие от unknown (см. RFC2560), то на этом проверка заканчивается и полученный статус возвращается приложению. Если же ответ содержит статус unknown или не проходит проверку, то происходит обращение по следующему адресу.
Очерёдность обращения к службам OCSP определяется следующим образом:
- По расширению AIA (AuthorityInformationAccess) в сертификате. Среди различных точек AIA выбирает те, к которым указан метод доступа по протоколу OCSP, обращения к ним происходят по очереди их расположения в сертификате.
- Если ни по одному из адресов OCSP-серверов, указанных в расширении AIA сертификата, не удаётся получить удовлетворяющий этим условиям ответ, или если таких адресов в сертификате не указано, то Revocation Provider пробует обратиться за статусом к OCSP-серверу, адрес которого задан групповой политикой, если она определена.
Если на предыдущих шагах не удаётся получить удовлетворяющем описанным условиям ответ, то сертификат передаётся на проверку в Microsoft Revocation Provider, входящий в состав ОС Windows. Microsoft Revocation Provider осуществляет проверку данного сертификата с использованием СОС. Полученный статус сертификата возвращается приложению.
КриптоПро Revocation Provider использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.
В состав ПАК “КриптоПро OCSP” входят следующие компоненты:
- КриптоПро OCSP Server;
- КриптоПро OCSP Client;
- КриптоПро Revocation Provider.
Структурная схема компонент ПАК “КриптоПро OCSP” отражена на рисунке ниже.
КриптоПро OCSP Server
- Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL);
- Поддерживает развёртывание нескольких экземпляров службы на одном компьютере;
- Может получать информацию о статусах сертификатов из следующих источников:
папка с одним или несколькими списками отозванных сертификатов (CRL);база данных Центра Регистрации ПАК “КриптоПро УЦ”;база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах. - папка с одним или несколькими списками отозванных сертификатов (CRL);
- база данных Центра Регистрации ПАК “КриптоПро УЦ”;
- база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
- Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов;
- Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ “КриптоПро CSP”, другой – с использованием криптопровайдера “Microsoft Base CSP”.
- Устанавливается с помощью Windows Installer.
При совместной работе ПАК “КриптоПро УЦ” и ПАК “КриптоПро OCSP Server” для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК “КриптоПро УЦ”. Подробнее о данном режиме можно узнать здесь.
КриптоПро OCSP Client
“КриптоПро OCSP Client” представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. “КриптоПро OCSP Client” не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции “КриптоПро OCSP Client” в установочный пакет другого продукта включены в комплект средств разработки “КриптоПро PKI SDK” вместе с соответствующим руководством разработчика.
В состав ПАК “КриптоПро OCSP” входит приложение КриптоПро OCSPUTIL, предназначенное для работы с протоколом OCSP в командной строке. Данное приложение позволяет создавать OCSP-запросы, получать OCSP-ответы, сохранять запросы и ответы в файлы, обрабатывать их. КриптоПро OCSPUTIL для выполнения своих функций использует “КриптоПро OCSP Client”, и содержит эту программную библиотеку в своём установочном пакете.
КриптоПро Revocation Provider
В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.
По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.
Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт “КриптоПро Revocation Provider”, который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows. При этом менять что-либо в самих приложениях не требуется. “КриптоПро Revocation Provider” вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.
Схема встраивания “КриптоПро Revocation Provider” в операционные системы семейства Microsoft Windows представлена на рисунке:
Основные характеристики “КриптоПро Revocation Provider”:
- Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.
- Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.
- Автоматически проверяет статусы сертификатов OCSP-серверов.
- Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
- Настраивается через групповые политики.
- Даёт возможность настройки доверия к конкретным OCSP-серверам.
- При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
- Может осуществлять соединения по защищённому протоколу TLS (SSL).
- Устанавливается с помощью Windows Installer.
Загрузить “КриптоПро Revocation Provider”.
Операционная платформа компонент ПАК “КриптоПро OCSP”
Использование ПАК “КриптоПро TSP” позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.
Для реализации сервиса TSP необходимо на базе “КриптоПро TSP Server” организовать Сервер службы TSP и встроить “КриптоПро TSP Client” в программное обеспечение клиентских рабочих мест. Встраивание “КриптоПро TSP Client” осуществляется с использованием инструментария разработчика – “КриптоПро PKI SDK”.
Для чего нужны штампы времени
- Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.
- Фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Штамп времени может использоваться в качестве доказательства, определяющего момент подписания электронного документа (1-ФЗ “Об ЭЦП”, Статья 4; 63-ФЗ “Об ЭП”, Статья 11). Для этого после создания электронной цифровой подписи (электронной подписи) документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство, определяющее момент времени подписания электронного документа.
- Фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа. Штамп времени на электронный документ может быть получен при выполнении какой-либо операции, связанной с его обработкой, при необходимости зафиксировать время выполнения этой операции. Например, штамп времени может быть получен при поступлении от пользователя электронного документа на сервер электронного документооборота, либо при предоставлении документа какому-либо пользователю.
- Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя. Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.
Краткое описание протокола TSP
Протокол TSP (Time-Stamp Protocol) является протоколом типа “запрос-ответ”. Весь обмен заключается в двух сообщениях. Клиент инициирует взаимодействие, посылая серверу запрос на штамп времени, на что сервер возвращает ответ, содержащий выпущенный штамп или не содержащий его в случае ошибки.
Запрос на штамп времени
Запрос на штамп времени включает следующие поля:
- Значение хэш-функции от документа, на который запрашивается штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики запрашиваемого штампа (необязательно);
- Nonce – случайное число, идентифицирующее данную транзакцию протокола TSP (необязательно);
- Дополнения (Extensions) (необязательно).
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.
Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:
- Политика для тестовых штампов. Штампы по этой политике выдаются всем пользователям, но могут использоваться только для тестовых целей, а система документооборота не будет принимать такие штампы.
- Основная политика штампов. Штампы по этой политике выдаются всем зарегистрированным пользователям системы, стоимость одного штампа составляет 5 копеек, точность времени в штампе составляет 10 секунд, а система документооборота будет принимать такие штампы для документов, не являющихся важными.
- Точная политика штампов. Штампы по этой политике выдаются пользователям, допущенным к работе с важными документами, стоимость одного штампа составляет 25 копеек, точность времени в штампе составляет 1 секунду, а система документооборота будет принимать такие штампы для любых документов.
Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Ответ сервера штампов времени
Ответ сервера штампов времени содержит следующие поля:
- Статус операции и информация об ошибке;
- Штамп времени (если статус успешный).
Штамп времени представляет собой CMS-сообщение (PKCS#7) типа SignedData (см. RFC 3369 “Cryptographic Message Syntax (CMS)”). Содержимым этого сообщения является структура со следующими полями:
- Значение хэш-функции от документа, на который выдан штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики штампа;
- Время выдачи штампа;
- Точность времени;
- Признак строгой упорядоченности штампов (Ordering);
- Nonce – случайное число, идентифицирующее данную транзакцию протокола TSP (совпадает с соответствующим полем запроса);
- Дополнения (Extensions) (необязательно).
Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.
Как хранить штампы времени совместно с документами
В RFC 3161 “Internet X. 509 Public Key Infrastructure Time-Stamp Protocol (TSP)” описан вариант хранения штампа времени на документ с ЭЦП (ЭП) формата CMS SignedData в неподписанном атрибуте этого CMS-сообщения.
Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:
- Штампы времени;
- Сертификат ключа подписи, использованного для создания оригинальной ЭЦП (ЭП);
- Сертификат УЦ, издавшего сертификат ключа подписи (если цепочка сертификатов содержит другие УЦ, то их сертификаты также необходимо проверить);
- Сертификат Службы штампов времени;
- Цепочка сертификатов для проверки сертификата Службы штампов времени;
- Информацию о статусе сертификатов (Списки отозванных сертификатов или OCSP-ответы).
Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.
Возможный вариант форматов данных и идентификаторы атрибутов для долговременного хранения документов с ЭЦП (ЭП) на основе CMS-сообщений описаны в европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 “CMS Advanced Electronic Signatures (CAdES)”.
Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).
КриптоПро DSS 2. 0 обеспечивает:
Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2. 1 части 5 статьи 8 Федерального закона “Об электронной подписи”, и до осуществления подтверждения соответствия КриптоПро DSS 2. 0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2. 2 статьи 15 Федерального закона “Об электронной подписи”.
Поддерживаемые форматы электронной подписи
- Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
- Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
- Подпись XML-документов (XMLDSig);
- Подпись документов PDF;
- Подпись документов Microsoft Office.
Требования к окружению
КриптоПро DSS 2. 0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
- создание пользователя;
- блокирование и удаление пользователя;
- генерация ключа электронной подписи пользователя;
- формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
- установку полученного сертификата пользователю;
- настройку параметров аутентификации пользователей;
- аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
- сброс пароля в случае его утраты пользователем.
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2. 0 может реализовывать следующие способы аутентификации пользователя:
- криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
- двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
- двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) “КриптоПро Центр Мониторинга” для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Сервис электронной подписи ООО «КРИПТО-ПРО»
Тестовый сервис электронной подписи
Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2. 0» для работы с квалифицированной электронной подписью
КриптоПро CSP 5. 0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).
Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5. 0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.
Назначение КриптоПро CSP
- Формирование и проверка электронной подписи.
- Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
- Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
- Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.
Поддерживаемые алгоритмы
В КриптоПро CSP 5. 0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись
ГОСТ Р 34. 10-2012 (ГОСТ 34. 10-2018), ECDSA, RSA
Хэш-функции
ГОСТ Р 34. 11-2012 (ГОСТ 34. 11-2018), SHA-1, SHA-2
Шифрование
ГОСТ Р 34. 12-2015 (ГОСТ 34. 12-2018), ГОСТ Р 34. 13-2015 (ГОСТ 34. 13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
В криптопровайдере КриптоПро CSP 5. 0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5. 0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами и защищенным обменом сообщениями поддерживаемых КриптоПро CSP 5. 0 R2
Компания
Носитель
Актив
Рутокен ЭЦП 2. 0 3000 (USB, Type-C, micro)
Смарт-карта Рутокен ЭЦП 3. 0
Инфокрипт
InfoCrypt Token++
СмартПарк
Форос 2. Базис
Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2. 0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5. 0 R2
Компания Носитель
ISBC Esmart Token ГОСТ
Актив Рутокен PINPad
Рутокен ЭЦП (USB, micro, Flash)
Рутокен ЭЦП 2. 0 (USB, micro, Flash, Touch)
Рутокен ЭЦП 2. 0 2100 (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 2151
Рутокен ЭЦП PKI (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 Bluetooth
Рутокен TLS (исполнение 1)
Смарт-карта Рутокен ЭЦП SC
Смарт-карта Рутокен ЭЦП 2. 0 2100
Смарт-карта Рутокен ЭЦП 2. 0 2151
Аладдин Р. JaCarta-2 ГОСТ, JaСarta SF/ГОСТ
JaCarta-2 SE/PKI/ГОСТ
Инфокрипт InfoCrypt Token++ TLS
InfoCrypt VPN-Key-TLS
Классические пассивные USB-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5. 0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р. , Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5. 0 R2
Компания Носитель
AliothSCOne Series (v5/v6)
Gemalto Optelio Contactless Dxx Rx
Optelio Dxx FXR3 Java
Optelio G257
Optelio MPH150
ISBC Esmart Token
MorphoKSTMorphoKST
NovaCardCosmo
Rosan G&D element V14 / V15
G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80
Kona 2200s / 251 / 151s / 261 / 2320
Kona2 S2120s / C2304 / D1080
SafeNet eToken Java Pro JC
eToken 4100
eToken 5100
eToken 5110
eToken 5105
eToken 5205
Актив Рутокен S
Рутокен КП
Рутокен Lite
Смарт-карта Рутокен Lite
Аладдин Р. JaCarta ГОСТ
JaCarta PKI
JaCarta PRO
JaCarta LT
DallasTouch Memory (iButton) DS199x
ИнфокриптInfoCrypt Token++ lite
Мультисофт MS_Key исп. 8 Ангара
MS_Key ESMART исп. 5
СмартПарк Форос
Форос 2
R301 Форос
Оскар
Оскар 2
Рутокен Магистра
Инструменты КриптоПро
В составе КриптоПро CSP 5. 0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).
Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.
Поддерживаемое программное обеспечение
КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:
- Офисный пакет Microsoft Office
- Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
- Продукты Adobe
- Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
- Средство формирования и проверки подписи приложений Microsoft Authenticode
- Веб-серверы Microsoft IIS, nginx, Apache
- Средства удаленных рабочих столов Microsoft Remote Desktop Services
- Microsoft Active Directory
Интеграция с платформой КриптоПро
С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:
- КриптоПро УЦ
- Службы УЦ
- КриптоПро ЭЦП
- КриптоПро IPsec
- КриптоПро EFS
- КриптоПро .NET
- КриптоПро Java CSP
- КриптоПро NGate
Операционные системы и аппаратные платформы
Традиционно мы работаем в непревзойдённо широком спектре систем:
- Microsoft Windows
- macOS
- Linux
- FreeBSD
- Solaris
- AIX
- iOS
- Android
- Sailfish OS
- Аврора
- Intel, AMD
- PowerPC
- ARM (в т.ч. Байкал-М, Apple M1)
- MIPS (Байкал-Т)
- VLIW (Эльбрус)
- Sparc
- Microsoft Hyper-V
- VMWare
- Oracle Virtual Box
- RHEV
Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.
Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.
Интерфейсы для встраивания
Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:
- Microsoft CryptoAPI
- OpenSSL engine
- Java CSP (Java Cryptography Architecture)
- Qt SSL
Производительность на любой вкус
Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.
Регулирующие документы
При просмотре документации КриптоПро в Adobe Reader или Adobe Acrobat наверху появляется странное сообщение. Что это такое?
Adobe Reader или Adobe Acrobat сообщает, что статус подписи НЕОПРЕДЕЛЕНА (UNKNOWN). Как я могу проверить подпись?
Нужно ли мне покупать лицензию на программы КриптоПро PDF и КриптоПро CSP для того, чтобы проверять подписи в документации КриптоПро?
Что означает статус подписи?
Что означает “Сертификат недоверенный (Untrusted)”?
Как я могу посмотреть подробную информацию о подписи?
У меня в программе Adobe Acrobat есть разные виды подписи. Что такое сертифицирующая подпись? Какие вообще бывают подписи?
Как и почему функциональность КриптоПро PDF отличается для Adobe Reader и Adobe Acrobat? Можно ли создать подпись в программе Adobe Reader?
У меня нет программы Adobe Acrobat. Как я могу попробовать создать подпись с помощью КриптоПро PDF в программе Adobe Reader?
При просмотре документации КриптоПро в Adobe Reader или Adobe Acrobat наверху появляется странное сообщение. Что это такое?
Часть нашей документации в формате PDF подписана усовершенствованной ЭП. Если Вы не изменяли настройки программы Adobe Reader или Adobe Acrobat, то при открытии подписанного документа происходит проверка всех содержащихся в нем электронных цифровых подписей. В данном случае это проверка усовершенствованной электронной цифровой подписи КриптоПро. Результат такой проверки и выводится в сообщении, которое Вы видите.
Для подписи документации КриптоПро используется усовершенствованная ЭП. Метод проверки ЭП, встроенный в Adobe Acrobat, не умеет проверять такие подписи. Для проверки усовершенствованной ЭП в документации КриптоПро следует использовать продукт КриптоПро PDF, который представляет собой встраиваемый модуль для Adobe Reader (версии 8, 9, X, XI или DC) или Adobe Acrobat (версии 8, 9, X, XI или DC всех вариантов исполнения).
Для функционирования КриптоПро PDF также должно быть установлено средство криптографической защиты информации КриптоПро CSP версии 3. 6 или выше.
Для проверки подписи в программе Adobe Reader не требуется покупать и устанавливать лицензии для продуктов КриптоПро PDF и КриптоПро CSP.
Для проверки усовершенствованной ЭП в документации КриптоПро следует:
- Установить КриптоПро CSP;
- Установить КриптоПро PDF;
- Установить набор корневых сертификатов.
По умолчанию при открытии документа проверяются все имеющиеся в нем ЭП.
Чтобы проверить подпись в документе вручную следует:
- Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
- Выбрать ЭП, которую следует проверить, и нажать правую кнопку мыши;
- В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).
Выбранная подпись будет подвергнута проверке и появится окно с результатом проверки подписи.
Подпись может иметь один из следующих статусов:
ОбозначениеСтатусОписание
ДЕЙСТВИТЕЛЬНАПодписанные данные не были изменены с момента подписания. ДЕЙСТВИТЕЛЬНАПодписанные данные не были изменены с момента подписания. Однако в сам документ были внесены изменения. НЕДЕЙСТВИТЕЛЬНАПодписанные данные документа были изменены или повреждены после подписания. НЕОПРЕДЕЛЕНАПодписанные данные не были изменены с момента подписания. Однако сертификат подписавшего определен как недоверенный. НЕОПРЕДЕЛЕНАПодписанные данные не были изменены с момента подписания, но в сам документ были внесены изменения. И сертификат подписавшего определен как недоверенный. НЕОПРЕДЕЛЕНАНа стадии проверки подписи возникли ошибки.
Сертификат считается доверенным (Trusted), если одновременно выполняются следующие условия:
- Сертификат имеет корректную ЭП центра сертификации, выдавшего сертификат.
- Сертификат актуален на текущую дату по сроку действия.
- Сертификат центра сертификации, выдавшего сертификат, установлен в хранилище (ROOT) доверенных корневых сертификатов Windows.
- Сертификат отсутствует в актуальном на текущую дату списке отозванных сертификатов.
Если хотя бы одно из этих условий не выполнено, сертификат считается недоверенным.
Окно с информацией о подписи можно вызвать следующим образом:
- Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
- Выбрать ЭП, информацию о которой нужно посмотреть, и нажать правую кнопку мыши;
- В открывшемся контекстном меню выбрать пункт Show Signature Properties.
Компания Adobe в своих продуктах разделяет подписи на ЭП (в документации Adobe такие подписи называются цифровыми) и подписи от руки.
Подпись от руки представляет собой сделанную вручную пометку на странице, аналогичную рисунку произвольной формы, созданному при помощи инструмента “Карандаш”. Подпись от руки не имеет никакого отношения к ЭП и не отображается на панели “Подписи”.
Электронные подписи делятся на подписи для утверждения и сертифицирующие. Оба вида подписей позволяют утвердить содержимое файла PDF. Но сертифицирующая подпись обеспечивает более высокий уровень управления документом. С ее помощью можно указать допустимые типы изменений, при внесении которых документ останется сертифицированным.
Предположим, что государственной службе необходимо создать форму с полями подписи. Когда форма закончена, служба сертифицирует документ, позволяя пользователям изменять только поля формы и подписывать документ. Пользователи могут заполнять форму и подписывать документ подписью для утверждения. Однако при удалении страниц и добавлении комментариев документ утрачивает существующее сертифицированное состояние.
Описание различных типов подписей в программах Adobe приведено в таблице:
Вид подписиОтображение в документеОписаниеОбычная подпись (подпись для утверждения)Подпись отображается ввиде поля подписив документе, и на панели “Подписи”. Может использоваться длямногократного подписания документа PDF несколькими людьми. Сертифицирующая подписьДокумент может бытьсертифицирован как с видимой, так и без видимой подписи. В первом случае подпись будет отображаться в виде поля подписи в документе и на панели “Подписи”. Во втором случае подпись будет отображаться только на панели “Подписи”. Удостоверяет документ PDF. Может применяться только в том случае, если документ PDF не содержит других подписей. Позволяет указывать типы изменений, разрешенных для документа (добавление комментариев, заполнение форм или добавление обычных подписей) или запретить любые дальнейшие изменения. Подпись от руки Рисунок в документе. Не имеет никакого отношения к ЭП.
Отличия в возможностях работы с электронной подписью в программах Adobe Reader и Adobe Acrobat обусловлены особенностями функционирования этих программ (такова политика их производителя – компании Adobe) и никак не связаны с работой модуля КриптоПро PDF.
Возможности Adobe Acrobat (Standard, Pro) Adobe Acrobat Reader Сертификация документа PDF (видимой подписью или без видимой подписи)ДаНетСоздание электронной подписи в документе PDF ДаДа,в версиях 11. 07 и выше, DC. В версиях 8, 9, X, XI (до версии 11. 07) — при предоставлении расширенного доступа к документу. Проверка электронной подписи в документе PDFДаДаАвтоматизация создания и проверки электронных подписей с помощью технологии OLE (см. ЖТЯИ. 00064-01 90 02. КриптоПро PDF. Руководство по автоматизации создания и проверки электронных подписей). ДаНет
К документам PDF с расширенным доступом относятся PDF-формы, предназначенные для заполнения пользователями в Adobe Reader или PDF-файлы, с которыми проведена операция расширения доступа. Операция расширения доступа или создания PDF-формы может быть осуществлена над произвольным документом PDF, при этом сам документ PDF может быть создан любым доступным способом.
Такая операция доступна в Adobe Acrobat редакций Professional и Pro. Обратите внимание, что в Adobe Acrobat редакции Standard операция расширения доступа присутствует в усеченном виде, и ее проведение не даст пользователям Adobe Reader возможности создания или добавления подписи.
Более подробную информацию о создании подписи можно получить на сайте компании Adobe: для Adobe Acrobat и для Adobe Reader.
У меня нет программы Adobe Acrobat. Как я могу попробовать создать подпись с помощью КриптоПро PDF в программе Adobe Reader?
Для создания ЭП в программе Adobe Reader Вам необходим документ PDF с расширенным доступом.
Для тестовых целей такой документ доступен здесь.