Что такое криптопро аутентификация пользователей и двухфакторная авторизация winlogon setup

Системные требования к программно-аппаратным средствам:

• Установка СКЗИ КриптоПро CSP версии 5.0.
• Операционная система Windows 7/8.1/10/Server 2008 (x86, x64).
• Серверные ОС Windows Server 2008 R2/2012/2012 R2/2016/2019 (x64).
• Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).

Для установки приложения MyDss на смартфоне, он должен работать под управлением операционных систем:

• Android 7.0 и выше.
• iOS 8/9/10/11.

В данном разделе будет рассмотрен процесс установки и настройки «КриптоПро NGate
Клиент» для мобильных операционных систем семейства Android. «КриптоПро NGate Клиент» (или Клиент NGate) предназначен для обеспечения
доступа пользователей к ресурсам, защищаемым посредством шлюза NGate. В качестве демонстрации работоспособности клиента будут приведены инструкции для
подключения ктестовым

В качестве операционной системы во всех примерах данного раздела используется Android
версии 11. «КриптоПро NGate Клиент» предназначен для функционирования в следующих операционных
системах семейства Android:

Вебинар 25. 2021: “Эволюция электронной подписи на смартфоне. Варианты реализации в соответствии с законодательством” (файл презентации, файл вопросов и ответов)

На вебинаре рассказывается о концепциях облачной и мобильной электронной подписи (ЭП), рассмотрены законодательная база и технические подробности решения DSS/myDSS 2. 0, которое превратилось из исключительно облачного в решение, позволяющее самостоятельно управлять местом хранения ключей ЭП. В ходе вебинара показана Live-демонстрация (39:17) выпуска электронной подписи в приложении myDSS 2.

Программа вебинара

Павел Луцик, директор по развитию бизнеса и работе с партнерами КриптоПро (2:15)

• О концепции «облачной» ЭП — особенности, преимущества по сравнению с «классической» ЭП
• О продукте КриптоПро DSS 2.0/HSM — кому может быть полезен, какие задачи решает

Дарья Верестникова, коммерческий директор SafeTech (9:07)

• О концепции мобильной ЭП — особенности, преимущества
• О myDSS SDK/myDSS 2.0: кому может быть полезен, какие задачи решает, самые интересные кейсы

Павел Смирнов, директор по развитию КриптоПро (21:44)

• Предпосылки появления в myDSS 2.0 возможности хранения ключей ЭП на смартфоне и перспективы дальнейшего развития myDSS 2.0
• Легитимность использования мобильной подписи
• Что необходимо для перехода на использование мобильной подписи?

Кирилл Мещеряков, руководитель направления развития продуктов SafeTech (37:02)

• Живая демонстрация выпуска и перевыпуска сертификата ЭП в приложении myDSS 2.0
• Ограничения режима мобильной подписи
• Безопасность хранения ключей в памяти смартфонов

Вебинар 19. 2019: “КриптоПро DSS/myDSS. Реализация облачной электронной подписи на ПК и мобильных устройствах” (файл презентации, файл вопросов и ответов)

На вебинаре эксперты КриптоПро рассказали о возможностях и преимуществах использования “облачной” электронной подписи на базе сертифицированного ФСБ России решения КриптоПро DSS и входящего в его состав приложения КриптоПро myDSS, являющегося совместной разработкой компаний КриптоПро и SafeTech.

Для подключения к шлюзу NGate требуется создать профиль подключения. Профиль
необходимо создать отдельно для каждого шлюза NGate.

• Для создания нового профиля выберем .
• Тип аутентификации: установите галочку в поле Использовать
  комбинированную аутентификацию;
• Оставьте галочку в поле Прогрессивный таймаут подключения при
  обрыве сети (данный параметр определяет период попыток
  подключения при обрыве cвязи);Important: Не рекомендуется
  отключать данный параметр!
• На вкладке Вход по сертификату введите параметры
  сертификата для тестового шлюза NGate.
  Тип ключевого контейнера: выберите импортированный ранее
  ключевой контейнер;Ключ/пароль: введите ключ и пароль от ключевого контейнера, заданные при
  импорте.Note: Для подключения к рабочему шлюзу используйте
  пользовательский сертификат шлюза, полученный у Администратора сети.
• Тип ключевого контейнера: выберите импортированный ранее
  ключевой контейнер;
• Ключ/пароль: введите ключ и пароль от ключевого контейнера, заданные при
  импорте.
• Имя: test;Пароль: test.
• Имя: test;
• Пароль: test.
• Сохраняем профиль, нажав галочку вверху справа.
• Выберите созданный профиль из списка в главном окне клиента NGate и нажмите
  кнопку Включить.
• Шлюз КриптоПро NGate поддерживает также использование одноразовых паролей
  (OTP). В этом случае при аутентификации откроется соответствующее окно с
  запросом требуемых данных для авторизации.

Схема работы многофакторной аутентификаци

Из нашей статьи вы узнаете:

КриптоПро Winlogon — это программное обеспечение для проверки серверов, контролирующее компьютерную сеть и пользователей в операционной системе Windows. Осуществляет аутентификацию статуса пользователя с помощью сертификатов открытых ключей и электронных цифровых подписей (ЭЦП). Аутентификация осуществляется при входе пользователей на домен с использованием средства криптографической защиты информации (СКЗИ) «КриптоПро CSP» версии 3. 0 и выше.

Открытые ключи используются для проверки пользователя, а ЭЦП для авторизации домена Windows в соответствии с RFC 4490. Сертификаты пользователей и контроллеров домена выпускаются и управляются с помощью сертифицированного удостоверяющего центра или находятся под управлением домена операционной системы.

Его назначение

Программное обеспечение усиливает сетевой протокол аутентификации «Kerberos» с помощью инструментов криптографической защиты информации, расширяя штатную функциональность операционной системы.

Kerberos — сетевой протокол взаимной аутентификации клиента и сервера, где начальный обмен информацией между клиентом и сервером происходит в незащищённой среде.

Программное обеспечение КриптоПро Winlogon формирует ключи шифрования и ключи ЭЦП, шифрует данные, защищает их от навязывания ложных данных, обеспечивает целостность, подлинность и конфиденциальность информации.

Характеристики

• Дистрибутив КриптоПро Winlogon (rus)
• Дистрибутив КриптоПро Winlogon (eng)
• Документация на КриптоПро Winlogon

Отдельная установка КриптоПро Winlogon не требуется, если используется КриптоПро CSP 3. 6 и выше.

Подробные характеристики о совместимости с вашим удостоверяющим центром, операционной системой, доменом и дополнительными настройками вы можете узнать у нашей круглосуточной поддержки.

Срок пробной версии программы — 30 дней с момента установки. После необходимо получить лицензию у официального дилера. «Астрал-М» распространяет, внедряет и сопровождает программы КриптоПро с круглосуточной поддержкой пользователей 24/7. Является официальным дилером продукции торговой марки КриптоПро. Приобрести продукцию и актуальную лицензию КриптоПро Winlogon легко, достаточно заполнить форму обратной связи на сайте, вписав своё имя, телефон и адрес электронной почты.

Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).

КриптоПро DSS 2. 0 обеспечивает:

Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2. 1 части 5 статьи 8 Федерального закона “Об электронной подписи”, и до осуществления подтверждения соответствия КриптоПро DSS 2. 0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2. 2 статьи 15 Федерального закона “Об электронной подписи”.

Поддерживаемые форматы электронной подписи

• Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
• Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
• Подпись XML-документов (XMLDSig);
• Подпись документов PDF;
• Подпись документов Microsoft Office.

Требования к окружению

КриптоПро DSS 2. 0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.

При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

• создание пользователя;
• блокирование и удаление пользователя;
• генерация ключа электронной подписи пользователя;
• формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
• установку полученного сертификата пользователю;
• настройку параметров аутентификации пользователей;
• аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
• сброс пароля в случае его утраты пользователем.

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2. 0 может реализовывать следующие способы аутентификации пользователя:

• криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
• двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
• двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) “КриптоПро Центр Мониторинга” для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2. 0» для работы с квалифицированной электронной подписью

stel_la
Оставлено
:
8 марта 2022 г. 11:23:01(UTC)

Всех приветствую. Пытаюсь организовать авторизацию пользователей домена со смарт-картами по ГОСТ (Windows 2012R2, windows 10 и КриптоПРО 4. 9963). До этого попробовала на встроенных в windows сертификатах и все заработало с пол-пинка. Но после установки КриптоПРО на оба центра сертификации (главный и подчиненный), на все контроллеры домена (сертификат по шаблону “Контроллер домена” тоже перевыпустила на ГОСТовый) и выпуска сертификата “Вход со смарт картой” для пользователя, получаю ошибку “Не удалось проверить ваши учетные данные” (в контейнер “Личные” сертификатов пользователя и в раздел “Опубликованные сертификаты” пользователя в AD выпущенный с сертификат добавила). Прошу помочь ибо идеи кончились. PS Все делала по инструкци ЖТЯИ. 00088-01 92 01, может есть что то посвежее?

Захар Тихонов
Оставлено
:
9 марта 2022 г. 15:21:11(UTC)

ЗдравствуйтеСертификат издателя зарегистрировали на контроллере домена? ЖТЯИ. 00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6. Указания по настройкеУ смарт карты включена поддержка Winlogon?

Захар Тихонов
Оставлено
:
9 марта 2022 г. 19:37:39(UTC)

Если вы в групповые политики установили новый сертификат, то убедитесь что CRL по ссылка из сертификатов доступны и они актуальны (как на контроллере домена, так и на клиенте)

two_oceans
Оставлено
:
10 марта 2022 г. 2:27:58(UTC)

Цитата:на все контроллеры домена (сертификат по шаблону “Контроллер домена” тоже перевыпустила на ГОСТовый) и выпуска сертификата “Вход со смарт картой” для пользователя, получаю ошибку “Не удалось проверить ваши учетные данные” Добрый день. Скорее всего, с данным случаем не связано, но вдруг, для информации. Применительно к данному случаю моя мысль в том, что “Не удалось проверить ваши учетные данные” тоже может быть даже не близко к реальной причине.

Захар Тихонов
Оставлено
:
10 марта 2022 г. 11:36:46(UTC)

Вы проверили доступность CRL?

Захар Тихонов
Оставлено
:
14 марта 2022 г. 14:15:00(UTC)

Приложите скриншот из контроллера домена, что сертификат издателя зарегистрировали на контроллере домена ЖТЯИ. 00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6. Указания по настройкеПриложите скриншот что в сертификате указан верных идентификатор контроллера домена, который отображается в КриптоПро CSP. Пароли на ключи контроллеров домена вы устанавливали?

Захар Тихонов
Оставлено
:
14 марта 2022 г. 14:55:25(UTC)

Откройте сертификат контроллера домена. Вот в нем можно посмотреть его издателя – вкладка состав – Издатель. На вкладке Цепочка сертификатов не должно быть ошибок, и от туда можно посмотреть сертификат издателя.

stel_la
Оставлено
:
6 апреля 2022 г. 12:22:12(UTC)

В хранилище подчиненного центра сертификации “Локальный компьютер – Доверенные корневые центры сертификации – Реестр – Сертификаты” корневой сертификат главного центра сертификации есть.

Хронология вебинара

Брошюра с описанием решения – КриптоПро DSS.

Установка СКЗИ КриптоПро CSP 5 #

Для начала работы с вашей облачной подписью необходима установленная ОС Windows 7, 8,8. 1 или 10. Необходимо проверить, что у вашей Операционной Системы установлены все последние обновления. Для этого запустите Центр Обновления Windows и произведите поиск и обновления компонентов Windows. Основным элементом для работы с облачной подписью является установленное и настроенное КриптоПро CSP 5.

• Скачиваем последнюю версию установочного файла КриптоПро CSP 5.0 с сайта разработчика КриптоПро.
• Запускаем скачанный Файл CSPSetup-5.0.exe и нажимаем кнопку Установить.Подробный процесс установки КриптоПро здесь.
• Установить корневой сертификат вашего УЦ в «Промежуточные центры сертификации». Инструкция по установке корневого сертификата Минкомсвязи и УЦ.

Настройка КриптоПро CSP 5. 0 #

В операционной системе Windows: Нажимаем Пуск , переходим в папку Крипто-Про и выбираем пункт Инструменты Крипто-Про.

Далее переходим в раздел Облачный провайдер.

Замена адреса DSS сервера #

• Необходимо поменять текст в строке Сервер авторизации на адрес вашего сервера DSS(Адрес можно уточнить у вашего УЦ).
• Так же измените текст в строке Сервер DSS на адрес предоставленный вашим УЦ.
• Нажимаем на кнопку Установить сертификаты.

Если это первый ваш вход в систему, то вам предложат изменить пароль для входа в личный кабинет облачной подписи. Чтобы это сделать укажите пароль полученный вами в точке выдачи. Вводим его в графу Старый пароль, а ниже указываем Новый пароль и Подтверждение пароля. После установки вашего нового пароля, обязательно запишите его.

Если вы уже изменяли пароль ранее, то предложения изменить пароль не будет.

Аутентификация в приложении myDSS #

Следующим действием нам потребуется пройти Аутентификацию. Потребуется подтвердить операцию с помощью установленного приложения MyDss. Запустите приложение MyDss на смартфоне, и в открывшемся запросе нажимаем Подтвердить. Если на телефоне нет интернет соединения, то выбираем Используйте офлайн-подтверждение. Сканируем приложением MyDss QR-код и указываем полученный код подтверждения на компьютере.

Конечным результатом успешной авторизации, должно стать уведомление Установка сертификатов завершилась успехом.

На этом установка и настройка облачной электронной подписи закончена.

Купить Электронную Подпись для любых целей вы можете в нашей компании. Срок выдачи один рабочий день.

Заказать облачную подпись #

Запускаем приложение Play Маркет или Apple store в зависимости от типа вашего устройства. В форме поиске, введите myDSS и нажмите кнопку Установить. После окончания установки нажимаем на кнопку Открыть.

Настройка приложения MyDSS #

Запустите установленное приложение MyDss. Для начала работы вам предложат от сканировать QR-код. Приложение отправит запрос на доступ к камере телефона, нажмите Разрешить. Возьмите бланк сертификата, выданного вам в УЦ и отсканируйте напечатанный QR-код. Укажите имя сохраняемого ключа(Оно может быть любым, например: «Облачная подпись для Торгов»). Так же вам потребуется выбрать способ подтверждения (без пароля, пароль, отпечаток пальца, face ID). После всех этих действий приложение будет готово к работе.