” IPsac on GHOST” and “ipsec”

Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.

В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.

  • Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
  • Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
  • Обзор возможностей СКЗИ КриптоПро CSP 5.0;
  • Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.

Участие в мероприятии бесплатное, необходима регистрация.

КриптоПро IPsec – комплексное решение, которое реализует набор протоколов IPsec в соответствии с особенностями использования отечественных криптографических алгоритмов  на основе библиотек КриптоПро IKE, ESP, AH

КриптоПро IPsec предназначен для обеспечения:

  • аутентичности сторон взаимодействия, указанных в политике IPsec (правилах IPsec), при использовании совместно с МЭ;
  • конфиденциальности и аутентичности передаваемой по VPN или ЛВС конфиденциальной информации в режиме мандатного шифрования без применения дополнительных МЭ;
  • конфиденциальности и аутентичности передаваемой по VPN или ЛВС конфиденциальной информации между некоторыми, выделенными, сторонами взаимодействия при встраивании в состав МЭ или приложений;
  • аутентичности сторон голосовых конференций или видеоконференций, в которых нет обмена конфиденциальной информацией

Западные специалисты по криптографии продолжают выдавать сомнительные материалы по взлому ГОСТ 28147-89. Что, в общем-то, логично в свете прохождения процедуры получения международного статуса алгоритма. В это время КриптоПро разработали «КриптоПро IPsec», который реализует набор протоколов IPsec с привязкой криптобиблиотек КриптоПро IKE, ESP, AH. В качестве СКЗИ использует знакомый многим КриптоПро CSP. Новость хоть и не очень свежая, зато очень важная для рынка. Фраза: «Теперь есть IPsec на ГОСТе» – звучит очень хорошо, т. частично решена коллизия по использованию только российской криптографии. Согласно описанию продукта:Разработка пакета “КриптоПро IPsec” была выполнена по техническому заданию, согласованному с ФСБ России. Обеспечивает защиту пакетов в канале на базе ГОСТ 28147-89, включая шифрование и имитозащиту. Аутентификация участников осуществляется на ключах подписи, в соответствии с ГОСТ Р 34. 10-2001, ГОСТ Р 34. 11-94. »Не так давно коллеги даже провели тестирование с целью подтверждения того, что интеграция пакета средств защиты “КриптоПро IPsec” с межсетевым экраном Microsoft ISA Server 2006 (имеющим сертификат ФСТЭК на соответствие требованиям по 4 и 3 классу межсетевых экранов) позволяет обеспечить выполнения требования приказа ФСТЭК №58, в части обеспечения защиты передаваемых персональных данных по каналам связи и межсетевого экранирования. Тестирование прошло успешно. Непонятно зачем это было делать, ведь вопрос находится исключительно в правовой плоскости и здесь действительно все хорошо. Формально сертификаты все закрывают. Более того, КриптоПро IPsec находится на этапе сертификации в ФСБ России. На сегодняшний момент ряд решений использует именно технологию IPsec ГОСТ, например Stonesoft и S-terra, что приносит выбор для конечных пользователей, которым необходимо выполнить требования по защите согласно требований регулирующих органов России. В любом случае решение нужное, можно даже сказать – необходимое, т. раньше отсутствие «IPsec на ГОСТе» было большой проблемой.

Наша общая работа направлена на совершенствование комплексных конкурентоспособных отечественных решений в корпоративной мобильности.

КриптоПро NGate – это универсальный высокопроизводительный шлюз удаленного доступа и VPN на базе протокола TLS, позволяющий быстро и безопасно организовать защищённый доступ удалённых пользователей, в том числе с мобильных устройств, к информационным ресурсам через незащищённые сети, например, сеть Интернет. NGate включен в Единый реестр российского ПО и обладает сертификатами ФСБ России, планируется сертификация для мобильной ОС Аврора.

ОС Аврора – российская мобильная доверенная операционная система для корпоративного рынка, на которой успешно создаются и используются доверенные решения, технологии защиты информации и коммуникаций для мобильных рабочих мест в государственных структурах и крупных коммерческих организациях. ОС Аврора включена в Единый реестр российского ПО и сертифицирована ФСТЭК России и ФСБ России.

Клиентское ПО КриптоПро NGate тесно интегрировано в ОС Аврора и позволяет защитить передаваемую информацию (в том числе персональные данные) в соответствии с требованиями законодательства по информационной безопасности при удаленном доступе с мобильных устройств к внутренним ресурсам, государственным информационным системам, объектам КИИ, государственным порталам и веб-сайтам организаций и т. При этом, поддерживаются все имеющиеся варианты аутентификации пользователей, множество различных ключевых носителей для надежного хранения клиентских сертификатов, а также работа как с использованием новейших российских, так и зарубежных криптографических алгоритмов.

“Появление такого защищенного отечественного мобильного решения позволяет существенно повысить уровень безопасности и удобства использования мобильных устройств при доступе к информационным системам и данным любой степени конфиденциальности, а также реализовывать цели государства в сфере импортозамещения высокотехнологичной продукции”, – прокомментировал Павел Луцик, директор по развитию бизнеса и работе с партнерами “КриптоПро”.

“Для нас, разработчика доверенной мобильной ОС Аврора, безопасность на первом месте. И мы с нашими партнерам предоставляем максимальный набор средств обеспечения этой безопасности, чтобы наши заказчики могли выбирать наиболее подходящие для них инструменты», – комментирует коммерческий директор компании “Открытая мобильная платформа” Михаил Писарев.

IPsec — это набор протоколов по защите информации в сети, который позволяет подтверждать подлинность участников сетевого обмена, контролировать конфиденциальность и целостность сетевых пакетов.

КриптоПро IPsec — комплексное решение, которое реализует набор протоколов IPsec в соответствии с особенностями использования отечественных криптографических алгоритмов, на основе библиотек КриптоПро IKE, ESP, AH, используя в качестве СКЗИ КриптоПро CSP начиная с версии 3. 6 R2 с возможным использование смарт-карт и USB-токенов.

– аутентичности сторон взаимодействия, указанных в политике IPsec (правилах IPsec), при использовании совместно с МЭ;

– конфиденциальности и аутентичности передаваемой по VPN или ЛВС конфиденциальной информации в режиме мандатного шифрования без применения дополнительных МЭ;

" IPsac on GHOST" and "ipsec"

– конфиденциальности и аутентичности передаваемой по VPN или ЛВС конфиденциальной информации между некоторыми, выделенными, сторонами взаимодействия при встраивании в состав МЭ или приложений;

– аутентичности сторон голосовых или видеоконференций, в которых нет обмена конфиденциальной информации.

Возможно применение КриптоПро IPsec в трех базовых сценариях:

– «точка-сеть» («точка-точка», «подключение удаленного доступа», «client-to-site»), когда клиент подключается к серверу удаленного доступа, связь между которым и локальной сетью назначения идет через сеть общего доступа;

– «сеть-сеть» («маршрутизатор-маршрутизатор», «site-to-site»), когда две (или более) доверенные сети обмениваются внутренними данными через общедоступную, сеть;

– «изоляция группы» компьютеров или всего домена в локальной сети.

КриптоПро IPsec применяется для:

– защиты подключений удалённых пользователей или малых офисов (VPN);

– защиты соединений между шлюзами корпоративной вычислительной сети (Site-to-Site VPN);

– защиты передачи конфиденциальной информации в ЛВС от нарушителей не являющихся пользователями автоматизированных систем, но имеющим физический доступ к ЛВС и нарушителей являющихся пользователями ЛВС, но не имеющих необходимых полномочий.

КриптоПро IPSec функционирует в следующих операционных системах:

– Windows XP (ia32);

– Windows Vista (ia32, x64);

– Windows Server 2008 R2.

КриптоПро IPsec совместим с любыми МЭ и сетевым оборудованием реализованным с использованием библиотек КриптоПро IPsec API, входящих в состав СКЗИ КриптоПро CSP версии 3. 6 R2 и выше. Также КриптоПро IPsec успешно функционирует в составе существующих МЭ, таких как:

– Microsoft Internet Security and Acceleration (ISA) Server;

– и другие поддерживающие реализацию IPsec в Windows.

Проверка подлинности участников сетевого обмена происходит с помощью:

– Предварительно сформированных ключей (PSK);

– Сертификатов, в рамках инфраструктуры открытых ключей (закрытые ключи могут быть расположены на различных ключевых носителях: смарт-карта, USB-токен и т.

В процессе управления ключами УЦ имеет возможность отзыва выпущенных им сертификатов, что необходимо для досрочного прекращения их действия, например, в случае компрометации ключа. Процедура проверки ЭЦП предусматривает помимо подтверждения ее математической корректности еще и построение, и проверку цепочки сертификатов до доверенного УЦ, а также проверку статусов сертификатов в цепочке.

Таким образом, проверка статусов сертификатов важна для приложений, использующих ИОК, поскольку, например, принятие к обработке подписанного ЭЦП документа, соответствующий сертификат ключа подписи которого аннулирован, может быть впоследствии оспорено и привести к финансовым потерям.

В ОС Microsoft Windows встроена поддержка технологии ИОК. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.

По умолчанию CryptoAPI осуществляет проверку статусов сертификатов с использованием СОС (CRL). СОС представляет собой список аннулированных или приостановленных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени.

Читайте также:  Криптопро в Archlinux

Архитектура CryptoAPI предоставляет возможность подключения внешнего модуля проверки статуса сертификата – Revocation Provider.

КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в ОС Windows.

КриптоПро Revocation Provider, будучи установлен в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причём менять что-либо в самих приложениях не требуется. Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом. Проверка сертификата в реальном времени по протоколу OCSP обеспечивает большую безопасность по сравнению с СОС.

Схема встраивания Revocation Provider в ОС представлена на рисунке.

Чтобы обеспечить использование протокола OCSP для проверки статусов сертификатов, используемых в конкретной информационной системе, необходимо, чтобы в данной системе работал сервер OCSP.

В качестве сервера OCSP для КриптоПро Revocation Provider можно использовать КриптоПро OCSP Server.

КриптоПро Revocation Provider функционирует в операционных системах Microsoft Windows, как англоязычных, так и локализованных.

КриптоПро Revocation Provider:

  • Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы.
  • Не требует модификации приложений для использования своих возможностей.
  • Уменьшает риск стать жертвой мошенничества или понести ответственность.
  • Совместим с серверными приложениями.
  • Автоматически проверяет статусы сертификатов OCSP-серверов.
  • Поддерживает расширение . Если такое расширение присутствует в сертификате сервера, то статус этого сертификата не проверяется.
  • Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим Центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
  • Настраивается через групповые политики.
  • Даёт возможность настройки доверия к конкретным OCSP-серверам.
  • При невозможности проверки сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
  • Может осуществлять соединения по защищённому протоколу TLS (SSL).
  • Устанавливается с помощью Windows Installer.

Как вызывается Revocation Provider

Будучи установленным в системе, Revocation Provider вызывается для проверки сертификата(ов) при каждом вызове функции CryptoAPI CertVerifyRevocation. Фактически, все параметры этой функции передаются без изменений в Revocation Provider. Помимо непосредственного вызова, эта функция, а значит и Revocation Provider, вызывается неявно внутри функций CertGetCertificateChain и WinVerifyTrust.

Как работает Revocation Provider

Когда приложение, работающее с CryptoAPI, вызывает функцию проверки статуса сертификата, в Revocation Provider передаётся этот сертификат вместе с рядом дополнительных параметров.

Revocation Provider, получив на проверку сертификат, создаёт OCSP-запрос на данный сертификат и обращается к одной или нескольким службам OCSP с этим запросом. При получении OCSP-ответа, осуществляет его проверку. Если ответ проходит проверку и содержит статус сертификата good или revoked, в отличие от unknown (см. RFC2560), то на этом проверка заканчивается и полученный статус возвращается приложению. Если же ответ содержит статус unknown или не проходит проверку, то происходит обращение по следующему адресу.

Очерёдность обращения к службам OCSP определяется следующим образом:

  • По расширению AIA (AuthorityInformationAccess) в сертификате. Среди различных точек AIA выбирает те, к которым указан метод доступа по протоколу OCSP, обращения к ним происходят по очереди их расположения в сертификате.
  • Если ни по одному из адресов OCSP-серверов, указанных в расширении AIA сертификата, не удаётся получить удовлетворяющий этим условиям ответ, или если таких адресов в сертификате не указано, то Revocation Provider пробует обратиться за статусом к OCSP-серверу, адрес которого задан групповой политикой, если она определена.

Если на предыдущих шагах не удаётся получить удовлетворяющем описанным условиям ответ, то сертификат передаётся на проверку в Microsoft Revocation Provider, входящий в состав ОС Windows. Microsoft Revocation Provider осуществляет проверку данного сертификата с использованием СОС. Полученный статус сертификата возвращается приложению.

КриптоПро Revocation Provider использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.

В состав ПАК “КриптоПро OCSP” входят следующие компоненты:

  • КриптоПро OCSP Server;
  • КриптоПро OCSP Client;
  • КриптоПро Revocation Provider.

Структурная схема компонент ПАК “КриптоПро OCSP” отражена на рисунке ниже.

КриптоПро OCSP Server

  • Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL);
  • Поддерживает развёртывание нескольких экземпляров службы на одном компьютере;
  • Может получать информацию о статусах сертификатов из следующих источников:
    папка с одним или несколькими списками отозванных сертификатов (CRL);база данных Центра Регистрации ПАК “КриптоПро УЦ”;база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
  • папка с одним или несколькими списками отозванных сертификатов (CRL);
  • база данных Центра Регистрации ПАК “КриптоПро УЦ”;
  • база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК “КриптоПро УЦ”), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
  • Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов;
  • Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ “КриптоПро CSP”, другой – с использованием криптопровайдера “Microsoft Base CSP”.
  • Устанавливается с помощью Windows Installer.

При совместной работе ПАК “КриптоПро УЦ” и ПАК “КриптоПро OCSP Server” для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК “КриптоПро УЦ”. Подробнее о данном режиме можно узнать здесь.

КриптоПро OCSP Client

“КриптоПро OCSP Client” представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. “КриптоПро OCSP Client” не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции “КриптоПро OCSP Client” в установочный пакет другого продукта включены в комплект средств разработки “КриптоПро PKI SDK” вместе с соответствующим руководством разработчика.

В состав ПАК “КриптоПро OCSP” входит приложение КриптоПро OCSPUTIL, предназначенное для работы с протоколом OCSP в командной строке. Данное приложение позволяет создавать OCSP-запросы, получать OCSP-ответы, сохранять запросы и ответы в файлы, обрабатывать их. КриптоПро OCSPUTIL для выполнения своих функций использует “КриптоПро OCSP Client”, и содержит эту программную библиотеку в своём установочном пакете.

КриптоПро Revocation Provider

В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.

По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.

Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт “КриптоПро Revocation Provider”, который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows. При этом менять что-либо в самих приложениях не требуется. “КриптоПро Revocation Provider” вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.

Схема встраивания “КриптоПро Revocation Provider” в операционные системы семейства Microsoft Windows представлена на рисунке:

Основные характеристики “КриптоПро Revocation Provider”:

  • Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.
  • Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.
  • Автоматически проверяет статусы сертификатов OCSP-серверов.
  • Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
  • Настраивается через групповые политики.
  • Даёт возможность настройки доверия к конкретным OCSP-серверам.
  • При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
  • Может осуществлять соединения по защищённому протоколу TLS (SSL).
  • Устанавливается с помощью Windows Installer.
Читайте также:  Как получить электронную подпись для ЕГАИС инструкция - Моя подпись

Загрузить “КриптоПро Revocation Provider”.

Операционная платформа компонент ПАК “КриптоПро OCSP”

Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).

КриптоПро DSS 2. 0 обеспечивает:

Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2. 1 части 5 статьи 8 Федерального закона “Об электронной подписи”, и до осуществления подтверждения соответствия КриптоПро DSS 2. 0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2. 2 статьи 15 Федерального закона “Об электронной подписи”.

Поддерживаемые форматы электронной подписи

  • Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
  • Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
  • Подпись XML-документов (XMLDSig);
  • Подпись документов PDF;
  • Подпись документов Microsoft Office.

Требования к окружению

КриптоПро DSS 2. 0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.

При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

  • создание пользователя;
  • блокирование и удаление пользователя;
  • генерация ключа электронной подписи пользователя;
  • формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
  • установку полученного сертификата пользователю;
  • настройку параметров аутентификации пользователей;
  • аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
  • сброс пароля в случае его утраты пользователем.

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2. 0 может реализовывать следующие способы аутентификации пользователя:

  • криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
  • двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
  • двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) “КриптоПро Центр Мониторинга” для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2. 0» для работы с квалифицированной электронной подписью

КриптоПро CSP 5. 0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5. 0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Назначение КриптоПро CSP

  • Формирование и проверка электронной подписи.
  • Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
  • Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
  • Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые алгоритмы

В КриптоПро CSP 5. 0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Электронная подпись
ГОСТ Р 34. 10-2012 (ГОСТ 34. 10-2018), ECDSA, RSA

Хэш-функции
ГОСТ Р 34. 11-2012 (ГОСТ 34. 11-2018), SHA-1, SHA-2

Шифрование
ГОСТ Р 34. 12-2015 (ГОСТ 34. 12-2018), ГОСТ Р 34. 13-2015 (ГОСТ 34. 13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Поддерживаемые технологии хранения ключей

В криптопровайдере КриптоПро CSP 5. 0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5. 0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами и защищенным обменом сообщениями поддерживаемых КриптоПро CSP 5. 0 R2

Компания

Носитель

Актив

Рутокен ЭЦП 2. 0 3000 (USB, Type-C, micro)

Смарт-карта Рутокен ЭЦП 3. 0

Инфокрипт

InfoCrypt Token++

СмартПарк

Форос 2. Базис

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2. 0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5. 0 R2

Компания Носитель
ISBC Esmart Token ГОСТ
Актив Рутокен PINPad
Рутокен ЭЦП (USB, micro, Flash)
Рутокен ЭЦП 2. 0 (USB, micro, Flash, Touch)
Рутокен ЭЦП 2. 0 2100 (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 2151
Рутокен ЭЦП PKI (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 Bluetooth
Рутокен TLS (исполнение 1)
Смарт-карта Рутокен ЭЦП SC
Смарт-карта Рутокен ЭЦП 2. 0 2100
Смарт-карта Рутокен ЭЦП 2. 0 2151
Аладдин Р. JaCarta-2 ГОСТ, JaСarta SF/ГОСТ
JaCarta-2 SE/PKI/ГОСТ
Инфокрипт InfoCrypt Token++ TLS
InfoCrypt VPN-Key-TLS

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5. 0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р. , Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5. 0 R2

Компания Носитель
AliothSCOne Series (v5/v6)
Gemalto Optelio Contactless Dxx Rx
Optelio Dxx FXR3 Java
Optelio G257
Optelio MPH150
ISBC Esmart Token
MorphoKSTMorphoKST
NovaCardCosmo
Rosan G&D element V14 / V15
G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80
Kona 2200s / 251 / 151s / 261 / 2320
Kona2 S2120s / C2304 / D1080
SafeNet eToken Java Pro JC
eToken 4100
eToken 5100
eToken 5110
eToken 5105
eToken 5205
Актив Рутокен S
Рутокен КП
Рутокен Lite
Смарт-карта Рутокен Lite
Аладдин Р. JaCarta ГОСТ
JaCarta PKI
JaCarta PRO
JaCarta LT
DallasTouch Memory (iButton) DS199x
ИнфокриптInfoCrypt Token++ lite
Мультисофт MS_Key исп. 8 Ангара
MS_Key ESMART исп. 5
СмартПарк Форос
Форос 2
R301 Форос
Оскар
Оскар 2
Рутокен Магистра

Инструменты КриптоПро

В составе КриптоПро CSP 5. 0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

  • Офисный пакет Microsoft Office
  • Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
  • Продукты Adobe
  • Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
  • Средство формирования и проверки подписи приложений Microsoft Authenticode
  • Веб-серверы Microsoft IIS, nginx, Apache
  • Средства удаленных рабочих столов Microsoft Remote Desktop Services
  • Microsoft Active Directory
Читайте также:  Shumaher’s_Blog » Как восстановить подключение к сетевым дискам в Windows

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

  • КриптоПро УЦ
  • Службы УЦ
  • КриптоПро ЭЦП
  • КриптоПро IPsec
  • КриптоПро EFS
  • КриптоПро .NET
  • КриптоПро Java CSP
  • КриптоПро NGate

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

  • Microsoft Windows
  • macOS
  • Linux
  • FreeBSD
  • Solaris
  • AIX
  • iOS
  • Android
  • Sailfish OS
  • Аврора
  • Intel, AMD
  • PowerPC
  • ARM (в т.ч. Байкал-М, Apple M1)
  • MIPS (Байкал-Т)
  • VLIW (Эльбрус)
  • Sparc
  • Microsoft Hyper-V
  • VMWare
  • Oracle Virtual Box
  • RHEV

Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.

Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

  • Microsoft CryptoAPI
  • OpenSSL engine
  • Java CSP (Java Cryptography Architecture)
  • Qt SSL

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Регулирующие документы

При просмотре документации КриптоПро в Adobe Reader или Adobe Acrobat наверху появляется странное сообщение. Что это такое?

Adobe Reader или Adobe Acrobat сообщает, что статус подписи НЕОПРЕДЕЛЕНА (UNKNOWN). Как я могу проверить подпись?

Нужно ли мне покупать лицензию на программы КриптоПро PDF и КриптоПро CSP для того, чтобы проверять подписи в документации КриптоПро?

Что означает статус подписи?

Что означает “Сертификат недоверенный (Untrusted)”?

Как я могу посмотреть подробную информацию о подписи?

У меня в программе Adobe Acrobat есть разные виды подписи. Что такое сертифицирующая подпись? Какие вообще бывают подписи?

Как и почему функциональность КриптоПро PDF отличается для Adobe Reader и Adobe Acrobat? Можно ли создать подпись в программе Adobe Reader?

У меня нет программы Adobe Acrobat. Как я могу попробовать создать подпись с помощью КриптоПро PDF в программе Adobe Reader?

При просмотре документации КриптоПро в Adobe Reader или Adobe Acrobat наверху появляется странное сообщение. Что это такое?

Часть нашей документации в формате PDF подписана усовершенствованной ЭП. Если Вы не изменяли настройки программы Adobe Reader или Adobe Acrobat, то при открытии подписанного документа происходит проверка всех содержащихся в нем электронных цифровых подписей. В данном случае это проверка усовершенствованной электронной цифровой подписи КриптоПро. Результат такой проверки и выводится в сообщении, которое Вы видите.

Для подписи документации КриптоПро используется усовершенствованная ЭП. Метод проверки ЭП, встроенный в Adobe Acrobat, не умеет проверять такие подписи. Для проверки усовершенствованной ЭП в документации КриптоПро следует использовать продукт КриптоПро PDF, который представляет собой встраиваемый модуль для Adobe Reader (версии 8, 9, X, XI или DC) или Adobe Acrobat (версии 8, 9, X, XI или DC всех вариантов исполнения).

Для функционирования КриптоПро PDF также должно быть установлено средство криптографической защиты информации КриптоПро CSP версии 3. 6 или выше.

Для проверки подписи в программе Adobe Reader не требуется покупать и устанавливать лицензии для продуктов КриптоПро PDF и КриптоПро CSP.

Для проверки усовершенствованной ЭП в документации КриптоПро следует:

  • Установить КриптоПро CSP;
  • Установить КриптоПро PDF;
  • Установить набор корневых сертификатов.

По умолчанию при открытии документа проверяются все имеющиеся в нем ЭП.

Чтобы проверить подпись в документе вручную следует:

  • Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
  • Выбрать ЭП, которую следует проверить, и нажать правую кнопку мыши;
  • В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).

Выбранная подпись будет подвергнута проверке и появится окно с результатом проверки подписи.

Подпись может иметь один из следующих статусов:

ОбозначениеСтатусОписание
ДЕЙСТВИТЕЛЬНАПодписанные данные не были изменены с момента подписания. ДЕЙСТВИТЕЛЬНАПодписанные данные не были изменены с момента подписания. Однако в сам документ были внесены изменения. НЕДЕЙСТВИТЕЛЬНАПодписанные данные документа были изменены или повреждены после подписания. НЕОПРЕДЕЛЕНАПодписанные данные не были изменены с момента подписания. Однако сертификат подписавшего определен как недоверенный. НЕОПРЕДЕЛЕНАПодписанные данные не были изменены с момента подписания, но в сам документ были внесены изменения. И сертификат подписавшего определен как недоверенный. НЕОПРЕДЕЛЕНАНа стадии проверки подписи возникли ошибки.

Сертификат считается доверенным (Trusted), если одновременно выполняются следующие условия:

  • Сертификат имеет корректную ЭП центра сертификации, выдавшего сертификат.
  • Сертификат актуален на текущую дату по сроку действия.
  • Сертификат центра сертификации, выдавшего сертификат, установлен в хранилище (ROOT) доверенных корневых сертификатов Windows.
  • Сертификат отсутствует в актуальном на текущую дату списке отозванных сертификатов.

Если хотя бы одно из этих условий не выполнено, сертификат считается недоверенным.

Окно с информацией о подписи можно вызвать следующим образом:

  • Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
  • Выбрать ЭП, информацию о которой нужно посмотреть, и нажать правую кнопку мыши;
  • В открывшемся контекстном меню выбрать пункт Show Signature Properties.

Компания Adobe в своих продуктах разделяет подписи на ЭП (в документации Adobe такие подписи называются цифровыми) и подписи от руки.

Подпись от руки представляет собой сделанную вручную пометку на странице, аналогичную рисунку произвольной формы, созданному при помощи инструмента “Карандаш”. Подпись от руки не имеет никакого отношения к ЭП и не отображается на панели “Подписи”.

Электронные подписи делятся на подписи для утверждения и сертифицирующие. Оба вида подписей позволяют утвердить содержимое файла PDF. Но сертифицирующая подпись обеспечивает более высокий уровень управления документом. С ее помощью можно указать допустимые типы изменений, при внесении которых документ останется сертифицированным.

Предположим, что государственной службе необходимо создать форму с полями подписи. Когда форма закончена, служба сертифицирует документ, позволяя пользователям изменять только поля формы и подписывать документ. Пользователи могут заполнять форму и подписывать документ подписью для утверждения. Однако при удалении страниц и добавлении комментариев документ утрачивает существующее сертифицированное состояние.

Описание различных типов подписей в программах Adobe приведено в таблице:

Вид подписиОтображение в документеОписаниеОбычная подпись (подпись для утверждения)Подпись отображается ввиде поля подписив документе, и на панели “Подписи”. Может использоваться длямногократного подписания документа PDF несколькими людьми. Сертифицирующая подписьДокумент может бытьсертифицирован как с видимой, так и без видимой подписи. В первом случае подпись будет отображаться в виде поля подписи в документе и на панели “Подписи”. Во втором случае подпись будет отображаться только на панели “Подписи”. Удостоверяет документ PDF. Может применяться только в том случае, если документ PDF не содержит других подписей. Позволяет указывать типы изменений, разрешенных для документа (добавление комментариев, заполнение форм или добавление обычных подписей) или запретить любые дальнейшие изменения. Подпись от руки Рисунок в документе. Не имеет никакого отношения к ЭП.

Отличия в возможностях работы с электронной подписью в программах Adobe Reader и Adobe Acrobat обусловлены особенностями функционирования этих программ (такова политика их производителя – компании Adobe) и никак не связаны с работой модуля КриптоПро PDF.

Возможности                    Adobe Acrobat (Standard, Pro) Adobe Acrobat Reader  Сертификация документа PDF (видимой подписью или без видимой подписи)ДаНетСоздание электронной подписи в документе PDF ДаДа,в версиях 11. 07 и выше, DC. В версиях 8, 9, X, XI (до версии 11. 07)   —  при предоставлении расширенного доступа к документу. Проверка электронной подписи в документе PDFДаДаАвтоматизация создания и проверки электронных подписей с помощью технологии OLE (см. ЖТЯИ. 00064-01 90 02. КриптоПро PDF. Руководство по автоматизации создания и проверки электронных подписей). ДаНет

К документам PDF с расширенным доступом относятся PDF-формы, предназначенные для заполнения пользователями в Adobe Reader или PDF-файлы, с которыми проведена операция расширения доступа. Операция расширения доступа или создания PDF-формы может быть осуществлена над произвольным документом PDF, при этом сам документ PDF может быть создан любым доступным способом.

Такая операция доступна в Adobe Acrobat редакций Professional и Pro. Обратите внимание, что в Adobe Acrobat редакции Standard операция расширения доступа присутствует в усеченном виде, и ее проведение не даст пользователям Adobe Reader возможности создания или добавления подписи.

Более подробную информацию о создании подписи можно получить на сайте компании Adobe: для Adobe Acrobat и для Adobe Reader.

У меня нет программы Adobe Acrobat. Как я могу попробовать создать подпись с помощью КриптоПро PDF в программе Adobe Reader?

Для создания ЭП в программе Adobe Reader Вам необходим документ PDF с расширенным доступом.

Для тестовых целей такой документ доступен здесь.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector