КриптоПро блокчейн и Яндекс. Браузер

Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.

В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.

• Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
• Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
• Обзор возможностей СКЗИ КриптоПро CSP 5.0;
• Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.

Участие в мероприятии бесплатное, необходима регистрация.

В качестве RFC 9189 опубликован документ “GOST Cipher Suites for Transport Layer Security (TLS) Protocol Version 1. 2”, разработанный под руководством заместителя генерального директора КриптоПро Станислава Смышляева, начальника отдела криптографических исследований Евгения Алексеева, а также Дмитрия Белявского.

Документ определяет российские криптонаборы протокола TLS версии 1. 2, ранее внесенные в реестр IANA и применяющие стандартизированный на международном уровне режим работы блочных шифров со встроенной сменой ключа CTR-ACPKM. В работе над документом принимали участие Лидия Никифорова, а также Екатерина Грибоедова, Григорий Седов и Дмитрий Еремин-Солеников.

Данные криптонаборы уже реализованы в наиболее современной версии КриптоПро CSP 5. 0 R2 и готовы для применения как на серверной, так и на клиентской стороне.

Сертифицированное СКЗИ «КриптоПро CSP» версии 5. 0 R2 теперь поддерживает совместную работу с Яндекс. Браузером (для обеспечения защиты соединений по протоколу TLS с использованием российских криптографических алгоритмов при доступе к сайтам).

Данное изменение внесено в СКЗИ «КриптоПро CSP» версии 5. 0 R2 в соответствии с Извещениями об изменениях ЖТЯИ. 00101-02. 1-2021, ЖТЯИ. 00102-02. 1-2021, ЖТЯИ. 00103-02. 1-2021 и изучено в рамках тематических исследований, по результатам которых ООО «КРИПТО-ПРО» письмом № 149/3/2/2-2541 от 06. 2021 получило выписку из положительного заключения ФСБ России.

В соответствии с указанной выпиской СКЗИ «КриптоПро CSP» версии 5. 0 R2 поддерживает создание защищенного соединения при работе с веб-браузером Яндекс. Браузер без проведения дополнительных тематических исследований и исследований по оценке влияния при условии выполнения требований эксплуатационной документации согласно формулярам.

Не все что не запрещено — разрешено!

Все, что связано с криптографией в России, находится под надзором Федеральной службы безопасности (ФСБ). По мнению экспертов российского рынка корпоративного блокчейна, у ФСБ есть процесс сертификации для компаний, занимающихся блокчейном. Сертификация блокчейна ФСБ в России может стоить более 100 000 долларов США и занимать более года.

В прошлом году консорциум Fintech Association, возглавляемый Банком России, сообщил о получении сертификата для Masterchain, его блокчейна для банков. Процесс занял около трех лет, и это еще не конец истории.

Ассоциация Fintech работает над получением еще одного сертификата от ФСБ, на этот раз для конкретного продукта на Masterchain. В дальнейшем любая новая итерация и реализация кода с использованием криптографических элементов должна проходить через этот процесс.

Другие российские корпоративные блокчейн-проекты, в том числе Waves и Bitfury’s Exonum, все еще работают над получением сертификата — и им также может понадобиться больше года.

Процесс сертификации ФСБ бросает вызов безграничной возможности технологии блокчейн двумя способами. Во всем мире Россия пытается заставить криптографическое сообщество принять свой алгоритм шифрования в качестве стандарта. Внутри страны индустрия блокчейнов пытается выяснить, что делать с продуктом, который иностранные партнеры неохотно используют.

7 октября было получено положительное заключение ФСБ России по результатам экспертизы тематических исследований СКЗИ (средства криптографической защиты информации) Мастерчейна — блокчейн-платформы, разработанной Ассоциацией ФинТех (АФТ) совместно с компанией «КриптоПро», участниками финансового рынка и Банком России.

Мастерчейн стал первой сертифицированной платформой, которая использует российские стандарты криптографии и соответствует требованиям информационной безопасности. В состав СКЗИ «Мастерчейн» версии 1. 0 входит узел блокчейна, а также система передачи конфиденциальных сообщений (СПКС).

Исследование информационной безопасности было выполнено лицензированной лабораторией «КриптоПро». В процессе проведения исследований были выработаны методы анализа выполнения требований информационной безопасности для систем на базе технологии распределенных реестров.

Кроме сертификации СКЗИ «Мастерчейн» было также проведено исследование корректности встраивания СКЗИ «Мастерчейн» в децентрализованную депозитарную систему (ДДС), по результатам экспертизы которого было подписано заключение с положительными выводами.

Управляющий директор Ассоциации ФинТех Татьяна Жаркова отметила: «Сертификация Мастерчейна позволяет говорить о готовности платформы к промышленной эксплуатации. Сейчас запускается ДДС для учета электронных закладных для участников Ассоциации ФинТех».

Первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев прокомментировал: «Выполнение всех требований информационной безопасности платформы Мастерчейн говорит о готовности технологии блокчейн к практическому использованию в финансовом секторе. Этот результат важен не только для самой платформы Мастерчейн, но и для развития технологии распределенных реестров в целом».

Заместитель генерального директора «КриптоПро» Станислав Смышляев пояснил: «Платформа Мастерчейн изначально была спроектирована для выполнения требований по информационной безопасности. Учитывая первый опыт создания сертифицированных блокчейн-платформ, „КриптоПро“ совместно с Ассоциацией ФинТех участвовали также и в подготовке технологических решений. Такой подход позволил получить платформу, которая одновременно соответствует поставленным функциональным требованиям участников рынка и требованиям информационной безопасности».

Общие сведения

КриптоПро. NET – программный продукт, позволяющий использовать средство криптографической защиты информации (СКЗИ) КриптоПро CSP на платформе Microsoft. NET Framework. КриптоПро. NET является новой версией существовавшего ранее программного продукта КриптоПро Sharpei и реализует набор интерфейсов для доступа к криптографическим операциям. NET Cryptographic Provider:

• хэширование;
• подпись;
• шифрование;
• MAC;
• генерация ключей и т.д.

Кроме того КриптоПро. NET позволяет использовать стандартные классы Microsoft для высокоуровневых операций:

• разбор сертификата;
• построение и проверка цепочки сертификатов;
• обработка CMS сообщений;
• XML подпись и шифрование.

КриптоПро. NET состоит из двух частей:

• КриптоПро .NET – клиентский модуль для ОС Windows;
• КриптоПро .NET SDK – комплект разработчика, состоящий из документации, примеров и библиотек.

КриптоПро. NET обеспечивает применение всех алгоритмов, реализуемых КриптоПро CSP.

Сценарии использования

• Разработка приложений и веб-сервисов, в которых требуется использование российских криптоалгоритмов, на .NET Framework;
• Подпись и проверка подписи SOAP сообщений для взаимодействия информационных систем в единой системе межведомственного электронного взаимодействия;
• Пакетная подпись документов XPS и Microsoft Office (соответствующие примеры кода входят в состав КриптоПро .NET SDK);
• Подпись и проверка подписи с использованием Microsoft XPS Viewer;
• Защита соединений Microsoft Lync 2010 с использованием российских криптоалгоритмов;
• Использование российских криптоалгоритмов в службах федеративной аутентификации (AD FS, WIF, CardSpace и т.п.).

Документация

Документация на КриптоПро. NET SDK включена в дистрибутив и доступна на портале для разработчиков cpdn.

Вопросы встраивания и использования можно обсудить на форуме.

Лицензирование

Существует два вида лицензий КриптоПро. NET:

• Клиентская лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением клиентской версии ОС Windows (XP/Vista/7/8/8.1/10);
• Серверная лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением серверной версии ОС Windows (2003/2003 R2/2008/2008 R2/2012/2012 R2/2016/2019).

КриптоПро. NET SDK распространяется на бесплатной основе в составе КриптоПро SDK.

Системные требования

КриптоПро. NET функционирует на платформах Microsoft Windows 2000 и выше (x86 и x64) под управлением Microsoft. NET Framework 2. 0 и выше и требует установленного КриптоПро CSP версии 2. 0 и выше.

Для КриптоПро. NET SDK требуется наличие на компьютере установленного КриптоПро. NET.

Сертификаты

КриптоПро. NET использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.

Загрузить “КриптоПро. NET”

Заказать “КриптоПро. NET”

Модуль КриптоПро HLF, разработанный на базе сертифицированного СКЗИ КриптоПро CSP, обеспечивает возможность использования российских криптографических алгоритмов для реализации функций создания и проверки электронной подписи, шифрования/расшифрования данных в распределённых реестрах на основе Hyperledger Fabric v1.

При сертификации решений на основе Hyperledger Fabric v1. 4 с встроенным модулем КриптоПро HLF требуемые исследования будут ограничиваться проверками корректности использования в решении функций модуля КриптоПро HLF для реализации целевого функционала, а также проверками выполнения требований и рекомендаций по обеспечению информационной безопасности и защиты от несанкционированного доступа.

При этом проверки корректности реализации самих криптографических алгоритмов и работы с криптографическими ключами в процессе выполнения решением целевых функций в данном случае не требуются.

Основные функции

Модуль КриптоПро HLF обеспечивает:

• Реализацию интерфейса BCCSP
• Поддержку российских и межгосударственных стандартов в области криптографической защиты информации:
  ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» (ГОСТ 34.10-2018)ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования» (ГОСТ 34.11-2018)ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» (ГОСТ 34.12-2018, ГОСТ 34.13-2018)
• ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» (ГОСТ 34.10-2018)
• ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования» (ГОСТ 34.11-2018)
• ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» (ГОСТ 34.12-2018, ГОСТ 34.13-2018)
• Взаимодействие с сертифицированным ФСБ России СКЗИ КриптоПро CSP

Состав КриптоПро HLF

Модуль КриптоПро HLF содержит следующие компоненты:

• Плагин Golang, реализованный в виде библиотеки cpro.so — предоставляет интерфейс bccsp.BCCSP
• СКЗИ КриптоПро CSP — реализует российские криптографические алгоритмы в соответствии с интерфейсом СryptoAPI и обеспечивает управление ключевыми элементами системы
• Патч для Hyperledger Fabric v1.4, добавляющий идентификаторы алгоритмов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и т.д.

Использование интерфейса BCCSP

Плагин, входящий в состав КриптоПро HLF, предоставляет интерфейс bccsp. BCCSP, позволяющий использовать российские криптографические алгоритмы, реализованные в СКЗИ КриптоПро CSP.

Для возможности использования поддерживаемых российских и межгосударственных стандартов к репозиторию Hyperledger Fabric v1. 4 необходимо применить патч, добавляющий идентификаторы соответствующих алгоритмов.

Модуль КриптоПро HLF обеспечивает только реализацию программного интерфейса и должен работать совместно с СКЗИ «КриптоПро CSP», средствами которого реализуются криптографические алгоритмы и работа с ключевой информацией. Поэтому для корректной работы модуля КриптоПро HLF прежде всего необходимо установить и настроить СКЗИ «КриптоПро CSP» в соответствии с эксплуатационной документацией на него, сгенерировать или экспортировать ключевую информацию.

КриптоПро HLF для разработчика

Перейти в раздел с дистрибутивами и дополнительной информацией по использованию

Общее описание

КриптоПро PKI-Кластер — комплекс программного обеспечения для централизованного и унифицированного обмена сообщениями между различными компонентами PKI-инфраструктуры организации, обеспечивающей управление жизненным циклом сертификатов ключей проверки электронной подписи и применение электронной подписи.

КриптоПро PKI-Кластер используется для решения задачи интеграции различных информационных систем PKI-инфраструктуры в единый программный комплекс с применением сервис-ориентированного подхода.

Основной принцип: интеграция различных приложений путем установки коммуникационной шины (брокера сообщений) между ними и настройка «общения» этих приложений через шину. Шина отделяет приложения друг от друга, позволяя им коммуницировать независимо от других приложений и даже «не зная» о существовании друг друга.

Назначение КриптоПро PKI-Кластер

• Единый API для доступа к PKI-сервисам
• Понятный и удобный веб-интерфейс для Операторов и Пользователей
• Аутентификация и авторизация вызывающих сторон
• Гарантированная передача данных/сообщений между PKI-сервисами
• «Парсинг» входящих запросов и перенаправление их к целевым PKI-сервисами
• Интеграция со СМЭВ для проверки сведений заявителей
• Интеграция с корпоративными ИС для получения дополнительных данных (опционально)
• Поддержка отечественных криптографических алгоритмов в части взаимодействия по протоколу TLS
• Обеспечение информационной безопасности на всех этапах информационного взаимодействия
• Сбор данных и статистический анализ
• Балансировка нагрузки
• Централизованный мониторинг PKI-инфраструктуры

Потребители сервисов PKI-Кластера

• Пользователи
• Вызывающие информационные системы (Порталы, Личные кабинеты, СДО)
• Операторы выдачи сертификатов, Операторы аудита, Администраторы

Пользователи — владельцы сертификатов, обращающиеся непосредственно к PKI-инфраструктуре или посредством внешних ИС для создания/проверки ЭП и управления жизненным циклом сертификатов.

Вызывающие ИС — информационные системы, предоставляющие пользователям или другим системам возможности PKI-сервисов.

Оператор выдачи сертификатов — сотрудник, ответственный за идентификацию заявителя, проверку предоставленных сведений, направления запроса на создание/отзыв сертификата в УЦ, выдачу сертификата.

Оператор аудита — сотрудник, ответственный за сбор и анализ статистической информации, построение отчетов и осуществляющий мониторинг работоспособности PKI-инфраструктуры.

Администратор — сотрудник, ответственный за настройку системы, управление Операторами и вызывающими системами.

Компоненты PKI-Кластера

• Шлюз прикладного уровня
• Сервис обеспечения работы Операторов УЦ
• Сервис проверок
• Сервис взаимодействия с УЦ
• Центр Статистики

Интеграция с другими PKI-сервисами

• Сервис проверки ЭП
• Сервис штампов времени
• Сервис предоставления информации о статусе сертификата
• Сервис централизованного хранения КЭП и создания ЭП
• Сервис долгосрочно хранения документов
• Сервисы СМЭВ
• Системы учёта и управления ключевыми носителями

Дополнительные материалы

Документация
Дистрибутивы (для скачивания обязательна регистрация на сайте)

«Мастерчейн» представляет собой децентрализованную сеть обмена и хранения финансовой информации, построенную на модифицированном коде блокчейн-сети Ethereum и адаптированный к российским криптографическим требованиям.

Блокчейн-платформа «Мастерчейн» получила сертификат, удостоверяющий ее соответствие требованиям к средствам криптографической защиты информации. Проведение сертификации систем такого класса является первым для России опытом, и говорит о готовности технологии, использующей российские стандарты криптографии, к промышленному внедрению в финансовом секторе.

«Мастерчейн» – совместная разработка компании «КриптоПро» и Ассоциации развития финансовых технологий (ФинТех). «Мастерчейн» представляет собой децентрализованную сеть обмена и хранения финансовой информации, построенной на модифицированном коде блокчейн-сети Ethereum и адаптированный к российским криптографическим требованиям.

Первый релиз Средства криптографической защиты информации (СКЗИ) «Мастерчейн» вышел в 2016 году, а в последующие два года Ассоциация ФинТех работала над созданием пяти кейсов на этой платформе – проектами «Цифровые банковские гарантии», «Know Your Customer» («Знай своего клиента»), «Распределенный реестр цифровых банковских гарантий», «Цифровой аккредитив» и «Децентрализованная депозитарная система для учета закладных». Последний предполагается к запуску еще до конца октября.

О получении СКЗИ «Мастерчейн» версии 1. 0 положительного заключения ФСБ России по результатам тематических исследований компания КриптоПро сообщила в информационном письме, размещенном на ее официальном сайте. Сертификат ФСБ удостоверяет соответствие блокчейн-платформы требованиям криптографической защиты информации, требованиям к шифровальным (криптографическим) средствам, эксплуатируемым на территории России, а также к средствам электронной подписи.

ИБ-исследование выполняла лицензированная лаборатория «КриптоПро». В результате были выработаны методы анализа выполнения ИБ-требований для систем на базе технологии распределенных реестров.

Одновременно с сертификацией самой платформы был проведен контроль встраивания технологии в Децентрализованную депозитарную систему (ДДС), по результатам экспертизы которого было подписано заключение с положительными выводами.

Как заявила в беседе со СМИ управляющий директор Ассоциации ФинТех Татьяна Жаркова, проведенная сертификация «Мастерчейн» позволяет говорить о готовности платформы к промышленной эксплуатации.

Платформа «Мастерчейн» изначально была спроектирована для выполнения требований по информационной безопасности, – комментирует заместитель генерального директора «КриптоПро» Станислав Смышляев. Учитывая первый опыт создания сертифицированных блокчейн-платформ, «КриптоПро» совместно с Ассоциацией ФинТех участвовали также и в подготовке технологических решений. Такой подход позволил получить платформу, которая одновременно соответствует поставленным функциональным требованиям участников рынка и требованиям информационной безопасности.

Этот результат важен не только для самой платформы «Мастерчейн», но и для развития технологии распределенных реестров в целом, считает Первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев.

Сертификация Мастерчейна дала старт промышленной эксплуатации блокчейна в России

Ассоциация развития финансовых технологий (Ассоциация ФинТех, АФТ) получила сертификат ФСБ России на средство криптографической защиты информации (СКЗИ) «Мастерчейн» версии 1. Таким образом, Мастерчейн стал первой российской блокчейн-платформой, готовой к промышленной эксплуатации и соответствующей всем требованиям информационной безопасности, а это ключевое условие для применения блокчейна на практике, в том числе в финансовой отрасли. Поэтому сертификация Мастерчейна играет важную роль не только для самой платформы и участников сети, но и для развития блокчейна на рынке в целом. Стоит отметить, что, согласно программе «Цифровая экономика РФ», технология распределенного реестра — это сквозная технология, которая охватывает сразу несколько отраслей и способствует улучшению качества жизни и условий ведения предпринимательской деятельности. Средство криптографической защиты информации «Мастерчейн» 1. 0 – это программа для шифрования данных и документов, а также генерирования электронной подписи. В процессе исследований были проведены испытания корректности использования алгоритмов электронной подписи документов по ГОСТу, безопасности обмена данными между участниками, сохранности информации в сети Мастерчейн. Сертификат ФСБ подтверждает безопасность использования электронной подписи, соответствующей ГОСТу, в промышленной эксплуатации для заключения юридически значимых сделок. Помимо сертификации платформы, было также получено положительное заключение об использовании СКЗИ «Мастерчейн» 1. 0 в децентрализованной депозитарной системе для учета ценных бумаг. Техническое задание на СКЗИ и исследования соответствия Мастерчейна требованиям по информационной безопасности и криптографической защите выполнила аккредитованная испытательная лаборатория «КриптоПро». В процессе проведения исследований специалисты «КриптоПро» не только проверили реализацию требований по информационной безопасности к СКЗИ, но и разработали методы анализа информационной безопасности для систем на базе технологии распределенных реестров. Управляющий директор Ассоциации ФинТех Татьяна Жаркова отметила: «Сертификация имеет важное стратегическое значение, так как дает старт промышленной эксплуатации Мастерчейна и способствует продвижению блокчейна на российском рынке в целом. Мы проделали масштабную работу и надеемся, что опыт разработки и сертификации Мастерчейна придаст позитивный импульс развитию технологии распределенного реестра в финансовой и других отраслях». Заместитель директора Департамента информационной безопасности Банка России Артем Сычев прокомментировал: «В основе блокчейн-систем лежит применение функций криптографической защиты информации и использования электронной подписи – и Мастерчейн стал первой блокчейн-платформой, которая обеспечивает выполнение всех требований информационной безопасности. Это является необходимым условием для практического использования блокчейна в финансовом секторе. Поэтому получение сертификата важно не только для самой платформы Мастерчейн, но и для развития технологии распределенных реестров в целом». Заместитель генерального директора компании «КриптоПро» Станислав Смышляев пояснил: «Платформа Мастерчейн изначально была спроектирована для выполнения требований по информационной безопасности. Учитывая первый опыт создания сертифицированных блокчейн-платформ, “КриптоПро” совместно с Ассоциацией ФинТех участвовали также и в разработке технологических решений. Такой подход позволил получить платформу, которая одновременно соответствует поставленным функциональным требованиям участников рынка и требованиям по криптографической защите информации».

Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).

КриптоПро DSS 2. 0 обеспечивает:

Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2. 1 части 5 статьи 8 Федерального закона “Об электронной подписи”, и до осуществления подтверждения соответствия КриптоПро DSS 2. 0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2. 2 статьи 15 Федерального закона “Об электронной подписи”.

Поддерживаемые форматы электронной подписи

• Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
• Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
• Подпись XML-документов (XMLDSig);
• Подпись документов PDF;
• Подпись документов Microsoft Office.

Требования к окружению

КриптоПро DSS 2. 0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.

При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

• создание пользователя;
• блокирование и удаление пользователя;
• генерация ключа электронной подписи пользователя;
• формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
• установку полученного сертификата пользователю;
• настройку параметров аутентификации пользователей;
• аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
• сброс пароля в случае его утраты пользователем.

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2. 0 может реализовывать следующие способы аутентификации пользователя:

• криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
• двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
• двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) “КриптоПро Центр Мониторинга” для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2. 0» для работы с квалифицированной электронной подписью

КриптоПро CSP 5. 0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5. 0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Назначение КриптоПро CSP

• Формирование и проверка электронной подписи.
• Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
• Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
• Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые алгоритмы

В КриптоПро CSP 5. 0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Электронная подпись
ГОСТ Р 34. 10-2012 (ГОСТ 34. 10-2018), ECDSA, RSA

Хэш-функции
ГОСТ Р 34. 11-2012 (ГОСТ 34. 11-2018), SHA-1, SHA-2

Шифрование
ГОСТ Р 34. 12-2015 (ГОСТ 34. 12-2018), ГОСТ Р 34. 13-2015 (ГОСТ 34. 13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Поддерживаемые технологии хранения ключей

В криптопровайдере КриптоПро CSP 5. 0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5. 0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами и защищенным обменом сообщениями поддерживаемых КриптоПро CSP 5. 0 R2

Компания

Носитель

Актив

Рутокен ЭЦП 2. 0 3000 (USB, Type-C, micro)

Смарт-карта Рутокен ЭЦП 3. 0

Инфокрипт

InfoCrypt Token++

СмартПарк

Форос 2. Базис

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2. 0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5. 0 R2

Компания Носитель
ISBC Esmart Token ГОСТ
Актив Рутокен PINPad
Рутокен ЭЦП (USB, micro, Flash)
Рутокен ЭЦП 2. 0 (USB, micro, Flash, Touch)
Рутокен ЭЦП 2. 0 2100 (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 2151
Рутокен ЭЦП PKI (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 Bluetooth
Рутокен TLS (исполнение 1)
Смарт-карта Рутокен ЭЦП SC
Смарт-карта Рутокен ЭЦП 2. 0 2100
Смарт-карта Рутокен ЭЦП 2. 0 2151
Аладдин Р. JaCarta-2 ГОСТ, JaСarta SF/ГОСТ
JaCarta-2 SE/PKI/ГОСТ
Инфокрипт InfoCrypt Token++ TLS
InfoCrypt VPN-Key-TLS

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5. 0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р. , Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5. 0 R2

Компания Носитель
AliothSCOne Series (v5/v6)
Gemalto Optelio Contactless Dxx Rx
Optelio Dxx FXR3 Java
Optelio G257
Optelio MPH150
ISBC Esmart Token
MorphoKSTMorphoKST
NovaCardCosmo
Rosan G&D element V14 / V15
G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80
Kona 2200s / 251 / 151s / 261 / 2320
Kona2 S2120s / C2304 / D1080
SafeNet eToken Java Pro JC
eToken 4100
eToken 5100
eToken 5110
eToken 5105
eToken 5205
Актив Рутокен S
Рутокен КП
Рутокен Lite
Смарт-карта Рутокен Lite
Аладдин Р. JaCarta ГОСТ
JaCarta PKI
JaCarta PRO
JaCarta LT
DallasTouch Memory (iButton) DS199x
ИнфокриптInfoCrypt Token++ lite
Мультисофт MS_Key исп. 8 Ангара
MS_Key ESMART исп. 5
СмартПарк Форос
Форос 2
R301 Форос
Оскар
Оскар 2
Рутокен Магистра

Инструменты КриптоПро

В составе КриптоПро CSP 5. 0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

• Офисный пакет Microsoft Office
• Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
• Продукты Adobe
• Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
• Средство формирования и проверки подписи приложений Microsoft Authenticode
• Веб-серверы Microsoft IIS, nginx, Apache
• Средства удаленных рабочих столов Microsoft Remote Desktop Services
• Microsoft Active Directory

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

• КриптоПро УЦ
• Службы УЦ
• КриптоПро ЭЦП
• КриптоПро IPsec
• КриптоПро EFS
• КриптоПро .NET
• КриптоПро Java CSP
• КриптоПро NGate

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

• Microsoft Windows
• macOS
• Linux
• FreeBSD
• Solaris
• AIX
• iOS
• Android
• Sailfish OS
• Аврора

• Intel, AMD
• PowerPC
• ARM (в т.ч. Байкал-М, Apple M1)
• MIPS (Байкал-Т)
• VLIW (Эльбрус)
• Sparc

• Microsoft Hyper-V
• VMWare
• Oracle Virtual Box
• RHEV

Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.

Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

• Microsoft CryptoAPI
• OpenSSL engine
• Java CSP (Java Cryptography Architecture)
• Qt SSL

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Регулирующие документы

Сертификация блокчейна ФСБ требует, чтобы международные компании блокчейна использовали российские стандарты, но эти российские стандарты за рубежом рассматриваются с подозрением.

Исторически Россия поддерживала свой собственный криптографический стандарт, так же, как и Китай, оставаясь в стороне от мирового рынка криптографических решений и не доверяя иностранцам продавать их инструменты шифрования.

«Криптографические алгоритмы, созданные за рубежом, по закону не могут быть признаны законными в России», — заявил Алексей Лукацкий, советник по безопасности CISCO. «Согласно требованиям ФСБ, разработчик криптографических решений должен базироваться в России и иметь лицензию от ФСБ, что недопустимо для иностранных компаний».

Еще одна проблема заключается в том, что российская сертификация может привести к тому, что блокчейн-проекты будут отрезаны от мирового сообщества разработчиков.

«Здесь нет платформ, и их не будет, чтобы вы могли встраивать российскую криптографию и поддерживать полную техническую поддержку, доступную ранее», — сказал в интервью CoinDesk инженер CryptoPRO Дмитрий Пичулин.

В настоящее время большинство решений блокчейна основаны на алгоритмах хеширования, основанных на стандарте расширенного шифрования, или AES, установленном Национальным институтом стандартов и технологий США.

Что касается международно-признанных стандартов, то есть несколько библиотек, которые могут использовать разработчики, в то время как для национальных стандартов существует меньше возможностей для свободного использования. По словам эксперта по кибербезопасности Сергея Прилуцкого, библиотеки для ГОСТ труднее найти.

Кроме того, сам криптографический алгоритм ГОСТ был воспринят глобальным криптографическим сообществом с опасением. Когда прошлым летом алгоритм Международной организации по стандартизации (ISO) был представлен под названием «Кузнечик», он получил холодный прием, сообщил вице-президент , поскольку эксперты из других стран обнаружили потенциальные уязвимости в шифре.

По словам французского криптографа Паскаля Пайе, исследование показало, что «российские стандарты могут содержать нечто похожее на черный ход, который в случае подтверждения позволит России нарушить конфиденциальность коммуникаций», — сказал он вице-президенту.

Русский стандарт

Самый простой способ выполнить требования — это использовать решение от лицензированного поставщика, но код таких решений не является открытым исходным кодом и не может быть проверен. По словам Конкина, это не обязательно, и Masterchain, например, использует собственные элементы криптографии. Тем не менее, компания, имеющая лицензию ФСБ Crypto PRO, контролирует все создание Masterchain.

CryptoPRO также является одним из лицензированных поставщиков сертифицированных ФСБ криптографических решений ГОСТ (GO Government STandard).

Маслов из Bitfury объясняет, что для обеспечения совместимости Exonum с требованиями российских государственных органов, с которыми работает компания, Bitfury использовала программное обеспечение, созданное одним из сертифицированных ФСБ провайдеров. Маслов сказал, что программное обеспечение отвечает за шифрование данных, хеширование и защиту каналов для узлов, которые нужно подключить, но решать, какие функции следует использовать, должен архитектор блокчейна.

Процесс далеко не прозрачен. Когда компания получает от ФСБ документ о том, что ее продукт сертифицирован, большая часть этого документа засекречена.

Если решение блокчейна с открытым исходным кодом, его сертифицированная версия будет иметь уже закрытый. Например, по словам Маслова, сертифицированная версия Exfum от Bitfury не будет иметь открытый исходный код, даже если сам Exonum открыт. «Открытый код не может быть сертифицирован. Вам необходимо сертифицировать определенную версию, но если кто-то может изменить ее одним щелчком мыши, это трудно контролировать», — добавляет он.

Кроме того, процесс сертификации усложняется необходимостью проверки не только кода, но и его реализаций. Несмотря на то, что Masterchain уже был сертифицирован в качестве платформы, он также должен был получить отдельный сертификат для каждого приложения, которое создается на его базе, сказал Конкин. Для одного из этих приложений, в котором хранятся цифровые ипотечные облигации, сертификация уже завершена. Но для другого проекта, межбанковского аккредитива, процесс все еще продолжается.

Сертификация затрагивает каждую часть архитектуры блокчейна. Артем Калихов, директор по продукции Wave Enterprise, пояснил, что процесс сертификации включает в себя всю архитектуру цепочки блоков, которая подвергается тщательному анализу. Это включает в себя «не только использование криптографических функций, но и информационную безопасность, правильность алгоритма консенсуса. Различные модели угроз для системы должны быть изучены».

Задача усложняется еще и тем, что ФСБ раньше не занималась системами блокчейнов, за исключением Masterchain, и ей приходится сталкиваться с новыми концепциями архитектуры блокчейнов.

«Теперь они разрабатывают блокчейн, консенсус, умные контракты», — сказал Калихов.

Процесс сертификации требует довольно много ресурсов компании. По словам Маслова, как правило, двум или более сотрудникам компании необходимо работать над ней все время, писать технические документы и общаться с ФСБ. По его словам, продукт, который проходит сертификацию, в основном замораживается на период сертификации, и любые обновления должны проходить заново.

Западные компании уйдут с российского рынка криптографии?

Блокчейн-продукты с иностранными корнями могут быть вытеснены с российского рынка. Возьмите пример Hyperledger Fabric от IBM. Hyperledger был самой популярной платформой для корпоративного блокчейна, и такие гиганты, как РЖД, Сбербанк и Газпромнефть, использовали его в качестве платформы для проверки концепций блокчейна. Но, думается, что сейчас уже нет.

Ранее существовал способ встроить криптографию ГОСТ в Fabric без разветвления, то есть без создания несовместимости с основным кодом филиала, с помощью плагинов, и CryptoPRO даже создал некоторые из них для использования российскими компаниями. Однако последняя версия Fabric, выпущенная в конце января, больше не поддерживает плагины.

Инженер IBM Крис Феррис, являющийся председателем Технического руководящего комитета Hyperledger, через своего представителя заявил, что все еще можно создать альтернативную криптографию, но «для этого потребуется перекомпиляция двоичных файлов». Что касается плагинов, то их поддержка «не была устойчивой и требовала значительных обходных путей для управления зависимостями»-, добавил Феррис.

Кроме того, российские разработчики могут найти способ безопасно внедрить криптографию ГОСТ в Fabric и обеспечить качественную техническую поддержку и регулярные обновления кода, существенно заменяя сообщество Hyperledger.

Это еще не коммерческий продукт, говорит Пичулин, но он может стать им. «Спрос есть, техническая поддержка и обновления находятся в нашей повестке дня».

Тем не менее, проблема сертификации в сочетании с российским законодательством, требующим хранения всех российских данных внутри страны, может еще больше изолировать Россию от мирового рынка технологий.

В то время как нет закона, прямо заявляющего, что компании блокчейна должны быть сертифицированы ФСБ, у компаний есть серьезные стимулы для этого. Во-первых, согласно российскому законодательству, документы, подписанные в электронном виде, должны использовать сертифицированные государством электронные подписи в качестве юридически обязательных документов.

Сертификация также может помочь убедить крупных клиентов, в частности правительственные учреждения в России, в том, что система, которую вы создаете, является безопасной, говорит Иван Маслов, глава отдела развития Bitfury в России.

«Если вы создаете систему для государственного органа, она должна быть сертифицирована», — сказал Маслов.

Саша Иванов, генеральный директор Waves, отмечает, что ситуация не уникальна для России: «Использование локальной криптографии для проектов блокчейна на правительственном уровне — это реальность, с которой нам придется иметь дело, будь то российские, китайские или западные проекты».

Процесс сертификации в Европе, добавляет он, может занять меньше времени, чем в России, но принцип тот же.