криптопро csp класс защиты

Поддержка браузерного плагина в ОС “Аврора”

В ОС Аврора появилась мобильная электронная подпись в браузере. Об этом 19 июля 2022 года сообщила компания Крипто-ПРО.

Это стало возможным благодаря предустановленному расширению, которое поддерживает работу с комплектом СКЗИ КриптоПро CSP 5. 0 R3. Подробнее здесь.

КриптоПро CSP работает на Baikal-T1

27 сентября 2016 года компании «КриптоПро» и «Актив» объявили о поддержке двухъядерным процессором Baikal-T1 работы криптопровайдера КриптоПро CSP, токенов и смарт-карт Рутокен.

«Байкал-Т1» – разработка компании «Байкал Электроникс». Инженерные образцы процессора представлены в мае 2015 года.

Составное решение Рутокен и Крипто Про CSP – синергия криптографических продуктов. По мнению разработчиков, применение связки КриптоПро CSP и Рутокен на платформе Baikal-T1 обеспечивает безопасную аутентификацию, хранение ключей шифрования и электронной подписи при работе с конфиденциальной информацией. Высокий уровень безопасности достигается за счет гарантированного отсутствия в процессорах Baikal-T1 программных закладок.

Вопросы защиты информации – на программном и аппаратном уровнях – сейчас актуальны как никогда, и мы в ходе разработки процессора «Байкал-Т1» уделяли им пристальное внимание. Так наш продукт основан на признанной и поддержанной индустрией процессорной архитектуре MIPS, содержит ядро Warrior P-class с технологией аппаратной виртуализации. «Байкал-Т1» использует виртуализацию для создания дискретных защищенных доменов, в которых приложения и операционные системы могут надежно работать независимо друг от друга. Эти встроенные возможности дополняются решениями сторонних разработчиков. Пара КриптоПро и Рутокен зарекомендовала себя как надежное комплексное решение для защиты конфиденциальных данных, и я рад, что это решение доступно теперь и на платформе «Байкал-Т1».

На сегодняшний день решения КриптоПро и Рутокен – это единственная связка криптопровайдера и отчуждаемого носителя, работающая на современном российском процессоре. Она позволяет построить рабочие места, соответствующие повышенным требованиям безопасности.

Все больше государственных заказчиков обращают внимание на российские аппаратные платформы, поэтому мы не можем оставаться в стороне и предоставляем версию криптопровайдера, собранную для Baikal-T1.

Сертификат ФСБ

Во многих информационных системах (особенно государственных) одно из главных и обязательных требований – наличие на ПО сертификата соответствия ФСБ. На данный момент сертифицированы версии  3. 6,  3. 9 и 4.

Версия КриптоПро CSP 4. 0 имеет сертификаты ФСБ по классам защиты КС1 и КС2 для операционных систем от Windows Vista до Windows 10.

КриптоПро CSP 3. 9 R2 КриптоПро CSP 4. 0 R2 поддерживающие работу в Windows 10 в на сегодняшний день получили положительное заключение ФСБ.

Windows или Unix

Если вы выбираете версию 3. 6, то нужно определиться, на какую операционную систему будет установлено ПО, – на Windows или Unix-подобную. Такое деление есть только в версии КриптоПро СSP 3. 6 и более ранних. Если вы приобретаете версию 3. 9 или 4. 0, то не имеет значения, на какую операционную систему вы планируете ее устанавливать – Windows или Unix-подобную.

ГОСТ Р 34. 10-2012

Выясните, нужна ли вам поддержка новых стандартов электронной подписи 2012 года. Только версия 4. 0 поддерживает стандарт электронной подписи ГОСТ Р 34. 10-2012 (“Создание подписи” и “Проверка подписи”). Остальные версии криптопровайдера (3. 0, 3. 6 и 3. 9) поддерживают ГОСТ 94 и 2001 годов.

Доводим до вашего сведения

Определен порядок перехода на национальный стандарт ГОСТ Р 34. 10-2012 в средствах электронной подписи для информации, не содержащей государственную тайну.

Из документа ФСБ России № 149/7/1/3-58 от 31. 2014 “О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования” мы узнаем, что после 31 декабря 2019 года для создания электронной подписи  будет недопустимо использовать ГОСТ Р 34. 10-2001.

Клиентская или серверная лицензия

Первое, с чего следует начать, – определиться в версии, которая вам нужна. Клиентская или серверная. Если вы планируете использовать СКЗИ “КриптоПро CSP” на сервере, сразу покупайте серверную лицензию. Клиентская лицензия не подойдет. Да, цена серверной лицензии в несколько раз выше и в более ранних версиях можно было установить на сервер клиентскую лицензию, но сегодня на серверные операционные системы клиентские лицензии просто не установятся, несмотря на то, что в триальном (тестовом) периоде все работало.

Как получить

Приобрести Рутокен можно несколькими способами:

• Оформить заказ на официальном сайте производителя по адресу: rutoken.ru.
• Обратиться к одному из бизнес-партнеров производителя, список которых размещен на сайте в разделе «Где купить».
• Заказать в одном из специализированных интернет-магазинов (cryptostore.ru, xcomspb.ru, infosecurity.ru).
• Обратиться к официальному дистрибьютору (1С:Дистрибьюция, АКСОФТ, Treolan).

Оптимальный вариант – заказать напрямую у производителя, который гарантирует качество продукции, наличие токенов в нужном количестве на складе, сертификацию продукции.

Необходимые документы

Для оформления заказа на носители со встроенным чипом СКЗИ для юридического лица понадобится:

• документ, удостоверяющий личность руководителя или доверенного лица, отвечающего за закупку носителей;
• доверенность с мокрой печатью на сотрудника, который занимается закупкой;
• код ИНН организации;
• ОГРН юридического лица или ОГРНИП;
• код КПП;
• юридический адрес организации;
• адрес доставки.

Если токен заказывает физическое лицо, понадобится:

• паспорт гражданина РФ;
• копия СНИЛС;
• ИНН заявителя.

Инструкция

Чтобы заказать токены на официальном сайте, нужно выполнить несколько действий:

• Перейти на официальный сайт rutoken.ru, открыть раздел «Заказ» и выбрать подраздел «Цены и заказ».
• Чтобы выбрать рутокен с СКЗИ или без, на открывшейся странице необходимо выбрать раздел «Аппаратные ключи для ЕГАИС» или «Носители для получения электронной подписи в УЦ ФНС» соответственно. В списке «Продукты Рутокен для ЕГАИС» выбрать нужный товар и его количество. Нажать кнопку «Enter» на клавиатуре компьютера. После чего графа для ввода количества товара изменится на надпись «Товар в корзине», на которую нужно нажать левой кнопкой мыши.
• На следующей странице будет отображен список продуктов, добавленных в заказ. Подтверждают заказ нажатием на кнопку «Оформить заказ».
• Когда заявка будет обработана, на связь с ответственным лицом выйдет представитель компании-производителя для согласования условий поставки, формы оплаты и сроков изготовления.

Справка. Доставка заказа выполняется в течение 5 рабочих дней с момента его оплаты.

Цены

Стоимость Рутокен 2. 0 у официального поставщика и дилеров идентична. Это объясняется политикой регулирования цен на продукцию.

В таблице приведены примеры расценок на популярных интернет-площадках.

Наименование носителя
Официальный сайт, рублей
cryptostore. ru, рублей
1С: Дистрибьюция, рублей

Рутокен ЭЦП 2. 0 2100, серт. ФСБ
2364
2360
2364

Рутокен ЭЦП 2. 0 2100 micro серт. ФСБ
2364
2360
2364

Рутокен ЭЦП 2. 0 2100 Type-C серт. ФСБ
2380
2380
2380

Хранение файлов ЭЦП в открытом доступе на ПК или внешнем носителе небезопасно. Для защиты пользовательских данных ФНС РФ рекомендует применять в работе защищенные носители, ключи на которых шифруются. Самым распространенным типом хранилища ключей являются USB-токены. При этом наиболее современным считается носитель в формате смарт-карты с NFC для беспроводного и удобного соединения со смартфонами и другими мобильными устройствами.

Для подписи документов с открытыми данными (документация для торгов) используются пассивные токены, ключи которых генерируются программными СКЗИ. Для передачи конфиденциальной информации применяются активные носители с собственными криптографическими чипами.

Особенности

ООО «КриптоПро» – российская компания, которая занимается разработкой программного обеспечения с 2000 года. Основное направление ее деятельности – разработка программных средств криптографической защиты информации (СКЗИ) и электронных ключей цифровой подписи. Программы для использования криптографических средств защиты информации называют криптопровайдерами.

Преимущества ООО «КриптоПро»:

• Более 20 лет работы в указанной сфере.
• Программные комплексы получили такое распространение и популярность, что представители бизнеса обычно устанавливают продукты компании в качестве средств для работы с цифровыми подписями по умолчанию, не задумываясь об аналогах от конкурентов.
• ООО «КриптоПро» разрабатывает мультиплатформенное ПО. То есть программы могут устанавливаться на любые устройства – будь то компьютер на Windows, Mac, Linux или мобильный терминал на ОС Android.
• Отзывчивые операторы службы поддержки помогут при любых проблемах с ПО.

На заметку. На сайте компании представлена презентация с описанием особенностей CryptoPro CSP.

Функции программы

В задачи КриптоПро входит:

• генерация и проверка ЭЦП (электронной цифровой подписи);
• шифрование и имитозащита информации для обеспечения ее конфиденциальности и целостности;
• создание безопасных и аутентичных соединений по протоколам TLS, и IPsec для обеспечения конфиденциальности передаваемых данных;
• защита ПО, используемого совместно с криптопровайдером, от взлома путем проверки целостности исполняемых файлов.

Кому нужна

Эксплуатация ПО КриптоПро CSP возможна частными и государственными организациями, у которых есть необходимость подписывать цифровые документы ключами электронных подписей. Например, транспортные компании пользуются криптопровайдерами для подписания машиночитаемых доверенностей на сотрудников, отвечающих за оснащение тахографами и модулями НКМ автопарка предприятия.

Представители бизнеса могут использовать в своей деятельности криптопровайдеры в комплексе с онлайн-кассами для передачи отчетности в казначейство либо при подготовке бухгалтерского отчета в ФНС. КрипроАРМ используется в банковской сфере. Например, Генбанк, Россельхозбанк, ВТБ, СКБ используют в своей работе КриптоПро CSP.

Можно ли скачать бесплатно

В открывшемся окне выбираем пункт КриптоПро CSP.

Далее следует заполнить регистрационную форму, после чего откроется доступ к скачиванию файлов. К загрузке доступна демонстрационная версия программы с бесплатным тестовым периодом всех функций на протяжении 90 дней с даты установки. Когда три месяца бесплатного использования начнут истекать, для продолжения полноценной работы потребуется приобрести годовую или неограниченную лицензию.

Предприятию понадобится столько ключей для разблокировки работы программы, на сколько компьютеров она установлена. Каждый регистрационный номер лицензии будет уникален и может быть использован для активации одной версии СryptoPro CSP на одном ПК. Также доступны варианты приобретения групповых лицензий. В таком случае одним регистрационным ключом можно активировать определенное количество копий криптопроарм.

Где купить КриптоПро

Купить лицензию на КриптоПро CSP можно на официальном сайте компании либо приобрести у одного из дилеров, список которых представлен на сайте производителя в разделе «Партнеры». Среди таковых:

• «Computer Business Systems», Москва (www.cbs.ru);
• АО «АЛТЭКС-СОФТ», Москва (www.altx-soft.ru);
• ООО «НТПЦ», Ленинградская область (ntpc.ru);
• АО «НПО «Инфобезопасность», Воронежская область (www.infobez.org);
• ООО «Агентство информационной безопасности» (ООО «АИнБ»), Калининградская область (ainb39.ru).

Цена КриптоПро CSP зависит от нескольких факторов:

• статуса покупателя лицензии (частное лицо, индивидуальный предприниматель, юрлицо, иностранец);
• количества копий программы, которые можно активировать одним кодом;
• срока действия лицензии.

В таблице указано, сколько стоит лицензия СКЗИ КриптоПро CSP для ИП.

Сертификация шлюза «КриптоПро NGate» и выполнение требований законодательства

NGate был включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 305680). В декабре 2019 года все компоненты шлюза (и серверные, и клиентские) прошли проверку на соответствие требованиям ФСБ России к средствам криптографической защиты информации по классам защиты КС1, КС2 и КС3 (получены сертификаты № СФ/124-3629, СФ/124-3630 и СФ/124-3631 для NGate в различных исполнениях). Кроме того, компоненты шлюза удалённого доступа используют в своём составе собственный криптопровайдер «КриптоПро CSP», который также сертифицирован ФСБ России для защиты информации по тем же классам.

Успешное прохождение сертификации подтверждает высокий уровень безопасности программного и аппаратного обеспечения NGate и возможности его использования для обеспечения защищённой передачи конфиденциальной информации (включая персональные данные) в том числе в рамках программы по импортозамещению.

Выше уже упоминалось, но повторим явно в текущем разделе следующее важное замечание. В среде виртуализации можно использовать NGate без ограничений функциональности и производительности (кроме тех, что связаны с характеристиками виртуальных машин), но только с пониженным классом сертификации. Криптошлюз NGate в виде виртуальной платформы отвечает требованиям ФСБ России по классу КС1.

Помимо указанного, NGate отвечает требованиям законодательства в области обеспечения информационной безопасности в различных сферах. Общую информацию мы привели в следующей таблице.

Таблица 4. Требования законодательства РФ в области обеспечения информационной безопасности, которым отвечает «КриптоПро NGate»

Сфера ИБЗаконыДополнительная информацияЕдиная биометрическая система (ЕБС)149-ФЗ (с изменениями 482-ФЗ) и 4-МР ЦБ РФNGate удовлетворяет требованиям указанных законов и методических рекомендаций в части удалённой идентификации в ЕБС, поскольку криптошлюз имеет необходимые сертификаты ФСБ России и поддерживает одновременно и ГОСТ TLS, и зарубежные криптонаборы TLSПерсональные данные (ПД) и государственные информационные системы (ГИС)21-й / 17-й приказы ФСТЭК РоссииNGate реализует меры защиты информации в различных категориях:управление доступом в части УПД. 13,защита информационных систем и передачи данных в части меры ЗИС. 3,идентификация и аутентификация в части мер ИАФ. 1, ИАФ. 5 и ИАФ. 6Критическая информационная инфраструктура239-й приказ ФСТЭК РоссииNGate реализует меры защиты информации в различных категориях:управление доступом в части мер УПД. 13, УПД. 14,защита информационных систем и их компонентов в части ЗИС. 19,идентификация и аутентификация в части мер ИАФ. 1, ИАФ. 5, ИАФ. 6 и ИАФ. Кроме этого, криптошлюз отвечает следующим требованиям приказа (п. 31):не допускается наличия удалённого доступа напрямую к защищаемым объектам критической информационной инфраструктуры (КИИ) со стороны третьих лиц, т. не работников объекта КИИ (такой доступ через NGate допускается, поскольку VPN-доступ не считается доступом «напрямую»),должна обеспечиваться стойкость к санкциям (выполняется, поскольку NGate — полностью отечественный криптошлюз),реализуется полная поддержка со стороны производителя. Защита информации финансовых организацийГОСТ Р 57580. 1-2017NGate реализует большинство требований в категории защиты информации от раскрытия и модификации при осуществлении удаленного доступа (ЗУД)Удалённый мониторинг энергооборудования1015-й приказ Министерства энергетики РФот 06. 2018NGate реализует следующие требования к информационной безопасности объектов электроэнергетики:обеспечение криптографической защиты удалённого соединения и обмена данными,применение сертифицированных средств защиты информации.

Токены

Токен — небольшое устройство, которое используется для защиты информации, подтверждения личности владельца, защищенного удаленного доступа к конфиденциальным данным.

Токен представляет собой цифровой ключ для получения доступа к защищенной информации.

Аппаратные носители имеют небольшие размеры и позволяют переносить их с собой в кармане пиджака или кошельке либо на связке ключей в виде брелока.

Отдельные виды электронных ключей являются носителями электронных подписей и биометрических данных, защищенных криптографическими алгоритмами шифрования.

Современные криптоконтейнеры изготавливаются в формате USB-флешек, банковских карт либо беспроводных устройств, связывающихся с компьютерными терминалами по Bluetooth.

Когда электронный ключ подключен к ПК, устройство генерирует уникальную последовательность символов, при помощи которых происходит авторизация в программных СКЗИ (средствах криптографической защиты информации) и предоставляется доступ к зашифрованным данным.

Требования к USB-токенам

Токен с СКЗИ в формате USB-накопителей должен соответствовать требованиям:

• сертификация носителя в ФСБ и ФСТЭК;
• формат подключения — USB-A.

При соответствии этим требованиям ФНС РФ сможет выполнить запись сертификата ЭЦП (электронной цифровой подписи) на защищенный носитель.

Перечисленным требованиям соответствуют такие токены:

• Рутокен ЭЦП 2.0, S, Lite;
• JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE), LT, ГОСТ, PKI/ГОСТ, PKI;
• ESMART Token, Token ГОСТ.

Какие бывают USB-токены

USB-токены делятся на две группы: активные и пассивные.

Пассивные не имеют собственных систем защиты и выступают в роли защищенного хранилища КЭП. Для работы с ними на ПК необходимо установить криптопровайдер — программу по работе с токенами для подписания документов ЭЦП. Например, КриптоПро CSP.

Пример такого хранилища — Рутокен Lite.

Активные токены оснащаются собственными чипами шифрования и для работы с ними не требуется стороннее ПО. Все задачи по наложению электронной подписи выполняются за счет встроенного защищенного программного обеспечения токена.

Пример носителей такого типа — Рутокен ЭЦП 2. 0, JaCarta SE.

Почему нужен токен, а не флешка

Токены только напоминают традиционные USB-флешки, но ими не являются. Электронные ключи защищаются паролями, в них содержатся файлы сертификации ФСТЭК и ФСБ, некоторые модели оснащаются собственными чипами криптозащиты.

То есть на носитель ключей нельзя просто скопировать файлы. Также и внешний накопитель не станет токеном, если на него отправить копию ЭЦП.

Что такое смарт-карта

Смарт-карта имеет вид обычной банковской кредитки с контактной площадкой встроенного чипа на задней поверхности. Этот вид токена используется не так часто, как USB-носители, из-за необходимости оснащения рабочего ПК специальным считывателем. Смарт-карты также проходят сертификацию в ФСТЭК и ФСБ.

Альтернативный вариант — карточки с дополнительным NFC-чипом, позволяющим совершать бесконтактные операции с токеном. Например, для подписания документов можно использовать смартфон с поддержкой технологии бесконтактной оплаты и установленной мобильной версией КриптоПро. Чтобы подписать документ, достаточно открыть криптосредство СКЗИ на телефоне и приложить к его задней стороне смарт-карту.

Такие носители производятся под торговыми марками Рутокен и JaCarta.

Что такое bluetooth-токен

Это современное устройство, имеющее аналогичный принцип работы с USB-токенами, но не требующее физического подключения к ПК или смартфону. Подключение происходит посредством Bluetooth-соединения. Некоторые типы беспроводных токенов имеют USB-штекеры для подключения к ПК.

Беспроводной носитель удобен тем, что может быть спрятан в месте, не доступном для злоумышленников. При этом связь с токеном не обрывается до тех пор, пока пользователь находится в радиусе зоны действия встроенного в носитель приемника сигналов.

Единственный нюанс работы с Bluetooth-токенами – необходимо каждую проводимую операцию подтверждать ПИН-кодом, чтобы исключить вероятность перехвата сигнала посторонними лицами.

Как выбрать

Чтобы выбрать подходящий вариант токена для хранения ЭЦП, нужно определиться с:

• наиболее удобным для использования форматом устройства;
• оснащением носителя (наличие либо отсутствие чипа криптозащиты).

Для компаний, которые ведут выездные работы, а сотрудники часто ездят в командировки, подойдут Bluetooth-токены.

Если работа ведется на стационарных компьютерах (бухгалтерия предприятия), лучшим вариантом будут USB-токены.

Индивидуальные предприниматели, для которых оформление токена и установка криптопровайдера нужны только для соблюдения норм закона, могут оформить простую смарт-карту с беспроводным модулем. Такой вариант носителя является самым доступным из имеющихся.

В каких есть СКЗИ

Встроенными чипами криптозащиты оснащаются такие типы токенов:

• JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
• Рутокен ЭЦП 2.0, Рутокен S;
• ESMART Token, ESMART Token ГОСТ.

Есть ли разница, с СКЗИ или без

Электронные контейнеры ключей со встроенным СКЗИ обеспечивают высокий уровень защиты информации, сертифицируются ФСТЭК, ФСБ. Работать с таким типом токенов можно без криптопровайдера на ПК.

Носители с СКЗИ позволяют подписывать документы, касающиеся криптографической защиты информации. Например:

• машиночитаемые доверенности для загрузки на портал ФБУ «Росавтотранс»;
• подписание документации в ЕГАИС «Лес»;
• работа с отчетностью в ЕГАИС «Алкоголь».

Носители без СКЗИ подходят для подачи финансовой отчетности, авторизации компании в государственных торгах, подписания документации по ЭДО, регистрационных действий для Честного знака.

Токены без активной защиты могут применяться в тех случаях, когда работа ведется с информацией в открытом виде, а носители с СКЗИ – когда информация должна быть скрыта от посторонних.

Как с ними работать

Для работы с токенами и файлами ЭЦП, хранящимися в памяти носителей, нужно:

• установить на ПК криптопровайдер для работы с электронной документацией;
• вставить носитель в разъем USB;
• установить драйвер токена;
• добавить носитель в список активных носителей в СКЗИ.

После того как перечисленные действия будут выполнены, пользователь получит возможность использовать контейнер ключа для подписи документов, работы с госпорталами, участия в тендерах.

Обратите внимание! Несмотря на то что активные токены могут работать самостоятельно, без программного СКЗИ, наличие криптопровайдера на ПК обязательно – это требование Федеральной налоговой службы.

Возможные ошибки

При работе с носителями ключей периодически могут возникать ошибки. Некоторые из них исправляет владелец токена, а для устранения других необходимо обратиться в организацию, изготовившую носитель.

Рассмотрим основные проблемы, которые возникают с контейнерами ключей и Рутокенами в том числе:

• «Сертификат ненадежен / Не удалось проверить статус отзыва».
  Проблема появляется при устаревании драйверов оборудования. Достаточно обновить драйверы либо повторно установить сертификат, чтобы снова сделать его доверенным.
• Токен не определяется СКЗИ.
  Возможны проблемы с гнездом подключения либо беспроводным интерфейсом. Если отключение носителя и повторное подключение не решили проблему, нужно проверить работоспособность материнской платы либо токена.
• Токен не отображается в панели управления ПК.

Проблема может иметь программный характер либо проявляться из-за физической поломки ПК. Если не помогает переустановка драйверов, извлечение и повторная вставка носителя, следует также обратиться за диагностикой ПК либо проверить целостность встроенного чипа токена.

Поддержка операционных систем Windows

Поддержка Windows 2012 R2 и 8. 1 реализована только в последних версиях КриптоПро CSP 3. 9 и 4.

Поддержка Windows 10 реализована в последних версиях КриптоПро CSP 3. 9  и 4. 0, но мы рекомендуем использовать версию 4. 0 для корректной работы.

Подробные сравнения по всем версиям криптопровайдера “КриптоПро CSP” вы найдете в описании продукта, они собраны в виде таблиц.

Выбор криптопровайдера Криптопро CSP

Процесс работы с NGate можно разбить на три основные части: подготовка к эксплуатации, настройка доступа к ресурсам и системам и собственно эксплуатация. Подробное описание всех этапов настройки и взаимодействия с NGate приведено в сопроводительной документации.

Подготовка к эксплуатации связана с первоначальным развёртыванием и настройкой программного обеспечения криптошлюза на аппаратной или виртуальной платформе. Этот этап является наиболее трудоёмким и ответственным. Он требует наличия практических навыков работы с операционной системой семейства Linux, знаний о сети организации и инфраструктуре открытых ключей (Public Key Infrastructure, PKI).

Затем с использованием веб-интерфейса администрирования осуществляется настройка криптошлюза для решения задач связанных с организацией доступа пользователей к ресурсам. Сюда входят настройка порталов, серверных мандатов, пользовательских ролей и политик доступа к защищаемым ресурсам, а также конфигурирование взаимодействия со внешними службами (Microsoft AD или другими LDAP-серверами, системами мониторинга, SIEM, средствами аутентификации, включая RADIUS-серверы, и др.

Дальнейшее обслуживание криптошлюза в ходе его эксплуатации при грамотном развёртывании всех компонентов и правильной настройке параметров не требует постоянного вмешательства или участия со стороны администраторов. Это связано с тем, что в штатном режиме работы круг их задач существенно уменьшается и ограничивается в основном диагностикой и контролем состояния компонентов и систем в составе криптошлюза, устранением неполадок (при обнаружении таковых), мониторингом текущих настроек и обновлением программного обеспечения.

Доступ к интерфейсу администрирования

В рамках подготовки этого обзора разработчик предоставил нам пользовательский сертификат и учётную запись типа «Аудитор» для доступа к тестовому стенду NGate. Эта пользовательская роль является одной из штатных функций продукта и предоставляет возможность просматривать большую часть разделов и возможностей веб-интерфейса без права что-либо изменять. Кроме того, для доступа использовались «Яндекс. Браузер», поскольку он поддерживает шифрование по ГОСТ, и «КриптоПро CSP» в качестве вспомогательного программного обеспечения (установочный файл доступен на основной странице после регистрации).

Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»

Панель управления

После авторизации пользователь попадает на главную страницу — вкладку «Системная информация» панели управления. Сам интерфейс доступен на двух языках: русском и английском, с возможностью переключения между ними в любой момент.

Здесь отображается информация о работоспособности устройств криптошлюза и основные сведения о кластерах (конфигурации, используемые лицензии, узлы; порталы, которые привязаны к кластеру, и ресурсы этих порталов).

Полезной и удобной функцией в новой версии стали предупреждения о скором окончании срока действия сертификатов (ключей) порталов. Эта информация доступна также в виде цветовых меток слева от каждого портала и по протоколу мониторинга SNMP (данные о посещении мандатов).

Рисунок 5. Вкладка «Системная информация» панели управления «КриптоПро NGate»

Кроме того, важным моментом является отображение конкретного узла, который отвечает за подключение выбранного пользователя. Эта информация может быть использована как вспомогательная при диагностике неполадок (для детектирования источника проблем сетевого доступа при наличии в кластере более одного узла). Она была добавлена в интерфейс в связи с высокой востребованностью у заказчиков.

Рисунок 6. Поиск сессий пользователей в веб-интерфейсе «КриптоПро NGate»

Рисунок 7. Информация о системе управления в составе «КриптоПро NGate»

Рисунок 8. Информация о системе управления в составе «КриптоПро NGate»

Настройка конфигураций кластеров

С момента выхода первой версии NGate был существенно переработан интерфейс, отображающий информацию о конфигурации кластеров: он стал более дружественным и понятным.

Рисунок 9. Информация о конфигурации кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 10. Добавление портала для доступа пользователей к ресурсам по произвольному TCP-протоколу в веб-интерфейсе «КриптоПро NGate»

На другой вкладке этого же раздела можно смотреть детальную информацию о защищаемых ресурсах, настраивать их, добавлять новые, копировать или удалять уже существующие. Можно добавить веб-ресурс, динамический туннель, ресурс для перенаправления пользователей и gRPC-сервисы. По протоколу gRPC работают различные веб-приложения, а в целом он реализует удалённые программные интерфейсы (API).

Рисунок 11. Информация о ресурсах, связанных с кластером, в веб-интерфейсе «КриптоПро NGate»

При настройке веб-ресурсов значительно расширен список возможностей тонкого конфигурирования, а также добавлена функция по балансировке бэкенда для гибкого распределения нагрузки непосредственно со шлюза (или нескольких шлюзов).

Рисунок 12. Создание веб-ресурса в интерфейсе «КриптоПро NGate»

Список доступных внешних служб можно увидеть (и настроить) как в особом разделе веб-интерфейса, так и на вкладке выбранной конфигурации кластера. Но во втором случае будут отображены только те системы и серверы, которые настроены для конкретного кластера.

Рисунок 13. Внешние службы, настроенные для кластера, в веб-интерфейсе «КриптоПро NGate»

Также в разделах конфигурации кластера администратор осуществляет настройку правил и политик доступа к ресурсам (ACL) на основе групп пользователей на каком-либо сервере LDAP (к примеру, Microsoft AD) либо сертификатов (новая функциональность). Сертификатный ACL — это способ задать правила доступа на основе содержимого полей пользовательских сертификатов. В актуальной версии шлюза стало возможно создавать правила с запретительным доступом (в предыдущей версии он был только разрешительным), а также существенно расширился набор полей. Теперь анализируются не только поля с названием организации (Organization / Organization Unit), но и другие, в том числе нестандартные.

Рисунок 14. Настройка сертификатного ACL в веб-интерфейсе «КриптоПро NGate»

Настройка порталов

В веб-интерфейсе администрирования появился раздел с подробной информацией по каждому порталу (ранее эти данные были разбросаны по разным страницам). Существенным функциональным обновлением стало появление возможности создавать правила для динамического туннелирования, определяющие то, какие пользователи к каким порталам и при каких условиях могут подключаться — то есть какие подсети могут назначаться клиенту в зависимости от правил ACL.

Рисунок 15. Общая информация о настройках портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 16. Создание правила для динамического туннелирования в веб-интерфейсе «КриптоПро NGate»

Страница с данными о сертификатах содержит информацию о серверных мандатах и удостоверяющих центрах, включая те, что указаны как доверенные для конкретного портала. Отметим, что на одном кластере может быть несколько наборов порталов с разными сертификатами, в том числе с разными доверенными.

Рисунок 17. Информация о сертификатах портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 18. Настройка портала в веб-интерфейсе «КриптоПро NGate»

Настройки узлов

Новой функциональностью в разделе веб-интерфейса «Кластеры» стали возможности создания VLAN- и агрегированных сетевых интерфейсов (Bond-интерфейсов).

Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 20. Сетевые интерфейсы узла кластера в веб-интерфейсе «КриптоПро NGate»

При объединении сетевых интерфейсов поддерживаются различные алгоритмы агрегации. При этом происходит создание логического или виртуального сетевого интерфейса, объединяющего несколько физических. Эта технология позволяет повысить отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов выход из строя одного из них не повлияет на работоспособность сети) и повысить её пропускную способность.

Рисунок 21. Создание Bond-интерфейса в «КриптоПро NGate»

2020

2 декабря 2020 года стало известно о том, ФСБ России утвердило заключение по результатам проведения работ по оценки влияния СПО «Модуль подписи HSM» на штатное функционирование СКЗИ «КриптоПро CSP» версии 5. 0 и ПАКМ «КриптоПро HSM» версия 2. 0 (комплектация 1, исполнение 1) и № 149/3/2/2/2487, 2020 года. Подробнее здесь.

Совместимость СКЗИ «КриптоПро CSP» 5. 0 и браузера chromium-gost с Ред ОС

Компании «Крипто-ПРО» и «РЕД СОФТ» в рамках технологического партнерства провели тестирование на совместимость своих продуктов. Разработчики подтвердили корректность работы СКЗИ «КриптоПро CSP» версии 5. 0 и браузера chromium-gost (производства «КРИПТО-ПРО») с операционной системой РЕД ОС (производства РЕД СОФТ). Результаты испытаний отражены в двустороннем сертификате совместимости. Об этом Red Soft сообщил 22 июля 2020 года.

Качественное взаимодействие отечественных разработчиков является ключевым для развития отрасли. Совместно с коллегами из «КРИПТО-ПРО», мы регулярно проводим тестирования с целью обеспечить совместимость продуктов, что позволяет предложить пользователям расширенный спектр функций на российской операционной системе РЕД ОС», – комментирует заместитель генерального директора «РЕД СОФТ» Рустамов Рустам.

Технологическое партнерство российских разработчиков, направленное на тестирование совместимости прикладного и системного программного обеспечения, является важным этапом на пути к созданию комплексных импортонезависимых информационных систем, позволяющих решать абмициозный спектр задач в том числе по защите конфиденциальной информации в государственных органах и организациях, – дополняет директор по продажам и развитию бизнеса «КРИПТО-ПРО» Павел Луцик.

30 марта 2020 года группа компаний Astra Linux объявила о включении в функционал операционной системы Astra Linux Special Edition сервиса электронной подписи (ЭП), разработанного совместно с компанией «КриптоПро». Подробнее здесь.

2021

Компании «Крипто-ПРО» и «Ред Софт» подтвердили совместимость средства криптографической защиты информации КриптоПро CSP версии 5. 0 R2 и операционной системы РЕД ОС, в том числе на процессоре Baikal-M. Об этом «Ред Софт» сообщил 15 июля 2021 года. Общая работа по обеспечению совместимости направлена на создание отечественных комплексных конкурентоспособных решений в рамках программы импортозамещения.

Совместимость РЕД ОС и КриптоПро CSP носит принципиальный характер. КриптоПро CSP обеспечивает защиту при передаче данных в большинстве госорганов и госкорпораций страны. Пример взаимодействия наших компаний позволяет говорить об импортозамещении ПО без риска для информационной безопасности, – прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ.

Активное развитие РЕД ОС и СКЗИ КриптоПро CSP с обеспечением совместимости позволяет создавать прикладные информационные системы, позволяющие решать важнейшие государственные задачи с обеспечением неизменно высокого уровня информационной безопасности. И безусловно, совместными усилиями эта практика продолжится, – добавил Павел Луцик, директор по развитию бизнеса и работе с партнерами «КриптоПро».

Сертификация ФСБ «КриптоПро CSP» 5. 0 R2 по классу защиты КС1, КС2 и КС3

7 июля 2021 года Astra Linux и компания «КриптоПро» сообщили об успешном прохождении сертификации ФСБ СКЗИ «КриптоПро CSP» 5. 0 R2.

Криптопровайдер поддерживает актуальные отечественные алгоритмы шифрования из ГОСТ Р 34. 12-2015 (ГОСТ 34. 12-2018), в том числе в протоколах CMS и TLS 1. 2, и отвечает всем требованиям регулятора к СКЗИ классов защиты КС1, КС2 и КС3. Если раньше реализовать максимальную степень безопасности, соответствующую классу КС3, можно было только в среде MS Windows, то теперь эта возможность стала доступна и пользователям ОС Astra Linux Special Edition, отечественной операционной платформы, которую разрешено применять в системах с данным классом защиты.

Обеспечить безопасность данных по классу КС3 позволяет применение не какого-либо отдельного решения, а целого комплекса программных и аппаратных средств. Помимо СКЗИ соответствующего уровня, необходимы специализированное ПО для создания и контроля замкнутой программной среды, например, из состава Astra Linux Special Edition, а также устройство, где реализованы такие условия работы СКЗИ, которые позволяют выполнить все требования, предусмотренные данным классом защиты. Одна из таких аппаратных платформ — созданный в отечественном ОКБ САПР планшетный компьютер «ПКЗ 2020», совместимый с ОС Astra Linux и СКЗИ «КриптоПро CSP» 5. 0 R2. Устройство оснащено сертифицированным ФСБ России аппаратным модулем доверенной загрузки «Аккорд АМДЗ» на базе контроллера «Аккорд-GXM. 2», соответствующим классу защиты «1Б». Программный стек также совместим с отечественными процессорами «Эльбрус».

ИТ-системы с защитой класса КС3 подходят для обработки и хранения персональных данных и других конфиденциальных сведений, не составляющих государственную тайну. Таким образом, отечественный технологический стек, включающий Astra Linux Special Edition, «КриптоПро CSP» 5. 0 R2 и модуль «Аккорд АМДЗ», могут применять организации, которые реализуют стратегию импортозамещения, например, медицинские учреждения, органы социальной защиты граждан и т.

Применение «КриптоПро CSP» 5. 0 R2 вместе со средствами контроля целостности замкнутой программной среды, которые реализованы в Astra Linux Special Edition, позволяет обеспечить безопасность данных, даже если у злоумышленника есть физический доступ к системе. Кроме того, в состав нашей ОС включен сервис электронной подписи, разработанный ранее совместно с экспертами из «КриптоПро», и это служит дополнительным средством защиты от несанкционированного доступа к информации и от ее утечки, — отметил Роман Мылицын, директор по инновациям ГК Astra Linux.

Появление возможности обеспечения защиты информации по классу КС3 с использованием технологической связки КриптоПро CSP 5. 0 R2 и российской операционной системы Astra Linux Special Edition – это действительно большой шаг на пути к цифровому суверенитету и в целом к повышению уровня информационной безопасности компаний, работающих на российском рынке, – дополнил Павел Луцик, директор по развитию бизнеса и работе с партнерами «КриптоПро».

Совместимость «Рутокен ЭЦП» 3. 0 NFC и «Рутокен ЭЦП» 2. 0 3000 с «КриптоПро CSP» версии 5. 0 R2

В рамках многолетнего технологического сотрудничества компании «Актив» и «Крипто-ПРО» провели тестирование, подтвердившее совместимость смарт-карт и токенов Рутокен со средством криптографической защиты информации КриптоПро CSP версии 5. 0 R2. Об этом «Актив» сообщил 15 марта 2021 года. Подробнее здесь.

Новости и статьи

• Все статьи
• Новости
• Обзоры
• Инструкции

Получены сертификаты соответствия ФСБ РФ

Получен сертификат соответствия ФСБ на версию КриптоПро CSP 4. Сегодня данная новость была опубликована на официальном сайте разработчика продукта – ООО «КРИПТО-ПРО». Данная версия криптопровайдера подходит для популярных операционных систем  Windows 10 и Windows 8, основное отличие данной версии – это поддержка ГОСТ Р 34. 10-2012 Создание подписи и ГОСТ Р 34. 10-2012 Проверка подписи.

Сертификат ФСБ для КриптоПро CSP 4. 0 получен для двух классов защиты КС1 и КС2. Отличие между ними в разной работе с ключами, более высокий класс защиты КС2.

• Исполнение 1 в соответствии с формуляром ЖТЯИ.00087-01 30 01
• Исполнение 2 в соответствии с формуляром ЖТЯИ.00088-01 30 01

Срок действия сертификатов – до 31 декабря 2018 года.