Обновлено 13.01.2022
КриптоПро CSP — лидер среди криптопровайдеров (Cryptography Service Provider, CSP) в России. Используется для создания электронной подписи (ЭП), работы с сертификатами и т.д.
Лицензия (лицензионный ключ) платна, но предоставляется демо/пробный период 90 дней (3 месяца) во время которого функционал не ограничен. Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям и т.д. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.
Если лицензия КриптоПро истекла, то работать с электронной подписью невозможно — ни зайти на сайт по сертификату, ни подписать документ нельзя.
Здесь доступны дистрибутивы КриптоПро CSP 4, 5 версии полученные с официального сайта. Мы избавляем вас от необходимости регистрироваться на официальном сайте для скачивания дистрибутивов.
Содержание
- 1 Скачать КриптоПро CSP 4.0.9975, 4.0.9974, 4.0.9969, 4.0.9963, 4.0.9944
- 2 Лицензия ключ КриптоПро 4
- 3 Скачать КриптоПро CSP 5.0.12222, 5.0.12000, 5.0.11944, 5.0.11732, 5.0.11455
- 4 Лицензия ключ КриптоПро 5
- 5 Инструкция по установке КриптоПро 4.0
- Такая возможность на шесть месяцев представлена налогоплательщикам в рамках эксперимента ФНС России.
- Минуточку внимания
- Скачать дистрибутив КриптоПро CSP 5. 0 / 4
- Актуальная версия
- Предварительные несертифицированные версии
- Сертифицированные версии
- Для Linux:
- Для Apple OS X:
- Скачать дистрибутив КриптоПро CSP 5
- КриптоПро CSP для Android
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
- Настройка «КриптоПро» CSP
- Настройка работы с Рутокен ЭЦП 2
- Получаем тестовый сертификат
- Подпись средствами «КриптоПро CSP»
- Rosa Crypto Tool
- Trusted eSign
- Резюме
- .
- Криптографические решения. От криптопровайдеров до браузерных плагинов
- Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944
- Локальные прокси
- Стоимость и сроки доставки
- Инструкция по установке КриптоПро 4
- Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455
- Браузерные плагины
- Кроссбраузерные плагины
- ActiveX
- Криптопровайдеры
- Нативные библиотеки
- OpenSSL-style
- PKCS#11
- NSS
- Библиотеки c собственным интерфейсом
Такая возможность на шесть месяцев представлена налогоплательщикам в рамках эксперимента ФНС России.
Более двух тысяч налогоплательщиков Омской области, получивших электронную подпись в налоговых инспекциях региона, могут бесплатно пользоваться программным обеспечением для работы с электронной подписью криптопровайдера «КриптоПро CSP».
«Индивидуальные предприниматели и руководители организаций, получившие квалифицированную электронную подпись в Удостоверяющем центре ФНС России после 12 апреля 2022 года, могут воспользоваться бесплатным программным обеспечением для работы с электронной подписью с помощью криптопровайдера «КриптоПро CSP» на условиях неисключительной лицензии без ввода серийного номера. Для работы с сертификатами, полученными раннее указанной даты, требуется перевыпуск в любом налоговом органе, оказывающем услугу. Для пользователей Удостоверяющего центра ФНС России, использующих криптопровайдер «VipNet CSP», в рамках эксперимента бесплатное программное обеспечение для работы с электронной подписью ожидается в 3 квартале 2022 года», – рассказали 27 мая в пресс-службе УФНС.
Отмечается, что по состоянию на 24 мая 2022 года налоговыми инспекциями Омской области выдано более 10 тысяч электронных подписей.
Фото © db22.ru
–
–
–
-ЭЦП КриптоПРО 5 бессрочная лицензия
Криптопровайдер “КриптоПро CSP” предназначен для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
- контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Цена действительна не только для интернет-магазина, по этой цене вы можете приобрести товар в офисе компании за наличный расчет.
- Отзывы
- Вопросы и ответы
Вопросы и ответы
Вы можете задать любой интересующий вас вопрос по товару или работе магазина.
Наши квалифицированные специалисты обязательно вам помогут.
Оставить отзыв
У данного товара нет отзывов. Станьте первым, кто оставил отзыв об этом товаре!
Будьте всегда в курсе!
Узнавайте о скидках и акциях первым
Карта сайта
История версий
- Криптопровайдер КриптоПро CSP 3.0 является дальнейшим развитием СКЗИ (Средства Криптографической Защиты Информации) КриптоПро CSP, разработанного ООО “Крипто-Про”, значительно расширяющим область применения продукта.
- КриптоПро CSP 3.0 имеет сертификат соответствия ФСБ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.
- Год выпуска продукта – 2005
- Криптопровайдер КриптоПро CSP 2.0 разработан ООО “Крипто-Про” в 2002 году по техническому заданию согласованному с ФАПСИ в соответствиями с криптографическим интерфейсом фирмы Microsoft – Cryptographic Service Provider (CSP).
- Криптопровайдер КриптоПро CSP 2.0 имеет сертификат соответствия ФСБ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.
- Криптопровайдер КриптоПро CSP 1.1 разработан ООО “Крипто-Про” в 2001 году по техническому заданию согласованному с ФАПСИ.
- Криптопровайдер КриптоПро CSP разработан ООО “Крипто-Про” в 2000 году по техническому заданию согласованному с ФАПСИ.
Платформы (для КриптоПро CSP 3.0):
Windows 2003 (платформа ia64) Windows XP (платформа ia64) Windows 2000 (платформа x86) Windows XP (платформа x86) Windows 2003 (платформа x86) Solaris 9 Update 7 (платформа x86) Solaris 9 Update 7 (платформа Sparc) FreeBSD 5 (платформа x86) Red Hat Linux 7 (платформа x86) Red Hat Linux 9 (платформа x86)
Из нашей статьи вы узнаете:
КриптоПро — это крупнейший отечественный разработчик криптографических утилит и программ для работы с электронной подписью. Компания выпускает продукты, которые работают с популярными ОС, такими как: Windows, macOS, Linux, iOS и Android. Это позволяет использовать их не только на персональных компьютерах, но и на мобильных устройствах. Одной из таких программ является средство для криптографической защиты информации (СКЗИ) КриптоПро CSP. Утилита формирует и проверяет электронную подпись. Шифрует информацию для обеспечения конфиденциальности и целостности. Использует протоколы TLS и IPsec для защиты данных в интернет-сети.
В статье расскажем, какие версии СКЗИ КриптоПро CSP выпускаются для операционной системы Андроид.
КриптоПро Android не является привычной для пользователя программой, которую используют для настольной операционной системы. Данная утилита представлена в виде фреймворка. Программная платформа предназначена для разработчиков и встраивается в мобильное приложение или его функционал.
КриптоПро CSP 5.0 для Google Android выполняет следующие функции
- работает с электронной подписью;
- создаёт безопасную интернет-связь;
- используется для разработки браузеров, которые создают и проверяют ЭП на веб-страницах.
CryptoPro Android взаимодействует с российскими криптографическими алгоритмами, работает на основе виртуальной машины Java 2 Runtime Environment v. 1.7 и 1.8. Более подробное описание функционала, примеры приложений и дополнительная информация представлена в руководстве разработчика компании КриптоПро.
Скачать zip-файл КриптоПро CSP 5.0 для Google Android можно на сайте разработчика, где перед загрузкой требуется регистрация. Или для экономии времени воспользоваться нашей ссылкой.
Изучаю вопрос работы с ЭЦП, которую теперь можно получить “бесплатно” (принесите только сертифицированный носитель). Однако, из документации получается, что для работы в ЛК ИП в налоговой нужно установить плагин в браузер, который в свою очередь хочет иметь Crypto Pro, которая платная.
Я всё правильно понял?
То есть для работы с бесплатной КЭП ЭЦП от налоговой нужно купить и Носитель, и лицензию КриптоПро?
—-
UPD: Что я выяснил в процессе
- ЭЦП налоговой не работает с VipNet CSP! Просит именно CryptoPro CSP
- CryptoPro CPS имеет 90 дней пробный период. Бессрочная лицензия в октябре 2021 стоит 2700р.
- Вопрос задан
более года назад
Крипто-про – криптопровайдер.
Для работы эцп обязателен криптопровайдер, но не обязательна Крипто-про. Есть бесплатные криптопровайдеры, но с ними тяжело, криво и сложно работать. Используйте либо триалку Крипто-про, она даётся на полгода. Либо купите бессрочную версию. Она стоит пару тысяч и закрывает вопрос с криптопровайдером навсегда.
P. S. До этого года эцп выдавали только коммерческие уц и просили за это ещё 5 т.р. сверх стоимости носителя и криптопровайдера, продлевать нужно было ежегодно. И никто не гудел. А сейчас вы покупаете за 2 т.р. Крипто-про, за 500 р носитель и можете на него записывать эцп, полученную в налоговой хоть сто лет.
P. P. S. Если надумаете брать Крипто-про, берите именно бессрочную версию. Всё продавцы норовят продать подписку на год, которая всего в 2-3 раза дешевле бессрочной версии.
Пригласить эксперта
Типо того.
Благо есть ломанные версии
Да
Вы конечно не обязаны его покупать, но пользоваться подписью без него не сможете.
Изучаю вопрос работы с ЭЦП, которую теперь можно получить “бесплатно”
А почему бесплатно в кавычках? Ее действительно делают бесплатно.
нужно установить плагин в браузер, который в свою очередь хочет иметь Crypto Pro, которая платная.
Плагину Crypto Pro не нужен, он будет работать и без него прекрасно. Crypto Pro нужен для использования подписи.
То есть для работы с бесплатной КЭП ЭЦП от налоговой нужно купить и Носитель, и лицензию КриптоПро?
Разумеется.
15 сент. 2022, в 18:08
5000 руб./за проект
15 сент. 2022, в 17:57
2000 руб./за проект
15 сент. 2022, в 16:48
49000 руб./за проект
Минуточку внимания
КриптоПро CSP это крипто-провайдер, т.е. программное обеспечение необходимое для работы с ЭЦП (электронной цифровой подписью).
Данный продукт помогает формировать и проверять ЭЦП. Настраивать взаимодействие открытого сертификата и закрытого ключа, настройку ключевых носителей.
Предоставляет возможность импортировать личный сертификат и так далее. Помимо этого КриптоПро 4.0 необходим для нормальной работы на официальном сайте РФ по размещению государственных закупок.
Скачать дистрибутив КриптоПро CSP 5. 0 / 4
Это неофициальный сайт КриптоПро, мы просто предоставляем возможность скачивать программу без регистрации, чтобы вы не тратили время.
Файлы оригинальные.
Актуальная версия
Предварительные несертифицированные версии
Сертифицированные версии
КриптоПро CSP версия 4.0 R3
КриптоПро CSP версия 4.0 R2
КриптоПро CSP версия 4.0 R1
КриптоПро CSP версия 3.9 R2
КриптоПро CSP версия 3.9 R1
КриптоПро CSP версия 3.6 R4
Для Linux:
КриптоПро CSP 5.0 для Linux (x86, rpm)
КриптоПро CSP 5.0 для Linux (x64, rpm)
КриптоПро CSP 4.0 для Linux (x86, rpm)
КриптоПро CSP 4.0 для Linux (x64, rpm)
Для Apple OS X:
КриптоПро CSP 4.0 для Apple OS X 10.9+ (x64)
Скачать дистрибутив КриптоПро CSP 5
КриптоПро CSP 5.0 от 7.05.2019 для Windows, macOS и UNIX
КриптоПро CSP для Android
КриптоПро CSP 5.0.40029 от 26.10.2018 для платформы Google Android.
Криптопровайдер КриптоПро CSP предназначен для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
- контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
jagunda сказал(-а):
04.12.2021 09:21
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Обращалась по адресу zakazcrypto@*inbox.ru
kandos сказал(-а):
04.12.2021 18:40
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Добрый день, поделиться пожалуйста ключом к КриптоПРО 5.0 12000, почта [email protected]
Torg&znak сказал(-а):
05.12.2021 13:35
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Сообщение от SQlit
У нас вы можете приобрести лицензию для активации программы
Лицензия СКЗИ Крипто Про CSP 4.0 Бессрочная
Лицензия СКЗИ Крипто Про CSP 5.0 Бессрочная
Лицензия СКЗИ Крипто Про CSP 4.0/5.0 Бессрочная серверная
Производим удаленную установку (по договорённости).
Внимание! Для операционных систем Windows Server, Mac OS, UNIX подобные, требуется серверная лицензия.
Убедительная просьба, халявщиков и разводил не беспокоить! Жди выхода нового релиза с пробным периодом! Если вы хотите приобрести лицензию которая проработает все заявленное время, просим обращаться по адресу в форме ниже.
С наилучшими пожеланиями!
Форма связи: [email protected]Душевно благодарен специалистам своего дела, незамедлительно помогли с лицензией на Криптопро версию 5.0.12330 КС1. Всех с наступающими новогодними праздниками!
Samag0n сказал(-а):
06.12.2021 07:24
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Сообщение от anga33520
50500-00007-EZP59-NAPGQ-YGV49
Работает на Mac OS Криптопро CSP КС1 5.0.12000Работает. Спасибо. Win 10/ Версия криптоПро 5.0.12000
Bizlеn сказал(-а):
06.12.2021 07:36
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Сообщение от anga33520
5О5ОО-ОООО7-ЕZР59-NАРGQ-YGV49
Не работает на Mac OS Криптопро КSP КС1 5.0.12000Опроверженный факт, но это так
Сообщение от Samag0n
Работает. Спасибо. Win 10/ Версия криптоПро 5.0.12000
Извините, но без благодарности, без полезный пост, работал пока не заблокировали, но как опять выпустили новый апгрейд версии, все ключики проредили и не подходят, по пробовал под линуксом и виндуосом – не хотят работать
eldorada сказал(-а):
06.12.2021 07:49
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Помогите пожалуйста с ключем Крипто про CSP 5.0.12266 [email protected]
~XXX~ сказал(-а):
06.12.2021 07:51
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Сообщение от Bizlеn
Опроверженный факт, но это так
Извините, но без благодарности, без полезный пост, работал пока не заблокировали, но как опять выпустили новый апгрейд версии, все ключики проредили и не подходят, по пробовал под линуксом и виндуосом – не хотят работать
Плюсую, тоже не работает под windows server
kyrchatov сказал(-а):
06.12.2021 12:00
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
lasto4ka сказал(-а):
06.12.2021 19:59
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Не работают уже ключики…
Grezly сказал(-а):
07.12.2021 04:25
Re: КриптоПро csp 5.0 Активация лицензия и работа с РуТокен 2.0
Сообщение от anga33520
5О5ОО-ОООО7-ЕZР59-NАРGQ-YGV49
на Mac OS Криптопро CSP КС1 5.0.12000Не работает уже на маке
Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.
Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».
«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто. А в Linux доступен только консольный интерфейс. Надеюсь, что компания «КриптоПро» в курсе этой ситуации, и в будущем нас ждут новые красивые и удобные интерфейсы, как для Windows, так и для Linux.
Для настройки нам понадобится:
- Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
- Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
- Рутокен ЭЦП 2.0.
Настройка «КриптоПро» CSP
Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.
Приступаем к настройке.
Скачиваем «КриптоПро CSP» для Linux с официального сайта КриптоПро — www.cryptopro.ru/downloads
Распаковываем «КриптоПро CSP» для Linux:
tar -zxf ./linux-amd64_deb.tgz
Далее у нас есть 2 варианта – автоматическая установка и установка вручную. Автоматическая установка запускается командой:
sudo ./install.sh
или
sudo ./install_gui.sh
Здесь надо отдать должное разработчикам «КриптоПро» – автоматическая установка для большинства дистрибутивов отрабатывает успешно. Хотя бывают и нюансы. Например, если у вас не хватает некоторых пакетов, то установка будет успешно завершена, хотя некоторый функционал работать не будет.
Если что-то пошло не так, или вы по тем или иным причинам хотите использовать установку в ручном режиме, то вам необходимо выполнить:
dpkg -i ./cprocsp-curl-64_4.0.0-4_amd64.deb lsb-cprocsp-base_4.0.0-4_all.deb lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb
Для установки пакетов в ROSA используйте urpmi, вместо dpkg -i.
Устанавливаем лицензию для «КриптоПро CSP» для Linux и проверяем, что все работает нормально:
cpconfig -license -set <серийный_номер>
cpconfig -license –view
Мы должны получить что-то вроде:
License validity:
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Expires: 3 month(s) 2 day(s)
License type: Server.
Настройка работы с Рутокен ЭЦП 2
Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало. Я буду использовать Рутокен ЭЦП 2.0, который имеет сертификат ФСБ и поддерживает работу как с новыми, так и со старыми ГОСТами.
Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.
Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:
apt-get install libpcsclite1 pcscd libccid
Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:
dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb
Получаем тестовый сертификат
Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.
Воспользуемся тестовым УЦ компании «КриптоПро» по адресу — https://www.cryptopro.ru/certsrv/
Создаем запрос на сертификат с параметрами по умолчанию.
Проверим, что сертификат получен успешно.
Чтобы убедиться, что «КриптоПро CSP» успешно увидел токен, выполним:
list_pcsc
Мы должны получить что-то вроде:
Aktiv Rutoken ECP 00 00
Теперь проверяем, что сертификат на токене видится успешно:
csptest -keyset -enum_cont -verifyc -fq
Получаем:
CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 13476867
\\.\Aktiv Rutoken ECP 00 00\822506788-dfcd-54c9-3a5e-e0a82a2d7f0
OK.
Total: SYS: 0,020 sec USR: 0,160 sec UTC: 0,870 sec
[ErrorCode: 0x00000000]
Записываем в хранилище сертификатов КриптоПро информацию об этом сертификате:
csptestf -absorb -cert -pattern 'rutoken'
Match: SCARD\rutoken_ecp_351d6671\0A00\62AC
OK.
Total: SYS: 0,010 sec USR: 0,140 sec UTC: 1,040 sec
[ErrorCode: 0x00000000]
Проверим, что сертификат успешно сохранился в хранилище:
certmgr -list -cert -store uMy
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=Trusted eSign Test
Serial : 0x120019F5D4E16D75F520A0299B00000019F5D4
SHA1 Hash : 0x016f443df01187d5500aff311ece5ea199ff863e
SubjKeyID : 204e94f63c68595e4c521357cf1d9279bff6f6e5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 22/02/2017 10:53:16 UTC
Not valid after : 22/05/2017 11:03:16 UTC
PrivateKey Link : Yes
Container : SCARD\rutoken_ecp_351d6671\0A00\62AC
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
=============================================================================
[ErrorCode: 0x00000000]
На этом основная настройка завершена, и мы можем начинать подписывать или шифровать файлы с использованием различных средств. Переходим к тому, зачем задумывалась эта статья.
Подпись средствами «КриптоПро CSP»
В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:
- Отсутствие хорошей документации;
- Отсутствие графического интерфейса.
Подписать можно с помощью команды:
csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256
Здесь,
my — параметр, в котором надо указать часть Common Name сертификата для подписи;
detached — позволяет создать открепленную подпись;
alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.
Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:
csptestf –sfsign
Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.
Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.
Rosa Crypto Tool
Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.
Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2016 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2. Сейчас утилита поддерживает работу только с «КриптоПро CSP» для Linux, однако в ближайшее время будет добавлена поддержка других криптопровайдеров.
Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.
Установить ее можно, использовав «Управление программами» в Rosa Linux.
Вставляем токен и запускаем утилиту.
Видим, что токен определился успешно и был найден наш сертификат.
Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.
Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.
Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.
Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.
По сравнению с использованием «КриптоПро CSP» из консоли:
+ На порядок проще использовать;
— Отсутствуют различные параметры подписи.
Исходный код программы доступен в публичном репозитории на ABF:
abf.io/uxteam/rosa-crypto-tool-devel
Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.
Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.
Trusted eSign
Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».
Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.
Найти продукт на сайтах компании “Цифровые технологии” непросто. Небольшое описание есть в магазине http://www.cryptoarm.ru/shop/trusted_esign, продукт также можно скачать в разделе «Центр загрузки» на сайте trusted.ru — https://trusted.ru/support/downloads/?product=133
К сожалению, продукт пока доступен только в виде deb пакета для 64-битных систем. С чем связано такое ограничение, непонятно. Будем надеяться, что в ближайшее время компания выпустит и rpm пакет, а также версии для 32-битных дистрибутивов Linux.
Скачиваем с официального сайта deb-пакет и устанавливаем командой:
dpkg –i ./trustedesign-x64.deb
Запускаем Trusted eSign.
Сразу видно, что разработка не обошлась без дизайнера. Никакого сарказма. Все действия делаются просто и логично, а внешний вид радует глаз. К сожалению, большинство средств и программ в области ИБ от российских разработчиков разработаны без привлечения UX-специалистов и дизайнеров и заставляют своих пользователей страдать и плакать кровавыми слезами. Создается впечатление, что другими средства информационной безопасности просто не могут быть. “Цифровые технологии” опровергают это. Плата за красоту и удобство – необходимость платить за лицензию.
Но вернемся к подписи.
Выбираем раздел “Электронная подпись”:
Выбираем «Сертификат для подписи»:
Выбираем файлы для подписи и жмем «Подписать»:
Что под капотом? Процитирую с сайта: “Приложение создано на современном движке Electron, для вызова криптографических операций применяется библиотека OpenSSL. Совместимо с СКЗИ “КриптоПро CSP 4.0” и поддерживает все криптографические алгоритмы, реализованные в нем.” Для тех, кто ещё не в курсе Electron — это фреймворк для создания десктопных приложений на платформе node.js.
Сравним Trusted eSign с Rosa crypto tool:
+ Более удобный и красивый интерфейс
— Платная лицензия
Резюме
Подведем итог. В конце 2016 – начале 2017 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.
Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux. Хорошие и удобные продукты российских разработчиков помогут государственным организациям и структурам нормально работать и выполнять требования по импортозамещению.
Такое развитие не может не радовать, особенно когда это происходит под Linux.
.
Наверняка есть немало пользователей, особенно пользователей Linux, кто считает, что консольных утилит достаточно. А также специалистов по информационной безопасности, которые считают, что дизайн и удобство — излишество в ИБ. Но я не могу с ними согласиться. Консольные утилиты, несомненно, идеальны для автоматизации. Но большинству пользователей удобнее работать с графическими интерфейсами. Даже в Linux.
Криптографические решения. От криптопровайдеров до браузерных плагинов
Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.
С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.
В данном материале сделана попытка классифицировать средства криптографической защиты информации.
- Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
- Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
- Отдельно выделены аппаратные криптографические устройства.
Классификация построена на основе:
- технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
- интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.
Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах
Общая схема классификации приведена в таблице:
Криптопровайдеры | Нативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы) | Локальные прокси | Браузерные плагины | Облачная подпись | Браузеры с российской криптографией |
Почтовые клиенты с российской криптографией | Российская криптография в фреймворках, платформах, интерпретаторах | Настольные криптографические приложения | Криптография в BIOS UEFI | Сервис-провайдеры ЭЦП | Эмуляторы доверенной среды |
Аппаратные средства |
В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.
Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944
Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10
Версия КриптоПро | Сертификация | Поддержка ГОСТ-2012 | Примечание | Ссылка для скачивания |
---|---|---|---|---|
КриптоПро 4.0 R5 (4.0.9975 Euclid) | Сертифиция не планируется. | Поддерживает ГОСТ-2012 | Разработка КриптоПро CSP 4.0 прекращена! Рекомендуем начинать планирование миграции на КриптоПро CSP 5.0. | Скачать КриптоПро 4.0 R5 (4.0.9975 Euclid) Размер: 5,7 Мб |
КриптоПро 4.0 R5 (4.0.9974 Diophantus) | Версия промежуточная. | Поддерживает ГОСТ-2012 | Решена проблема входа по электронной подписи на порталы в Windows 10 | Скачать КриптоПро 4.0 R5 (4.0.9974 Diophantus) от 30.08.2020.) Размер: 5,7 Мб |
КриптоПро 4.0 R5 (4.0.9969 Bayes) | Версия промежуточная. | Поддерживает ГОСТ-2012 | Решена проблема входа по электронной подписи на порталы в Windows 10 | Скачать КриптоПро 4.0 R5 (4.0.9969 Bayes) |
КриптоПро 4.0 R4 (4.0.9963 Abel) | Сертификаты соответствия СКЗИ Криптопро CSP 4.0.9963: СФ/114-3610 от 10 января 2019 до 15 января 2021, СФ/124-3611 от 10 января 2019 до 15 января 2021, СФ/124-3612 от 10 января 2019 до 10 января 2022 СФ/114-3613 от 10 января 2019 до 15 января 2021 СФ/124-3614 от 10 января 2019 до 15 января 2021 | Поддерживает ГОСТ-2012 | Отключен запрет на подписание с использованием ГОСТ Р 34.10-2001 в 2019 году | Скачать КриптоПро 4.0 R4 (4.0.9963 Abel) |
КриптоПро 4.0 R3 (4.0.9944 Xenocrates) | Сертификаты соответствия СКЗИ КриптоПро CSP 4.0.9944: СФ/114-3379, СФ/124-3380, СФ/114-3382, СФ/124-3383 действительны от 11.05.2018 до 15.01.2021 | Поддерживает ГОСТ-2012 | Необходимо отключение блокировки использования ГОСТ Р 34.10-2001 в 2019 году | Скачать КриптоПро 4.0 R3 (4.0.9944 Xenocrates) |
При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.
4040A-Q000K-9KAC2-9A6QR-6FCZN
4040Y-Q0000-02Q6T-NFYX9-24Z86
40400-00000-11111-101EB-G2EM0
40400-00000-11111-00NHL-372FM
40400-00000-UKAC8-00PRU-B8HE6
40400-00000-UKAC2-00QP8-MT29G
Локальные прокси
Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.
Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).
Спецификация | – |
Платформы | Семейство Windows, GNU\Linux, OS X. На базе СПО iOS, Android |
Алгоритмы и криптографические протоколы | ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO; TLS |
Интеграция с PKI | X.509, PKCS#10, CMS, CRL, OCSP, TSP |
Механизмы ЭЦП | Подпись WEB-форм при прохождении траффика WEB API |
Механизмы аутентификации | клиентская аутентификация в рамках TLS |
Механизмы “гостирования” TLS | Через механизм проксирования |
Форматы защищенных сообщений | PKCS#7, CMS |
Интеграция с браузером | Через механизм проксирования |
Мобильные платформы | iiOS, Android на базе СПО sTunnel |
Хранилища ключей | Реестр, файлы, USB-токены |
Взаимодействие с USB-токенами | Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов Через PKCS#11, PC/SC, APDU |
Приложения | Браузеры WEB-сервера RDP Почтовые клиенты и сервера |
Инсталляция | Программа установки, в целом не требуются права системного администратора Копирование, запуск Запуск с FLASH-памяти USB-токена |
Примеры (ГОСТ) | МагПро КриптоТуннель Inter-PRO VPNKey-TLS LirTunnel КриптоПро sTunnel sTunnel |
Проблемы:
- прокси должен быть запущен;
- приложение должно работать через прокси, нужно «научить» его этому;
- могут использоваться нестандартные порты, отсюда проблемы в файрволом
- если приложение «ходит» через localhost, то, например, в адресной строке браузера прописано localhost… — нестандартно
- дополнительные ограничения на разработку web-сайта — в ряде случаев использование только относительных ссылок, чтобы не «вылететь» из туннеля
- прокси сконфигурирован на проксирование конечной группы сайтов, расширение группы — это обновление клиентского конфига
- работа через внешний прокси требует дополнительного конфигурирования локального прокси, при этом могут быть проблемы с аутентификацией пользователя на внешнем прокси
Плюсы:
- решение использует универсальную технологию, поэтому можно не бояться его устаревания;
- решение может применяться на большом числе платформ, в том числе на мобильных платформах;
- кроссбраузерность, поддержка всех WEB-серверов без модификации;
- не требует инсталляции;
- поддержка различных прикладных протоколов.
Стоимость и сроки доставки
Бесплатная доставка осуществляется только до грузового терминала ТК СДЭК, если клиент находится в городе, где нет пункта самовывоза ТК СДЭК, до бесплатно доставляем до ближайшего терминала данной компании (СДЭК). Сроки по данной доставке устанавливаются согласно тарифам ТК и на усмотрение отправителя.
Срочного тарифа и адресной доставки, в услуге «Бесплатная доставка» нет.
Бесплатной доставкой можно воспользоваться только при заказе ККТ с полным комплектом услуг (касса под ключ). При данном условии, бесплатно доставляется только касса.
Если клиент покупает ККТ с полным комплектом услуг + другой товар (весы, денежный ящик, счетчик банкнот, принтер этикеток, 10 коробок чековой ленты и т.д), то бесплатно доставляем только ККТ, доставку на все остальное клиент оплачивает отдельно.
Условия бесплатной доставки по Москве и МО Ваш заказ доставляет курьерская служба:
- — Грастин (Москва и МО до 25 км от МКАД);
- — ETGO (Москва и МО до 25 км от МКАД)
- — Алгоритм (Москва и МО до 25 км от МКАД);
- — CDEK (от 25км от МКАД и более);
Бесплатной доставкой можно воспользоваться только при заказе ККТ с полным комплектом услуг (касса под ключ)! При данном условии, бесплатно доставляется только касса.
Если клиент покупает ККТ с полным комплектом услуг + другой товар (весы, денежный ящик, счетчик банкнот, принтер этикеток, 10 коробок чековой ленты и т.д), то бесплатно доставляем только ККТ, доставку на все остальное клиент оплачивает отдельно.
Бесплатная доставка осуществляется по Москве на следующий день после её оформления. По МО (до 25 км от МКАД) — 1-2 дня. В день планируемой доставки Вам необходимо ответить на звонок курьера, иначе он будет вынужден перенести доставку на следующий день.
Если Вы находитесь более чем 25 км от МКАД, то доставку осуществляет ТК CDEK до ближайшего к Вам пункта выдачи данной компании, согласно параметрам для данного направления (сроки сообщаются логистом при оформлении заказа на доставку).
Выбор ТК, по условиям бесплатной доставки, производится на усмотрение отправителя.
Инструкция по установке КриптоПро 4
Запустите установочный файл CSPSetup_4.0.xxxx.exe
В первом появившемся окне нажмите кнопку «Запустить».
Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».
В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.
Нажимаем «Далее».
Принимаем условия лицензионного соглашения, нажимаем «Далее».
Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».
Выбираем обычную установку. Нажимаем «Далее».
Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).
Нажимаем «Установить».
Ждем пока программа установится.
Дальше остается нажать «Готово». КриптоПро установлено.
Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455
Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10
Версия КриптоПро | Сертификация | Поддержка ГОСТ-2012 | Примечание | Ссылка для скачивания |
---|---|---|---|---|
КриптоПро 5.0.12222 (Lilith) | Промежуточная версия | Поддерживает ГОСТ-2012 | Скачать КриптоПро 5.0 (5.0.12222 Lilith) Размер: 7,33 Мб | |
КриптоПро 5.0.12000 (Kraken) | Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.1200: 1-Base: СФ/114-4064 от 20.05.2021 до 01.05.2024 2-Base: СФ/124-4065 от 20.05.2021 до 01.05.2024 3-Base: СФ/124-4066 от 20.05.2021 до 01.05.2024 | Поддерживает ГОСТ-2012 | Скачать КриптоПро 5.0 (5.0.12000 Kraken) Размер: 7,3 Мб | |
КриптоПро 5.0.11944 (Jackalope) | Версия предварительная, не сертифицирована! | Поддерживает ГОСТ-2012 | Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. | Скачать КриптоПро 5.0.11944 (Jackalope) Размер: 7,43 Мб |
КриптоПро 5.0.11732 (Heimdallr Update 1) | Версия предварительная, не сертифицирована! | Поддерживает ГОСТ-2012 | Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. | Скачать КриптоПро 5.0.11732 (Heimdallr Update 1) Размер: 7,45 Мб |
КриптоПро 5.0.11455 (Fury) | Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.11455: 1-Base: СФ/114-3726 от 13.08.2019 до 13.08.2022 2-Base: СФ/124-3727 от 13.08.2019 до 13.08.2022 3-Base: СФ/124-3728 от 13.08.2019 до 13.08.2022 | Поддерживает ГОСТ-2012 | Скачать КриптоПро 5.0 (5.0.11455 Fury) Размер: 6,85 Мб |
При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.
Браузерные плагины
Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.
Кроссбраузерные плагины
Спецификация | – |
Платформы | Семейство Windows, GNU\Linux, OS X |
Алгоритмы и криптографические протоколы | ЭЦП, шифрование, хэш-функция, имитозащита, HMAC |
Интеграция с PKI | X.509, PKCS#10, CMS, CRL, OCSP (КриптоПро ЭЦП Browser plugin), TSP (КриптоПро ЭЦП Browser plugin) |
Механизмы ЭЦП | Программный интерфейс для использования в JavaScript |
Механизмы аутентификации | ЭЦП случайных данных |
Механизмы “гостирования” TLS | – |
Форматы защищенных сообщений | PKCS#7, CMS, XMLSec (КриптоПро ЭЦП Browser plugin), CADES (КриптоПро ЭЦП Browser plugin) |
Интеграция с браузером | ActiveX (для IE) NPAPI |
Мобильные платформы | не поддерживаются |
Хранилища ключей | Реестр, файлы, USB-токены |
Взаимодействие с USB-токенами | Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов Через PKCS#11, через CryptoAPI |
Приложения | Браузеры |
Инсталляция | Программа установки, не требуются права системного администратора |
Примеры (ГОСТ) | КриптоПро ЭЦП Browser plugin eSign-PRO КриптоПлагин Лисси Плагин портала госуслуг JC-WebClient Рутокен Плагин Плагин BSS КриптоАРМ Browser plugin |
Проблемы:
- отсутствие TLS
- удаление NPAPI из Chromium
- браузеры на мобильных платформах не поддерживают плагины
- настройки безопасности IE могут блокировать исполнение плагина
Плюсы:
- кроссплатформенность для плагинов на базе PKCS#11
- кроссбраузерность
- плагины на базе PKCS#11 не требуют установки СКЗИ
- прозрачное использование для пользователя
ActiveX
Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.
В следующих статьях будут подробно рассмотрены оставшиеся решения.
Криптопровайдеры
Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.
Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.
Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.
Спецификация | Microsoft CSP, Microsoft CNG, CryptoAPI 1.0 -> CryptoAPI 2.0 |
Платформы | Семейство Windows. Есть порт на GNU\Linux, OS X, iOS, Android |
Алгоритмы и криптографические протоколы | ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO; TLS, EAP-TLS, Kerberos |
Интеграция с PKI | X.509, PKCS#10, CMS, CRL, OCSP, TSP |
Механизмы ЭЦП | Нативный программный интерфейс, Си-style; Встраивание в приложения |
Механизмы аутентификации | Клиентская аутентификация в рамках TLS. KERBEROS-аутентификация в домене Windows. Собственные механизмы аутентификации на базе ЭЦП случайных данных |
Механизмы “гостирования” TLS | Встраивание в системный TLS |
Поддержка прикладных протоколов | HTTPS, SMTPS, IMAPS, POP3S, RDP, NNTPS, FTPS, LDAPS |
Форматы защищенных сообщений | PKCS#7, CMS, XMLSec, S/MIME; CADES (КриптоПро ЭЦП), PDF signature (КриптоПро PDF), MS Office Signature (КриптоПро Office Signature) |
Интеграция с браузером | ЭЦП в IE через ActiveX CAPICOM, PKCS#10 через ActiveX XEnroll/CertEnrool TLS в IE через встраивание в SSPI-провайдер ЭЦП в различных браузерах через проприетарные плагины (КриптоПро ЭЦП Browser Plugin) TLS-прокси (КриптоПро sTunnel) Кастомные браузеры (КриптоПро Fox, Защищенный браузер Digital Design) |
Интеграция со службой каталогов | MS Active Directory; клиентская часть с произвольным LDAP-каталогом |
Мобильные платформы | Порт КриптоПро CSP на iOS, Android |
Команднострочная утилита | Есть |
Хранилища ключей | Реестр, USB-токены |
Взаимодействие с USB-токенами | Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов Через PKCS#11, PC/SC, APDU |
Приложения | IE, Microsoft Office, Microsoft Outlook Express, Microsoft Outlook, Microsoft Word/Excel, Microsoft Authenticode, Microsoft RDP, Microsoft Certification Authority, Microsoft IIS, Microsoft Exchange, Microsoft Terminal Server, Winlogon, Microsoft EFC Проприетарные приложения СПО (sTunnel, FireFox, Apache через Trusted TLS, патч для OpenVPN) Adobe Reader SAP |
Интеграция с фреймворками | Microsoft.NET (КриптоПро.NET) |
Инсталляция | Программа установки, требуются права системного администратора |
Примеры (ГОСТ) | КриптоПро CSP ViPNet CSP Signal-COM CSP Лисси CSP КриптоПро Рутокен CSP Валидата CSP |
Проблемы:
- Отсутствие нормальной кроссплатформенности;
- Установка с правами администратора, настройка;
- Установка обновления Windows может потребовать обновления провайдера;
- Необходимость встраивания в приложения посредством модификации кода «на лету»;
- CSP — неродной интерфейс для не-Windows-приложений.
Плюсы:
- Широкий охват Windows-приложений;
- Богатый инструментарий для разработчиков защищенных систем;
- Апробированная на большом количестве проектов технология.
Нативные библиотеки
OpenSSL-style
Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.
После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.
Спецификация | OpenSSL API — один из де-факто стандартов для СПО |
Платформы | Семейство Windows, GNU\Linux, OS X, iOS, Android |
Алгоритмы и криптографические протоколы | ЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO; TLS |
Интеграция с PKI | X.509, PKCS#10, CMS, CRL, OCSP, TSP |
Механизмы ЭЦП | Нативный программный интерфейс, Си-style; |
Механизмы аутентификации | клиентская аутентификация в рамках TLS собственные механизмы на базе ЭЦП случайных данных |
Механизмы “гостирования” TLS | TLS с российской криптографией поддержан в библиотеке (в случае использования OpenSSL в качестве браузерного криптодвижка) TLS-прокси на базе OpenSSL (например, sTunnel) |
Форматы защищенных сообщений | PKCS#7, CMS, XMLSec (при использовании с библиотекой www.aleksey.com/xmlsec, в том числе ГОСТ), S/MIME |
Интеграция с браузером | Через TLS-прокси Через проприетарные плагины В Chromium OpenSSL один из возможных криптодвижков |
Интеграция со службой каталогов | OpenLDAP |
Мобильные платформы | iOS, Android |
Команднострочная утилита | Есть |
Хранилища ключей | Файлы, USB-токены |
Взаимодействие с USB-токенами | Хранилище ключей и сертификатов Использование аппаратной реализации алгоритмов Через PKCS#11 |
Приложения | OpenVPN, Apache, sTunnel, Nginx, Postgre SQL, postfix, dovecot Проприетарные приложения |
Интеграция с фреймворками | OpenSSL интегрирован в большое количество фреймворков (PHP, Python, .NET и др.), но ГОСТа нет. Требуется выпускать патчи к фреймворкам |
Инсталляция | Программа установки, в целом не требуются права системного администратора Копирование Запуск использующих rкриптосредства приложений с FLASH-памяти USB-токена |
Примеры (ГОСТ) | МагПро КриптоПакет ЛирССЛ OpenSSL (несерт.) OpenSSL + engine PKCS11_GOST + Рутокен ЭЦП |
Проблемы:
- OpenSSL и его аналоги не поддерживается приложениями Microsoft;
- Необходимость патчить СПО, которое поддерживает OpenSSL, для включения ГОСТов.
Плюсы:
- Кроссплатформенность;
- Использование в огромном количестве проектов, открытые исходники большей части проекта — выявление и устранение уязвимостей (как пример, недавнее выявление heartbleed);
- Распространяется копированием — можно делать приложения, не требующие инсталляции;
- Широкий охват приложений СПО, на базе которых можно делать защищенные сертифицированные продукты;
- Широкая интеграция в фреймворки, но при этом проблемы с ГОСТами.
PKCS#11
Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.
Функции делятся на:
- Функции доступа к устройству;
- Функции записи/чтения произвольных данных;
- Функции работы с ключами (поиск, создание, удаление, импорт, экспорт);
- Функции работы с сертификатами (поиск, импорт, экспорт);
- Функции ЭЦП;
- Функции хэширования;
- Функции шифрования;
- Функции вычисления имитовставки;
- Функции выработки ключа согласования (Диффи-Хeллман);
- Функции экспорта/импорта сессионного ключа;
Таким образом, стандарт PKCS#11 поддерживает полный набор криптопримитивов, пригодный для реализации криптографических форматов (PKCS#7/CMS/CADES, PKCS#10, X.509 и др.) и протоколов (TLS, IPSEC, openvpn и др.).
Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.
В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.
Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.
Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.
PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.
Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.
У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:
Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.
NSS
NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.
В данный момент существуют два проекта по «гостификации» NSS:
- Компания Лисси периодически публикует на своем сайте доступные для скачивания актуальные версии Mozilla Firefox и Mozilla Thunderbird, пересобранные с поддержкой российской криптографии. Кроме того, существует ряд продуктов этой компании, построенный на базе модифицированной библиотеки NSS — высокоуровневая библиотека NSSCryptoWrapper, плагин LCSignPlugin, десктопное приложение для ЭЦП под Android SignMaker-A.
Следует отметить, что модифицированный специалистами этой компании NSS позволяет использовать как программные PKCS#11-токены, так и аппаратные (Рутокен ЭЦП, eToken ГОСТ, JaCarta ГОСТ, MS_KEY). - Atoken — это open source проект компании R-Альфа. В рамках проекта создан программный PKCS#11-токен с российской криптографией и выложены патчи для определенной версии NSS и компонента Security Manаger, позволяющие использовать в продуктах Mozilla россиийскую криптографию (TLS, ЭЦП, PKI). Кроме того R-Альфа предлагает реализацию программного PKCS#11-токена с поддержкой сертифицированной библиотеки Агава-С под названием Агава-Про.
Библиотеки c собственным интерфейсом
Проприетарные библиотеки предоставляют собственный API для встраивания в приложения. В данный список можно внести:
- Агава-С
- Крипто-C
- Крипто-КОМ