|
Белый Андрей Оставлено | |
Всем привет. Сертификат был выпущен в прошлом году на КриптоПро 4, сейчас необходимо перенести его на другой компьютер. | |
|
basid Оставлено | |
Если под “сертификат” подразумевается “электронная подпись”, то – да, ЭП (в разумных пределах) не зависит от версии криптопровайдера. | |
|
two_oceans Оставлено | |
Добрый день. В итоге, проблем быть не должно, но нужно помнить что на новый компьютер (независимо от версии) кроме сертификата нужно не забыть перенести и контейнер закрытого ключа (если он хранится в папке на жестком диске или в реестре) – без него подписать не сможете. Для контейнеров на флешке или токене перенос не потребуется, просто подключите к новому компьютеру и установите сертификат. Удаление сертификата на старом компьютере также не обязательно. | |
| |
1 пользователь поблагодарил two_oceans за этот пост.|
Белый Андрей Оставлено | |
|
miandrru Оставлено | |
КриптоПро 5.0.12000 КС1 установлен и настроен по статье https://support.cryptopr…loklnym-smrt-krtm-po-rdp | |
Screenshot_1.png |
nickm Оставлено | |
Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии. | |
|
miandrru Оставлено | |
Автор: nickm Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии. В указанной статье речь идет как раз об использовании подключенных локально к серверу ключей в RDP сессиях | |
|
ivstark Оставлено | |
Как получилось у меня: Далее проделать это: 1. Под полными правами: закладка Сервис – Посмотреть сертификаты в контейнере, 2. Под полными правами: закладка Безопасность (Криптопровайдеры для 5 версии) – во втором выпадающем списке (256) выбрать “Crypto-Pro GOST R 34.10-2012 System CSP”. После этого в RDP сеансе перезапустить приложение, для которого нужна эцп (например, сбис плагин). Также п.1 проделать под каждым удалённым пользователем в rdp сеансе. Отредактировано пользователем 18 августа 2022 г. 14:04:47(UTC) | |
| |
Об использовании ГОСТ SSL(TLS)-сертификатов
2 марта, 2022
Павел Луцик (КриптоПро) об использовании ГОСТ SSL(TLS)-сертификатов :
“Друзья, вчера одним из иностранных удостоверяющих центров (УЦ) были неожиданно отозваны выданные им SSL(TLS)-сертификаты веб-сайтов крупнейших российских банков (ЦБ, Промсвязьбанк, ВТБ), что привело к невозможности защищенного доступа пользователей к этим сайтам. За последние несколько лет подобная ситуация возникает, к сожалению, не впервые и есть ненулевой риск, что эта негативная тенденция продолжится.
В этой связи остро встает вопрос диверсификации защищенного доступа к веб-сайтам организаций. Достичь этого можно разными способами. Например, получив несколько сертификатов в разных международных УЦ. Но здесь опять же есть риск того, что и эти УЦ в какой-то момент отзовут выданные ими сертификаты.
Одним из возможных способов диверсификации может стать обеспечение поддержи ГОСТ TLS посредством использования сертификата, выданного отечественным УЦ, который можно задействовать в случае отзыва сертификата, выданного зарубежным УЦ.
Что для этого необходимо:
Получить сертификат в отечественном УЦ, например, в этом: https://tlsca.cryptopro.ru/tls.htm .
На стороне пользователя (при доступе к веб-сайту с ПК) установить одну из актуальных версий КриптоПро CSP и один из браузеров, поддерживающих ГОСТ TLS (Яндекс.Браузер, Internet Explorer, Chromium Gost). При этом важно отметить, что лицензия на КриптоПро CSP при одностороннем TLS (односторонняя аутентификация сервера по сертификату сервера), не требуется. Кроме этого, что не менее важно, при использовании сертификата, полученного в указанном выше УЦ, доверие к корневому сертификату данного УЦ и выданным им сертификатам, на стороне пользователя обеспечивается автоматически, т.к. корневой сертификат данного УЦ зашит в дистрибутив актуальных версий КриптоПро CSP и устанавливается в ОС автоматически при установке на ПК пользователя ПО КриптоПро CSP.
На стороне пользователя (при доступе к веб-сайту с мобильного устройства с ОС Android или iOS) реализовать для мобильного приложения поддержку ГОСТ TLS посредством CryptoPro CSP SDK, в том числе возможно использование механизма SSL Pinning. Использовать мобильные браузеры для доступа к веб-сайту по ГОСТ TLS, к сожалению, не получится, т.к. в настоящее время мобильных браузеров, поддерживающих ГОСТ TLS, не существует.
По любым вопросам, коллеги, обращайтесь, на [email protected] или мне в личку, готовы будем помочь.”
Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Решения nginx и Apache HTTP Server (далее — Apache) — два самых широко распространенных веб-сервера с открытым исходным кодом в мире. Каждый из них обладает собственными преимуществами, при этом одной из основных функциональных возможностей обоих серверов является построение защищенного с использованием протокола TLS соединения между клиентом и сервером с обеспечением целостности и конфиденциальности передаваемых данных, в том числе с применением российских криптографических алгоритмов ГОСТ.
Возможность использования TLS с ГОСТ обеспечивается с помощью вызова функций СКЗИ КриптоПро CSP (далее — СКЗИ):
- в nginx — применением к исходным текстам специальных патчей, входящих в состав отдельных версий СКЗИ;
- в Apache — использованием бинарного модуля mod_ssl из состава СКЗИ.
Таким образом, СКЗИ можно эксплуатировать совместно с серверами nginx и Apache определенных версий для реализации TLS с ГОСТ без проведения исследований по оценке влияния указанных серверов на СКЗИ, что делает возможным использование данного решения для обеспечения криптографической защиты передаваемых между клиентом и сервером конфиденциальных данных (в том числе персональных данных) в соответствии с требованиями законодательства РФ по информационной безопасности. При эксплуатации иных версий nginx/Apache или СКЗИ проведение оценки влияния является обязательным во всех случаях, предусмотренных законодательством. Подробнее о работе TLS с ГОСТ можно ознакомиться в нашей статье.
Процесс установки и настройки совместной работы СКЗИ с веб-серверами nginx описан в Руководстве администратора безопасности к соответствующей версии СКЗИ. Необходимые компоненты для работы решения можно скачать в составе СКЗИ. Программное обеспечение nginx и Apache не входит в комплект поставки СКЗИ. Исходные тексты nginx необходимо скачать с официального сайта с последующей проверкой контрольной суммы, а дистрибутив Apache обычно входит в состав ОС.
По сравнению со штатным использованием серверов nginx и Apache, при реализации TLS с ГОСТ на nginx или Apache в качестве криптографического ядра вместо OpenSSL используется СКЗИ КриптоПро CSP и поэтому функциональность решения имеет некоторые особенности:
- Общий кэш при работе в рабочих процессах отсутствует;
- Поддержка директив конфигурации, указанных в файле конфигурации и относящихся к TLS, реализована частично.
Для реализации TLS с ГОСТ на nginx или Apache необходимо приобрести годовую или бессрочную клиентскую лицензию (обязательно при реализации двухстороннего TLS с ГОСТ), специальную бессрочную серверную лицензию с поддержкой TLS и при необходимости сертификаты технической поддержки на указанные лицензии. С полным перечнем необходимых для реализации решения лицензий и сертификатов технической поддержки можно ознакомиться на нашем сайте.
В настоящее время в состав СКЗИ КриптоПро CSP версий 5.0 R2 KC1 (исполнение 1-Base) и 5.0 R2 КС2 (исполнение 2-Base) входят следующие версии компонентов решения для ОС семейства Linux:
- Патч для nginx версии 1.18.0;
- Модуль mod_ssl для Apache версии 2.4.25+ (для ОС Astra Linux SE) и Apache 2.4.41+ (для других ОС семейства Linux).
Отдельно стоит отметить возможность реализации TLS с ГОСТ на веб-сервере Apache Tomcat, используемом для исполнения веб-приложений, написанных на Java. Для решения данной задачи можно использовать криптопровайдер КриптоПро JCP, реализующий SSL и TLS протоколы на базе российских криптографических алгоритмов ГОСТ. При этом, в случае использования КриптоПро JCP 2.0 R4, проведение оценки влияния Apache Tomcat на СКЗИ не потребуется.
В качестве альтернативы предлагаем также рассмотреть более функциональное и производительное решение — TLS-шлюз и VPN КриптоПро NGate, сертифицированный ФСБ России и позволяющий одновременно реализовать TLS с ГОСТ для большого количества веб-серверов, также без необходимости проведения оценки влияния среды функционирования.
Страница для печати
|
gornyaki Оставлено | |
При попытке открыть lk.dmdk.ru, lkul.nalog.ru ошибка – ERR_SSL_VERSION_OR_CIPHER_MISMATCH ОС Windows 10 Pro Переустановка КриптоПро CSP с чисткой и фиксом не помогает. Есть подозрение на реестр. На пользовательском компьютере, где не работает, реестр выглядит следующим образом. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Configuration\Local\Default\00010002 Function Вложенные ветки HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Configuration\Local\SSL\00010002 Function Вложенные ветки На ПК, у которого есть доступ к lk.dmdk.ru, lkul.nalog.ru в реестре 5 ГОСТ TLS TLS_GOSTR341001_WITH_28147_CNT_IMIT Копирование веток на нерабочую машину, при попытке открыть lk.dmdk.ru приводит к ошибке ERR_SSL_PROTOCOL_ERROR. При этом, tls.sciencemon.ru открывается нормально. | |
|
Александр Лавник Оставлено | |
Проблема решается в рамках обращения № 43448 на портале технической поддержки. | |
|
Ottostolz Оставлено | |
Автор: Александр Лавник Проблема решается в рамках обращения № 43448 на портале технической поддержки. можно ссылочку? | |
|
Александр Лавник Оставлено | |
Автор: Ottostolz Автор: Александр Лавник Проблема решается в рамках обращения № 43448 на портале технической поддержки. можно ссылочку? Здравствуйте. Нет, нельзя. Обращения на портале технической поддержки доступны только сотрудникам технической поддержки и клиенту, который создал обращение. У Вас какой-то вопрос/проблема/ошибка? Если да, то опишите ее (при возможности приложите скриншоты). | |
|
Ottostolz Оставлено | |
Автор: Александр Лавник Автор: Ottostolz Автор: Александр Лавник Проблема решается в рамках обращения № 43448 на портале технической поддержки. можно ссылочку? Здравствуйте. Нет, нельзя. Обращения на портале технической поддержки доступны только сотрудникам технической поддержки и клиенту, который создал обращение. У Вас какой-то вопрос/проблема/ошибка? Если да, то опишите ее (при возможности приложите скриншоты). та же ошибка с ERR_SSL_VERSION_OR_CIPHER_MISMATCH при входе на https://lk.dmdk.ru/ | |
|
Александр Лавник Оставлено | |
Автор: Ottostolz Автор: Александр Лавник Автор: Ottostolz Автор: Александр Лавник Проблема решается в рамках обращения № 43448 на портале технической поддержки. можно ссылочку? Здравствуйте. Нет, нельзя. Обращения на портале технической поддержки доступны только сотрудникам технической поддержки и клиенту, который создал обращение. У Вас какой-то вопрос/проблема/ошибка? Если да, то опишите ее (при возможности приложите скриншоты). та же ошибка с ERR_SSL_VERSION_OR_CIPHER_MISMATCH при входе на https://lk.dmdk.ru/ 1) Какая версия Windows? 2) Какая сборка КриптоПро CSP? 3) Приложите скриншот в Internet Explorer на странице: https://gost.cryptopro.ru Также нажмите на пиктограмму замка в конце адресной строки, потом на ссылку Просмотр сертификатов в появившемся окне. Приложите скриншот вкладки Общие открывшегося окна Сертификат. 4) Компонент Расширенная совместимость с продуктами Microsoft: Программы и компоненты установлен? 5) Приложите скриншот со списком криптопровайдеров в ветке реестра: Код: или результат выполнения в cmd команды: Код: | |
|
Ottostolz Оставлено | |
Автор: Александр Лавник Автор: Ottostolz Автор: Александр Лавник Автор: Ottostolz Автор: Александр Лавник Проблема решается в рамках обращения № 43448 на портале технической поддержки. можно ссылочку? Здравствуйте. Нет, нельзя. Обращения на портале технической поддержки доступны только сотрудникам технической поддержки и клиенту, который создал обращение. У Вас какой-то вопрос/проблема/ошибка? Если да, то опишите ее (при возможности приложите скриншоты). та же ошибка с ERR_SSL_VERSION_OR_CIPHER_MISMATCH при входе на https://lk.dmdk.ru/ 1) Какая версия Windows? 2) Какая сборка КриптоПро CSP? 3) Приложите скриншот в Internet Explorer на странице: https://gost.cryptopro.ru Также нажмите на пиктограмму замка в конце адресной строки, потом на ссылку Просмотр сертификатов в появившемся окне. Приложите скриншот вкладки Общие открывшегося окна Сертификат. 4) Компонент Расширенная совместимость с продуктами Microsoft: Программы и компоненты установлен? 5) Приложите скриншот со списком криптопровайдеров в ветке реестра: Код: или результат выполнения в cmd команды: Код: Воу воу 😀 | |
|
Asya2007 Оставлено | |
Здравствуйте. Также не могу попасть на сайт налоговой. Не проходит последний этап проверки (проверка защищенного соединения с сервером личного кабинета ЮЛ). | |
|
nickm Оставлено | |
Автор: Asya2007 Также не могу попасть на сайт налоговой. Не проходит последний этап проверки (проверка защищенного соединения с сервером личного кабинета ЮЛ). Попробуйте по прямой ссылке, https://lkul.nalog.ru/ Автор: Asya2007 Windows 11, версия КриптоПро 5.0.11455 КС1. А что такую “древноту” на современной системе используете? | |
КриптоПро CSP 5.0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).
Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.
Скачать КриптоПро CSP
с ознакомительной полнофункциональной 90-дневной лицензией
- Назначение КриптоПро CSP
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Облачный токен
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Носители с неизвлекаемыми ключами
- Классические пассивные USB-токены и смарт-карты
- Инструменты КриптоПро
- Поддерживаемое программное обеспечение
- Интеграция с платформой КриптоПро
- Операционные системы и аппаратные платформы
- Интерфейсы для встраивания
- Производительность на любой вкус
- Регулирующие документы
- Назначение КриптоПро CSP
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Облачный токен
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Носители с неизвлекаемыми ключами
- Классические пассивные USB-токены и смарт-карты
- Инструменты КриптоПро
- Поддерживаемое программное обеспечение
- Интеграция с платформой КриптоПро
- Операционные системы и аппаратные платформы
- Интерфейсы для встраивания
- Производительность на любой вкус
- Регулирующие документы
- Краткая справка
- Что такое TLS с ГОСТ?
- Внедрить TLS c ГОСТ? Легко!
- Клиент-серверные решения
- TLS-сервер с ГОСТ
- TLS-клиент с ГОСТ
- Другие решения
- Как настроить доверие к сертификату?
- Тестирование ГОСТ TLS
- Документация
Назначение КриптоПро CSP
- Формирование и проверка электронной подписи.
- Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
- Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
- Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.
Поддерживаемые алгоритмы
В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись | ГОСТ Р 34.10-2012 (ГОСТ 34.10-2018), ECDSA, RSA |
Хэш-функции | ГОСТ Р 34.11-2012 (ГОСТ 34.11-2018), SHA-1, SHA-2 |
Шифрование | ГОСТ Р 34.12-2015 (ГОСТ 34.12-2018), ГОСТ Р 34.13-2015 (ГОСТ 34.13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4 |
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
Облачный токен
В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
| Компания | Носитель |
|---|---|
| Актив | Рутокен ЭЦП 2.0 3000 (USB, Type-C, micro) |
| Смарт-карта Рутокен ЭЦП 3.0 | |
| Инфокрипт | InfoCrypt Token++ |
| СмартПарк | Форос 2. Базис |
Носители с неизвлекаемыми ключами
Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.
| Компания | Носитель |
|---|---|
| ISBC | Esmart Token ГОСТ |
| Актив | Рутокен PINPad |
| Рутокен ЭЦП (USB, micro, Flash) | |
| Рутокен ЭЦП 2.0 (USB, micro, Flash, Touch) | |
| Рутокен ЭЦП 2.0 2100 (USB, Type-C, micro) | |
| Рутокен ЭЦП 2.0 2151 | |
| Рутокен ЭЦП PKI (USB, Type-C, micro) | |
| Рутокен ЭЦП 2.0 Bluetooth | |
| Рутокен TLS (исполнение 1) | |
| Смарт-карта Рутокен ЭЦП SC | |
| Смарт-карта Рутокен ЭЦП 2.0 2100 | |
| Смарт-карта Рутокен ЭЦП 2.0 2151 | |
| Аладдин Р.Д. | JaCarta-2 ГОСТ, JaСarta SF/ГОСТ |
| JaCarta-2 SE/PKI/ГОСТ | |
| Инфокрипт | InfoCrypt Token++ TLS |
| InfoCrypt VPN-Key-TLS |
Классические пассивные USB-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
| Компания | Носитель |
|---|---|
| Alioth | SCOne Series (v5/v6) |
| Gemalto | Optelio Contactless Dxx Rx |
| Optelio Dxx FXR3 Java | |
| Optelio G257 | |
| Optelio MPH150 | |
| ISBC | Esmart Token |
| MorphoKST | MorphoKST |
| NovaCard | Cosmo |
| Rosan | G&D element V14 / V15 |
| G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80 | |
| Kona 2200s / 251 / 151s / 261 / 2320 | |
| Kona2 S2120s / C2304 / D1080 | |
| SafeNet | eToken Java Pro JC |
| eToken 4100 | |
| eToken 5100 | |
| eToken 5110 | |
| eToken 5105 | |
| eToken 5205 | |
| Актив | Рутокен S |
| Рутокен КП | |
| Рутокен Lite | |
| Смарт-карта Рутокен Lite | |
| Аладдин Р.Д. | JaCarta ГОСТ |
| JaCarta PKI | |
| JaCarta PRO | |
| JaCarta LT | |
| Dallas | Touch Memory (iButton) DS199x |
| Инфокрипт | InfoCrypt Token++ lite |
| Мультисофт | MS_Key исп.8 Ангара |
| MS_Key ESMART исп.5 | |
| СмартПарк | Форос |
| Форос 2 | |
| R301 Форос | |
| Оскар | |
| Оскар 2 | |
| Рутокен Магистра |
Инструменты КриптоПро
В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).
Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.
С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.
Поддерживаемое программное обеспечение
КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:
- Офисный пакет Microsoft Office
- Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
- Продукты Adobe
- Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
- Средство формирования и проверки подписи приложений Microsoft Authenticode
- Веб-серверы Microsoft IIS, nginx, Apache
- Средства удаленных рабочих столов Microsoft Remote Desktop Services
- Microsoft Active Directory
Интеграция с платформой КриптоПро
С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:
- КриптоПро УЦ
- Службы УЦ
- КриптоПро ЭЦП
- КриптоПро IPsec
- КриптоПро EFS
- КриптоПро .NET
- КриптоПро Java CSP
- КриптоПро NGate
Операционные системы и аппаратные платформы
Традиционно мы работаем в непревзойдённо широком спектре систем:
- Microsoft Windows
- macOS
- Linux
- FreeBSD
- Solaris
- AIX
- iOS
- Android
- Sailfish OS
- Аврора
аппаратных платформ:
- Intel, AMD
- PowerPC
- ARM (в т.ч. Байкал-М, Apple M1)
- MIPS (Байкал-Т)
- VLIW (Эльбрус)
- Sparc
и виртуальных сред:
- Microsoft Hyper-V
- VMWare
- Oracle Virtual Box
- RHEV
Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.
Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.
Интерфейсы для встраивания
Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:
- Microsoft CryptoAPI
- PKCS#11
- OpenSSL engine
- Java CSP (Java Cryptography Architecture)
- Qt SSL
Производительность на любой вкус
Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.
Регулирующие документы
КриптоПро CSP 5.0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).
Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.
Скачать КриптоПро CSP
с ознакомительной полнофункциональной 90-дневной лицензией
Назначение КриптоПро CSP
- Формирование и проверка электронной подписи.
- Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
- Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
- Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.
Поддерживаемые алгоритмы
В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись | ГОСТ Р 34.10-2012 (ГОСТ 34.10-2018), ECDSA, RSA |
Хэш-функции | ГОСТ Р 34.11-2012 (ГОСТ 34.11-2018), SHA-1, SHA-2 |
Шифрование | ГОСТ Р 34.12-2015 (ГОСТ 34.12-2018), ГОСТ Р 34.13-2015 (ГОСТ 34.13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4 |
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
Облачный токен
В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
| Компания | Носитель |
|---|---|
| Актив | Рутокен ЭЦП 2.0 3000 (USB, Type-C, micro) |
| Смарт-карта Рутокен ЭЦП 3.0 | |
| Инфокрипт | InfoCrypt Token++ |
| СмартПарк | Форос 2. Базис |
Носители с неизвлекаемыми ключами
Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.
| Компания | Носитель |
|---|---|
| ISBC | Esmart Token ГОСТ |
| Актив | Рутокен PINPad |
| Рутокен ЭЦП (USB, micro, Flash) | |
| Рутокен ЭЦП 2.0 (USB, micro, Flash, Touch) | |
| Рутокен ЭЦП 2.0 2100 (USB, Type-C, micro) | |
| Рутокен ЭЦП 2.0 2151 | |
| Рутокен ЭЦП PKI (USB, Type-C, micro) | |
| Рутокен ЭЦП 2.0 Bluetooth | |
| Рутокен TLS (исполнение 1) | |
| Смарт-карта Рутокен ЭЦП SC | |
| Смарт-карта Рутокен ЭЦП 2.0 2100 | |
| Смарт-карта Рутокен ЭЦП 2.0 2151 | |
| Аладдин Р.Д. | JaCarta-2 ГОСТ, JaСarta SF/ГОСТ |
| JaCarta-2 SE/PKI/ГОСТ | |
| Инфокрипт | InfoCrypt Token++ TLS |
| InfoCrypt VPN-Key-TLS |
Классические пассивные USB-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
| Компания | Носитель |
|---|---|
| Alioth | SCOne Series (v5/v6) |
| Gemalto | Optelio Contactless Dxx Rx |
| Optelio Dxx FXR3 Java | |
| Optelio G257 | |
| Optelio MPH150 | |
| ISBC | Esmart Token |
| MorphoKST | MorphoKST |
| NovaCard | Cosmo |
| Rosan | G&D element V14 / V15 |
| G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80 | |
| Kona 2200s / 251 / 151s / 261 / 2320 | |
| Kona2 S2120s / C2304 / D1080 | |
| SafeNet | eToken Java Pro JC |
| eToken 4100 | |
| eToken 5100 | |
| eToken 5110 | |
| eToken 5105 | |
| eToken 5205 | |
| Актив | Рутокен S |
| Рутокен КП | |
| Рутокен Lite | |
| Смарт-карта Рутокен Lite | |
| Аладдин Р.Д. | JaCarta ГОСТ |
| JaCarta PKI | |
| JaCarta PRO | |
| JaCarta LT | |
| Dallas | Touch Memory (iButton) DS199x |
| Инфокрипт | InfoCrypt Token++ lite |
| Мультисофт | MS_Key исп.8 Ангара |
| MS_Key ESMART исп.5 | |
| СмартПарк | Форос |
| Форос 2 | |
| R301 Форос | |
| Оскар | |
| Оскар 2 | |
| Рутокен Магистра |
Инструменты КриптоПро
В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).
Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.
С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.
Поддерживаемое программное обеспечение
КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:
- Офисный пакет Microsoft Office
- Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
- Продукты Adobe
- Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
- Средство формирования и проверки подписи приложений Microsoft Authenticode
- Веб-серверы Microsoft IIS, nginx, Apache
- Средства удаленных рабочих столов Microsoft Remote Desktop Services
- Microsoft Active Directory
Интеграция с платформой КриптоПро
С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:
- КриптоПро УЦ
- Службы УЦ
- КриптоПро ЭЦП
- КриптоПро IPsec
- КриптоПро EFS
- КриптоПро .NET
- КриптоПро Java CSP
- КриптоПро NGate
Операционные системы и аппаратные платформы
Традиционно мы работаем в непревзойдённо широком спектре систем:
- Microsoft Windows
- macOS
- Linux
- FreeBSD
- Solaris
- AIX
- iOS
- Android
- Sailfish OS
- Аврора
аппаратных платформ:
- Intel, AMD
- PowerPC
- ARM (в т.ч. Байкал-М, Apple M1)
- MIPS (Байкал-Т)
- VLIW (Эльбрус)
- Sparc
и виртуальных сред:
- Microsoft Hyper-V
- VMWare
- Oracle Virtual Box
- RHEV
Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.
Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.
Интерфейсы для встраивания
Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:
- Microsoft CryptoAPI
- PKCS#11
- OpenSSL engine
- Java CSP (Java Cryptography Architecture)
- Qt SSL
Производительность на любой вкус
Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.
Регулирующие документы
Краткая справка
Протокол TLS (Transport Layer Security) является одним из наиболее популярных протоколов, предназначенных для установления защищенного канала связи в сети Интернет. Он основан на спецификации протокола SSL (Secure Sockets Layer) версии 3.0, но за время своего существования претерпел довольно много изменений. Самой актуальной версией протокола на текущий момент является недавно вышедшая версия TLS 1.3, однако версия TLS 1.2 все еще остается наиболее распространенной.
Ключевая задача, решаемая TLS, – организация между клиентом и сервером аутентифицированного защищенного канала, обеспечивающего целостность и конфиденциальность передаваемых данных. На каждом этапе работы протокола используются различные криптографические алгоритмы, которые задаются криптонабором – совокупностью алгоритмов, определенной в стандартизирующих документах и включающей, например, алгоритм выработки симметричного ключа, алгоритм шифрования и алгоритм выработки имитовставки. Используемый криптонабор согласуется сторонами в самом начале установления защищенного канала.
Что такое TLS с ГОСТ?
В процессе работы над задачей разработки протокола TLS с поддержкой российских криптонаборов при активном участии специалистов КриптоПро было создано два ключевых документа, регламентирующих порядок работы протоколов TLS 1.2 и TLS 1.3 с ГОСТ Р 34.12-2015 (с использованием алгоритмов Магма и Кузнечик) – рекомендации по стандартизации Р 1323565.1.020-2018 для TLS 1.2 и рекомендации по стандартизации Р 1323565.1.030-2020 для TLS 1.3. Документы определяют криптонаборы с российскими алгоритмами хэширования, шифрования и электронной подписи с учетом наиболее современных и безопасных практик использования криптоалгоритмов. Для регламентации работы протокола с использованием криптонаборов на базе ГОСТ 28147-89 ранее были разработаны методические рекомендации МР 26.2.001-2013. Отметим, что сами российские режимы и криптонаборы стандартизованы в международных организациях ISO и IETF, пройдя экспертизу ведущих мировых специалистов.
Процесс стандартизации TLS с российскими криптонаборами также активно идет и в рамках международных организаций IETF и IANA. Так, организация IANA, управляющая идентификаторами и параметрами протоколов сети Интернет, в том числе благодаря усилиям специалистов нашей компании, впервые зарегистрировала в своем реестре российские криптонаборы и другие сопутствующие параметры для протокола TLS 1.2, а затем и TLS 1.3. Это крайне важное событие, которое имеет непосредственное отношение к стабильности работы протокола TLS с ГОСТ, ведь без наличия международно признаваемых идентификаторов все предыдущие годы существовала опасность блокировки TLS с ГОСТ из-за захвата номеров сторонними криптонаборами, а внесение поддержки российских криптонаборов в свободное ПО было затруднено.
КриптоПро CSP и TLS с ГОСТ
Ниже приведен список поддерживаемых различными версиями нашего криптопровайдера КриптоПро CSP криптонаборов и соответствующих регламентирующих документов. Отдельно отметим, что с версии 5.0 R3 планируется реализация поддержки криптонаборов в соответствии с рекомендациями Р 1323565.1.030-2020 для обеспечения поддержки протокола TLS версии 1.3 с использованием отечественной криптографии.
Версия TLS | Поддерживаемые криптонаборы | Версия CSP | Регламентирующие документы |
1.0 | 28147_CNT_IMIT (0xFF,0x85) | любая поддерживаемая | МР 26.2.001-2013 |
1.1 | 28147_CNT_IMIT (0xFF,0x85) | любая поддерживаемая | МР 26.2.001-2013 |
1.2 | 28147_CNT_IMIT (0xFF,0x85) | любая поддерживаемая | МР 26.2.001-2013 |
28147_CNT_IMIT (0xC1,0x02) | 5.0 R2 и выше | Р 1323565.1.020-2018 draft-smyshlyaev-tls12-gost-suites | |
KUZNYECHIK_CTR_OMAC (0xC1,0x00) | |||
MAGMA_CTR_OMAC (0xC1,0x01) | |||
1.3 | KUZNYECHIK_MGM_L (0xC1,0x03) | Планируется с 5.0 R3 | Р 1323565.1.030-2020 draft-smyshlyaev-tls13-gost-suites |
MAGMA_MGM_L (0xC1,0x04) | |||
KUZNYECHIK_MGM_S (0xC1,0x05) | |||
MAGMA_MGM_S (0xC1,0x06) |
Криптонаборы с номерами (0xC1, 0x00) – (0xC1, 0x06) являются наборами, зарегистрированными в реестре организации IANA.
Внедрить TLS c ГОСТ? Легко!
Наша компания предлагает широкий спектр продуктов для организации каналов, защищенных с помощью TLS с использованием отечественной криптографии. Ниже мы опишем существующие решения для различных задач:
- Клиент-серверные решения
- TLS-сервер с ГОСТ →
- TLS-клиент с ГОСТ →
- Решения для стационарных устройств →
- Решения для мобильных устройств →
- Другие решения →
Также на данной странице представлена информацию об услугах нашего удостоверяющего центра CryptoPro TLS-CA по выдаче сертификатов TLS →
Клиент-серверные решения
TLS-сервер с ГОСТ
Предлагаем воспользоваться одним из двух подходов, позволяющих без дополнительной сертификации и разработки программного кода развернуть TLS-сервер, который будет одновременно работать как с российскими, так и с зарубежными криптонаборами:
- Если вам необходимо настроить работу для конкретного серверного ПО (IIS, Apache, nginx), вы можете на компьютере с указанным серверным ПО установить КриптоПро CSP и, следуя соответствующим инструкциям по настройке, получить TLS-сервер, дополнительно поддерживающий алгоритмы ГОСТ.
- Вы также можете воспользоваться решением КриптоПро NGate, представляющим собой самостоятельный TLS-шлюз (отдельная аппаратная или виртуальная платформа). Решение имеет большое количество преимуществ, одним из которых является удобство обеспечения классов защиты KC2-KC3: в отличие от предыдущего подхода, не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные компоненты решения.
Ниже представлена сравнительная таблица характеристик каждого предлагаемого решения. В колонке “Cертификация” приведена информация о статусе сертификации решения: как самостоятельное СКЗИ или как решение, исследование которого было проведено в рамках сертификации КриптоПро CSP. Во втором случае указана соответствующая версия криптопровайдера.
Решение | Платформа | Сертификация | Класс защиты |
CSP + IIS | Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
CSP + Apache | Linux | начиная с | КС1, КС2*, КС3** |
CSP + nginx | Linux | начиная с | КС1, КС2*, КС3** |
NGate | Усиленная ОС на базе Linux Debian | самостоятельное СКЗИ | КС1, КС2, КС3 |
* – требуются дополнительные настройки и технические средства защиты | |||
TLS-клиент с ГОСТ
Одна из важнейших задач, стоящих перед командой КриптоПро, – создание для пользователя как можно более комфортных условий при работе с сервисами по TLS c ГОСТ. В настоящее время мы предлагаем несколько вариантов решений, включающих в себя как готовые клиентские решения для стационарных устройств, так и решения для разработки собственных мобильных приложений.
Решения для стационарных устройств
Одним из популярных клиентских сценариев является взаимодействие клиента с сайтом, требующим защиту соединения с помощью отечественных алгоритмов (например, сайты банков). В этом случае необходимо, чтобы клиент со своей стороны, так же как и сервер, поддерживал работу по TLS с ГОСТ. Наиболее удобным решением является использование на стороне клиента криптопровайдера КриптоПро CSP совместно с одним из поддерживаемых браузеров.
Кратко о решении:
- На стороне клиента устанавливается КриптоПро CSP и один из поддерживаемых браузеров
- Решение не требует никакой дополнительной разработки
- Такое использование бесплатно для клиента (если с его стороны нет аутентификации по ключу и сертификату).
Ниже представлена сравнительная таблица характеристик поддерживаемых браузеров. Прочерк в колонке “Cертификация” означает необходимость проведения тематических исследований.
Браузер | Платформа | Сертификация | Класс защиты |
Internet Explorer | Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
Спутник Браузер | Windows, Astra Linux, ALT Linux | самостоятельное СКЗИ | КС1, КС2* |
Chromium-Gost | Astra Linux | начиная с CSP 5.0 R2 | КС1, КС2*, КС3* |
Windows, Linux, MacOS | – | – | |
Яндекс.Браузер | Windows | начиная с CSP 5.0 R2 | КС1, КС2*, КС3* |
* – требуются дополнительные настройки и технические средства защиты | |||
Решения для мобильных устройств
КриптоПро предоставляет возможность встраивания поддержки отечественных криптоалгоритмов в ваше мобильное приложение при помощи КриптоПро CSP для операционных систем iOS и Android.
Кратко о решении:
- CSP встраивается в мобильное приложение, пользователю не требуется устанавливать дополнительное ПО
- Приложение может использовать как российские, так и иностранные криптонаборы
Ниже представлен список поддерживаемых операционных систем и соответствующих классов защиты:
Операционная система | Сертификация | Класс защиты |
iOS | любая поддерживаемая версия CSP | КС1 |
Android | начиная с CSP 5.0 | КС1 |
В случае использования КриптоПро CSP версии 5.0 R2 встраивание не требует проведения тематических исследований. Для CSP 5.0 и более ранних версий требуются тематические исследования.
Другие решения
Протокол TLS позволяет обеспечивать защищенное соединение между любыми узлами в сети, что выводит область его применения за рамки представленных решений. TLS может обеспечивать защищенную передачу данных между узлами блокчейна, между пользователями VoIP, фактически между любыми двумя приложениями. Мы предлагаем продукт, позволяющий решить и такие задачи.
Приложение stunnel, входящее в дистрибутив КриптоПро CSP, позволяет устанавливать защищенный с помощью отечественных криптонаборов канал между любыми двумя незащищенными приложениями без дополнительной разработки.
Ниже представлен список наиболее популярных поддерживаемых операционных систем и соответствующих классов защиты:
Операционная система | Сертификация | Класс защиты |
Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
Linux | КС1, КС2*, КС3** | |
MacOS | КС1 | |
* – требуются дополнительные настройки и технические средства защиты | ||
Как настроить доверие к сертификату?
Не секрет, что почти все механизмы аутентификации сторон в протоколе TLS построены на основе инфраструктуры открытых ключей (PKI), одной из основных компонент которой является сертификат открытого ключа сервера или клиента. С помощью сертификата происходит доверенное связывание идентифицирующей сторону информации (например, имени домена сервера) с открытым ключом, для этого используется указанная в сертификате информация о том, кому принадлежит открытый ключ. Данный ключ и соответствующий ему закрытый ключ используются для аутентификации стороны при выполнении протокола TLS, при этом сертификат пересылается по каналу в процессе взаимодействия.
Для того, чтобы механизм аутентификации функционировал корректно, необходимо, чтобы аутентифицирующая сторона могла убедиться, что информация, содержащаяся в переданном сертификате, является корректной и не была сформирована злоумышленником. Фактически, нам необходимо решить проблему доверия к открытым ключам. Это делается за счет наличия третьей стороны, которой доверяют все стороны информационного обмена – Удостоверяющего Центра (УЦ), выдающего сертификаты.
Строго говоря, когда мы говорим о передаче сертификата, мы имеем в виду передачу целой цепочки сертификатов («цепочку доверия»), где каждый сертификат подписывается закрытым ключом, соответствующим тому сертификату, который находятся выше в иерархии.
Если мы хотим проверить полученный сертификат, нам необходимо проверить подписи всех сертификатов в цепочке, опираясь на ключ проверки подписи из следующего по рангу сертификата. Следуя такому принципу, рано или поздно мы встретим сертификат, на котором цепочка заканчивается (т.е. сертификат, для которого нет сертификата с открытым ключом, который можно было бы использовать для проверки подписи). Такие сертификаты называются корневыми (root certificate). Корневые сертификаты устанавливаются доверенным образом, и в них указана информация, ассоциированная с доверенным УЦ.
В протоколе TLS предусмотрена возможность аутентификации и сервера, и клиента (двухсторонняя аутентификация), однако обязательной является только аутентификация сервера. Наиболее распространенным сценарием использования протокола является взаимодействие браузера с сайтом, в рамках которого обычно необходима только односторонняя аутентификация. Поэтому далее мы поговорим о том, как правильно и безопасно настроить доверие к сертификату сервера в рамках работы TLS c ГОСТ.
При работе по протоколу TLS с ГОСТ клиент может доверять сертификату, если его корневым сертификатом является либо сертификат головного удостоверяющего центра Минцифры России (сертификат ГУЦ), либо сертификат любого доверенного удостоверяющего центра (сертификат TLS-CA). Сертификаты, имеющие в качестве корневого сертификат ГУЦ, выдаются только аккредитованными удостоверяющими центрами по 63-ФЗ «Об электронной подписи». Отметим, что сертификат, использующийся для аутентификации сервера по протоколу TLS, не обязан быть полученным в аккредитованном удостоверяющем центре, достаточно, чтобы сертификат был выдан доверенным в рамках системы удостоверяющим центром.
Сертификат, корневым сертификатом которого будет TLS-CA, можно получить в нашем удостоверяющем центре CryptoPro TLS-CA. Отдельно отметим, что сертификат можно получить полностью удаленно, не посещая офис компании, воспользовавшись распределенной схемой обслуживания. Подробно о процедуре получения сертификата можно узнать на странице нашего удостоверяющего центра.
Настроить в браузере доверие к сертификату сервера можно одним из следующих способов:
- вручную:
- браузер клиента предупреждает пользователя о том, что сертификат не входит в список доверенных, клиент может “согласиться” доверять этому сертификату и продолжить устанавливать TLS соединение. Однако, очевидно, что возлагать ответственность за принятие такого решения на пользователя является не самым безопасным решением.
- администратор безопасности системы заносит сертификат сервера в доверенные в ручном режиме, что является достаточно безопасным, но не самым удобным решением.
- автоматически без участия человека:
При установке КриптоПро CSP версии 4.0 R3 и выше для работы браузера по ГОСТ сертификат ГУЦ и сертификат удостоверяющего центра CryptoPro TLS-CA добавятся в список доверенных автоматически. Таким образом, доверие распространится на любой сертификат, выданный аккредитованным УЦ или CryptoPro TLS-CA, причем после прохождения полноценной проверки, не требующей принятия решений от человека.
Тестирование ГОСТ TLS
КриптоПро TLS входит в состав КриптоПро CSP на всех ОС и не требует отдельной установки.
Для использования протокола TLS предварительно получите сертификат по шаблону “Сертификат пользователя УЦ”. Это можно сделать на тестовом Удостоверяющем центре КриптоПро.
Тестовая страница для установления защищенного соединения с сервером с двусторонней аутентификацией. Для работы тестовой страницы необходимо разрешить порт 4444 для исходящих соединений.
Дополнительные стенды для тестирования TLS.
Документация
Онлайн-версия руководства программиста доступна на нашем сайте.
