криптопро или аналог

ViPNet CSP и КриптоПро CSP на одном компьютере

Большинство удостоверяющих центров (УЦ) выдает сертификаты и ключи ЭП, сформированные на платформах КриптоПро. У разработчика сильная программа дистрибуции. УЦ заинтересованы в распространении связанного с их услугами платного продукта и получают за это материальное вознаграждение.

ViPNet CSP — бесплатный криптопровайдер. Создан компанией ОАО «ИнфоТеКС» — одним из лидеров рынка информационной безопасности в России. Софт подходит для работы с любой электронной подписью. Многие пользователи предпочитают работать именно с ViPNet CSP.

Некоторые электронные торговые площадки требуют взаимодействия с продуктами КриптоПро. В этом случае придется инсталлировать обе программы на один компьютер.

Добиться симбиоза двух криптопровайдеров на одном ПК возможно, если четко выполнить инструкции. Для начала — три простых совета, которые помогут корректно использовать софт:

Комплексное импортозамещение средств удаленного доступа от NGate и UEM SafeMobile

Публикация: 02 August 2022 – 10:36

Специалистами “НИИ СОКБ Центр разработки” и “КриптоПро” разработано комплексное решение для обеспечения защищенного удаленного доступа к информационным системам с мобильных и стационарных устройств. Оно создано на основе VPN-шлюза КриптоПро NGate (далее – NGate) и комплексной цифровой мультиплатформы управления мобильными устройствами SafeMobile (далее – UEM SafeMobile). Решение обеспечивает широкие возможности по централизованному управлению конечными устройствами, включая организацию и управление VPN-доступом.

КриптоПро 5. 0 и ViPnet 4

КриптоПро CSP — флагман российского рынка информационной безопасности. «Глянцевый» и востребованный продукт со множеством программных дополнений. В комплекте с базовым модулем, он способен превратить компьютер в защищенную рабочую станцию.

ViPNet CSP — пока бесплатный альтернативный криптопровайдер, снискавший популярность пользователей. Соревнование двух «шифровальщиков» напоминает соперничество семейств «операционок» Windows и Unix.

Можно ли «подружить» самых знаменитых российских криптопровайдеров?

КриптоПро 5

КриптоПро Рутокен CSP

Техническое сопровождение

Подробнее о ViPNet CSP версии 4

Что «умеет» криптопровайдер? Генерировать и верифицировать ЭП по актуальным отечественным алгоритмам. Например, по ГОСТ Р 34.10-2012. Криптомодуль выполняет следующие задачи:

Приложение обеспечивает информационную защищенность классов:

Защищенность третьего класса обеспечивается путем формирования обособленной софт-среды. Версия 4.2 отлично подходит:

Также криптомодуль поддерживает:

Криптопровайдер соответствует требованиям ФЗ № 63 (от 06.04.2011) и внесен в нотификацию Таможенного союза. Согласно документу, любое лицо, пересекающее рубежи ТС, вправе транспортировать модуль без каких-либо дополнительных разрешительно-сопроводительных бумаг.

Примечание. Разработчик оставляет за собой право:

Изменения не могут ухудшать свойств ПО.

1. Задай вопрос нашему специалисту в конце статьи. 2. Получи подробную консультацию и полное описание нюансов! 3. Или найди уже готовый ответ в комментариях наших читателей.

Детальнее о КриптоПро CSP 5

Инновационное поколение криптомодуля. Достоинства предыдущих продуктов линейки приумножены, недостатки — учтены и устранены. Программа воспринимает практически все ключевые носители, в том числе облачные. Традиционный интерфейс сохранен. Криптопровайдер обеспечивает:

КриптоПро CSP 5.0 поддерживает больший набор алгоритмов в сравнении с ViPNet 4.2: это и инструкции отечественных ГОСТ, и зарубежные криптостандарты.

Реализована опция вызова криптофункций из сторонних программ через «классические» интерфейсы:

Настоящая опциональная новинка — кроссплатформенный графический модуль CryptoPro Tool. «Инструменты КриптоПро» — приложение, адаптированное под работу трех «операционок»: Windows, Linux и macOS. Пользователь может в привычном режиме заниматься решением текущих задач:

Доступ к необходимым опциям реализован в простом интерфейсе. Для продвинутых пользователей предусмотрен спецрежим, открывающий расширенные возможности. Софт по-прежнему остается платным — с прайс-листом можно ознакомиться здесь.

“Окуляр ГОСТ” – аналог Adobe Acrobat с плагином “КриптоПро”

Публикация: 06 April 2022 – 17:52

Компания “Лаборатория 50” создала “Окуляр ГОСТ” – свободное приложение для российских пользователей, использующих документы в формате PDF. “Окуляр ГОСТ” позволяет просматривать, печатать и рецензировать электронные документы, книги и журналы. Поддерживает встраиваемый формат ЭП CAdES (аналог Adobe Acrobat с плагином “КриптоПро”). Поддерживаемые операционные системы: Ubuntu, Debian, Fedora, Альт, Astra Linux, РОСА.

Одной из главных особенностей программы является поддержка стандарта ГОСТ Р 34.10-2012 и возможность заполнения PDF-форм кириллицей. Также присутствует функция пакетной подписи документов PDF и графический интерфейс подписывания электронной подписью. Не забыли и про возможность работа с встраиваемой ЭП в формате CadES простой и усовершенствованной подписи в формате CAdES-X Long Type 1.

Полный текст новости на CNews.

Функциональные возможности «КриптоПро NGate»

Режимы работы

Подробное описание основных режимов работы шлюза приведено на основной странице, посвящённой его особенностям. Мы дадим краткое определение этих режимов, достаточное для формирования чёткого представления о них.

Режим TLS-терминатора (TLS offload) или TLS-сервера для доступа к информационным ресурсам. При реализации такого формата функционирования шлюз становится промежуточным звеном между защищаемым публичным ресурсом и пользователем, который пытается получить доступ к нему используя веб-браузер (при этом установка VPN-клиента не требуется). NGate в режиме терминатора не осуществляет аутентификацию пользователей, но обеспечивает криптографическую защиту данных, передаваемых не только по HTTP, но и по HTTP/2, REST, gRPC, WebSockets и произвольным TCP-протоколам. Наиболее распространёнными и понятными примерами систем, для доступа к которым можно использовать криптографический шлюз в режиме терминатора, могут выступать различные государственные порталы (например, Единый портал государственных услуг), электронные торговые площадки, сайты дистанционного банковского обслуживания, видео-конференц-связи и телемедицины.

В режиме сервера портального доступа криптошлюз также находится посередине между пользователями и защищаемыми ресурсами, к которым пользователь также подключается через браузер, но, в отличие от предыдущего варианта, берёт на себя аутентификацию пользователей и предоставляет доступ к целевым ресурсам через промежуточный веб-портал, являющийся частью NGate. Криптошлюз позволяет гибко управлять доступом на основе определённых политик, правил, пользовательских ролей и других параметров таким образом, что становится возможным разграничивать области видимости в зависимости от уровня доверия по отношению к пользователю.

Режим VPN-сервера предназначен для реализации безопасного удалённого доступа сотрудников организации (на их устройства устанавливается VPN-клиент) к произвольным корпоративным ресурсам (файловым хранилищам, доступ по RDP и т. д.) с использованием технологии динамического туннелирования VPN TLS.

Методы аутентификации

NGate поддерживает разнообразные способы аутентификации, а также возможность их комбинировать:

• по логину и паролю (Microsoft Active Directory, AD);
• по сертификату (реализована не только простая проверка на валидность, но и аутентификация по различным полям сертификата: Organization, Organizational Unit (O / OU), Enhanced Key Usage, а также по дополнительным наборам полей, например СНИЛС, ИНН и т. д., в том числе при пустых полях O / OU);
• по имени участника-пользователя (User Principal Name, UPN) в Microsoft AD;
• с использованием сертификата присутствующего во внешней службе каталогов (Microsoft AD, LDAP);
• по одноразовому паролю (One-Time Password, OTP) при интеграции с RADIUS-сервером;
• с использованием сертификатов расположенных на различных токенах и смарт-картах (Aladdin, «Рутокен», Esmart и др.).

Возможности интеграции

Для расширения функциональных возможностей и формирования комплексных решений по защите сети, а также различных систем и ресурсов организации в соответствии с существующими потребностями бизнеса NGate можно гибко интегрировать с различными системами.

Таблица 5. Примеры сторонних систем, с которыми возможна интеграция «КриптоПро NGate»

Новые функции и улучшения

С момента выхода первой версии NGate было добавлено множество новых функций и возможностей, доработан пользовательский интерфейс консоли управления. Большое количество изменений связано с повышением удобства и упрощением взаимодействия с программным комплексом и оптимизацией его работы и быстродействия в целом. Это касается процессов связанных с его настройкой, контролем доступа пользователей к защищаемым ресурсам и системам, аутентификацией и управлением сертификатами.

Далее мы кратко перечислим новые функции и возможности или улучшения NGate версии 1.0 R2:

• Произошёл переход на новую базовую систему Debian 11.
• Выполнен переход на новую версию программного кода Python 3 в связи с окончанием поддержки Python 2.x.
• Произведено обновление криптопровайдера «КриптоПро CSP», составляющего основу серверной части шлюза, до версии 5.0 R2. В разделе с описанием архитектуры криптошлюза мы уже указали основные изменения, произошедшие в новой версии, поэтому дублировать их не будем.
• Расширена поддержка RADIUS-серверов для многофакторной аутентификации: теперь можно получать одноразовые пароли не только через SMS, появилась возможность одновременного ввода различных комбинаций OTP, кода OTP PIN и пароля пользователя из AD или LDAP, а также совместно с пользовательским сертификатом.
• Расширены возможности аутентификации по сертификату (Certificate Access Control List, ACL) на портале. Под порталом понимается сайт или группа сайтов, то есть совокупность ресурсов защищаемых криптошлюзом. Напомним, что теперь аутентификация возможна не только по полям Organization или Organizational Unit (O / OU), но и по дополнительным наборам полей.
• Добавлена возможность разграничения доступа к защищаемым ресурсам в зависимости от поддержки (или её отсутствия) клиентским устройством криптографических алгоритмов ГОСТ.
• Доработан и оптимизирован веб-интерфейс администратора. В частности, появилась панель для просмотра сессий подключённых пользователей и управления ими, добавлен способ быстрого копирования портала со всеми конфигурациями, расширен перечень вариантов фильтрации сертификатов, реализована функция создания резервной копии сразу из веб-интерфейса. Кроме того, были значительно дополнены комментарии к различным полям, упрощающие процессы взаимодействия с интерфейсом.
• Добавлена возможность криптографической защиты трафика передаваемого по HTTP/2, REST, gRPC, WebSockets и произвольным TCP-протоколам. Последнее выступает аналогом инструмента Stunnel и используется в основном для реализации доступа к ресурсам управления промышленными устройствами, защиты почтового трафика, передачи файлов (например, по FTP), удалённого доступа к устройствам по SSH и т. д.
• Реализована функция смены пароля пользователя в каталоге AD / LDAP при использовании клиента NGate.
• Добавлены возможности более тонкой настройки маршрутизации, а также управления приоритетом опроса — в том числе DNS-серверов — при разрешении имён через туннель (путём настройки метрики туннельного интерфейса).
• Значительно расширен перечень динамических HTTP-заголовков с информацией о клиенте, которые шлюз может отправлять защищаемым ресурсам. Кроме того, добавлена функция реализующая криптографическую защиту целостности передаваемых заголовков таким образом, чтобы ресурс мог проверить, кто является источником (или автором) конкретных заголовков и можно ли ему доверять. Отметим, что в случае передачи информации о паролях пользователей в HTTP-запросах она всегда шифруется с помощью специального алгоритма, построенного на базе симметричных шифров ГОСТ.
• Расширены функции по контролю соединений пользователей и управлению ими: добавлены возможности по настройке задержки синхронизации, таймаута для постоянных (keep-alive) HTTP-соединений, ограничения количества одновременных сессий пользователя, а также автоматического отключения при отзыве пользовательского сертификата. Кроме того, появилась функция принудительного разрыва соединений администратором.
• Добавлена поддержка TLS 1.3.

Защищенная электронная почта в КриптоАРМ ГОСТ

Публикация: 03 June 2022 – 09:20, редакция: 03.06.2022 09:29

Выпущена версия 3 программного комплекса КриптоАРМ ГОСТ. На основе этой версии КриптоАРМ ГОСТ будут разработаны и сертифицированы новые версии исполнений 1-КриптоАРМ и 2-КриптоАРМ для перспективного СКЗИ КриптоПро CSP 5.0 R3.

В новой версии добавлен встроенный почтовый клиент для отправки и приема защищенной электронной почты.

КриптоПро и Vipnet Client.

Как могут ужиться на одном рабочем компьютере два программных продукта российских разработчиков: «КриптоПро» и «Vipnet Client».

Версия «Vipnet Client» успела смениться с 3.2. на 4.3, а «КриптоПро» с 3.6 на 4. «Vipnet Client» и «Крипто-Про» установленные на одном компьютере, без дополнительных манипуляций, корректно работают редко. Обычно либо одна, либо другая программа выдает ошибку, не устанавливается или просто не работает как нужно.

Почему? Возможно по разным причинам. Часто дело может быть в Microsoft Crypto API операционной системы Windows. Точнее, в том, как эти программы с ней работают.

CryptoAPI – это интерфейс прикладного программирования (API – Application Programming Interface) в операционной системе Windows, предоставляющий службы шифрования для операционной системы и приложений, работающих под ее управлением. Он содержит ряд функций, позволяющих приложениям шифровать данные и ставить цифровую подпись различными способами, обеспечивая защиту личных ключей. Однако, сами функции CryptoApi не выполняют никаких криптографических действий, а служат лишь посредниками между прикладной программой и CSP (Cryptographic Service Provider – поставщик службы шифрования). Программная часть криптопровайдера представляет собой dll-файл с функциями поддержки шифрования. Криптопровайдеры отличаются друг от друга составом функций, требованиями к оборудованию, алгоритмами, осуществляющими базовые действия (создание ключей, хеширование и пр.). Источник.

В нашем случае, «Крипто-Про» и «Vipnet Client» выполняют функцию криптопровайдера. Оба криптопровайдера позволяют системе Windows шифровать и подписывать информацию по ГОСТовским алгоритмам. Для программы «Крипто-Про» это основная функция, для которой она предназначена. Для «Vipnet Client» функция криптопровайдера является дополнительной и её можно отключить в настройках, это совсем не повлияет на её функциональность в качестве VPN-клиента и клиента «Деловой почты».

Так уж получается, что в большинстве случаев эти криптопровайдеры конфликтуют, замещая друг друга. Например, вы хотите подписать документ в веб-приложении при помощи ключа установленного в «Крипто-Про», но вместо «Крипто-Про» подписать документ вызывается криптопровайдер «VipNet», который данный ключ/сертификат не знает.

Чтобы связка «Крипто-Про» и «VipNet Client» была рабочей нужно отключить криптопровайдер «VipNet Client» и добиться, чтобы криптопровайдер «Крипто-Про» стал основным. Таким образом Вы сможете работать в защищенной сети «VipNet», использовать «Деловую почту» и при этом для электронной цифровой подписи использовать «Крипто-Про».

По наблюдениям та программа, которая была установлена в последнюю очередь будет играть роль криптопровайдера «по умолчанию». Поэтому, один из приёмов, если Вам нужно использовать в качестве криптопровайдера «Крипто-Про» — установите его в последнюю очередь. Также, в теории, это можно сделать правкой реестра, но это более трудоемко.

Ну а теперь конкретнее, про установку различных версий этих программ.

Поддерживаемые операционные системы Windows

* Начиная с версии КриптоПро CSP 3.9 R2.

** Начиная с версии КриптоПро CSP 4.0 R2.

Совместимость ViPNet CSP и КриптоПро CSP

Последовательность действий при отладке криптомодулей напрямую зависит от того, какой софт установлен первым.

Предупреждение! Четко следуйте инструкциям. Импровизации могут привести к дестабилизации работы «операционки».

На рабочей машине предустановлен ViPNet. Алгоритм действий при инсталляции КриптоПро CSP:

1. Откроется мастер установки. Задайте тип: «Выборочная».
2. Кликайте «Далее».

Появится окошко со списком компонент, идущих в дополнение к криптомодулю. Найдите иконку с изображением накопителя — она расположена слева от пункта «Расширенная совместимость с продуктами Microsoft». Если рядом стоит «крестик», щелкните по нему и смените статус на вышеуказанный.

4. Жмите «Далее».

Перезагрузите рабочую машину после установки приложения. Основным СКЗИ останется ViPNet CSP. Если нужно инсталлировать его на ПК с предустановленным КриптоПро CSP, последний придется отключать. Как это сделать?

Настраиваем совместимость с ViPNet CSP — отключаем КриптоПро CSP:

1. В главном меню Windows жмите «Пуск» и выбирайте «Панель управления → Программы и компоненты».
2. Найдите и выделите нужное приложение.
3. Щелкните «Изменить».
4. Откроется окошко Мастера установки. Прочтите приветствие и кликните «Далее».

Выберите иконку с крестиком, чтобы удалить компоненту «Совместимость с продуктами Microsoft».

6. Перезагрузите компьютер.

Чтобы продолжить применение КриптоПро CSP в привычном режим, верните криптопровайдеру статус основного. В настройках Мастера установки активируйте компоненту «Совместимость с продуктами Microsoft», отметив ее иконкой накопителя. После этого отключите ViPNet CSP:

• запустите программу;
• дождитесь появления приветственного окошка и перейдите к настройкам;
• выберите пункт «Дополнительно» в вертикальном меню, расположенном в левой части экрана;
• снимите флажок с опции «Поддержка работы ViPNet CSP через MS Crypto API» — она находится в блоке «Дополнительные параметры».

Чтобы вернуть приложению «руль», деактивируйте компоненту совместимости КриптоПро CSP. После этих действий обязательно перезагрузите компьютер. Слева от опции «Поддержка работы ViPNet CSP через MS Crypto API» установите флажок. Последние манипуляции — проверка интернет-соединения:

1. Введите в строку браузера адрес любого сайта. Работайте строго в Internet Explorer!
2. Страница загрузилась — конфигурация готова к работе.

Если увидите сообщение «Не удалось отобразить страницу», следуйте инструкции:

1. Переходите к главному меню Windows: «Пуск → Выполнить».
2. Набирайте в адресной строке regedit, чтобы попасть в реестр.
3. Следуйте по этому пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig и щелкайте по субкаталогу.
4. Найдите поле Security Packages. Значение sspp замените параметром schannel.

Чтобы редактировать файлы реестра, нужны права администратора. Если текущих системных полномочий недостаточно, следуйте алгоритму:

1. Правой клавишей мышки щелкайте субкаталог, указанный в п. 3.
2. В открывшемся ниспадающем списке жмите пункт «Разрешения».
3. Задайте группу «Администраторы».
4. Установите флажок возле расширения «Полный доступ».
5. Щелкните OK.

Если к изменению прав нет доступа:

1. Жмите «Дополнительно».
2. Щелкайте пункт «Изменить».
3. Вводите адрес действующей электронной почты — он должен быть связан с «учеткой» Microsoft. В качестве альтернативы можно указать ее имя.
4. Кликайте OK.
5. Отметьте флажком действие «Заменить владельца подконтейнеров и объектов».
6. Снова щелкайте OK.

Не забудьте поставить галочку возле разрешения «Полный доступ».

? Чтобы пользоваться бесплатной ЭЦП от налоговиков, нужно будет купить КриптоПро. VIP NET не подойдет

ЭЦП от налоговиков будет работать только с КриптоПро. С криптопровайдером VIP NET она работать не будет. Придется ставить на компьютер КриптоПро, но сделать это самому, чтобы системы не конфликтовали, будет сложно.

«Вопрос по ЭЦП, которые получаем в ИФНС теперь. И это вопрос тем, кто ранее использовал Випнет. Эти ЭЦП работают только с использованием КриптоПро или можно использовать Випнет? Вопрос на практический опыт, просьба не писать теоретические рассуждения, очень прошу».

В комментариях пишут, что многие, как оказалось, пользуются Випнетом, и столкнулись (или могут столкнуться) с той же проблемой.

Проблему прокомментировала Яна Барихашвили, генеральный директор ООО «ЭЛО» (аккредитованной IT компании), сертифицированного партнёра УЦ «Тензор».

«ЭП налоговой сгенерирована на КриптоПро, поэтому работать на ПК, на котором установлен только криптопровайдер VIP NET, она не будет.

Если вы планируете использовать подпись налоговой, нужно установить ещё и КриптоПро на этот ПК, однако, сделать это самостоятельно, обеспечив бесконфликтную работу двух систем, достаточно сложно. Лучше привлечь профессионалов.

Второй вариант — установить КриптоПро на другой ПК и работать с разными криптопровайдерами на разных ПК. При этом обратная работа возможна, т.е. сертификат, сгенерированный на VIP NET, можно экспортировать в КриптоПро и работать с ним».

Вам надо по-другому работать с наличкой. Кого прижмут налоговики и банки? Забирайте запись, пожалуй, лучшего вебинара «Клерка»: «Как будут контролировать наличку по 115-ФЗ».

Только сегодня можно забрать запись со скидкой 60%. Программу вебинара смотрите здесь

Источник

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).

Программы КриптоПро или Контур Крипто

Для корректной работы с ключевой парой требуется правильно настроить ПК и подготовить рабочее место. Это обязательный этап, независимо от того, в какой программе участник документооборота планирует реализовывать функционал цифровой подписи.

В первую очередь требуется установить криптопровайдер (средство криптозащиты). Утилита участвует в генерации, проверке, шифровании и расшифровке ЭЦП, обеспечивает целостность информации и защищает ее от несанкционированного доступа. Без СКЗИ владелец КЭП не сможет использовать ее функции и участвовать в электронном документообороте. Самой популярной криптографической утилитой считается КриптоПро CSP. В течение 3-х месяцев программой разрешено пользоваться в бесплатном тестовом режиме. По истечении этого срока необходимо приобрести лицензию. Дистрибутив для скачивания представлен на сайте разработчика в разделе «Центр загрузок». Для соответствия актуальному алгоритму генерации и проверки ЭП (ГОСТ Р 34.10-2012) необходимо установить утилиту версии не ниже 4.0.

Дальнейшая процедура настройки предполагает следующий порядок:

• Установить драйвер для физического носителя ключевой пары (токена). Если в качестве USB-токена используется Рутокен 2.0 и Jacarta SE, пользователю не придется устанавливать на компьютер СКЗИ — внутри флешки уже есть встроенный криптопровайдер, не требующий покупки дополнительных лицензий.
• Загрузить личный сертификат, полученный в удостоверяющем центре. Это можно сделать через утилиту КриптоПро двумя способами: из вкладки «Установить личный сертификат» или «Посмотреть сертификаты в контейнере». Перед установкой необходимо вставить съемный ключевой носитель в USB-разъем.
• Загрузить корневой сертификат УЦ. Это открытый ключ, по которому СКЗИ определяет, какой именно УЦ выпустил ЭЦП, к какому реестру обращаться для подтверждения достоверности и актуальности сертификата.

Если планируется подписывать электронные формы на площадках с веб-доступом, требуется инсталлировать плагин (Browser plug-in) и скачать расширения для веб-браузера.

Сравнение программных продуктов для создания ЭЦП

После подготовки рабочего компьютера можно приступать к выбору и настройке ПО для создания КЭЦП. Выше мы уже описали самые популярные решения, теперь рассмотрим их более детально.

Первый способ — это программный комплекс от CryptoPro CSP:

• Office Signature (для форматов Word и Excel). Это платный компонент, который позволяет ставить подпись непосредственно в документе (присоединенная ЭП) или формировать ее отдельно (открепленная).
• КриптоПро PDF. Модуль поставляется бесплатно к Adobe Reader, для остальных продуктов придется приобрести платную лицензию.

Основное минусы этих плагинов:

• ограниченный функционал (доступна работа только с определенными форматами);
• возможность применения на одном ПК, на котором стоит лицензия.

Среди отдельных решений для создания подписи наиболее востребован модуль КриптоАрм от компании ООО «Цифровые технологии». ПО позволяет работать с любыми форматами данных (rar, jpeg, png, видео, БД и т. д.). Подписант может генерировать присоединенные и отсоединенные ЭП, подписывать отдельные формы или целые папки. Это платная программа, требующая покупки лицензии, но первые 2 недели можно работать в тестовом режиме. Главный недостаток — жесткая привязка к одному ПК (владелец ключевой пары не сможет воспользоваться утилитой на другом рабочем месте без лицензии).

Третий вариант (создание ЭЦП через веб-сервисы) не требует установки на ПК специальных программ. Самое распространенное решение в этой категории — бесплатный сервис Crypto.Kontur. Сразу после регистрации пользователю открывается доступ к приложению с возможностью генерации и проверки ЭЦП, шифрования и расшифрования цифровых форм. Интерфейс сервиса интуитивно понятен, не требует длительного обучения и особых навыков.

Очевидные минусы веб-сервиса: ограничение на вес отправляемых документов (до 100 Мб) и возможность создавать только открепленные подписи.

Таким образом, у держателя сертификата есть большой выбор программных средств для генерации КЭП: ПО КриптоПро, Контур Крипто, КриптоАРМ и т. д. И это далеко не исчерпывающий список программ.

Если пользователь участвует в электронных торгах, отправляет отчетность в госорганы, работает одновременно с несколькими площадками и системами, целесообразно выбирать десктопные приложения, поскольку в них нет ограничений по размеру документов.

Crypto.Kontur подойдет для предпринимателей, которые периодически применяют подпись для подачи заявлений в ФНС, котировочных заявок, обращений и других цифровых форм весом до 100 Мб.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

«Крипто-Про 4» VS «Vipnet Client 4

Наименее проблемная пара. Если у Вас возникли проблемы при их совместном использовании — убедитесь, что криптопровайдер VipNet CSP отключен, если да, то попробуйте сделать переустановку «Крипто-Про 4».

Также, во всех случаях, советую убедиться, что у Вас установлены все необходимые драйверы для электронных ключей, которые Вы используете (ruTocken, jaCarta и т.п.).

Источник

Можно ли скачать бесплатно бессрочную лицензию КриптоПро CSP 5

CryptoPro 5-й сборки относится к категории криптопровайдеров нового поколения. В ней реализован полный набор опций от предыдущей версии, в том числе поддержка ГОСТа 2012 года, и добавлены новые функциональные возможности.

Основная особенность обновленного СКЗИ — поддержка облачных токенов с неизвлекаемыми ключами. Такая технология постепенно тестируется и внедряется в различных сферах использования криптографических средств, обеспечивая повышенный уровень безопасности ключей без жесткой привязки к одному рабочему месту (доступ к ключевой паре можно получить из любой точки, где есть интернет).

Для работы КриптоПро с облачными ключами не требуется перерабатывать и перепрошивать ПО, остается единый интерфейс доступа, а работа с облаком происходит по тому же алгоритму, что и с физическими токенами.

При инсталляции появилась новая полезная функция — установка всех корневых сертификатов одним кликом. Теперь пользователю не придется тратить время за загрузку каждого сертификата, программа сделает это автоматически. Кроме того, добавлена поддержка платформы Android, которой не было в предыдущих сборках.

Бессрочная лицензия КриптоПро CSP 5. 0 бесплатно

Так же, как и предыдущие версии СКЗИ, бессрочную лицензию КриптоПро CSP 5.0 нельзя скачать бесплатно. Категорически не рекомендуется загружать «ломаные» программы с посторонних ресурсов, дистрибутив необходимо скачивать с официального сайта разработчика или у его официальных дилеров. В линейке присутствует клиентская и серверная лицензии с такой же стоимостью, как и у «четверки».

«Пятерка» пока не лицензирована ФСБ, ее функциональность еще дорабатывается и совершенствуется. На текущий момент этот релиз еще нельзя использовать в полноценном режиме для работы с ЭЦП на электронных площадках, но планируется, что уже в ближайшее время программа получит сертификат соответствия в ФСБ. За актуальной информацией о действующих сертификатах следите в соответствующем разделе.

КриптоПро CSP и ViPNet CSP на одном компьютере

Работа с электронной подписью невозможна без криптопровайдера — специализированного автономного программного модуля. Он необходим для вызова криптофункций из «операционки» или прикладных программ. Windows управляет криптопровайдерами через интерфейс CryptoAPI. Самые «продвинутые» — КриптоПро CSP и ViPNet CSP, но можно ли «держать» их на одном компьютере?

«Крипто-Про 3. 6» VS «Vipnet Client 4

В этом случае установленная на компьютер «Крипто-Про 3.6» может помещать установке «Vipnet Сlient 4.3». В процессе установки последнего может выскочить ошибка «Не удалось установить VipNet Client». Поэтому предлагаю следующий порядок установки:

Сайт Академии криптографии РФ с ГОСТ TLS

Публикация: 04 May 2022 – 16:22, редакция: 04.05.2022 16:23

Специалисты Академии криптографии Российской Федерации для защиты сайта cryptoacademy.gov.ru успешно ввели в эксплуатацию средства криптографической защиты информации (СКЗИ), обеспечивающие реализацию протокола Transport Layer Security (TLS) с российскими криптографическими алгоритмами ГОСТ.

TLS является одним из наиболее популярных протоколов сети Интернет, в том числе российского сегмента, предназначенных для установления защищенного канала связи. Ключевая задача, решаемая TLS ГОСТ, – организация между клиентом и сайтом Академии аутентифицированного защищенного канала, обеспечивающего целостность и конфиденциальность передаваемых данных.

Теперь такая защита со стороны сайта Академии обеспечивается с использованием российских средств криптографической защиты, реализующих отечественные криптографические алгоритмы ГОСТ, и сертификата ключа проверки электронной подписи, выданного удостоверяющим центром компании КриптоПро.

Работа с «КриптоПро NGate»

Предварительные комментарии

Процесс работы с NGate можно разбить на три основные части: подготовка к эксплуатации, настройка доступа к ресурсам и системам и собственно эксплуатация. Подробное описание всех этапов настройки и взаимодействия с NGate приведено в сопроводительной документации.

Подготовка к эксплуатации связана с первоначальным развёртыванием и настройкой программного обеспечения криптошлюза на аппаратной или виртуальной платформе. Этот этап является наиболее трудоёмким и ответственным. Он требует наличия практических навыков работы с операционной системой семейства Linux, знаний о сети организации и инфраструктуре открытых ключей (Public Key Infrastructure, PKI).

Затем с использованием веб-интерфейса администрирования осуществляется настройка криптошлюза для решения задач связанных с организацией доступа пользователей к ресурсам. Сюда входят настройка порталов, серверных мандатов, пользовательских ролей и политик доступа к защищаемым ресурсам, а также конфигурирование взаимодействия со внешними службами (Microsoft AD или другими LDAP-серверами, системами мониторинга, SIEM, средствами аутентификации, включая RADIUS-серверы, и др.).

Дальнейшее обслуживание криптошлюза в ходе его эксплуатации при грамотном развёртывании всех компонентов и правильной настройке параметров не требует постоянного вмешательства или участия со стороны администраторов. Это связано с тем, что в штатном режиме работы круг их задач существенно уменьшается и ограничивается в основном диагностикой и контролем состояния компонентов и систем в составе криптошлюза, устранением неполадок (при обнаружении таковых), мониторингом текущих настроек и обновлением программного обеспечения.

Доступ к интерфейсу администрирования

В рамках подготовки этого обзора разработчик предоставил нам пользовательский сертификат и учётную запись типа «Аудитор» для доступа к тестовому стенду NGate. Эта пользовательская роль является одной из штатных функций продукта и предоставляет возможность просматривать большую часть разделов и возможностей веб-интерфейса без права что-либо изменять. Кроме того, для доступа использовались «Яндекс.Браузер», поскольку он поддерживает шифрование по ГОСТ, и «КриптоПро CSP» в качестве вспомогательного программного обеспечения (установочный файл доступен на основной странице после регистрации).

Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»

Панель управления

После авторизации пользователь попадает на главную страницу — вкладку «Системная информация» панели управления. Сам интерфейс доступен на двух языках: русском и английском, с возможностью переключения между ними в любой момент.

Здесь отображается информация о работоспособности устройств криптошлюза и основные сведения о кластерах (конфигурации, используемые лицензии, узлы; порталы, которые привязаны к кластеру, и ресурсы этих порталов).

Полезной и удобной функцией в новой версии стали предупреждения о скором окончании срока действия сертификатов (ключей) порталов. Эта информация доступна также в виде цветовых меток слева от каждого портала и по протоколу мониторинга SNMP (данные о посещении мандатов).

Рисунок 5. Вкладка «Системная информация» панели управления «КриптоПро NGate»

Новая вкладка и функция панели управления — «Сессии» — позволяет осуществлять поиск сеансов пользователей по различным критериям с расширенными возможностями фильтрации. Список параметров поиска включает кластер, портал, данные пользователя (имя или логин), IP-адрес клиента, состояние пользователя (активный или аутентифицированный), номер сертификата и используемый метод аутентификации. Администратор может останавливать выбранные сессии при необходимости.

Кроме того, важным моментом является отображение конкретного узла, который отвечает за подключение выбранного пользователя. Эта информация может быть использована как вспомогательная при диагностике неполадок (для детектирования источника проблем сетевого доступа при наличии в кластере более одного узла). Она была добавлена в интерфейс в связи с высокой востребованностью у заказчиков.

Рисунок 6. Поиск сессий пользователей в веб-интерфейсе «КриптоПро NGate»

Информация о системе управления в составе криптошлюза приведена на одноимённой вкладке. В новой версии этот раздел дополнен возможностью скачать резервные копии напрямую из веб-интерфейса. Также администратор вправе скачать диагностическую информацию центра управления, которую можно проанализировать самостоятельно или предоставить службе технической поддержки для решения каких-либо проблем.

Рисунок 7. Информация о системе управления в составе «КриптоПро NGate»

Также в панели управления веб-интерфейса администрирования добавлена информация о статистике IP-адресов, которая показывает количество свободных адресов в выделенном сетевом диапазоне VPN для каждого кластера. Здесь же можно посмотреть их разбиение по узлам.

Рисунок 8. Информация о системе управления в составе «КриптоПро NGate»

Настройка конфигураций кластеров

С момента выхода первой версии NGate был существенно переработан интерфейс, отображающий информацию о конфигурации кластеров: он стал более дружественным и понятным.

Рисунок 9. Информация о конфигурации кластера в веб-интерфейсе «КриптоПро NGate»

Кроме того, на этой вкладке появилась функция по добавлению Stream-портала, то есть портала для доступа к ресурсам по произвольному протоколу на базе TCP поверх TLS. Ранее можно было добавлять порталы только для тех ресурсов, которые работают по HTTP.

Рисунок 10. Добавление портала для доступа пользователей к ресурсам по произвольному TCP-протоколу в веб-интерфейсе «КриптоПро NGate»

На другой вкладке этого же раздела можно смотреть детальную информацию о защищаемых ресурсах, настраивать их, добавлять новые, копировать или удалять уже существующие. Можно добавить веб-ресурс, динамический туннель, ресурс для перенаправления пользователей и gRPC-сервисы. По протоколу gRPC работают различные веб-приложения, а в целом он реализует удалённые программные интерфейсы (API).

Рисунок 11. Информация о ресурсах, связанных с кластером, в веб-интерфейсе «КриптоПро NGate»

При настройке веб-ресурсов значительно расширен список возможностей тонкого конфигурирования, а также добавлена функция по балансировке бэкенда для гибкого распределения нагрузки непосредственно со шлюза (или нескольких шлюзов).

Рисунок 12. Создание веб-ресурса в интерфейсе «КриптоПро NGate»

Список доступных внешних служб можно увидеть (и настроить) как в особом разделе веб-интерфейса, так и на вкладке выбранной конфигурации кластера. Но во втором случае будут отображены только те системы и серверы, которые настроены для конкретного кластера.

Рисунок 13. Внешние службы, настроенные для кластера, в веб-интерфейсе «КриптоПро NGate»

Также в разделах конфигурации кластера администратор осуществляет настройку правил и политик доступа к ресурсам (ACL) на основе групп пользователей на каком-либо сервере LDAP (к примеру, Microsoft AD) либо сертификатов (новая функциональность). Сертификатный ACL — это способ задать правила доступа на основе содержимого полей пользовательских сертификатов. В актуальной версии шлюза стало возможно создавать правила с запретительным доступом (в предыдущей версии он был только разрешительным), а также существенно расширился набор полей. Теперь анализируются не только поля с названием организации (Organization / Organization Unit), но и другие, в том числе нестандартные.

Рисунок 14. Настройка сертификатного ACL в веб-интерфейсе «КриптоПро NGate»

Настройка порталов

В веб-интерфейсе администрирования появился раздел с подробной информацией по каждому порталу (ранее эти данные были разбросаны по разным страницам). Существенным функциональным обновлением стало появление возможности создавать правила для динамического туннелирования, определяющие то, какие пользователи к каким порталам и при каких условиях могут подключаться — то есть какие подсети могут назначаться клиенту в зависимости от правил ACL.

Рисунок 15. Общая информация о настройках портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 16. Создание правила для динамического туннелирования в веб-интерфейсе «КриптоПро NGate»

Страница с данными о сертификатах содержит информацию о серверных мандатах и удостоверяющих центрах, включая те, что указаны как доверенные для конкретного портала. Отметим, что на одном кластере может быть несколько наборов порталов с разными сертификатами, в том числе с разными доверенными.

Рисунок 17. Информация о сертификатах портала в веб-интерфейсе «КриптоПро NGate»

Также для каждого портала отдельно настраиваются методы аутентификации пользователей, включая RADIUS-протокол и форматы одноразовых паролей. Администратор может настроить многофакторную аутентификацию и определить перечень требуемых от пользователя данных, который, к примеру, одновременно может включать необходимость предоставить клиентский сертификат, логин и пароль из LDAP, затем PIN-код для доступа к OTP и сам OTP, полученный из SMS-сообщения или специализированного ПО 2FA (Google Authenticator, «Яндекс.Ключ» и т. д).

Рисунок 18. Настройка портала в веб-интерфейсе «КриптоПро NGate»

Настройки узлов

Новой функциональностью в разделе веб-интерфейса «Кластеры» стали возможности создания VLAN- и агрегированных сетевых интерфейсов (Bond-интерфейсов).

Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 20. Сетевые интерфейсы узла кластера в веб-интерфейсе «КриптоПро NGate»

При объединении сетевых интерфейсов поддерживаются различные алгоритмы агрегации. При этом происходит создание логического или виртуального сетевого интерфейса, объединяющего несколько физических. Эта технология позволяет повысить отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов выход из строя одного из них не повлияет на работоспособность сети) и повысить её пропускную способность.

Рисунок 21. Создание Bond-интерфейса в «КриптоПро NGate»

Можно ли скачать КриптоПро бесплатно

Производитель даёт возможность бесплатно скачать, начать работу и пользоваться программой. Скачать программу можно на официальном сайте производителя СКЗИ КриптоПро CSP. Но у программы есть бесплатный тестовый период, срок действия которого составляет 3 месяца.

Чтобы работа продолжалась, бесплатная версия не подходит, нужно покупать лицензию. Существуют 2 типа лицензии: годовая и бессрочная, отличаются они только сроком действия. Существуют браузерные версии в форме плагина. Это бесплатный вариант, называющийся КриптоПро ЭЦП Browser plug-in.

Недавно появилась возможность использовать электронную подпись УЦ ФНС со встроенной
лицензией КриптоПро CSP.

ФНС России проводит эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России программного обеспечения (ПО) для работы с электронной подписью. Разработчик программного обеспечения уже принимает участие в эксперименте. Для бесплатного использования КриптоПро CSP необходимо получить электронную подпись в налоговом органе.

В рамках данного эксперимента лицензия на использование программного обеспечения для работы с электронной подписью и российской криптографией «КриптоПро» включена в сертификаты, выдаваемые УЦ ФНС России с 12 апреля 2022 года.

Срок проведения эксперимента 6 месяцев.

Коган Матвей

Старший специалист по сервисному обслуживанию партнёрской сети «ИнфоСофт»

Сорокина Марина

Специалист по сервисному обслуживанию партнёрской сети «ИнфоСофт»

Крипто Контур для подписания документа электронной подписью

«СКБ Контур» — официальный дилер компании «КРИПТО-ПРО». Web-сервис Крипто.Контур реализует криптографические алгоритмы КриптоПро CSP и работает только с этим криптопровайдером. Если это СКЗИ не установлено на ПК, воспользоваться сервисом невозможно.

Основные преимущества онлайн-сервиса:

• в Crypto.Kontur нет абонентской платы, все функции доступны после регистрации;
• работает с сертификатами любых аккредитованных УЦ;
• не нужно устанавливать ПО — полный функционал сервиса доступен на любом ПК, где настроен модуль КриптоПро CSP.

Крипто Контур для подписания документа электронной подписью можно использовать на различных электронных площадках и в государственных информационных системах:

• для торгов по 44-ФЗ и 223-ФЗ;
• для коммерческих торгов;
• для госпорталов Росреестра, Росаккредитации, ЕГАИС, ГИС ЖКХ и т. д.

Полный перечень систем и площадок представлен на сайте компании.

Онлайн-сервис выполняет следующие функции:

• участие в электронном документообороте без установки специализированных программ и плагинов;
• подтверждение подлинности КЭП, выданной любым аккредитованным центром и сформированной в любой программе;
• шифрование документа сертификатами любых УЦ;
• дешифрование файлов, подписанных ЭП.

Участник документооборота, которому отправлена форма, подписанная ЦП, может проверить подпись в Контур.Крипто или в любой другой программе для заверки и шифровки цифровых форм.

Оформим ЭЦП для вашего бизнеса. Поможем установить и настроить в день подачи заявки!

Оставьте заявку и получите консультацию в течение 5 минут.

Преимущества КриптоПро

Среди главных преимуществ КриптоПро выделяют:

• Опыт работы компании в информационной безопасности — общество с ограниченной ответственностью «КриптоПро» существует с 2000 года. Программа широко распространена — бизнес обычно ставит КриптоПро в качестве стандартного софта для работы с ЭЦП.

• Совместимость КриптоПро с альтернативным софтом. Прочитать сертификат можно даже в том случае, если для его установки использовалось другое ПО. Компания предлагает версию КриптоПро для операционных систем Mac, Linux и Windows. Для корректного использования не нужны эмуляторы или другие дополнительные способы запуска софта.

• Консультации. Если пользователь ЭЦП не знает, как обращаться с софтом, можно проконсультироваться с техподдержкой криптопровайдера.

Подпишитесь на дайджест!

Подпишитесь на дайджест, и получайте ежемесячно подборку полезных статей.

Поддерживаемые носители

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

• П – пассивный носитель – флеш-память с защитой PIN-ом от записи.
• А – активный носитель – неизвлекаемые ключи без защиты канала связи с носителем.
• PKCS – активный носитель, для которого в криптопровайдере присутствует поддержка PKCS#11
• ФКН – функциональный ключевой носитель – неизвлекаемые ключи с защитой канала связи с носителем.

Подробней о типах носителей – в нашем блоге.

* Поддерживается только в ОС Windows.

• Страница для печати

Где скачать бесплатно бессрочную лицензию КриптоПро CSP 4

CSP CryptoPro — платный продукт. Передача прав на использование программы осуществляется на основании лицензионного соглашения. Лицензию можно заказать непосредственно на сайте разработчика или приобрести у официальных дилеров.

Бессрочную лицензию КриптоПро CSP 4.0 нельзя скачать бесплатно, но можно воспользоваться тестовым периодом, в течение которого клиенту предоставляется доступ к демонстрационной версии СКЗИ.

Оформим ЭЦП за один день без вашего участия!

Оставьте заявку и получите консультацию в течение 5 минут.

Временная лицензия КриптоПро CSP 4

Временная лицензия КриптоПро CSP 4.0 действует 90 дней. На этот период пользователь получает бесплатный доступ к полному набору инструментов, имеет возможность изучить функциональность, на практике протестировать софт и принять окончательное решение по дальнейшей эксплуатации продукта.

Примечание! Тестовый период предоставляется только при первой установке ПО. При повторной инсталляции такая возможность не предусмотрена.

По истечении 3 месяцев необходимо приобрести бессрочную или годовую лицензию. Лицензированной программой можно пользоваться только на одном рабочем месте. Если на предприятии планируется поставить СКЗИ для нескольких сотрудников, лицензионный ключ придется покупать на каждый компьютер.

Для серверных операционных систем пользовательская лицензия не подойдет — необходимо приобрести специальный лицензионный ключ для сервера. Лицензирование осуществляется по принципу: 1 серверная машина — 1 лицензионный ключ (независимо от количества подключенных пользователей).

Активация лицензии КриптоПро CSP 4. 0 по серийному номеру

Лицензия на право пользования СКЗИ состоит из сублицензионного договора и бланка с серийным номером. После оплаты ее можно лично забрать у дистрибьютора, заказать доставку или получить в электронном виде на e-mail. Для активации лицензии КриптоПро CSP 4.0 необходимо запустить криптопровайдер:

1. Перейдите в меню «Пуск» → «Все программы» → «КРИПТО-ПРО» → «КриптоПро CSP».
2. Откройте вкладку «Общие» и нажмите на клавишу «Ввод лицензии».
3. В открывшемся окне «Сведения о пользователе» укажите Ф. И. О. владельца, наименование предприятия и серийный номер (с бланка лицензии).
4. Подтвердите операцию нажатием «ОК».

После активации права на использование программы в поле «Срок действия» появится статус «Постоянная» или дата окончания срока, а в «Тип лицензии» — «Клиентская» или «Серверная».

Практические подходы к построению архитектуры безопасности с нулевым доверием на базе продуктов КриптоПро

Публикация: 13 April 2022 – 18:12

В условиях повсеместной удалённой работы, использования облачных вычислений и виртуализации всё больше размываются границы периметра организаций, появляются новые риски и угрозы, становится всё труднее полагаться на обычные средства защиты критически важных систем и данных на основе периметра. Переход к архитектуре с “нулевым доверием” (Zero Trust) способен надёжно обеспечить организациям безопасность в современных реалиях.

Бесплатная лицензия КриптоПро 5

Владельцы ЭЦП, планирующие в будущем перейти на усовершенствованную версию криптопровайдера, могут ознакомиться с возможностями ПО с помощью бесплатной лицензии КриптоПро 5.0. Программа действует в тестовом режиме в течение 90 дней, при этом ее функциональность ничем не отличается от полноценного софта. Этого времени хватит, чтобы оценить преимущества свежей сборки и принять объективное решение.

В целом, этот релиз рассчитан на тех предпринимателей, которые планируют работать с ключами в облаке (КриптоПро DSS). Аспекты применения облачной ЭП проработаны не до конца, и на сегодняшний день пока ведется их сертификация. Но по дальнейшему внедрению можно сказать одно — пользователи «четверки» смогут перейти на свежую версию с минимальными расходами, используя свои старые лицензии.

Подберем ЭЦП на любой бюджет! Консультация и помощь 24 часа в сутки.

Оставьте заявку и получите консультацию в течение 5 минут.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог