Криптопро рейтинг и настройка

Лицензия

Для работы с электронной подписью нужна лицензия на право использования СКЗИ КриптоПро CSP. При оформлении электронной подписи в СберКорус комплект из токена и лицензии КриптоПро CSP входит в тариф.

Клиентам СберКорус предоставляется лицензия криптопровайдера версии 5. 0, рекомендуемой для использования электронной подписи. Возможна автоматическая установка и настройка КриптоПро CSP или вручную. Для установки ПО потребуются права администратора локального пользователя системы.

Где купить КриптоПро

Приобрести продукцию и актуальную лицензию КриптоПро можно в «Астрал-М». «Астрал-М» является официальным дилером продукции торговой марки КриптоПро. Этот статус даёт право на распространение, внедрение и сопровождение программ КриптоПро с круглосуточной поддержкой пользователей 24/7. Достаточно заполнить на сайте, вписав своё имя, телефон и адрес электронной почты.

Функциональные возможности «КриптоПро NGate»

Подробное описание основных режимов работы шлюза приведено на основной странице, посвящённой его особенностям. Мы дадим краткое определение этих режимов, достаточное для формирования чёткого представления о них.

В режиме сервера портального доступа криптошлюз также находится посередине между пользователями и защищаемыми ресурсами, к которым пользователь также подключается через браузер, но, в отличие от предыдущего варианта, берёт на себя аутентификацию пользователей и предоставляет доступ к целевым ресурсам через промежуточный веб-портал, являющийся частью NGate. Криптошлюз позволяет гибко управлять доступом на основе определённых политик, правил, пользовательских ролей и других параметров таким образом, что становится возможным разграничивать области видимости в зависимости от уровня доверия по отношению к пользователю.

Режим VPN-сервера предназначен для реализации безопасного удалённого доступа сотрудников организации (на их устройства устанавливается VPN-клиент) к произвольным корпоративным ресурсам (файловым хранилищам, доступ по RDP и т. ) с использованием технологии динамического туннелирования VPN TLS.

Методы аутентификации

NGate поддерживает разнообразные способы аутентификации, а также возможность их комбинировать:

• по сертификату (реализована не только простая проверка на валидность, но и аутентификация по различным полям сертификата: Organization, Organizational Unit (O / OU), Enhanced Key Usage, а также по дополнительным наборам полей, например СНИЛС, ИНН и т. д., в том числе при пустых полях O / OU);
• с использованием сертификата присутствующего во внешней службе каталогов (Microsoft AD, LDAP);
• по одноразовому паролю (One-Time Password, OTP) при интеграции с RADIUS-сервером;
• с использованием сертификатов расположенных на различных токенах и смарт-картах (Aladdin, «Рутокен», Esmart и др.).

Возможности интеграции

Для расширения функциональных возможностей и формирования комплексных решений по защите сети, а также различных систем и ресурсов организации в соответствии с существующими потребностями бизнеса NGate можно гибко интегрировать с различными системами.

Таблица 5. Примеры сторонних систем, с которыми возможна интеграция «КриптоПро NGate»

Новые функции и улучшения

С момента выхода первой версии NGate было добавлено множество новых функций и возможностей, доработан пользовательский интерфейс консоли управления. Большое количество изменений связано с повышением удобства и упрощением взаимодействия с программным комплексом и оптимизацией его работы и быстродействия в целом. Это касается процессов связанных с его настройкой, контролем доступа пользователей к защищаемым ресурсам и системам, аутентификацией и управлением сертификатами.

Далее мы кратко перечислим новые функции и возможности или улучшения NGate версии 1. 0 R2:

• Выполнен переход на новую версию программного кода Python 3 в связи с окончанием поддержки Python 2.x.
• Произведено обновление криптопровайдера «КриптоПро CSP», составляющего основу серверной части шлюза, до версии 5.0 R2. В разделе с описанием архитектуры криптошлюза мы уже указали основные изменения, произошедшие в новой версии, поэтому дублировать их не будем.
• Расширена поддержка RADIUS-серверов для многофакторной аутентификации: теперь можно получать одноразовые пароли не только через SMS, появилась возможность одновременного ввода различных комбинаций OTP, кода OTP PIN и пароля пользователя из AD или LDAP, а также совместно с пользовательским сертификатом.
• Расширены возможности аутентификации по сертификату (Certificate Access Control List, ACL) на портале. Под порталом понимается сайт или группа сайтов, то есть совокупность ресурсов защищаемых криптошлюзом. Напомним, что теперь аутентификация возможна не только по полям Organization или Organizational Unit (O / OU), но и по дополнительным наборам полей.
• Добавлена возможность разграничения доступа к защищаемым ресурсам в зависимости от поддержки (или её отсутствия) клиентским устройством криптографических алгоритмов ГОСТ.
• Реализована функция смены пароля пользователя в каталоге AD / LDAP при использовании клиента NGate.
• Добавлены возможности более тонкой настройки маршрутизации, а также управления приоритетом опроса — в том числе DNS-серверов — при разрешении имён через туннель (путём настройки метрики туннельного интерфейса).

Поддержка КриптоПро различными платформамиПравить

CSP 3. 6CSP 3. 9CSP 4. 0CSP 5. 0
iOS 13 / 14ARM64******
iOS 12ARM64*****ARM64
iOS 11ARM64***ARM64
iOS 10ARM32** / ARM64**ARM32*** / ARM64***ARM32 / ARM64
iOS 9ARM32** / ARM64**ARM32 / ARM64ARM32 / ARM64
iOS 8ARM32 / ARM64**ARM32 / ARM64ARM32 / ARM64
iOS 6 / 7ARM32ARM32
iOS 4. 2 / 4. 3 / 5ARM32
macOS 11ARM64 / x64******
macOS 10. 15×64******
macOS 10. 14×64*****x64
macOS 10. 13×64*****x64
macOS 10. 12×64**x64***x64
macOS 10. 11×64**x64x64
macOS 10. 10×64**x64x64
macOS 10. 9x64x64x64
macOS 10. 8x64x64
macOS 10. 7x64x64
macOS 10. 6×86 / x64x86 / x64
Android 7+ARM32 / ARM64
ОС “Аврора”ARM32******
SailfishOS 2 / 3ARM32*****ARM32
Solaris 10 / 11×86 / x64 / sparcx86 / x64 / sparcx86 / x64 / sparcx86 / x64 / sparc
Solaris 9×86 / x64 / sparc
AIX 5 / 6 / 7PowerPCPowerPCPowerPCPowerPC
FreeBSD 12×86 / x64
FreeBSD 11×86 / x64***x86 / x64
FreeBSD 10×86 / x64x86 / x64x86 / x64
FreeBSD 8 / 9×86 / x64x86 / x64x86 / x64x86 / x64
FreeBSD 7×86 / x64
FreeBSD 6×86*
LSB 4. 0x86 / x64x86 / x64x86 / x64x86 / x64
LSB 3. 0 / LSB 3. 1×86 / x64
RHEL 8×64******
RHEL 7×64**x64x64
RHEL 5 / 6×86 / x64x86 / x64x86 / x64x86 / x64
RHEL 4×86 / x64x86 / x64x86 / x64
RHEL 3. 3 спец. сборкаx86x86x86x86
CentOS 8×64******
CentOS 7×86 / x64**x86 / x64x86 / x64
CentOS 5 / 6×86 / x64x86 / x64x86 / x64x86 / x64
CentOS 4×86 / x64x86 / x64
Ubuntu 19. 10 / 20. 04×64******
Ubuntu 18. 04 / 18. 10×86 / x64*****x86 / x64
Ubuntu 15. 10 / 16. 04 / 16. 10×86 / x64**x86 / x64***x86 / x64
Ubuntu 14. 04×86 / x64**x86 / x64x86 / x64
Ubuntu 12. 04 / 12. 10 / 13. 04×86 / x64x86 / x64
Ubuntu 10. 10 / 11. 04 / 11. 10×86 / x64x86 / x64
Ubuntu 10. 04×86 / x64x86 / x64
Ubuntu 8. 04×86 / x64
Ubuntu 6. 04×86 / x64*
Linux Mint 19×86 / x64*****x86 / x64
Linux Mint 18×86 / x64**x86 / x64***x86 / x64
Linux Mint 13 / 14 / 15 / 16 / 17×86 / x64**x86 / x64x86 / x64
AlterOSx64*****x86 / x64
Astra Linuxx86 / x64**x86 / x64*** /
MIPS***** / Эльбрус*****x86 / x64 / MIPS / Эльбрус / ARM64******
Альт Сервер 9
Альт Рабочая станция 9
Альт Образование 9×86 / x64 / ARM64 / MIPS / Эльбрус******
Альт Сервер 8
Альт Рабочая станция 8
Альт Рабочая станция К 8×86 / x64****x86 / x64
Альт 8 СП Сервер
Альт 8 СП Рабочая станцияx86 / x64*****x86 / x64
Альт Линукс СПТ 7×86 / x64x86 / x64x86 / x64
ALTLinux 6×86 / x64x86 / x64x86 / x64x86 / x64
ALTLinux 4 / 5×86 / x64
Debian 10×86 / х64 / ARM / ARM64 / MIPS
Debian 9×86 / х64 / POWER / ARM / ARM64 / MIPS ***x86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 8×86 / x64**x86 / х64 / POWER / ARM / MIPSx86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 7×86 / x64x86 / х64 / POWER / ARM / MIPSx86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 6×86 / x64x86 / x64
Debian 4 / 5×86 / x64*
РОСА ХРОМ / КОБАЛЬТ / НИКЕЛЬx86** / x64**x86 / x64x86 / x64
ОСь (OS RT)x64x64x64
ТД ОС АИС ФССП России (GosLinux)x86 / x64x86 / x64x86 / x64x86 / x64
Linpus Lite 1. 3 x86 / x64x86 / x64x86 / x64x86 / x64
Mandriva Server 5, Business Server 1 x86 / x64x86 / x64x86 / x64x86 / x64
Oracle Enterprise Linux 8×64****** / ARM64******
Oracle Enterprise Linux 7×86 / x64x86 / x64x86 / x64
Oracle Enterprise Linux 5 / 6×86 / x64x86 / x64x86 / x64x86 / x64
openSUSE Leap 42×86 / x64x86 / x64x86 / x64
openSUSE 15×86 / x64*****x86 / x64
openSUSE 13×86 / x64
openSUSE 12×86 / x64
SUSE Linux Enterprise 12 / 15×64*****x64
SUSE Linux Enterprise 11×86 / x64x86 / x64x86 / x64x86 / x64
Red OSx86 / x64x86 / x64x86 / x64
Синтез-ОС. РСx86 / x64*****x86 / x64
СинтезМx64*****x64
СинтезМ-Кx64*****x64
ОС Лотосx86 / x64*****x86 / x64
МСВСфера 6. 3 серверx64*****x64
Эльбрус версия 3Эльбрус*****Эльбрус

* До версии КриптоПро CSP 3. 6 R1 (сборка 3. 5402 от 2009-07-29) включительно.

** Начиная с версии КриптоПро CSP 3. 9 R2.

*** Начиная с версии КриптоПро CSP 4. 0 R2.

**** Начиная с версии КриптоПро CSP 4. 0 R3.

***** Начиная с версии КриптоПро CSP 4. 0 R4.

****** Начиная с версии КриптоПро CSP 5. 0 R2.

Системные требования «КриптоПро NGate»

NGate сертифицирован ФСБ России по классам защиты КС1, КС2 и КС3 и может поставляться как в виде программно-аппаратного комплекса, с предустановкой программного обеспечения на специализированные сетевые аппаратные платформы в различных конфигурациях в зависимости от необходимых технических параметров, вычислительных мощностей и требований инфраструктуры каждой конкретной организации, так и в виде программного обеспечения для развёртывания в среде виртуализации.

В первом случае компания приобретает оборудование для системы управления NGate (две модели) и каждого из узлов кластера (шесть вариантов). В следующих двух таблицах мы собрали основные технические характеристики и показатели производительности аппаратных платформ NGate.

Таблица 1. Основные характеристики аппаратных платформ «КриптоПро NGate» (центр управления сетью)

Параметр«NGate ЦУС 100» «NGate ЦУС 200» Формфактор1UПараметры блока питания150 Вт АТХ300 Вт ATX, резервный БП (PSU)Сетевые интерфейсыRJ-45 1GbE × 6 шт. RJ-45 1GbE × 8 шт. SFP+ LAN 10 GbE × 4 шт.

Таблица 2. Основные характеристики аппаратных платформ «КриптоПро NGate» (узел кластера)

ПараметрNGate 3000NGate 2000NGate 1500NGate 1000NGate 600NGate 320TLS ProxyДо 45 000 подключений,до 20 Гбит/cДо 15 000 подключений,до 8 Гбит/cДо 8 000 подключений,до 4 Гбит/cДо 4 000 подключений,до 2,3 Гбит/cДо 2 000 подключений,до 1 Гбит/cДо 500 подключений,до 0,6 Гбит/cTLS VPNДо 12 000 подключений,до 8 Гбит/cДо 8 000 подключений,до 5 Гбит/cДо 4 000 подключений,до 2 Гбит/cДо 2 000 подключений,до 1 Гбит/cДо 700 подключений,до 0,5 Гбит/cДо 150 подключений,до 0,14 Гбит/cФормфактор1UНастольныйПараметры блока питания650 Вт АТХ, резервный БП (PSU)300 Вт АТХ, резервный БП (PSU)300 Вт АТХ, резервный БП (PSU)220 Вт АТХ150 Вт АТХ36 Вт, адаптер питания 12В 3АСетевые интерфейсыRJ-45 1GbE × 4 шт. SFP+ LAN 10GbE × 4 шт. RJ-45 1GbE × 8 шт. SFP+ LAN 10GbE × 4 шт. RJ-45 1GbE × 6 шт. SFP LAN 1 GbE × 2 шт. RJ-45 1GbE × 6 шт. RJ-45 1GbE × 3 шт.

Для развёртывания NGate в виде виртуальной программной платформы виртуальные машины должны удовлетворять определённым системным требованиям. Мы перечислили их в таблице далее.

Таблица 3. Системные требования для установки системы управления «КриптоПро NGate» в среде виртуализации

ПараметрЦУС NGateУзел NGateСреда виртуализацииVMware Workstation (версии 11–16),VMware ESXi (версии 5. 5–7. 0),Hyper-V (версии 8, 8. 1, 10, 2008, 2008 R2, 2012, 2012 R2, 2016),Xen (Citrix Hypervisor) (версии 7. 1–8. 2),Virtual Box (версии 3. 2–6. 1)Гостевая операционная системаDebian Linux 11 x64Оперативная память1 ГБ и болееЖёсткий дискНе менее 100 ГБ (в том числе для журналирования событий и другой информации)Не менее 8 ГБВиртуальные сетевые интерфейсыНе менее 1 шт. (тип сетевого адаптера — E1000, тип сетевого взаимодействия — Bridged Networking)

Как видно, эти требования являются легко выполнимыми. Однако при использовании NGate в среде виртуализации возникают другие ограничения: происходит понижение класса криптографической защиты до КС1.

К программной и аппаратной частям пользовательских устройств для работы VPN-клиента NGate особых требований не предъявляется. Работа VPN-клиента возможна практически на всех популярных настольных и мобильных операционных системах, включая отечественные программные и аппаратные разработки:

• Microsoft Windows версий 7, 8, 8.1, 10, 11,
• macOS версий 10.10–10.15, 11,
• Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие),
• iOS,
• Android,
• «Аврора».

Для получения доступа к защищаемым ресурсам пользователь может применять VPN-клиент NGate, веб-браузер либо собственное мобильное приложение после встраивания в него криптопровайдера «КриптоПро CSP 5. 0 R2» (реализует поддержку TLS с ГОСТ для операционных систем iOS, Android и «Аврора» без дополнительных тематических исследований).

Архитектура «КриптоПро NGate»

С точки зрения архитектуры NGate состоит из следующих компонентов: клиента (в виде VPN-клиента или браузера), сервера (самого шлюза) и системы управления (центра управления сетью, ЦУС). Дополнительно потребуется организовать автоматизированное рабочее место (АРМ) для администратора.

Основой серверной части NGate является криптопровайдер «КриптоПро CSP». В новой версии шлюза используется обновлённая его редакция — 5. 0 R2. В ней помимо прочего реализована работа с алгоритмами «Кузнечик» (ГОСТ 34. 12-2015) и «Магма» (ГОСТ 28147-89), добавлена и расширена поддержка отечественных операционных систем («Аврора», Astra Linux, ALT Linux). Кроме того, появились возможности по построению решений на базе отечественных процессоров «Байкал». Таким образом, стало возможным полноценное импортозамещение при внедрении криптографического шлюза для организации защищённого удалённого доступа ко критическим ресурсам.

В зависимости от размера конкретной организации, её сетевой инфраструктуры, предполагаемого количества клиентов, одновременных подключений и других параметров возможны два варианта конфигурации.

Минимальная — единое решение из одного криптошлюза, объединённого с центром управления на одной аппаратной или же виртуальной платформе. Такой вариант подойдёт для использования небольшими организациями, у которых нет филиалов или сетевая инфраструктура которых не разнесена по разным центрам обработки данных (ЦОДам). Эта конфигурация является самой простой в установке и настройке, однако не может обеспечить высокую отказоустойчивость и производительность при доступе к ресурсам, системам и приложениям.

Рисунок 1. Схема внедрения «КриптоПро NGate» в минимальной конфигурации

Кластерная конфигурация позволяет построить распределённую, отказоустойчивую и хорошо масштабируемую в части производительности систему. В этом варианте предусматривается объединение нескольких криптошлюзов (до 32 узлов единовременно) в один кластер. При этом центр управления сетью устанавливается отдельно и образует единую (централизованную) систему для настройки, мониторинга работы всех криптошлюзов и управления доступом к требуемым ресурсам и системам организации. Возможности центра управления по автоматизированной загрузке настроек и конфигураций на новые криптошлюзы в кластерах существенно облегчают и ускоряют процессы связанные как с вертикальной, так и с горизонтальной масштабируемостью системы. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку балансировщик синхронизирует данные о сессии между устройствами и соединение перераспределяется на свободные узлы кластера. Может использоваться любой балансировщик, способный распределять TCP-соединения по узлам кластера, в том числе бесплатный HAProxy.

Рисунок 2. Схема внедрения «КриптоПро NGate» в виде кластера

Рисунок 3. Реализация технологии TLS VPN с помощью «КриптоПро NGate» в виде кластера

Работа с «КриптоПро NGate»

Процесс работы с NGate можно разбить на три основные части: подготовка к эксплуатации, настройка доступа к ресурсам и системам и собственно эксплуатация. Подробное описание всех этапов настройки и взаимодействия с NGate приведено в сопроводительной документации.

Подготовка к эксплуатации связана с первоначальным развёртыванием и настройкой программного обеспечения криптошлюза на аппаратной или виртуальной платформе. Этот этап является наиболее трудоёмким и ответственным. Он требует наличия практических навыков работы с операционной системой семейства Linux, знаний о сети организации и инфраструктуре открытых ключей (Public Key Infrastructure, PKI).

Затем с использованием веб-интерфейса администрирования осуществляется настройка криптошлюза для решения задач связанных с организацией доступа пользователей к ресурсам. Сюда входят настройка порталов, серверных мандатов, пользовательских ролей и политик доступа к защищаемым ресурсам, а также конфигурирование взаимодействия со внешними службами (Microsoft AD или другими LDAP-серверами, системами мониторинга, SIEM, средствами аутентификации, включая RADIUS-серверы, и др.

Дальнейшее обслуживание криптошлюза в ходе его эксплуатации при грамотном развёртывании всех компонентов и правильной настройке параметров не требует постоянного вмешательства или участия со стороны администраторов. Это связано с тем, что в штатном режиме работы круг их задач существенно уменьшается и ограничивается в основном диагностикой и контролем состояния компонентов и систем в составе криптошлюза, устранением неполадок (при обнаружении таковых), мониторингом текущих настроек и обновлением программного обеспечения.

Доступ к интерфейсу администрирования

В рамках подготовки этого обзора разработчик предоставил нам пользовательский сертификат и учётную запись типа «Аудитор» для доступа к тестовому стенду NGate. Эта пользовательская роль является одной из штатных функций продукта и предоставляет возможность просматривать большую часть разделов и возможностей веб-интерфейса без права что-либо изменять. Кроме того, для доступа использовались «Яндекс. Браузер», поскольку он поддерживает шифрование по ГОСТ, и «КриптоПро CSP» в качестве вспомогательного программного обеспечения (установочный файл доступен на основной странице после регистрации).

Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»

Панель управления

После авторизации пользователь попадает на главную страницу — вкладку «Системная информация» панели управления. Сам интерфейс доступен на двух языках: русском и английском, с возможностью переключения между ними в любой момент.

Здесь отображается информация о работоспособности устройств криптошлюза и основные сведения о кластерах (конфигурации, используемые лицензии, узлы; порталы, которые привязаны к кластеру, и ресурсы этих порталов).

Полезной и удобной функцией в новой версии стали предупреждения о скором окончании срока действия сертификатов (ключей) порталов. Эта информация доступна также в виде цветовых меток слева от каждого портала и по протоколу мониторинга SNMP (данные о посещении мандатов).

Рисунок 5. Вкладка «Системная информация» панели управления «КриптоПро NGate»

Кроме того, важным моментом является отображение конкретного узла, который отвечает за подключение выбранного пользователя. Эта информация может быть использована как вспомогательная при диагностике неполадок (для детектирования источника проблем сетевого доступа при наличии в кластере более одного узла). Она была добавлена в интерфейс в связи с высокой востребованностью у заказчиков.

Рисунок 6. Поиск сессий пользователей в веб-интерфейсе «КриптоПро NGate»

Рисунок 7. Информация о системе управления в составе «КриптоПро NGate»

Рисунок 8. Информация о системе управления в составе «КриптоПро NGate»

Настройка конфигураций кластеров

С момента выхода первой версии NGate был существенно переработан интерфейс, отображающий информацию о конфигурации кластеров: он стал более дружественным и понятным.

Рисунок 9. Информация о конфигурации кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 10. Добавление портала для доступа пользователей к ресурсам по произвольному TCP-протоколу в веб-интерфейсе «КриптоПро NGate»

На другой вкладке этого же раздела можно смотреть детальную информацию о защищаемых ресурсах, настраивать их, добавлять новые, копировать или удалять уже существующие. Можно добавить веб-ресурс, динамический туннель, ресурс для перенаправления пользователей и gRPC-сервисы. По протоколу gRPC работают различные веб-приложения, а в целом он реализует удалённые программные интерфейсы (API).

Рисунок 11. Информация о ресурсах, связанных с кластером, в веб-интерфейсе «КриптоПро NGate»

При настройке веб-ресурсов значительно расширен список возможностей тонкого конфигурирования, а также добавлена функция по балансировке бэкенда для гибкого распределения нагрузки непосредственно со шлюза (или нескольких шлюзов).

Рисунок 12. Создание веб-ресурса в интерфейсе «КриптоПро NGate»

Список доступных внешних служб можно увидеть (и настроить) как в особом разделе веб-интерфейса, так и на вкладке выбранной конфигурации кластера. Но во втором случае будут отображены только те системы и серверы, которые настроены для конкретного кластера.

Рисунок 13. Внешние службы, настроенные для кластера, в веб-интерфейсе «КриптоПро NGate»

Также в разделах конфигурации кластера администратор осуществляет настройку правил и политик доступа к ресурсам (ACL) на основе групп пользователей на каком-либо сервере LDAP (к примеру, Microsoft AD) либо сертификатов (новая функциональность). Сертификатный ACL — это способ задать правила доступа на основе содержимого полей пользовательских сертификатов. В актуальной версии шлюза стало возможно создавать правила с запретительным доступом (в предыдущей версии он был только разрешительным), а также существенно расширился набор полей. Теперь анализируются не только поля с названием организации (Organization / Organization Unit), но и другие, в том числе нестандартные.

Рисунок 14. Настройка сертификатного ACL в веб-интерфейсе «КриптоПро NGate»

Настройка порталов

В веб-интерфейсе администрирования появился раздел с подробной информацией по каждому порталу (ранее эти данные были разбросаны по разным страницам). Существенным функциональным обновлением стало появление возможности создавать правила для динамического туннелирования, определяющие то, какие пользователи к каким порталам и при каких условиях могут подключаться — то есть какие подсети могут назначаться клиенту в зависимости от правил ACL.

Рисунок 15. Общая информация о настройках портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 16. Создание правила для динамического туннелирования в веб-интерфейсе «КриптоПро NGate»

Страница с данными о сертификатах содержит информацию о серверных мандатах и удостоверяющих центрах, включая те, что указаны как доверенные для конкретного портала. Отметим, что на одном кластере может быть несколько наборов порталов с разными сертификатами, в том числе с разными доверенными.

Рисунок 17. Информация о сертификатах портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 18. Настройка портала в веб-интерфейсе «КриптоПро NGate»

Настройки узлов

Новой функциональностью в разделе веб-интерфейса «Кластеры» стали возможности создания VLAN- и агрегированных сетевых интерфейсов (Bond-интерфейсов).

Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 20. Сетевые интерфейсы узла кластера в веб-интерфейсе «КриптоПро NGate»

При объединении сетевых интерфейсов поддерживаются различные алгоритмы агрегации. При этом происходит создание логического или виртуального сетевого интерфейса, объединяющего несколько физических. Эта технология позволяет повысить отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов выход из строя одного из них не повлияет на работоспособность сети) и повысить её пропускную способность.

Рисунок 21. Создание Bond-интерфейса в «КриптоПро NGate»

Поддерживаемые алгоритмы

CSP 3. 6CSP 3. 9CSP 4. 0CSP 5. 0
ГОСТ Р 34. 10-2012 Создание подписи512 / 1024 бит512 / 1024 бит
ГОСТ Р 34. 10-2012 Проверка подписи512 / 1024 бит512 / 1024 бит
ГОСТ Р 34. 10-2001 Создание подписи512 бит512 бит512 бит512 бит**
ГОСТ Р 34. 10-2001 Проверка подписи512 бит512 бит512 бит512 бит***
ГОСТ Р 34. 10-94 Создание подписи1024 бит*
ГОСТ Р 34. 10-94 Проверка подписи1024 бит*
ГОСТ Р 34. 11-2012256 / 512 бит256 / 512 бит
ГОСТ Р 34. 11-94256 бит256 бит256 бит256 бит
ГОСТ Р 34. 12-2015256 бит****
ГОСТ Р 34. 13-2015256 бит****
ГОСТ 28147-89256 бит256 бит256 бит256 бит

* До версии КриптоПро CSP 3. 6 R2 (сборка 3. 6497 от 2010-08-13) включительно.

** До 31 декабря 2019 года включительно.

*** До окончания действия сертификатов, содержащих указанный алгоритм ключа проверки электронной подписи.

Правила использования материалов сайта ATI

Все права на любые материалы, опубликованные на сайте ATI. SU, защищены в соответствии с российским и международным законодательством об авторском праве и смежных правах. Вся информация, размещенная на данном веб-сайте, предназначена только для персонального использования. Запрещается ее воспроизведение, копирование и/или распространение в какой-либо форме, а также автоматизированное извлечение ее любыми сервисами без официального разрешения Админиcтрации сайта.

Продукты КриптоПроПравить

• КриптоПро CSP 2.0
• КриптоПро CSP 2.0 Solaris
• КриптоПро CSP 3.0
• КриптоПро CSP 4.0
• Атликс HSM
• КриптоПро HSM
• КриптоПро JCP
• КриптоПро Sharpei

Средства криптографической защиты информации со смарткартами и USB ключами

• Магистра – CSP
• КриптоПро Рутокен CSP
• КриптоПро eToken CSP

Инфраструктура открытых ключейПравить

• Удостоверяющий центр КриптоПро УЦ
• КриптоПро TSP
• КриптоПро OCSP
• АРМ разбора конфликтных ситуаций
• КриптоПро Revocation Provider
• КриптоПро ЭЦП
• КриптоПро PDF
• Сервер электронной подписи КриптоПро DSS

Защита от несанкционированного доступа с использованием КриптоПро CSPПравить

• КриптоПро TLS
• КриптоПро Winlogon
• КриптоПро EAP-TLS
• КриптоПро IPSec
• КриптоПро NGate
• Secure Pack Rus

Программы и утилитыПравить

• Приложение командной строки cryptcp
• ЭЦП процессор
• cptools – графические инструменты КриптоПро

• Руководство пользователя Системы Интернет-платежей Сбербанка России Архивная копия от 21 сентября 2004 на Wayback Machine(pdf)
• Требования к аппаратно-программному Обеспечению Клиента для работы ПО АС «Банк-Клиент» (BSS). Приложение № 1 (недоступная ссылка)(doc)
• Сертификаты ФСБ на продукты КриптоПро. Дата обращения: 14 сентября 2010. Архивировано 19 сентября 2010 года.
• СКЗИ КриптоПро CSP 5.0. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
• Лицензионное соглашение с ООО “КРИПТО-ПРО” Архивная копия от 14 января 2018 на Wayback Machine
• КриптоПро – Поддержка ОС, аппратных платформ и отделяемых носителей. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.
• Инструменты КриптоПро – кроссплатформенный графический интерфейс. Дата обращения: 17 июня 2019. Архивировано 17 июня 2019 года.

Как работает КриптоПро

Первым делом пользователь устанавливает КриптоПро на компьютер, чтобы пользоваться подписью. Программа обращается к сертификату на ПК, флешке, токенах или других носителях, потом завершает работу установкой подписи на документе. Электронная подпись не может корректно функционировать в условиях отсутствия закрытого ключа. Поэтому корректное использование КриптоПро заключается в том, что софт сначала проверяет сертификат, потом подтверждает, и только последняя стадия — шифровка и отправка документа.

Главные функции КриптоПро

Защита информации. Для сохранности ЭЦП её надо правильно зашифровать. С последней задачей корректно справляется указанный софт. Последний релиз добавил множество полезных функций относительно степени защиты информации. Такие вещи, как хэширование и имитозащита, существовали и в старых версиях. Тестирования, проведённыенезависимыми экспертами, показывают хороший результат

Создание ключей шифрования. Допускается использование разных типов носителей

Форммирование ПИН-кода. Эта функция используется, чтобы усложнить работу злоумышленнику и обеспечить пользователя дополнительной защитой

Защита информации от случайных или преднамеренных потерь. Последние версии КриптоПро показали надёжность софта

Защита от вредоносного кода, а также целенаправленного взлома

Кому нужна программа КриптоПро

Используют КриптоПро все, кому нужен криптографический сертификат для установки электронного реквизита в документ. Не обойтись без этой программы работникам на государственных площадках.

Законодатель определил требования для каждого участника производственного процесса на таких площадках. Обязательно нужен усиленный квалифицированный вариант. Для этого ставят КриптоПро даже в том случае, если предполагается работа всего с одного компьютера. Последние нововведения делают программу нужной в том числе тем, кто использует онлайн-кассы.

Сферы работы с электронным сертификатом со временем будут только увеличиваться.

Лицензия КриптоПро

«КриптоПро» — программа для генерации, проверки аутентичности электронной подписи, формирования комплекта ключей шифрования, ЭЦП и защиты данных. Она платная, и для удобства, учета конкретной специфики применения разработчик предлагает 4 типа лицензий, отличающихся сроком и способом использования. По сроку применения лицензии «КриптоПро» бывают годовыми (стандартная версия) и бессрочными (неограниченный вариант для использования только на рабочем месте). По способу применения они могут быть автономными и встроенными.

Первая представляет отдельную программу, которую устанавливают на рабочем компьютере. Встроенная же находится непосредственно в пользовательской цифровой подписи, что позволяет ее использовать на любом компьютере без дополнительной установки специализированного ПО. Здесь «КриптоПро» идет в комплекте с электронной подписью и имеет аналогичный срок действия.

Какую лицензию выбрать

При выборе конкретного варианта лицензии достаточно учесть следующие рекомендации:

• Стандартная годовая версия оптимальна для начинающих предпринимателей и молодых компаний, стесненных пока в финансах, не желающих сразу покупать бессрочную лицензию (последняя стоит 3100 рублей).
• Автономная версия привязывает владельца криптопровайдера к конкретному компьютеру, но позволяет использовать сразу несколько электронных подписей с одним ПО. Вариант оптимален для бухгалтера, ведущего сразу несколько компаний. Стоимость годовой лицензии сегодня составляет 1350 рублей.
• Встроенная версия оптимальна для планирующих использовать ЭЦП на нескольких устройствах (компьютеры, ноутбуки, планшеты). Стоимость лицензии на год составляет 1350 рублей (продление обойдется в аналогичную сумму).

После того как пробный период закончится, вам нужно будет приобрести КриптоПро. Сделать это можно в нашей компании.

«Астрал-М» предлагает лицензии на использование «КриптоПро» версии 5. Она имеет следующие преимущества перед предыдущими версиями:

• более современный и приятный интерфейс;
• доступность криптографических алгоритмов в популярных браузерах;
• специальный режим с дополнительными возможностями для опытных пользователей;
• возможность работы с любыми типами ЭЦП.

Обращаясь в «Астрал-М», вы приобретаете «КриптоПро» 5. 0 у официального дилера, наша компания официально представлена на сайте разработчика, как партнер, что гарантирует покупку оригинального ПО. Для приобретения криптопровайдера заполните форму обратной связи, чтобы наш менеджер связался с вами.

Как проверить наличие встроенной лицензии КриптоПро в сертификат электронной подписи?

Встроенная в сертификат лицензия КриптоПро CSP даёт возможность использовать электронную подпись на любом компьютере без дополнительного приобретения лицензии программы КриптоПро.

Встроенная лицензия действует до окончания срока действия сертификата электронной подписи.

Проверить наличие встроенной лицензии КриптоПро можно двумя способами, ниже подробнее рассмотрим каждый из них.

1 способ. Проверка встроенной лицензии через программу КриптоПро CSP

Открываем программу КриптоПро CSP (ярлык может быть расположен в Панели управления или меню «Пуск»).

После запуска программы переходим на вкладку «Сервис» и нажимаем на кнопку «Просмотреть сертификаты в контейнере».

Рис. вкладку «Сервис»

В открывшемся окне нажимаем на кнопку «Обзор».

Рис. кнопку «Обзор»

Из представленного списка контейнеров выбираем нужную подпись.

Подпись УЦ ФНС обозначается случайным набором символов и находится на защищённом носителе (Рутокен, Джакарта).

Выделяем подпись и нажимаем на кнопку «ОК» и «Далее».

Рис. Выделение сертификата электронной подписи

Открывается информация о сертификате, выбираем «Свойства».

Открыв сертификат электронной подписи, переходим во вкладку «Состав» и находим среди полей «Ограниченная лицензия КРИПТО-ПРО».

Присутствие этого поля означает наличие встроенной лицензии КриптоПро CSP.

Если такого поля нет, то и встроенной лицензии нет.

Рис. Поле «Ограниченная лицензия КРИПТО-ПРО»

2 способ. Проверка встроенной лицензии через КриптоПро PKI

Через меню ПУСК находим и открываем «Управление лицензиями КриптоПро PKI».

Рис. Управление лицензиями КриптоПро PKI

Слева необходимо выбрать «КриптоПро CSP».

В правой части будет отображаться список всех сертификатов, содержащих встроенную лицензию КриптоПро.

Отображаются только сертификаты, установленные в хранилище «Личное».

Как установить сертификат электронной подписи в хранилище «Личное», рассказали в данной инструкции под пунктом «Установка электронной подписи

Рис. КриптоПро CSP

Работаете в 1С?

Не забудьте активировать сервис «1С-Отчетность»
для сдачи отчетов в контролирующие органы,
он уже встроен в вашу программу.

ПОДРОБНЕЕ О СЕРВИСЕ 1С-ОТЧЕТНОСТЬ

Возврат к списку

CSP 3. 6CSP 3. 9CSP 4. 0CSP 5. 0
Windows Server 2019×64
Windows Server 2016×64*x64**x64
Windows 10×86 / x64*x86 / x64**x86 / x64
Windows Server 2012 R2x64x64x64
Windows 8. 1×86 / x64x86 / x64x86 / x64
Windows Server 2012x64x64x64x64
Windows 8×86 / x64x86 / x64x86 / x64x86 / x64
Windows Server 2008 R2x64 / itaniumx64x64x64
Windows 7×86 / x64x86 / x64x86 / x64x86 / x64
Windows Server 2008×86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows Vistax86 / x64x86 / x64
Windows Server 2003 R2x86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows Server 2003×86 / x64 / itaniumx86 / x64x86 / x64x86 / x64
Windows XPx86 / x64
Windows 2000×86

Можно ли скачать КриптоПро бесплатно

Чтобы работа продолжалась, бесплатная версия не подходит, нужно покупать лицензию. Если планируется работать с одним сертификатом с одного компьютера, потребуется годовая лицензия.

Если пользователь скачал и купил программу для работы с ЭЦП с одного компьютера, софт привязывается к конкретному устройству. Годовая электронная лицензия не подходит, если пользователь хочет использовать большее количество ЭП. Бесплатная программа тоже не подходит. Требуется продлить разрешение на применение нужного количества ЭП на одном компьютере либо выбрать бессрочный вариант.

Существуют браузерные версии в форме плагина. Это бесплатный вариант, называющийся КриптоПро ЭЦП Browser plug-in. Плагин КриптоПро скачали миллионы юзеров. Дополнение эффективно, но действует исключительно в браузере.

Официальный сайт содержит актуальные версии программных продуктов КриптоПро, которые поддерживают работу с ГОСТ Р 34. 10-2012.

Ручная установка и настройка

• Запустите скачанный файл.
• Разрешите ПО вносить изменения на компьютер.
• После распаковки файлов появится окно. Нажмите «Установить (рекомендуется)».

Рекомендуется перезагрузить компьютер, а затем приступить к установке сертификата электронной подписи.

Если на компьютере уже имеется программа КриптоПро, при установке будет предложено обновить ПО до актуальной версии.

Подробная инструкция по ручной установке КриптоПро, а также других компонентов для работы с ЭП представлена здесь.

При первой установке дистрибутива 3 месяца можно пользоваться программой бесплатно, далее необходимо установить платную лицензию. Напомним, что если вы оформляете ЭП в СберКорус, лицензия на право использования СКЗИ КриптоПро и токен входят в тариф.

Если вам потребуется помощь, обратитесь в СберКорус. Мы оказываем дополнительные услуги по установке и настройке ПО удалённо.

Поддерживаемые носители

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

• П – пассивный носитель – флеш-память с защитой PIN-ом от записи.
• А – активный носитель – неизвлекаемые ключи без защиты канала связи с носителем.
• ФКН – функциональный ключевой носитель – неизвлекаемые ключи с защитой канала связи с носителем.

Подробней о типах носителей – в нашем блоге.

CSP 3. 6CSP 3. 9CSP 4. 0CSP 5. 0CSP 5. 0 R2
КриптоПро
Реестр Windows*ППППП
Жёсткий дискППППП
USB-флеш дискППППП
Alioth
SCOne Series (v5/v6)ПППП
Gemalto
Optelio Contactless Dxx RxППППП
Optelio Dxx FXR3 JavaППППП
Optelio G257ПППП
Optelio MPH150ПППП
ISBC
Esmart TokenППППП
Esmart Token ГОСТПП / АП / А / PKCS
MorphoKST
MorphoKSTПППП
NovaCard
CosmoПППП
Rosan
G&D element V14 / V15ППП
G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80ППП
Kona 2200s / 251 / 151s / 261 / 2320ППП
Kona2 S2120s / C2304 / D1080ППП
SafeNet *
eToken Java Pro JCППППП
eToken 4100ППП
eToken 5100ППП
eToken 5110ППП
eToken 5105ППП
eToken 5205ППП
Актив
Рутокен 2151ПП / АП / А / PKCS
Рутокен TLSPKCS
Рутокен SППППП
Рутокен КПФКНПП
Рутокен LiteППППП
Рутокен ЭЦП PKIП / АП / А / PKCS
Рутокен ЭЦППППП / АП / А / PKCS
Рутокен ЭЦП 2. 0ППП / АП / А / PKCS
Рутокен ЭЦП 2. 0 TouchППП / АП / А / PKCS
Рутокен ЭЦП 2. 0 2100ППП / АП / А / PKCS
Рутокен ЭЦП 2. 0 3000ППП / ФКНП / PKCS / ФКН
Рутокен ЭЦП BluetoothПП / АП / А / PKCS
Рутокен ЭЦП 2. 0 BluetoothП / АП / А / PKCS
Рутокен ЭЦП 2. 0 FlashПППП / АП / А / PKCS
Рутокен PINPadАА / PKCS
Смарт-карта Рутокен 2151ПП / АП / А / PKCS
Смарт-карта Рутокен ЭЦП SCППП / АП / А / PKCS
Смарт-карта Рутокен LiteПППП
Смарт-карта Рутокен ЭЦП 2. 0 2100ППП / АП / А / PKCS
Смарт-карта Рутокен ЭЦП 3. 0 (NFC)П / PKCS / ФКН
Аладдин Р. JaCarta ГОСТППППП
JaCarta PKIППППП
JaCarta PROППППП
JaCarta LTППППП
JaCarta SF/ГОСТП / А / PKCS
JaCarta-2 SEП / А / PKCS
JaCarta-2 ГОСТПП / АП / А / PKCS
Инфокрипт
InfoCrypt Token++ФКНФКН
InfoCrypt Token++ TLSАА
InfoCrypt Token++ liteППП
InfoCrypt VPN-Key-TLSАА
Мультисофт
MS_Key исп. 8 АнгараПППП
MS_Key ESMART исп. 5ПППП
СмартПарк
Форос / R301 ФоросППППП
Форос 2. БазисФКН
Форос 2П
Оскар / Оскар 2ППППП
Рутокен МагистраППППП
Dallas
Touch Memory, DS199x (в считывателях Соболь, Аккорд)ППППП

* Поддерживается только в ОС Windows.

Как подписать документ ЭЦП с помощью КриптоПро 5

Для того чтобы подписать электронный документ, нужны установленные на компьютер СКЗИ Криптопро версии 5. 0 и действующий сертификат электронной подписи.

Шаг 1. Найдите в списке установленных программ приложение «Инструменты КриптоПро». Для этого в строке поиска (1) введите название приложения (2) и выберите нужное из выпавшего списка (3).

Шаг 2. В главном окне нажмите на кнопку «Показать расширенные».

Шаг 3. Откроется список дополнительных разделов. В нём выберите «Создание подписи» (1). Справа откроется список сертификатов, в котором нужно выбрать вашу подпись (2). Затем нажмите на кнопку «Выбрать файл для подписи» (3).

Шаг 4. В открывшемся окне проводника выберите файл, который нужно подписать электронной подписью.

Шаг 5. В строке адреса отразится путь к выбранному файлу. Убедитесь, что выбрали правильный сертификат и файл для подписи, и нажмите на кнопку «Подписать».

Шаг 6. Если не возникло ошибок, внизу окна появится надпись «Создание подписи завершилось успехом».

Шаг 7. В папке, где хранится файл для подписи, появится зашифрованный файл с таким же названием, но с расшсайтирением *. P7S.

Автоматическая установка

Что делать дальше:

• Запустите скачанный установочный файл.
• Разрешите ПО вносить изменения на компьютер — начнётся распаковка файлов.
• После распаковки запустится интерфейс приложения — выберите рекомендованную версию КриптоПро и нажмите на кнопку «Установить».
• Дождитесь завершения установки всех компонентов, перечисленных в интерфейсе.

Пошагово установка EUM описана в инструкции.

КриптоПро — это программное обеспечение (ПО) для защиты информации при передаче её в сети посредством преобразования данных, к доступу которых требуется ключ для расшифровки. Данное средство криптографической защиты информации (СКЗИ) использует технические, математические, алгоритмические и программные методы шифрования, защиты информации и хранения секретных ключей.

Для чего необходимо КриптоПро

Программное обеспечение КриптоПро незаменимый инструмент для работы с электронной цифровой подписью (ЭЦП). Программа создаёт, шифрует и проверяет ЭЦП при работе с юридически значимым электронным документооборотом (ЮЗЭДО). Гарантирует подлинность, целостность и авторство подписанного документа. Защищает документ от несанкционированных изменений, закладок, модификаций ПО и вирусов. Конфиденциальность данных при этом происходит путём осуществления криптографической защиты (cryptography service provider — CSP).

Последняя версия ПО КриптоПро CSP 5. 0 поддерживает зарубежные криптографические алгоритмы, может использовать ключи, хранящиеся на облачном сервисе, может работать с носителями с неизвлекаемыми ключами. Поддерживает популярные ключевые носители Рутокен ЭЦП 2. 0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS. В составе ПО появилось приложение «Инструменты КриптоПро» — в понятном интерфейсе представлены основные функции и дополнительные возможности, что облегчает понимание принципа работы для новых пользователей.

КриптоПро работает на всех популярных операционных системах. Помимо поддержки и совместимости продукции компании между собой, интерфейс КриптоПро CSP возможно интегрировать в приложения.

Принцип работы

ПО КриптоПро может быть установлено как на компьютер пользователя, так и на сервер организации. При подписании документа ПО обращается к ЭЦП. Проверяет её подлинность, подтверждает корректность, создаёт ключ проверки, зашифровывает данные и отправляет документ, сохраняя его конфиденциальность.

Как купить КриптоПро

Чтобы приобрести продукцию и актуальную лицензию КриптоПро, достаточно выполнить несколько шагов:

• обратиться в клиентский отдел нашей компании, заполнив форму обратной связи или по телефону;
• выбрать вместе со специалистом продукт, исходя из ваших потребностей;
• получить счёт;
• получить лицензию КриптоПро на электронную почту после оплаты счёта.

Преимущества компании КриптоПро

Общество с ограниченной ответственностью «КриптоПро» существует с 2000 года. Основная деятельность ООО — разработка средств криптографической защиты информации (СКЗИ) и электронной цифровой подписи.

Среди главных преимуществ КриптоПро выделяют

Опыт работы компании в информационной безопасности. Программа широко распространена — бизнес обычно ставит КриптоПро в качестве стандартного софта для работы с ЭЦП

Совместимость КриптоПро с альтернативным софтом. Прочитать сертификат можно даже в том случае, если для его установки использовалось другое ПО. Компания предлагает версию КриптоПро для операционных систем Mac, Linux и Windows. Для корректного использования не нужны эмуляторы или другие дополнительные способы запуска софта

Консультации. Если пользователь ЭЦП не знает, как обращаться с софтом, можно проконсультироваться с техподдержкой криптопровайдера

Работа системы КриптоПро высоко оценена экспертами, поэтому разработчикам криптопровайдера было вручено множество наград и сертификатов. Количество достижений расширяется. Заинтересованные пользователи могут посмотреть дополнительную информацию у производителя криптографического софта.