Выпущена версия 3 программного комплекса КриптоАРМ ГОСТ. На основе этой версии КриптоАРМ ГОСТ будут разработаны и сертифицированы новые версии исполнений 1-КриптоАРМ и 2-КриптоАРМ для перспективного СКЗИ КриптоПро CSP 5. 0 R3.
В новой версии добавлен встроенный почтовый клиент для отправки и приема защищенной электронной почты.
Более полная информация о данном релизе на сайте нашего партнера – компании “Цифровые технологии”.
ООО ”Электронная подпись” – молодая компания на рынке электронных решений для малого и среднего бизнеса зарекомендовала себя как надёжный партнер с индивидуальный подходом к задачам каждого клиента. На протяжении 7 лет мы изготавливаем электронные подписи, подключаем к государственным порталам, помогаем участвовать в торгах, оказываем полный спектр услуг в области применения онлайн-касс (регистрация, перерегистрация, установка, обучение, сопровождение, гарантийный и пост-гарантийный ремонт).
5 октября 2021 года Компания Microsoft выпустила новое обновление ОС Windows под названием Windows 11.
Мы приложили большие усилия, чтобы поддержка этого обновления уже была реализована в сертифицированном КриптоПро CSP 5. 0 R2. В случае возникновения ошибки установки воспользуйтесь рекомендациями из нашей статьи.
В связи с тем, что КриптоПро CSP 4. 0 не содержит современных криптографических алгоритмов и сертифицирован быть не может, релизы данного CSP с поддержкой новой версии ОС не ожидаются.
Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.
В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.
- Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
- Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
- Обзор возможностей СКЗИ КриптоПро CSP 5.0;
- Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.
Участие в мероприятии бесплатное, необходима регистрация.
В мобильной операционной системе Аврора реализована поддержка российских криптографических алгоритмов.
В дополнение к встроенной в ОС поддержке протокола ГОСТ TLS, появилась возможность использования электронной подписи в браузере благодаря предустановленному расширению, которое поддерживает работу с комплектом СКЗИ КриптоПро CSP 5. 0 R3. Для использования новых возможностей пользователям предыдущих версий требуется обновить ОС до релиза 4.
Пользователи ОС Аврора могут подписывать документы разных форматов при работе с порталами и системами электронного документооборота непосредственно в браузере на мобильном устройстве, храня закрытый ключ в защищенном хранилище КриптоПро CSP на устройстве или на внешнем токене. Это позволяет использовать привычные пользователям ПК сценарии работы с электронной подписью на корпоративных доверенных мобильных устройствах.
- БАЗА ЗНАНИЙ УЦ АЙТИКОМ
- КриптоПРО
- КриптоПРО
- Основные продукты компании «КриптоПро»
- Назначение КриптоПро CSP
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Классические пассивные USB-токены и смарт-карты
- Инструменты КриптоПро
- Поддерживаемое программное обеспечение
- Интеграция с платформой КриптоПро
- Операционные системы и аппаратные платформы
- Интерфейсы для встраивания
- Производительность на любой вкус
- Регулирующие документы
- Использование КриптоПро CSP в ПО Microsoft
- Встраивание КриптоПро CSP в приложения
- Цели использования криптографических функций
- Использование CryptoAPI
- Базовые криптографические функции
- Функции кодирования/декодирования
- Функции работы со справочниками сертификатов
- Высокоуровневые функции обработки криптографических сообщений
- Низкоуровневые функции обработки криптографических сообщений
- Использование SSPI
- Инструментарий разработчика CAPICOM
- Инструментарий разработчика КриптоПро CSP SDK
КриптоПРО
- Установка КриптоПРО CSP
- Инструкция по установке КриптоПРО Office Signature
- Инструкция по использованию КриптоПРО Office Signature
- КриптоПро Office Signature: не удается подписать Word/Excel документ
- Как ввести лицензию КриптоПро CSP
- КриптоПро CSP: Как переустановить программу?
- КриптоПро CSP: Настройка считывателей
- Удаление сертификатов через КриптоПро
- Как проверить срок действия лицензии КриптоПро CSP
- Подписать документ с помощью КриптоПРО 5.0
- Как проверить срок действия лицензии КриптоПРО CSP
- Установка лицензий для Криптопро OCSP Client
- Установка лицензии для Криптопро TCP Client
- Как удалить сертификат через КриптоПро.
- КриптоПро CSP: сообщение «Вставьте ключевой носитель» или «Вставлен другой ключевой носитель»
- КриптоПро CSP: «Ошибка обращения к указанному CSP»
КриптоПРО ЭЦП Browser plug-in
- Настройка Спутник
- Настройка Opera
- Настройка Mozilla Firefox
- Настройка Microsoft Edge
- Настройка Яндекс.Браузер
- Настройка Google Chrome
- Настройка Internet Explorer
- Установка КриптоПРО ЭЦП Browser plug-in
Продукт “КриптоПро Office Signature” предназначен для обеспечения возможности создания и проверки электронной подписи по алгоритмам ГОСТ Р 34. 10-2001/ГОСТ Р 34. 10-2012 документов Word и Excel из состава Microsoft Office 2007/2010/2013/2016/2019/2021.
- Microsoft Office Starter не поддерживает функционал электронной подписи.
- При использовании Microsoft Office 365 возможность создания электронной подписи зависит от варианта использования: web-компоненты Microsoft Office 365 не поддерживают функционал электронной подписи.
Данный функционал поддерживается в приложениях рабочего стола Microsoft Office, входящих в подписку Microsoft Office 365 (включены не во все варианты подписок, состав подписки уточняйте у уполномоченных представителей Microsoft). - Работа в Microsoft Office 2007 имеет особенности, описанные в “Инструкции по установке и использованию”.
- Поддержка Microsoft Office 2016/2019/2021 и ГОСТ Р 34.11-2012/34.10-2012 реализована в “КриптоПро Office Signature 2.0”.
Добавляет возможность создания и проверки электронной подписи по ГОСТ Р 34. 10-2001/ГОСТ Р 34. 10-2012 в стандартный интерфейс Microsoft Office Word и Excel.
Компания «КриптоПро» создана в 2000 году и в настоящее время занимает лидирующее положение по распространению средств криптографической защиты информации и электронной цифровой подписи.
Основное направление деятельности компании – разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.
Компания имеет все необходимые лицензии ФСБ России и ФСТЭК России на право осуществления деятельности по разработке, производству, распространению и техническому обслуживанию шифровальных (криптографических) средств, предоставлению услуг в области шифрования информации и технической защиты конфиденциальной информации.
Продукты компании «КриптоПро» активно используются в органах государственной и муниципальной власти, в организация малого, среднего и крупного бизнеса.
Основные продукты компании «КриптоПро»
- Средства криптографической защиты информации: КриптоПро CSP, КриптоПро JCP, КриптоПро .NET, КриптоПро HSM, КриптоПро NGate, КриптоПро IPSec, КриптоПро AirKey
- Инфраструктура открытых ключей: КриптоПро ЭЦП Browser plug-in, КриптоПро DSS, КриптоПро DSS Lite, Удостоверяющий центр КриптоПро УЦ, КриптоПро TSP, КриптоПро OCSP, КриптоПро
- SVS, КриптоПро Revocation Provider, КриптоПро SSF
- Защита от несанкционированного доступа с использованием КриптоПро CSP: КриптоПро Secure Pack Rus 3.0, КриптоПро TLS, КриптоПро Stunnel, КриптоПро Winlogon, КриптоПро EFS
- Системы идентификации: IdM
- CRM решения для удостоверяющих центров: КриптоПро CRM
Компания КРИПТО-ПРО разработала пакет решений на базе Microsoft Dynamics CRM для организаций, выполняющих функции удостоверяющих центров – КриптоПро CRM.
Предназначен для обеспечения возможности создания и проверки электронной подписи по алгоритмам ГОСТ Р 34. 10-2001/ГОСТ Р 34. 10-2012 документов Word и Excel из состава Microsoft Office 2007/2010/2013/2016/2019.
Модуль создания и проверки ЭЦП, предназначенный для формирования и проверки электронной цифровой подписи в программax Adobe Reader, Adobe Acrobat версии 8, 9, Х, XI, 2015, 2017, 2020 и DC.
Предназначен для внедрения сертифицированного средства СКЗИ КриптоПро CSP в систему защищенного электронного документооборота, а также для унификации доступа к криптографическим функциям СКЗИ КриптоПро CSP.
Приложение командной строки для создания запросов на сертификаты, шифрования и расшифрования файлов, создания и проверки электронной подписи файлов с использованием сертификатов открытых ключей, хэширования файлов.
Программный продукт для создания и проверки квалифицированной электронной подписи, шифрования файлов на различных платформах Windows, Linux
Предоставляет пользователю интерфейс для выбора текущего ключа шифрования, ключа, по умолчанию используемого для шифрования файлов.
Расширяет метод первоначальной аутентификации PKINIT протокола Kerberos.
Программа stunnel предназначена для шифрования трафика между произвольным приложением на клиентском компьютере, которое работает с некоторым приложением или службой на удаленном компьютере (сервере).
КриптоПро TLS входит в состав КриптоПро CSP на всех ОС и не требует отдельной установки. Для использования протокола TLS предварительно получите сертификат по шаблону “Сертификат пользователя УЦ”.
Средство защиты информации Secure Pack Rus версия 3. 0 (СЗИ SPR 3. 0) является сервисным пакетом для операционных систем семейства Microsoft Windows, позволяющим обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2 и АК3.
В криптопровайдере КриптоПро CSP 5. 0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI.
КриптоПро Revocation Provider предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в ОС Windows.
Служба проверки сертификатов и электронной подписи КриптоПро SVS. Сокращенное наименование продукта: КриптоПро SVS 2. Назначение. Служба проверки сертификатов и электронной подписи “КриптоПро SVS” предоставляет удобный пользовательский интерфейс установления статуса сертификата ключа проверки электронной подписи и выполнения процедуры подтверждения подлинности электронных подписей документов различного формата.
ПАК “КриптоПро OCSP” предназначен для выполнения в составе сертифицированного ФСБ России удостоверяющего центра функций установления статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol).
ПАК “КриптоПро TSP” реализует сервис службы штампов времени, функционирует по протоколу TSP (Time-Stamp Protocol).
Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» является первым в Российской Федерации специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России.
Позволяет подписывать документы всех распространённых форматов на различных платформах, используя любые веб-браузеры и ключевые носители.
Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.
КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript: Яндекс. Браузер. Internet Explorer. Microsoft Edge (на базе Chromium).
Приложение для смартфона, эмулирующее поведение традиционной смарт-карты и предназначенное для хранения и работы с ключами и сертификатами пользователя.
Комплексное решение, которое реализует набор протоколов IPsec в соответствии с особенностями использования отечественных криптографических алгоритмов, на основе библиотек КриптоПро IKE, ESP, AH.
Высокопроизводительный VPN-шлюз на базе протокола TLS, который позволяет безопасно и быстро организовать защищённый доступ удалённых пользователей к корпоративным ресурсам через незащищённые сети, например, сеть Интернет.
Предоставляет интерфейсы CryptoAPI, PKCS#11 и JCA (Java), доступные для использования после успешной аутентификации пользователя с помощью ключей доступа.
Программный продукт, позволяющий использовать средство криптографической защиты информации (СКЗИ) КриптоПро CSP на платформе Microsoft. NET Framework.
Средство криптографической защиты информации, реализующее российские криптографические стандарты, разработанное в соответствии со спецификацией JCA (Java Cryptography Architecture).
КриптоПро CSP 5. 0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).
Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5. 0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.
Назначение КриптоПро CSP
- Формирование и проверка электронной подписи.
- Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
- Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
- Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.
Поддерживаемые алгоритмы
В КриптоПро CSP 5. 0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись
ГОСТ Р 34. 10-2012 (ГОСТ 34. 10-2018), ECDSA, RSA
Хэш-функции
ГОСТ Р 34. 11-2012 (ГОСТ 34. 11-2018), SHA-1, SHA-2
Шифрование
ГОСТ Р 34. 12-2015 (ГОСТ 34. 12-2018), ГОСТ Р 34. 13-2015 (ГОСТ 34. 13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
В криптопровайдере КриптоПро CSP 5. 0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5. 0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами и защищенным обменом сообщениями поддерживаемых КриптоПро CSP 5. 0 R2
Компания
Носитель
Актив
Рутокен ЭЦП 2. 0 3000 (USB, Type-C, micro)
Смарт-карта Рутокен ЭЦП 3. 0
Инфокрипт
InfoCrypt Token++
СмартПарк
Форос 2. Базис
Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2. 0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5. 0 R2
Компания Носитель
ISBC Esmart Token ГОСТ
Актив Рутокен PINPad
Рутокен ЭЦП (USB, micro, Flash)
Рутокен ЭЦП 2. 0 (USB, micro, Flash, Touch)
Рутокен ЭЦП 2. 0 2100 (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 2151
Рутокен ЭЦП PKI (USB, Type-C, micro)
Рутокен ЭЦП 2. 0 Bluetooth
Рутокен TLS (исполнение 1)
Смарт-карта Рутокен ЭЦП SC
Смарт-карта Рутокен ЭЦП 2. 0 2100
Смарт-карта Рутокен ЭЦП 2. 0 2151
Аладдин Р. JaCarta-2 ГОСТ, JaСarta SF/ГОСТ
JaCarta-2 SE/PKI/ГОСТ
Инфокрипт InfoCrypt Token++ TLS
InfoCrypt VPN-Key-TLS
Классические пассивные USB-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5. 0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р. , Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
Список производителей и моделей поддерживаемых КриптоПро CSP 5. 0 R2
Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5. 0 R2
Компания Носитель
AliothSCOne Series (v5/v6)
Gemalto Optelio Contactless Dxx Rx
Optelio Dxx FXR3 Java
Optelio G257
Optelio MPH150
ISBC Esmart Token
MorphoKSTMorphoKST
NovaCardCosmo
Rosan G&D element V14 / V15
G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80
Kona 2200s / 251 / 151s / 261 / 2320
Kona2 S2120s / C2304 / D1080
SafeNet eToken Java Pro JC
eToken 4100
eToken 5100
eToken 5110
eToken 5105
eToken 5205
Актив Рутокен S
Рутокен КП
Рутокен Lite
Смарт-карта Рутокен Lite
Аладдин Р. JaCarta ГОСТ
JaCarta PKI
JaCarta PRO
JaCarta LT
DallasTouch Memory (iButton) DS199x
ИнфокриптInfoCrypt Token++ lite
Мультисофт MS_Key исп. 8 Ангара
MS_Key ESMART исп. 5
СмартПарк Форос
Форос 2
R301 Форос
Оскар
Оскар 2
Рутокен Магистра
Инструменты КриптоПро
В составе КриптоПро CSP 5. 0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).
Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.
Поддерживаемое программное обеспечение
КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:
- Офисный пакет Microsoft Office
- Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
- Продукты Adobe
- Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
- Средство формирования и проверки подписи приложений Microsoft Authenticode
- Веб-серверы Microsoft IIS, nginx, Apache
- Средства удаленных рабочих столов Microsoft Remote Desktop Services
- Microsoft Active Directory
Интеграция с платформой КриптоПро
С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:
- КриптоПро УЦ
- Службы УЦ
- КриптоПро ЭЦП
- КриптоПро IPsec
- КриптоПро EFS
- КриптоПро .NET
- КриптоПро Java CSP
- КриптоПро NGate
Операционные системы и аппаратные платформы
Традиционно мы работаем в непревзойдённо широком спектре систем:
- Microsoft Windows
- macOS
- Linux
- FreeBSD
- Solaris
- AIX
- iOS
- Android
- Sailfish OS
- Аврора
- Intel, AMD
- PowerPC
- ARM (в т.ч. Байкал-М, Apple M1)
- MIPS (Байкал-Т)
- VLIW (Эльбрус)
- Sparc
- Microsoft Hyper-V
- VMWare
- Oracle Virtual Box
- RHEV
Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.
Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.
Интерфейсы для встраивания
Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:
- Microsoft CryptoAPI
- OpenSSL engine
- Java CSP (Java Cryptography Architecture)
- Qt SSL
Производительность на любой вкус
Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.
Регулирующие документы
Использование КриптоПро CSP позволяет решить сразу несколько задач:
- для корпоративных пользователей – это возможность использовать стандартные и повсеместно используемые приложения компании Microsoft с надежной российской криптографией;
- для системных интеграторов – это возможность создания новых, надежно защищенных приложений с использованием богатейшего и проверенного временем инструментария разработки компании Microsoft.
Использование КриптоПро CSP в ПО Microsoft
К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:
- Microsoft XML версии 5.0 (Microsoft Office 2003 и Microsoft XML Viewer) и версии 6.0 (Microsoft Visual Studio 2005);
- Microsoft Certification Authority, входящее в состав ОС Windows Server 2000/2003/2008/2008R2 (см. особенности установки);
- Microsoft Outlook Express, входящее в состав Internet Explorer версии 5.0 и выше;
- Microsoft Outlook, входящее в состав MS Office 2000/XP/2003/2007/2010/2013 (при формировании сообщений в формате S/MIME). При использовании ПО Microsoft Outlook 2000 рекомендуем установить Набор исправлений Office 2000 SR-1a, который позволяет корректно обрабатывать кодировки KOI8 и Win1251 в подписанных сообщениях;
- Microsoft Word/Excel, входящее в состав MS Office 2003/2007 (при формировании ЭЦП документов);
- Средства формирования и проверки ЭЦП программного обеспечения, распространяемого по сети (Microsoft Authenticode);
- Защита почтовых соединений (TLS для IMAPS/POP3S/SMTPS) в Microsoft Exchange и Microsoft Outlook;
- Защита соединений удалённого администрирования при использовании Microsoft Terminal Server или серверов и клиентов Citrix;
Встраивание КриптоПро CSP в приложения
Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).
Цели использования криптографических функций
Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему. Однако следует отметить, что использование криптографии ни в коем случае не исключает применение организационно-технических мер защиты.
В общем случае создание защищенной автоматизированной системы – это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации. В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.
Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.
- Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
- Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
- Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
- Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
- Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
- Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
- Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
- Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.
Использование CryptoAPI
Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:
- Дать прикладному уровню доступ к криптографическим функциям для генерации ключей, формирования/проверки электронной цифровой подписи, шифрования/расшифрования данных. Эта цель была достигнута путем изолирования прикладного уровня от уровня реализаций криптографических функций. Приложениям и прикладным программистам не нужно детально изучать особенности реализации того или иного алгоритма или изменять код в зависимости от алгоритма.
- Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные.
На рисунке ниже приведена общая архитектура криптографических функций.
Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:
Базовые криптографические функции
- Функции инициализации (работы с контекстом). Эти функции предоставляют приложению возможность выбрать определенный криптопровайдер по типу имени или по требуемой функциональности.
- Функции генерации ключей. Эти функции предназначены для формирования и хранения криптографических ключей различных типов.
- Функции обмена ключами. Эти функции предназначены для того чтобы приложения могли обмениваться различными типами ключевой информации для обеспечения взаимодействия между собой.
Функции кодирования/декодирования
Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN. 1 (Abstracy Syntax Notation One), определенный серией рекомендаций X. 680.
К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.
Функции работы со справочниками сертификатов
Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.
Высокоуровневые функции обработки криптографических сообщений
Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:
- Зашифровать/расшифровать сообщение от одного пользователя к другому.
- Подписать данные.
- Проверить подпись данных.
Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X. 509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.
Низкоуровневые функции обработки криптографических сообщений
Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.
Использование SSPI
Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:
- Дать прикладному уровню доступ к криптографическим функциям аутентификации сторон сетевых соединений, а так же обеспечение конфиденциальности и имитозащиты данных передаваемых по этим соединениям. Эта цель была достигнута путем изолирования прикладного уровня от уровня реализаций криптографических функций. Приложениям и прикладным программистам не нужно детально изучать особенности реализации того или иного алгоритма или изменять код в зависимости от алгоритма.
- Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные.
Инструментарий разработчика CAPICOM
CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.
С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi.
Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.
Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:
- CAPICOM Versions;
- Using CAPICOM;
- CAPICOM Reference.
Инструментарий разработчика КриптоПро CSP SDK
КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.
Для этих целей в комплект поставки включается Руководство программиста (csp_2_0. chm, tls_2_0. chm для версии 2. 0, CSP_3_0. chm, SSPI_3_0. chm, CAPILite_3_0. chm для версии 3. 0), описывающее состав функций и тестовое ПО (sample2_0. zip для версии 2. 0 и SDK для версии 3.
Руководство программиста и тестовое ПО для версии 3. 6 доступны на странице загрузки.
Онлайн-версия руководства программиста для версии 3. 6 также доступна на нашем сайте:
- КриптоПро CSP;
- КриптоПро SSPI;
- КриптоПро CAPILite.
Тестовое ПО разработано с использованием компиляторов Microsoft Visual C++ (версия 2. 0) и Microsoft Visual Studio. NET (для 3.
Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.
В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.
Вы также можете получить уже скомпилированную тестовую программу csptest2_0. exe для версии 2. 0 или SDK для версий 3. 0 и выше.