Новости компании

Новости компании Электронная цифровая подпись

Программно-аппаратный комплекс "Соболь". Версия 4, M.2 без ФДСЧ, сертификат ФСТЭК России

Артикул: Sobol-4 M.2 FSTEC-SP1Y

“Включена ТП уровня Базовый, срок 1 год + Техническая гарантия, срок 1 год.
Сертификат ФСТЭК России.”

Под заказ

12 082 … 12 825

Программно-аппаратный комплекс "Соболь". Версия 4, M.2, сертификат МО России

Артикул: Sobol-4 M.2 MO-SP1Y

“Включена ТП уровня Базовый, срок 1 год + Техническая гарантия, срок 1 год.
Сертификат МО России (документ ДСП, в комплект поставки не входит).”

Под заказ

13 011 … 13 825

Программно-аппаратный комплекс "Соболь". Версия 4, M.2, сертификат ФСТЭК России

Артикул: Sobol-4 M.2 MO-SP1Y

“Включена ТП уровня Базовый, срок 1 год + Техническая гарантия, срок 1 год.
Сертификат ФСТЭК России.”

Под заказ

13 011 … 13 825

ПАК “КриптоПро DSS” предназначен для защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи. Интеграция c Рутокен KeyBox позволяет осуществлять выпуск и централизованный учёт средств облачной аутентификации. Для работы с электронной подписью не требуется устройство (USB-токен или смарт-карта), ключи генерируются и хранятся в хранилище КриптоПро DSS, для доступа и использования электронной подписи применяется облачный криптопровайдер КриптоПро Cloud CSP.

Защищённый служебный носитель JaCarta SF/ГОСТ предназначен для безопасного хранения и транспортировки информации ограниченного доступа (ДСП, гостайна) и состоит из:

  • аппаратного средства, выполненного в форм-факторе USB-токена

  • программного обеспечения для ввода в эксплуатацию, управления и администрирования

Решаемые задачи

  • безопасное хранение и отчуждение информации ограниченного доступа

  • аудит действий пользователя служебного носителя

  • работа с электронной подписью

  • защита от подмены компонентов служебного USB-носителя

Особенности поставки

  • возможный объём карты памяти — 8 ГБ (16 ГБ или 32 ГБ на заказ)

  • при необходимости, по требованию заказчика, проводятся спецпроверки (СП) и специальные исследования (СИ) в испытательной лаборатории, аккредитованной ФСБ России

  • возможна поставка служебных носителей в пенале со специальным креплением и спец. пломбой (контроль неотделимости USB-токена от пенала)

  • для предотвращения необнаруживаемого вскрытия корпуса используется специальная голографическая наклейка “СЗИ” со скрытым водяным знаком.

Программно-аппаратный комплекс «КриптоПро DSS» предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) в интересах пользователей при взаимодействии с «КриптоПро HSM».

КриптоПро DSS обеспечивает:

  • создание ЭП под любым электронным документом;
  • отсутствие необходимости в установке клиентской части;
  • широкий охват платформ и устройств, с которых пользователь может работать с «КриптоПро DSS», поскольку необходим лишь веб-браузер;
  • снижение стоимости развертывания и владения инфраструктурой ЭП, т.к. нет необходимости установки средства ЭП на каждое рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере;
  • снижение риска компрометации ключей пользователей за счёт их централизованного защищенного хранения;
  • легкость встраивания функций создания ЭП в прикладные системы за счет наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов;
  • возможность применения различных схем аутентификации пользователя для доступа к его ключам.

Поддерживаемые форматы электронной подписи

  • Электронная подпись ГОСТ 34.10 – 2001.
  • Усовершенствованная подпись (CAdES-BES и CAdES-X Long Type 1).
  • Подпись XML-документов (XML Digital Signature, XMLDSig).
  • Подпись документов PDF.
  • Подпись документов Microsoft Office.

Нержавеющий среднегрузовой оцинкованный стеллаж SGR-V-Zn-ДСП с полками из древесно-стружечной плиты. Она выдерживает равномерно-распределённую нагрузку до 500 кг. Подходит для хранения любых грузов в неблагоприятных для обычного металлического стеллажа условиях, например там, где возможны затопления. Благодаря оцинковке стойки SGR-V-Zn-ДСП защищены от появления коррозии. Деревянные полки мягче, поэтому меньше вероятности повреждения хрупкого груза при его перемещении. Кроме того в случае последствий воздействия на них технических жидкостей (масло, краска, смазка) их можно легко заменить. Плиты ДСП типа Р2 пригодны для использования внутри помещения, включая производство мебели.

Модель имеет сборно-разборную конструкцию. Она состоит из рам (две стойки со стяжками), продольных балок с зацепным соединением и листов ДСП. Таким образом горизонтальная плоскость включает в себя две балки и настил. У основания каждая стойка снабжена металлическим подпятником (болтовое крепление). Крепёж позволяет соединять рамы в одну линию, чтобы выстраивать многосекционный стеллаж необходимой длинны. При возведении такой конструкции, можно навешивать ярусы с разных сторон. Таким образом, можно экономить, а максимальная нагрузка на секцию даже увеличивается.

Создание секции стеллажей SGR

Сборка SGR довольно простая. Вся фурнитура идёт в комплекте. Процесс возведения описан в инструкции с картинками. Шаг регулировки по высоте составляет не менее 50 мм. Для обеспечения устойчивости, нижняя полка размещается не более 300 мм от пола. Каждая последующая с интервалом не более 800 мм от предыдущего. На каждый зацеп должен быть установлен фиксатор. Вы можете прибегнуть к услугам наших специалистов.

Грузоподъёмность серии SGR:

SGR-V-Zn-ДСП поставляются в разобранном виде. Производится соответственно ГОСТ Р 56356-2015. Чтобы купить складской стеллаж с деревянными полками скомплектуйте его при помощи калькулятора. Мы организуем доставку и сборку по городу Челябинску и области. Возможен самовывоз.

Модуль доверенной загрузки (TSM)

Без дополнительных аппаратных модулей обеспечивает уровень доверия, необходимый для работы в КИИ, ИСПДн, ГИС. Соответствует приказу ФСТЭК России № 239 и 187-ФЗ.

Семейство продуктов Secret Disk

Система защиты конфиденциальной информации на ПК и серверах от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия.

Мобильные (Android, Apple)

Bluetooth/NFC

Биометрические

Компактные

Смарт-карт ридеры JCR

Универсальный смарт-карт ридер Enterprise-класса для интенсивной работы с любыми типами контактных микропроцессорных смарт-карт стандарта ISO 7816.

Крипто БД

Первая сертифицированная в России система предотвращения утечек информации из высокопроизводительных СУБД Oracle, Microsoft SQL Server, PostgreSQL, Postgres Pro.

JaCarta SF/ГОСТ

Защищённый служебный носитель для безопасного хранения и транспортировки информации ограниченного доступа (ДСП, гостайна).

Aladdin LiveOffice

Сертифицированное средство обеспечения безопасной дистанционной работы сотрудников органов исполнительной власти, государственных структур, предприятий КИИ, банков, коммерческих организаций при использовании ими личных средств вычислительной техники.

SecurLogon

ПО для быстрого перехода к двухфакторной аутентификации без развёртывания инфраструктуры открытых ключей (PKI) и Active Directory.

Aladdin 2FA

Мобильное приложение для генерации одноразовых паролей по времени (TOTP) или по событию (HOTP).

USB-токены JaCarta WebPass

USB-токен JaCarta WebPass представляется операционной системе как физическая клавиатура, поэтому возможна ситуация, в которой после присоединения к мобильному устройству токена JaCarta WebPass отключится возможность ввода с экранной сенсорной клавиатуры.

USB-токены JaCarta U2F (FIDO)

Универсальный USB-токен для двухфакторной аутентификации пользователей онлайн-сервисов по стандарт FIDO U2F

JaCarta Authentication Server (JAS)

Автономный высокопроизводительный сервер аутентификации, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными токенами для мобильных устройств

JaCarta Management System (JMS)

Сертифицированная корпоративная система управления жизненным циклом средств аутентификации и электронной подписи.

Идентификаторы iButton

Семейство многофункциональных микроэлектронных устройств, разработанных фирмой Dallas Semiconductor (USA) в настоящее время выпускаемых фирмой Maxim.

Электронное удостоверение JaCarta

Единый Клиент JaCarta

Программное обеспечение, предназначенное для поддержки функций строгой двухфакторной аутентификации, настройки и работы с моделями USB-токенов и смарт-карт JaCarta.

Антифрод-терминал

Trust Screen-устройство для безопасной аутентификации и безопасного подтверждения операций/транзакций при работе пользователя в недоверенной среде.

JC-Mobile

Позволяет организовать безопасный доступ к системам и сервисам компании с мобильных устройств и обеспечивает юридическую значимость подписываемых электронных документов и производимых операций.

JC-WebClient

Строгая аутентификация и электронная подпись для Web-приложений и облачных сервисов.

JaCarta

USB-токены, смарт-карты и модули безопасности для аутентификации, формирования и проверки электронной подписи, шифрования передаваемых данных, а также безопасного хранения объектов и информации пользователя (пароли, цифровые сертификаты и т. д.).

Незащищённый обмен данными таит в себе много угроз и позволяет мошенникам использовать информацию против её владельца или получателя, а также получить выгоду. Электронно передаются персональные данные, информация личного характера, коммерческие данные (базы данных клиентов, секреты производства, ноу-хау, интеллектуальная собственность бизнеса) и многое другое.

Одним из видов конфиденциальной информации выступает служебная информация ограниченного распространения.

Согласно Постановлению Правительства России от 3 ноября 1994 г. № 1233 к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами.

Читайте также:  криптопро csp как сделать подпись

Информация содержится в документах на бумажных носителях с грифом «Для служебного пользования», которые пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями. Таким образом, нынешнее законодательство не предусматривает возможность передавать служебные документы в электронной форме по сети Интернет, например по e-mail между служащими. Данное ограничение влияет на скорость извещений, принятия решений по срочным вопросам, а также вынуждает тратить деньги на распечатку многостраничных документов и на почтовые услуги. Снизить временные и финансовые траты можно, установив новые правила для использования защищённого электронного документооборота как внутри государственных органов, так и между ними и иными сторонними организациями.

В связи с этим подготовлен проект постановления. Данный проект призван:

  • признать утратившим силу ныне действующее Постановление Правительства № 1233;
  • утвердить новый порядок обращения документов для служебного пользования.

Предлагаемые изменения

  1. Утверждение основных понятий в данной сфере.
  2. Установление возможности обращения документов как в форме электронного документа, так и в форме документа на бумажном носителе.
  3. Определение требований к способам передачи экземпляров документов (защита от несанкционированного доступа, гарантированная доставка, контроль целостности).
  4. Возможность передачи электронных документов с помощью МЭДО при наличии у отправителя и получателя программных решений, сертифицированных ФСБ России и ФСТЭК России.
  5. Использование аттестованных систем хранения электронных документов, отвечающих требованиям, установленным ФСБ России и ФСТЭК России.
  6. Для снятия с электронного документа грифа «ДСП» необходимо создать новый документ и уничтожить существующий экземпляр.

На данный момент проект не утверждён, он проходит общественное обсуждение. Несмотря на это, вы можете организовать передачу служебной информации защищённым способом. Для этого необходимо приобрести квалифицированную электронную подпись, сертифицированный криптопровайдер (например СКЗИ КриптоПро CSP версии 5.0) и программу для подписания и шифрования файлов (например КриптоАРМ ГОСТ).

С помощью КриптоАРМ ГОСТ можно зашифровать электронный документ, содержащий конфиденциальную информацию. Расшифровать документ и ознакомиться с содержанием сможет исключительно получатель, которому был направлен электронный документ. Таким образом обеспечивается максимальная защита от несанкционированного доступа третьими лицами.

Получить дистрибутивы сертифицированной версии КриптоАРМ ГОСТ можно по ссылке (кнопка «Попробовать бесплатно»). Бесплатный период 14 дней. Эксплуатационная документация и формуляр размещены здесь.

Пн-Пт: 9:00 – 19:00

ПАК "КриптоПро DSS"

ПАК "КриптоПро DSS"

Самовывоз из офиса Softmagazin
 
Бесплатно

Курьером по Москве в пределах МКАД
 
200 руб.

Доставка электронных лицензий
 
Бесплатно

Программно-аппаратный комплекс КриптоПро DSS предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.

КриптоПро DSS обеспечивает:

  • создание электронной подписи любого формата электронного документа;
  • отсутствие необходимости в установке клиентской части на стационарное рабочее место при работе с неквалифицированной подписью;
  • отсутствие необходимости в установке клиентской части на стационарное рабочее место при установке клиентских компонент на мобильные устройства;
  • возможность работы с квалифицированной электронной подписью в случае использования комплектаций, имеющих сертификаты соответствия требованиям ФСБ России (требуется установка указанных в документации на данные комплектации клиентских компонент);
  • широкий охват платформ и устройств, с которых пользователь может работать с КриптоПро DSS;
  • снижение стоимости развертывания и владения инфраструктурой ЭП, т.к. нет необходимости установки средства ЭП на каждое стационарное рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере;
  • снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения;
  • возможность использования стандартного интерфейса CryptoAPI с помощью дополнительного модуля КриптоПро Cloud CSP  на базе КриптоПро CSP версии 5.0 для обеспечения совместимости с традиционными приложениями;
  • возможность работы с локальными ключами электронной подписи на рабочих местах пользователей (режим КриптоПро DSS Lite);
  • лёгкость встраивания функций создания ЭП в прикладные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST;
  • возможность усиления ранее созданной электронной подписи до усовершенствованного формата (CAdES-T или CAdES-X Long Type 1) путем добавления штампов времени и информации о статусе сертификата.
  • возможность применения различных схем аутентификации пользователя для доступа к его ключам, включая возможность интеграции со сторонними центрами идентификации по протоколам SAML (WS-Security) и OAuth (в т.ч. с корпоративным доменом на безе MS AD и OpenLDAP);
  • централизованное /локальное шифрование/расшифрование электронных документов;
  • пакетная обработка электронных документов (подписание/шифрование по API одной командой набора однотипных электронных документов);
  • Поддержка нескольких экземпляров сервисов электронной подписи и центров идентификации с различными параметрами настройки функционирования на одном сервере КриптоПро DSS
  • Визуализация (отображение) подписываемых электронных документов формата PDF, docx, txt, xml. Возможно расширение перечня форматов отображаемых файлов.
  • создание видимой подписи с логотипом и текстом и в виде изображения (image appearance) с учетом требований Приказа Минкомсвязи и ФСО России от 27.05.2015 №186/258При для документов формата PDF с использованием API (SOAP/REST);
  • возможность интеграции с корпоративными хранилищами документов, поддерживающими стандарт CMIS;
  • возможность кастомизации графического веб-интерфейса (цветовой гаммы, логотипов, шрифтов и т.п.) в соответствии с корпоративным стилем и требованиями Заказчика.

Лицензия ПАК “КриптоПро DSS” по выгодной цене у крупнейшего интернет-магазина ПО в нашей стране. Стоимость лицензии от 165000 руб. Наши менеджеры проконсультируют и помогут с выбором лицензионных продуктов КриптоПро для покупки в Москве, Санкт-Петербурге и других городах России.

<!–

–>

Новости компании

КриптоПро CSP 5.0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Скачать КриптоПро CSP
с ознакомительной полнофункциональной 90-дневной лицензией

Назначение КриптоПро CSP

  • Формирование и проверка электронной подписи.
  • Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
  • Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
  • Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые алгоритмы

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Электронная подпись

ГОСТ Р 34.10-2012 (ГОСТ 34.10-2018), ECDSA, RSA

Хэш-функции

ГОСТ Р 34.11-2012 (ГОСТ 34.11-2018), SHA-1, SHA-2

Шифрование

ГОСТ Р 34.12-2015 (ГОСТ 34.12-2018), ГОСТ Р 34.13-2015 (ГОСТ 34.13-2018), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Поддерживаемые технологии хранения ключей

Новости компании

Облачный токен

В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Читайте также:  НОУ ИНТУИТ | Лекция | Правовое регулирование электронной цифровой подписи

Новости компании

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами и защищенным обменом сообщениями поддерживаемых КриптоПро CSP 5.0 R2
Компания Носитель
Актив Рутокен ЭЦП 2.0 3000 (USB, Type-C, micro)
Смарт-карта Рутокен ЭЦП 3.0
Инфокрипт InfoCrypt Token++
СмартПарк Форос 2. Базис

Новости компании

Носители с неизвлекаемыми ключами

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0 R2
Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5.0 R2
Компания Носитель
ISBC Esmart Token ГОСТ
Актив Рутокен PINPad
Рутокен ЭЦП (USB, micro, Flash)
Рутокен ЭЦП 2.0 (USB, micro, Flash, Touch)
Рутокен ЭЦП 2.0 2100 (USB, Type-C, micro)
Рутокен ЭЦП 2.0 2151
Рутокен ЭЦП PKI (USB, Type-C, micro)
Рутокен ЭЦП 2.0 Bluetooth
Рутокен TLS (исполнение 1)
Смарт-карта Рутокен ЭЦП SC
Смарт-карта Рутокен ЭЦП 2.0 2100
Смарт-карта Рутокен ЭЦП 2.0 2151
Аладдин Р.Д.JaCarta-2 ГОСТ, JaСarta SF/ГОСТ
JaCarta-2 SE/PKI/ГОСТ
Инфокрипт InfoCrypt Token++ TLS
InfoCrypt VPN-Key-TLS

Новости компании

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0 R2
Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5.0 R2
Компания Носитель
AliothSCOne Series (v5/v6)
GemaltoOptelio Contactless Dxx Rx
Optelio Dxx FXR3 Java
Optelio G257
Optelio MPH150
ISBCEsmart Token
MorphoKSTMorphoKST
NovaCardCosmo
RosanG&D element V14 / V15
G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80
Kona 2200s / 251 / 151s / 261 / 2320
Kona2 S2120s / C2304 / D1080
SafeNeteToken Java Pro JC
eToken 4100
eToken 5100
eToken 5110
eToken 5105
eToken 5205
АктивРутокен S
Рутокен КП
Рутокен Lite
Смарт-карта Рутокен Lite
Аладдин Р.Д.JaCarta ГОСТ
JaCarta PKI
JaCarta PRO
JaCarta LT
DallasTouch Memory (iButton) DS199x
ИнфокриптInfoCrypt Token++ lite
МультисофтMS_Key исп.8 Ангара
MS_Key ESMART исп.5
СмартПаркФорос
Форос 2
R301 Форос
Оскар
Оскар 2
Рутокен Магистра

Инструменты КриптоПро

В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.

Новости компании

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

  • Офисный пакет Microsoft Office
  • Почтовый сервер Microsoft Exchange и клиент Microsoft Outlook
  • Продукты Adobe
  • Браузеры Яндекс.Браузер, Спутник, Internet Explorer, Chromium GOST
  • Средство формирования и проверки подписи приложений Microsoft Authenticode
  • Веб-серверы Microsoft IIS, nginx, Apache
  • Средства удаленных рабочих столов Microsoft Remote Desktop Services
  • Microsoft Active Directory

Новости компании

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

  • КриптоПро УЦ
  • Службы УЦ
  • КриптоПро ЭЦП
  • КриптоПро IPsec
  • КриптоПро EFS
  • КриптоПро .NET
  • КриптоПро Java CSP
  • КриптоПро NGate

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

  • Microsoft Windows
  • macOS
  • Linux
  • FreeBSD
  • Solaris
  • AIX
  • iOS
  • Android
  • Sailfish OS
  • Аврора

аппаратных платформ:

  • Intel, AMD
  • PowerPC
  • ARM (в т.ч. Байкал-М, Apple M1)
  • MIPS (Байкал-Т)
  • VLIW (Эльбрус)
  • Sparc

и виртуальных сред:

  • Microsoft Hyper-V
  • VMWare
  • Oracle Virtual Box
  • RHEV

Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.

Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

  • Microsoft CryptoAPI
  • PKCS#11
  • OpenSSL engine
  • Java CSP (Java Cryptography Architecture)
  • Qt SSL

Новости компании

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Новости компании

Регулирующие документы

Новости компании

Всем привет! Я Максим, бэкенд-разработчик команды MSB (корпоративная сервисная шина), занимаюсь интеграциями систем для внутренних нужд компании Tele2, и в этом посте хочу поделиться опытом интеграции с “КриптоПро DSS” поверх ГОСТ TLS.

Введение

В связи с экономией на бумаге ростом цифровизации бизнес-процессов, в частности, с постепенным уходом от традиционных бумажных документов к электронному документообороту, возникла потребность реализовать электронную подпись документов у нас в компании.

В качестве сервера электронной подписи используется комплекс “КриптоПро DSS”, имеющий возможность встроить двухфакторное подтверждение операций подписания в мобильное приложение, посредством своего DSS SDK.

Мы встроили данный SDK в наше корпоративное мобильное приложение, о котором писала моя коллега в своей статье на Хабре.

Но мой рассказ связан с опытом решения задачи со стороны бэкенда, и мы рассмотрим эту задачу подробнее.

Описание проблемы и её решение

В нашей схеме подключение к серверу электронной подписи осуществляется по ГОСТ TLS с аутентификацией клиента по сертификату.

Но не секрет, что стандартные платформы, а именно горячо любимый мной .NET, не поддерживают российские криптошифры по ГОСТу.

В качестве эксперимента пробовал подключить rtengine, но он не завёлся, и, помимо прочего, он не является сертифицированным средством защиты информации. В таких случаях “КриптоПро” советует использовать “КриптоПро Stunnel”.

Изначально, stunnel – это open-source приложение, выступающее в роли шлюза, который принимает незашифрованный трафик и пересылает его на целевой сервер поверх TLS. Часто используется, когда клиент сам не поддерживает TLS-шифрование.

А Stunnel от “КриптоПро” – это практически тот же stunnel, но с поддержкой ГОСТ TLS, а значит, он замечательно подходит для решения нашей проблемы.

Новости компании

Представленная выше схема рабочая, если бы не одно но: согласно политикам безопасности в компании, все запросы во внешнюю сеть Интернет могут осуществляться только через корпоративный прокси. Ванильный stunnel из коробки умеет делать запросы через прокси, но “КриптоПро” эту фичу выпилил в своей редакции.

Новости компании

Чтобы обойти это ограничение, в схему было решено добавить еще одно известное Linux-администраторам приложение socat (еще один шлюз, в своем роде), который умеет делать подключения через HTTP-прокси. Важное условие – HTTP-прокси должен разрешать подключения через метод CONNECT.

В итоге схема станет такой:

Новости компании

Docker

Для упрощения было решено пренебречь правилом “один контейнер – один процесс” и запускать “КриптоПро Stunnel” и socat в одном контейнере. Данный контейнер поднимается в виде sidecar рядом с основным контейнером микросервиса. Это позволяет нашему микросервису общаться с “КриптоПро DSS” так, как будто бы они общались по http-протоколу, а вопросы шифрования трафика по ГОСТ TLS отдаются на откуп контейнеру с stunnel и socat.

Читайте также:  Условия поставки / Заказ / Рутокен

Чтобы подготовить образ контейнера, нужно скачать deb-пакет с “КриптоПро CSP” (именно в составе этого дистрибутива и состоит “КриптоПро Stunnel”). К сожалению, скачать пакет нельзя по прямой ссылке, которую можно было бы прописать в Dockerfile (иначе бы статья получилась в два раза короче). Для скачивания нужно пройти регистрацию на сайте “КриптоПро”, и только потом будет дана возможность скачать пакет.

Ниже приведен пример Dockerfile, скриптов инициализации и конфига для “КриптоПро Stunnel”.

Рабочий пример можно также посмотреть здесь.

Dockerfile
FROM debian:buster-slim

EXPOSE 80/tcp

ARG TZ=Europe/Moscow
ENV PATH="/opt/cprocsp/bin/amd64:/opt/cprocsp/sbin/amd64:${PATH}"

# stunnel settings
ENV STUNNEL_HOST="example.cryptopro.ru:4430"
ENV STUNNEL_HTTP_PROXY=
ENV STUNNEL_HTTP_PROXY_PORT=80
ENV STUNNEL_HTTP_PROXY_CREDENTIALS=
ENV STUNNEL_DEBUG_LEVEL=5
ENV STUNNEL_CERTIFICATE_PFX_FILE=/etc/stunnel/certificate.pfx
ENV STUNNEL_CERTIFICATE_PIN_CODE=

# dependencies
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime \
	&& echo $TZ > /etc/timezone \
	&& apt-get update \
	&& apt-get -y install lsb-base curl socat \
	&& rm -rf /var/lib/apt/lists/*
	
# install cryptopro csp
WORKDIR /dist
COPY dist/csp_deb.tgz csp_deb.tgz
RUN tar -zxvf csp_deb.tgz --strip-components=1 \
	&& ./install.sh cprocsp-stunnel
	
WORKDIR /

COPY conf/ /etc/stunnel
COPY bin/docker-entrypoint.sh docker-entrypoint.sh
COPY bin/stunnel-socat.sh stunnel-socat.sh

RUN chmod +x /docker-entrypoint.sh /stunnel-socat.sh
	
ENTRYPOINT ["/docker-entrypoint.sh"]
CMD ["stunnel_thread", "/etc/stunnel/stunnel.conf"]
docker-entrypoint.sh
#!/bin/bash
# скрипт инициализации

# ---------------------------------
# настройка csp
echo "Configuring CryptoPro CSP..."

# импорт сертификата с закрытым ключом
if [[ ! -f "$STUNNEL_CERTIFICATE_PFX_FILE" ]]; then
    echo "Client certificate not found in ${STUNNEL_CERTIFICATE_PFX_FILE}"
    exit 1
fi

certmgr -install -pfx -file "${STUNNEL_CERTIFICATE_PFX_FILE}" -pin "${STUNNEL_CERTIFICATE_PIN_CODE}" -silent || exit 1
echo "Certificate was imported."
echo

# определение контейнера-хранилища закрытых ключей
containerName=$(csptest -keys -enum -verifyc -fqcn -un | grep 'HDIMAGE' | awk -F'|' '{print $2}' | head -1)
if [[ -z "$containerName" ]]; then
    echo "Keys container not found"
    exit 1
fi

# установка сертификата клиента
certmgr -inst -cont "${containerName}" -silent || exit 1

# экспорт сертификата для stunnel
exportResult=$(certmgr -export -dest /etc/stunnel/client.crt -container "${containerName}")
if [[ ! -f "/etc/stunnel/client.crt" ]]; then
    echo "Error on export client certificate"
    echo "$result"
    exit 1
fi

echo "CSP configured."
echo

# ---------------------------------
# запуск socat
echo "Starting socat..."
nohup bash /stunnel-socat.sh </dev/null >&1 2>&1 &

# ---------------------------------
# запуск stunnel
echo "Configuring stunnel..."
sed -i "s/^debug=.*$/debug=$STUNNEL_DEBUG_LEVEL/g" /etc/stunnel/stunnel.conf

echo "Starting stunnel"
exec "$@"
stunnel-socat.sh
#!/bin/bash
echo Configuring socat...

socatParameters="TCP:${STUNNEL_HOST}"

if [[ -n "$STUNNEL_HTTP_PROXY" ]]; then
    # если указан http-прокси, подключение будет происходить через него
    socatParameters="PROXY:${STUNNEL_HTTP_PROXY}:${STUNNEL_HOST},proxyport=${STUNNEL_HTTP_PROXY_PORT}"

    if [[ -n "$STUNNEL_HTTP_PROXY_CREDENTIALS" ]]; then
        socatParameters="${socatParameters},proxyauth=${STUNNEL_HTTP_PROXY_CREDENTIALS}"
    fi
fi

socatCmd="socat UNIX-LISTEN:/var/run/socat.sock,reuseaddr,fork ${socatParameters}"

while true; do
    rm -f /var/run/socat.sock
    echo $(date) "Start socat instance."
    ${socatCmd}
    sleep 1
done
stunnel.conf
foreground=yes
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/dev/stdout
debug=5

[https]
client=yes
accept=80
cert=/etc/stunnel/client.crt
verify=0
connect=/var/run/socat.sock

Про Dockerfile рассказывать не буду, он достаточно тривиален, а вот скрипт инициализации docker-entrypoint.sh интереснее. Первым делом скрипт импортирует сертификат с закрытым ключом в хранилище ключей, так как “КриптоПро Stunnel” для работы необходим закрытый ключ. Затем из хранилища экспортируется сертификат с открытым ключом в формате DER. В дальнейшем по этому сертификату “КриптоПро Stunnel” будет получать закрытый ключ из хранилища ключей.

После инициализации хранилища ключей происходит настройка и запуск socat. Для конфигурирования socat добавлены переменные окружения, которые позволяют указать, через какой HTTP-прокси необходимо выполнять запросы. Не буду останавливаться на этих переменных – их описание есть в репозитории. Однако не лишним будет уточнить, что, если переменные не указаны, socat будет самостоятельно выполнять TCP-запросы до целевого сервера. Для получения входящих запросов socat открывает unix-сокет, на который и будет обращаться “КриптоПро Stunnel”.

Финальным шагом в скрипте являются конфигурирование Stunnel и его последующий запуск.

“КриптоПро Stunnel” при запуске начинает прослушивать порт 80, то есть принимать голый HTTP-трафик. HTTP-трафик будет шифроваться по ГОСТу и пересылаться на unix-сокет, который слушает socat. Socat, в свою очередь, откроет соединение с целевым сервером, напрямую или через HTTP-прокси, и отправит уже шифрованный запрос. 

Шифрованный ответ от целевого сервера пройдет ту же цепочку, только обратном порядке, и вызывающему приложению будет возвращен ответ в виде plain text, что позволит не реализовывать ГОСТ TLS внутри приложений (если такая реализация вообще возможна).

Вместо заключения

К сожалению, документация по отечественным решениям зачастую достаточно скромна. К примеру, на попытки заставить работать “КриптоПро Stunnel” через HTTP-прокси ушло много времени, пока не пришло понимание, что “КриптоПро Stunnel” прокси не поддерживает и что без еще одного инструмента не обойтись.
Данная статья призвана помочь сберечь ваше время, надеюсь, описанное окажется полезным.

Бонус

В качестве бонуса хотелось бы поделиться несколькими советами:

Список ресурсов

  • stunnel TLS Proxy

  • Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel

Предварительные условия

Для интеграции Рутокен KeyBox c КриптоПро DSS в окружении компании должны быть развернуты:

  • Сервер RutokenKeyBox версии 5.1 и выше;
  • ПАК “КриптоПро УЦ” 2.0;
  • ПАК “КриптоПро DSS”;
  • ПАКМ “КриптоПро HSM”;
  • КриптоПро CSP 5.0;
  • Настроенная интеграция КриптоПро УЦ 2.0 с КриптоПро DSS.

Интеграция УЦ и DSS необходима для управления пользователями и их сертификатами в удостоверяющем центре. КриптоПро DSS выступает в роли привилегированного пользователя по отношению к КриптоПро УЦ 2.0. Создание и обновление пользователей, запрос сертификатов и прочие действия на УЦ в этом случае выполняются от имени Оператора DSS. Подробная инструкция по интеграции входит комплект поставки ПАК “КриптоПро DSS”.

Настройка интеграции в Рутокен KeyBox

Для работы с DSS сервер используется учётная запись Оператор DSS, сертификат которой должен хранится на сервере RutokenKeyBox. Для установки сертификата Оператора DSS выполните следующие действия:

  1. Добавьте сертификат Оператора DSS в локальное хранилище компьютера (Local Computer) на сервере RutokenKeyBox.
  2. Добавьте корневой сертификат КриптоПро УЦ 2.0 и корневой сертификат DSS в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере RutokenKeyBox.
  3. Выдайте системе Рутокен KeyBox права на чтение закрытого ключа сертификата Оператора DSS.
    • В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер RutokenKeyBox.
    • Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\RutokenKeyBox (если используется IIS 7.5 и более поздние версии).
    • Выставите права Полный доступ (FullControl).
    • Нажмите Применить (Apply).

Выдайте права на папку с пользователями в КриптоПро УЦ 2.0 для учётной записи Оператор DSS:

  1. Создайте группу безопасности, например DSS Operators и включите в неё учётную запись Оператор DSS.
  2. Откройте свойства папки, в которой будут располагаться пользователи DSS, перейдите на вкладку безопасность и добавьте созданную группу DSS Operators.
  3. Выдайте группе разрешения (таблица 2).

Таблица 2 —Набор прав для сервисной группы пользователей DSS Operators.

Наименование разрешения

Тип объекта

Комментарий

Чтение свойств

Папка, Пользователь

Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту

Запрос регистрации

ПапкаСоздание запроса на регистрацию пользователя
Запрос сертификата

Пользователь, шаблон

Создание запроса сертификата для пользователя

Запрос аннулированияПользователь

Создание запроса на аннулирование сертификата пользователя

Запрос приостановленияПользователь

Создание запроса на приостановление сертификата пользователя

Запрос возобновленияПользователь

Создание запроса на возобновление сертификата пользователя

Одобрение регистрацииПапка

Одобрение запроса на регистрацию пользователя

Одобрение сертификата

Пользователь, шаблон

Одобрение запроса сертификата для пользователю

Одобрение аннулированияПользователь

Одобрение запроса на аннулирование сертификата пользователя

Одобрение приостановленияПользователь

Одобрение запроса на приостановление сертификата пользователя

Одобрение возобновленияПользователь

Одобрение запроса на возобновление сертификата пользователя

Передача запросовПользователь

Передача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос

Запрос переименованияПользователь

Создание запроса на изменение данных пользователя

Одобрение переименованияПользователь

Одобрение запроса на изменение данных пользователя

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector