нтссофт криптопро

Соберем проект с поддержкой ГОСТ Р 34. 11-2012 256 bit

Гайд разделен на несколько этапов. Основная инструкция по сборке опубликована вместе с репозиторием DotnetCoreSampleProject – периодически я буду на нее ссылаться.

Первым делом создадим новую папку

и положим туда все необходимое.

Инструкция делится на 2 этапа – мне пришлось выполнить оба, чтобы решение заработало. В папку добавьте подпапки. untime и. packages

I – Сборка проекта без сборки corefx для Windows

• Установите КриптоПро 5.0 и убедитесь, что у вас есть действующая лицензия. – для меня подошла втроенная в ЭП;
• Установите core 3.1 sdk и runtime и распространяемый пакет Visual C++ для Visual Studio 2015 обычно ставится вместе со студией; прим.: на II этапе мне пришлось через установщик студии поставить дополнительное ПО для разработки на C++ – сборщик требует предустановленный DIA SDK.
• Задайте переменной среды DOTNET_MULTILEVEL_LOOKUP значение 0 – не могу сказать для чего это нужно, но в оригинальной инструкции это есть;
• package_windows_debug.zip распакуйте в .packagesruntime-debug-windows.zip распакуйте в .
  untime
• package_windows_debug.zip распакуйте в .packages
• runtime-debug-windows.zip распакуйте в .
  untime
• Добавьте источник пакетов NuGet в файле %appdata%NuGetNuGet.Config – источник должен ссылаться на путь .packages в созданной вами папке. Пример по добавлению источника есть в основной инструкеии. Для меня это не сработало, поэтому я добавил источник через VS Community;
• Склонируйте репизиторий DotnetCoreSampleProject в .
• Измените файл .DotnetSampleProjectDotnetSampleProject.csproj – для сборок System.Security.Cryptography.Pkcs.dll и System.Security.Cryptography.Xml.dll укажите полные пути к .
  untime;
• Перейдите в папку проекта и попробуйте собрать решение. Я собирал через Visual Studio после открытия проекта.

II – Сборка проекта со сборкой corefx для Windows

• Выполните 1-3 и 6-й шаги из I этапа;
• Склонируйте репозиторий corefx в .
• Выполните сборку запустив .corefxuild.cmd – на этом этапе потребуется предустановленный DIA SDK
• Выполните шаги 5, 7-9 из I этапа. Вместо условного пути .packages укажите .corefxartifactspackagesDebugNonShipping, а вместо .
  untime укажите .corefxartifactsin
  untime
  etcoreapp-Windows_NT-Debug-x64

На этом месте у вас должно получиться решение, которое поддерживает ГОСТ Р 34. 11-2012 256 bit.

ЭП для ИП

ЭП для ИП содержит регистрационные данные предпринимателя. На каждого наемного работника потребуется выпустить ЭП для физлица. С помощью электронной подписи предприниматель может:

• сдавать в ФНС и контрольные (надзорные) органы отчетность онлайн;
• участвовать в госзакупках, торгах, аукционах;
• зарегистрировать онлайн-кассу в налоговой службе;
• работать в ЕГАИС и другое.

С 1 января 2022 обращаться в ФНС за электронной подписью предприниматель должен лично.

14 сентября (среда)

Круглый стол «Мобильная электронная подпись: проблемы и решения»
09:30-10:50Ведущий:Станислав Смышляев, д. , заместитель генерального директора, КриптоПроУчастники:   Дмитрий Гусев, к. , заместитель генерального директора, ИнфоТеКС
Антон Мелузов, к. , заместитель генерального директора, РТЛабс
Денис Калемберг, генеральный директор, SafeTech
Дмитрий Горелов, коммерческий директор, Компания Актив
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк

Мобильная электронная подпись: актуальные задачи и пути их решения
Станислав Смышляев, д. , заместитель генерального директора, КриптоПро
09:30-09:40
Масштабирование Госключа. Особенности массового внедрения средств электронной подписи
Антон Мелузов, к. , заместитель генерального директора, РТЛабс
09:40-09:50
Совмещение классической и мобильной парадигм работы с квалифицированной электронной подписью
Владимир Иванов, компания «Актив»
09:50-10:00
Банковская идентификация в мобильной электронной подписи
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк
10:00-10:10
Обсуждение
10:10-10:50
Кофе-пауза
10:50-11:20

Сессия 3. МЧД и документы о полномочиях: поиск решений
11:20-12:50Ведущие:Альберт Салимов, руководитель отдела технологий сервисов фирмы «1С»
Федор Новиков, начальник управления ЭДО ФНС России
Михаил Веселов, директор Фонда «Центр инноваций и информационных технологий» Федеральной нотариальной палаты
Александр Тютрюмов, Минцифры России

МЧД и другие машиночитаемые юридические действия в системе машиночитаемого права
Нина Соловяненко, к. , старший научный сотрудник Сектора предпринимательского и корпоративного права Института государства и права РАН
11:20-11:40
Дорожная карта внедрения МЧД. Предложения бизнес- сообщества и взаимодействие с ОГВ
Юрий Малинин, президент РОСЭУ
11:40-11:50
Готов ли бизнес работать с машиночитаемыми доверенностями? Основные проблемы и открытые вопросы. Елена Ткаченко, координатор Некоммерческого партнерства ECR-Rus (Efficient Consumer Response – Эффективный отклик на запросы потребителей) Электронные документы-эффективная экономика, ZOOM
11:50-12:10
Концепция наполнения классификатора полномочий и возможность автоматизации проверки полномочий
Наталья Никитина, руководитель управления, АО «ПФ «СКБ Контур»
12:10-12:30
Обсуждение
12:30-12:50
Кофе-пауза
12:50-13:20

Сессия 4. PKI: технологии, продукты, проекты, решения
13:20-15:40Ведущие:Дмитрий Горелов, коммерческий директор, компания «Актив»
Александр Поташников, к. , заместитель директора центра разработок по криптографии, ИнфоТеКС 

Сложности работы бизнеса с документами, подписанными открепленной ЭП
Игорь Белоцерковский, генеральный директор, компания «НТСсофт»
13:20-13:40
Защита информационных ресурсов по протоколу TLS c использованием отечественных продуктов 
Сергей Еранов, начальник отдела разработки компонентов инфраструктуры открытых ключей, ИнфоТеКС
13:40-14:00
Миллион сертификатов: как мы выпускаем и мониторим сертификаты для TLS в масштабах банка ВТБ
Константин Леонтьев, Управляющий партнер ООО «Клируэй Текнолоджис»
14:00-14:20
Особенности выполнения требований приказа ФАПСИ №152 в компаниях, использующих значительное количество СКЗИ
Хияс Айдемиров, исполнительный директор, Spacebit
14:20-14:40
Варианты построения отечественной инфраструктуры eSIM: PKI или симметричная криптография?
Сергей Александров, Технический директор ООО “Системы практической безопасности”
14:40-15:00
СКЗИ для мобильной электронной подписи
Тимур Алексеев, коммерческий директор, Sign Me
15:00-15:20
Реализация процессов ЭДО на базе собственной инфраструктуры PKI
Егор Соколов, начальник отдела автоматизированных систем управления Управления информационно-управляющих систем и связи, Gazprom International
Илья Лившиц, д. , Университет ИТМО
15:20-15:40
Трансфер,
Досуговая программа
16:20-20:00

13 сентября (вторник)

Регистрация участников
09:00-10:00

Приветственный фильм к Юбилею PKI-Форум Россия
10:00-10:10

Открытие Форума
10:10-10:15Владимир Матюхин, председатель Программного комитета PKI-Форума, Председатель Экспертного совета АО «НИИАС» Приветствие Официального партнёра PKI-Форума компании «ИнфоТеКС» (Дмитрий Гусев, к. , заместитель генерального директора) 

Ключевая дискуссия
Доверенные электронные услуги: лидеры о будущем в условиях стратегических изменений
10:15-11:45Ведущие:Юрий Малинин, президент Ассоциации РОСЭУ
Алексей Пауков, к. , «ГАРАНТ Электронный Экспресс», Совет Ассоциации РОСЭУУчастники:   Фёдор Новиков, начальник управления ЭДО ФНС России
Дмитрий Тер-Степанов, врио генерального директора, руководитель направления «Эффективное регулирование», АНО «Цифровая экономика»
Михаил Веселов, директор Фонда «Центр инноваций и информационных технологий» Федеральной нотариальной палаты 
Дмитрий Гусев, к. , заместитель генерального директора, ИнфоТеКС

Вручение дипломов победителям в ежегодных номинациях «PKI-Форума» за 2022
11:45-12:00

Кофе-пауза
12:00-12:30

Сессия 1. Год работы УЦ, аккредитованных по новым требованиям
12:30-14:10Ведущие:Алексей Петров, ФСБ России
Александр Баранов, д. , действительный член Академии криптографии Российской Федерации

Обеспечение гарантий корректности и информационной безопасности ключа электронной подписи в крупных УЦ
Александр Баранов, д. , действительный член Академии криптографии Российской Федерации
12:30-12:50
Архитектура единой цифровой платформы УЦ ФНС России и подключение доверенных лиц
Павел Смирнов, к. н, директор по развитию, КриптоПро
12:50-13:10
Информационная система «Удостоверяющий центр Федерального казначейства». Перспективы развития
Вячеслав Бражко, начальник Управления режима секретности и безопасности информации Федерального казначейства
13:10-13:30
Опыт Сбербанка в роли доверенного лица УЦ ФНС
Максим Букин, исполнительный директор Департамента по работе с государственным сектором Блок «Корпоративно-инвестиционный бизнес» ПАО Сбербанк
13:30-13:50
Путь становления банка доверенным лицом УЦ ФНС России
Светлана Дементьева, начальник управления – вице-президент Банка ВТБ, Управление «Государственные услуги и сервисы для бизнеса»
13:50-14:10
Обед
14:10-15:00

Сессия 2. Вопросы стандартизации в области ЭП, PKI, криптографии, ЭДО
15:00-16:40Ведущий:Алексей Сабанов, д. , профессор МГТУ им. Баумана, академик МАС, заместитель генерального директора компании «Алладин Р. » 

Стандартизация OpenID Connect на базе отечественных криптографических алгоритмов
Михаил Грунтович, руководитель обособленного подразделения, ИнфоТеКС
15:00-15:20
О стандартизации в Российской Федерации схемы подписи вслепуюЕвгений Алексеев, Академия криптографии РФ; начальник отдела криптографических исследований, КриптоПро 
Александра Бабуева, инженер-аналитик отдела криптографических исследований, КриптоПро
Лилия Ахметзянова, заместитель начальника отдела криптографических исследований, КриптоПро
15:20-15:40
Незакрытые проблемы развития ЭДО и перспективы их стандартизации
Наталья Храмцовская, к. ведущий эксперт по управлению документацией компании «Электронные Офисные Системы» ZOOM
15:40-16:00
Создание и стандартизация постквантовых криптографических механизмов
Александр Бондаренко, Антон Гуселев, Академия криптографии РФ 
16:00-16:20
Проблемы стандартизации в области PKI и ЭП 
Алексей Сабанов, д. профессор МГТУ им. Баумана, академик МАС, заместитель генерального директора компании «Алладин Р. »
16:20-16:40
Трансфер,
Гала-ужин
17:30-21:00

Так, а что надо на выходе?

А на выходе надо получить готовое решение, которое сделает отсоединенную ЭП в формате. sig со штампом времени на подпись и доказательством подлинности. Для этого зададим следующие критерии:

• ЭП проходит проверку на портале Госуслуг, через сервис для подтверждения подлинности ЭП формата PKCS#7 в электронных документах;
• КриптоАРМ после проверки подписиЗаполнит поле “Время создания ЭП” – в конце проверки появится окно, где можно выбрать ЭП и кратко посмотреть ее свойстваСтобец “Время создация ЭП”В информации о подписи и сертификате (двойной клик по записе в таблице) на вкладке “Штампы времени” в выпадающем списке есть оба значения и по ним заполнена информация:В протоколе проверки подписи есть блоки “Доказательства подлинности”, “Штамп времени на подпись” и “Время подписания”. Для сравнения: если документ подписан просто КЭП, то отчет по проверке будет достаточно коротким в сравнении с УКЭП.
• Заполнит поле “Время создания ЭП” – в конце проверки появится окно, где можно выбрать ЭП и кратко посмотреть ее свойстваСтобец “Время создация ЭП”
• В информации о подписи и сертификате (двойной клик по записе в таблице) на вкладке “Штампы времени” в выпадающем списке есть оба значения и по ним заполнена информация:
• В протоколе проверки подписи есть блоки “Доказательства подлинности”, “Штамп времени на подпись” и “Время подписания”. Для сравнения: если документ подписан просто КЭП, то отчет по проверке будет достаточно коротким в сравнении с УКЭП.
• Контур.Крипто при проверке подписи выдаст сообщение, что совершенствованная подпись подтверждена, сертификат на момент подписания действовал и указано время создания подпись:Усовершенствованная подпись подтверждена

Немного покодим

Потребуется 2 COM библиотеки: “CAPICOM v2. 1 Type Library” и “Crypto-Pro CAdES 1. 0 Type Library”. Они содержат необходимые объекты для создания УКЭП.

В этом примере будет подписываться BASE64 строка, содержащая в себе PDF-файл. Немного доработав код можно будет подписать hash-значение этого фала.

Основной код для подписания был взят со страниц Подпись PDF с помощью УЭЦП- Page 2 (cryptopro. ru) и Подпись НЕОПРЕДЕЛЕНА при создании УЭЦП для PDF на c# (cryptopro. ru), но он использовался для штампа подписи на PDF документ. Код из этого гайда переделан под сохранение файла подписи в отдельный файл.

Условно процесс можно поделить на 4 этапа:

• Поиск сертификата в хранилище – я использовал поиск по отпечатку в хранилище пользователя;
• Чтение байтов подписанного файла;
• Сохранение файла подписи рядом с файлом.

Пробный запуск

Для подписания возьмем PDF-документ, который содержит надпись “Тестовое заявление

Больше для теста нам ничего не надо

Далее запустим программу и дождемся подписания файла:

Готово. Теперь можно приступать к проверкам.

Проверка в КриптоАРМ

Время создания ЭП заполнено:

Штамп времени на подпись есть:

Доказательства подлинности также заполнены:

В протоколе проверки есть блоки “Доказательства подлинности”, “Штамп времени на подпись” и “Время подписания”:

Проверка на Госуслугах

Проверка в Контур. Крипто

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Спецификация-
ПлатформыСемейство Windows, GNULinux, OS X. На базе СПО iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦППодпись WEB-форм при прохождении траффика
WEB API
Механизмы аутентификацииклиентская аутентификация в рамках TLS
Механизмы “гостирования” TLSЧерез механизм проксирования
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузеромЧерез механизм проксирования
Мобильные платформыiiOS, Android на базе СПО sTunnel
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, PC/SC, APDU
ПриложенияБраузеры
WEB-сервера
RDP
Почтовые клиенты и сервера
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование, запуск
Запуск с FLASH-памяти USB-токена

Примеры (ГОСТ)МагПро КриптоТуннель
Inter-PRO
VPNKey-TLS
LirTunnel
КриптоПро sTunnel
sTunnel

• прокси должен быть запущен;
• приложение должно работать через прокси, нужно «научить» его этому;
• могут использоваться нестандартные порты, отсюда проблемы в файрволом
• дополнительные ограничения на разработку web-сайта — в ряде случаев использование только относительных ссылок, чтобы не «вылететь» из туннеля
• прокси сконфигурирован на проксирование конечной группы сайтов, расширение группы — это обновление клиентского конфига
• работа через внешний прокси требует дополнительного конфигурирования локального прокси, при этом могут быть проблемы с аутентификацией пользователя на внешнем прокси

• решение использует универсальную технологию, поэтому можно не бояться его устаревания;
• решение может применяться на большом числе платформ, в том числе на мобильных платформах;
• кроссбраузерность, поддержка всех WEB-серверов без модификации;
• не требует инсталляции;
• поддержка различных прикладных протоколов.

ЭП стала необходимостью

Сегодня электронная подпись может потребоваться даже самозанятому. Например, чтобы получить расширенный доступ к порталу Gosuslugi. ru и обратиться за нужной услугой. Вести бизнес без ЭП не получится, потому что:

• большую часть отчетов ФНС принимает только в электронном виде;
• она нужна для работы на электронных торговых площадках (ЭТП);
• без нее невозможно удаленно поставить кассу на учет в ФНС России и сделать многое другое.

С 1 января 2022 электронные подписи для руководителей компаний, ИП и нотариусов выдаются только удостоверяющим центром (УЦ) налоговой службы и его доверенными лицами: ПАО «Сбербанк России», Банк ВТБ, АО «Аналитический центр».

Список доверенных лиц УЦ ФНС России актуален на момент публикации и может измениться.

Банки, кредитные организации и операторы платежных систем получают ЭП в УЦ Центробанка России, а чиновники  — в УЦ Федерального казначейства. Физические лица и уполномоченные сотрудники компаний могут по-прежнему оформить электронную подпись в коммерческих УЦ, аккредитованных Минцифры по новым правилам.

Обратитесь к нам. Мы выпустим электронную подпись на уполномоченного сотрудника компании или физлицо за 1 день!

Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8. 1, Windows 10

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Как выглядит ЭП

На распечатанном бумажном документе ЭП не отображается. Внешний вид электронной подписи, присоединенной к файлу, зависит от способа защиты. Это может быть:

• Комбинация из букв и/или цифр.
• Графическая картинка — обыкновенный штамп, содержащий печать и подпись.
• Невидимая ЭП — обеспечивает документу максимальный уровень защиты, часто применяется в продуктах MS Office (в строке «Состояние» внизу экрана появляется специальный значок).

Третье лицо не может отредактировать файл, подписанный электронной подписью. Сертификат, ключи проверки и генерации записываются на защищенный носитель, напоминающий флешку. Это USB-токен с картой памяти, которая защищена паролем. В России применяются такие виды токенов:

• Рутокен;
• eToken;
• JaCarta;
• ESMART Token;
• R301 Форос.

Для получения электронной подписи в УЦ налоговой службы необходимо иметь при себе защищенный носитель, но ведомство принимает не все подряд устройства — только сертифицированные ФСТЭК. Среди них Рутокен ЭЦП 2. 0/S/Lite, JaCarta ГОСТ/2 ГОСТ. Кстати, сертификат на устройство тоже нужно взять с собой.

Так может выглядеть электронная подпись:

UPD1: Поменял в коде переменную, куда записываются байты файла подписи.

Также я забыл написать немного про подпись штампа времени – он подписывается сертификатом владельца TSP-сервиса. По гайду это ООО “КРИПТО-ПРО”:

UPD2: Про библиотеки CAdESCOM и CAPICOM

Если создать пустой проект на. NET Core 3. 1, подключив непропатченные библиотеки, то при обращении к закрытому ключу выпадет исключение “System. NotSupportedException” c сообщением “The certificate key algorithm is not supported

NET Core 3. 1 – Исключение без пропатченных библиотек

Но при использовании пропатченных библиотек это исключение не выпадает и с приватным ключем можно взаимодействовать:

Также код из гайда работает с. NET Framework 4. 8 без использования пропатченных библиотек, но вместо обращения к пространству имен “System. Security. Cryptography”, которое подменяется пропатченными библиотеками для. NET Core, CSP Gost3410_2012_256CryptoServiceProvider будет использован из пространства имен “CryptoPro. Sharpei”:

Инструкция по установке КриптоПро 4

Запустите установочный файл CSPSetup_4. xxxx. exe

В первом появившемся окне нажмите кнопку «Запустить».

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

Нажимаем «Далее».

Принимаем условия лицензионного соглашения, нажимаем «Далее».

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

Выбираем обычную установку. Нажимаем «Далее».

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

Ждем пока программа установится.

Дальше остается нажать «Готово». КриптоПро установлено.

ЭП для торгов

Коммерческие и государственные заказчики выполняют в электронном виде примерно половину закупок (товаров, работ, услуг). На аукционах удаленно продают имущество обанкротившихся предприятий. Для торгов, которые проводятся на ЭТП, нужна усиленная квалифицированная электронная подпись (см. ФЗ № 44 от 05. 2013, ФЗ № 127 от 26. 2002 и ФЗ № 223 от 18. 2011). Подойдет любая УКЭП: выданная руководителю компании, предпринимателю или физлицу, в том числе уполномоченному сотруднику.

Принять участие в торгах можно из любой точки РФ. Достаточно иметь сертификат ЭП и возможность выхода в интернет.

Что имеем на входе?

• КриптоПро CSP версии 5.0 – для поддержки Российских криптографических алгоритмов (подписи, которые выпустили в аккредитованном УЦ в РФ)
• КриптоПро TSP Client 2.0 – нужен для штампа времени
• КриптоПро OCSP Client 2.0 – проверит не отозван ли сертификат на момент подписания
• КриптоПро .NET Client – таков путь
• Любой сервис по проверке ЭП – я использовал Контур.Крипто как основной сервис для проверки ЭП и КриптоАРМ как локальный. А еще можно проверить ЭП на сайте Госуслуг
• КЭП по ГОСТ Р 34.11-2012/34.10-2012 256 bit, которую выпустил любой удостоверяющий центр

• КриптоПро CSP версии 5.0 – у меня установлена версия 5.0.11944 КС1, лицензия встроена в ЭП.
• КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0 – лицензии покупается отдельно, а для гайда мне хватило демонстрационного срока.
• КриптоПро .NET Client версии 1.0.7132.2 – в рамках этого гайда я использовал демонстрационную версию клиентской части и все действия выполнялись локально. Лицензию на сервер нужно покупать отдельно.
• Контур.Крипто бесплатен, но требует регистрации. В нем также можно подписать документы КЭП, УКЭП и проверить созданную подпись загрузив ее файлы.

Ключ ЭП

Ключи электронной подписи — это символьные последовательности. Каждая из них уникальна. Один ключ — открытый или публичный, доступный всем участникам электронного обмена — используется для проверки ЭП. Другой — закрытый, который известен только владельцу подписи — для генерации.

Что можно сделать с помощью ЭП

Каждый год область применения электронной подписи расширяется. Она выполняет значимую функцию во внутреннем и внешнем документообороте. ЭП используется:

• для подписания электронных документов;
• работы в системе «Честный ЗНАК»;
• удаленного получения государственных услуг;
• подачи заявок и участия в торгах на ЭТП;
• заверки документов при обращениях в суд;
• ведения и сдачи электронной отчетности в ФНС и другие надзорные органы.

Заверять документы ЭП могут не только ИП и руководители компаний, но и физические лица, в том числе уполномоченные сотрудники.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.

• Отсутствие нормальной кроссплатформенности;
• Установка с правами администратора, настройка;
• Установка обновления Windows может потребовать обновления провайдера;
• Необходимость встраивания в приложения посредством модификации кода «на лету»;
• CSP — неродной интерфейс для не-Windows-приложений.

• Широкий охват Windows-приложений;
• Богатый инструментарий для разработчиков защищенных систем;
• Апробированная на большом количестве проектов технология.

Нативные библиотеки

Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.

После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.

СпецификацияOpenSSL API — один из де-факто стандартов для СПО
ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦПНативный программный интерфейс, Си-style;
Механизмы аутентификацииклиентская аутентификация в рамках TLS
собственные механизмы на базе ЭЦП случайных данных
Механизмы “гостирования” TLSTLS с российской криптографией поддержан в библиотеке (в случае использования OpenSSL в качестве браузерного криптодвижка)
TLS-прокси на базе OpenSSL (например, sTunnel)

Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (при использовании с библиотекой www. aleksey. com/xmlsec, в том числе ГОСТ), S/MIME
Интеграция с браузеромЧерез TLS-прокси
Через проприетарные плагины
В Chromium OpenSSL один из возможных криптодвижков
Интеграция со службой каталоговOpenLDAP
Мобильные платформыiOS, Android
Команднострочная утилитаЕсть
Хранилища ключейФайлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11
ПриложенияOpenVPN, Apache, sTunnel, Nginx, Postgre SQL, postfix, dovecot
Проприетарные приложения
Интеграция с фреймворкамиOpenSSL интегрирован в большое количество фреймворков (PHP, Python,. NET и др. ), но ГОСТа нет. Требуется выпускать патчи к фреймворкам
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование
Запуск использующих rкриптосредства приложений с FLASH-памяти USB-токена
Примеры (ГОСТ)МагПро КриптоПакет
ЛирССЛ
OpenSSL (несерт. )
OpenSSL + engine PKCS11_GOST + Рутокен ЭЦП

• OpenSSL и его аналоги не поддерживается приложениями Microsoft;
• Необходимость патчить СПО, которое поддерживает OpenSSL, для включения ГОСТов.

• Кроссплатформенность;
• Использование в огромном количестве проектов, открытые исходники большей части проекта — выявление и устранение уязвимостей (как пример, недавнее выявление heartbleed);
• Распространяется копированием — можно делать приложения, не требующие инсталляции;
• Широкий охват приложений СПО, на базе которых можно делать защищенные сертифицированные продукты;
• Широкая интеграция в фреймворки, но при этом проблемы с ГОСТами.

PKCS#11

Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.

Функции делятся на:

• Функции доступа к устройству;
• Функции записи/чтения произвольных данных;
• Функции работы с ключами (поиск, создание, удаление, импорт, экспорт);
• Функции работы с сертификатами (поиск, импорт, экспорт);
• Функции ЭЦП;
• Функции хэширования;
• Функции шифрования;
• Функции вычисления имитовставки;
• Функции выработки ключа согласования (Диффи-Хeллман);
• Функции экспорта/импорта сессионного ключа;

Таким образом, стандарт PKCS#11 поддерживает полный набор криптопримитивов, пригодный для реализации криптографических форматов (PKCS#7/CMS/CADES, PKCS#10, X. 509 и др. ) и протоколов (TLS, IPSEC, openvpn и др.

Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.

В стандарте PKCS#11, начиная с версии 2. 30, поддерживаются ГОСТ Р 34. 10-2001, ГОСТ Р 34. 11-94, ГОСТ 28147-89.

Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.

Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.

PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.

Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.

У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:

Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.

NSS

NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.

В данный момент существуют два проекта по «гостификации» NSS:

• Компания Лисси периодически публикует на своем сайте доступные для скачивания актуальные версии Mozilla Firefox и Mozilla Thunderbird, пересобранные с поддержкой российской криптографии. Кроме того, существует ряд продуктов этой компании, построенный на базе модифицированной библиотеки NSS — высокоуровневая библиотека NSSCryptoWrapper, плагин LCSignPlugin, десктопное приложение для ЭЦП под Android SignMaker-A.
  Следует отметить, что модифицированный специалистами этой компании NSS позволяет использовать как программные PKCS#11-токены, так и аппаратные (Рутокен ЭЦП, eToken ГОСТ, JaCarta ГОСТ, MS_KEY).
• Atoken — это open source проект компании R-Альфа. В рамках проекта создан программный PKCS#11-токен с российской криптографией и выложены патчи для определенной версии NSS и компонента Security Manаger, позволяющие использовать в продуктах Mozilla россиийскую криптографию (TLS, ЭЦП, PKI). Кроме того R-Альфа предлагает реализацию программного PKCS#11-токена с поддержкой сертифицированной библиотеки Агава-С под названием Агава-Про.

Библиотеки c собственным интерфейсом

Проприетарные библиотеки предоставляют собственный API для встраивания в приложения. В данный список можно внести:

• Агава-С
• Крипто-C
• Крипто-КОМ

15 сентября (четверг)

Сессия 5. Острые аспекты обеспечения PKI в 2022 году, проблемы, поиск путей решения
09:30-11:10Ведущие:Евгений Лахаткин, дирекция «Цифровые решение для государственного сектора», ПАО Сбербанк
Алексей Пауков, к. , «ГАРАНТ Электронный Экспресс», Совет Ассоциации РОСЭУ

Удаленная идентификация в коммерческих УЦ – проблемы, кейсы, опыт
Дмитрий Кольцов, ведущий руководитель продуктов, Астрал-Софт (ГК «Астрал)
09:30-09:50
«Ты узнаешь ее из тысячи» (обзор способов идентификации, их пользы и проблем)
Никита Вылегжанин, руководитель департамента развития услуг и продуктов АО «Инфотекс Интернет Траст»
09:50-10:10
Новое и актуальное в нотариате
Михаил Веселов, директор Фонда «Центр инноваций и информационных технологий» Федеральной нотариальной палаты
10:10-10:30
Особенности проверки цепочки сертификатов в соответствии с требованиями руководящих документов
Екатерина Ермина, ведущий инженер, Газинформсервис
10:30-10:50
Использование средств ЭП класса КВ2 доверенными лицами УЦ ФНС России: взгляд вендора на реализацию требований 171 приказа
Римма Бадмаева, ведущий менеджер продуктов, ИнфоТеКС
10:50-11:10
Cдача номеров (перерыв)
11:10-11:40

Применение российских программно-аппаратных криптографических модулей (HSM) при обеспечении безопасности платежных систем
Владимир Простов, советник, КриптоПро
11:40:12:00
Безопасный интернет в современных реалиях: Национальный удостоверяющий центр (НУЦ), сертификаты безопасности, обеспечение доверия
Андрей Пьянченко, заместитель директора, НИИ «ВОСХОД»
12:00-12:20
Как обеспечить защищенный доступ к веб-сайтам и корпоративным ресурсам в условиях санкций и ухода с российского рынка иностранных ИБ-производителей 
Павел Луцик, директор по развитию бизнеса и работе с партнерами, КриптоПро
12:20-12:40
Обед
12:40-13:30
Сессия 6. Трансграничное пространство доверия электронной подписи
13:30-15:10Ведущие:Алла Крыжановская, к. , эксперт межпарламентской ассамблеи СНГ и Регионального содружества в области связи, арбитр Арбитражного центра при АНО НИРА ТЭК
Сергей Кирюшкин, к. , советник генерального директора – начальник удостоверяющего центра ООО «Газинформсервис», заместитель председателя программного комитета «PKI-Форум 2022»

Экономика безбумажной торговли
Анна Рыбалко, к. , руководитель проекта, СберКорус
13:30-13:50
Международные договоры и другие способы установления правовых основ взаимного признания электронной подписи: теория и мировая практика
Александр Плахов, директор Правового блока ВЭБ. РФ
13:50-14:10
Договоры между операторами ДТС как основа доверия сервису проверки трансграничной электронной подписи
Дмитрий Москалев, заместитель начальника Национального центра электронных услуг Республики Беларусь
14:10-14:30
Эквивалентный уровень надежности электронной подписи при трансграничном взаимном признании
Станислав Кутузов, представитель Оперативно-аналитического центра при Президенте Республики Беларусь 
14:30-14:50
Истории из жизни операторов трансграничного доверия электронной подписи
Александр Малахов, руководитель группы технического развития ООО «УЦ ГИС»
14:50-15:10
Кофе-пауза
15:10-15:40

Сессия 7. Электронные архивы и законодательство
15:40-16:40Ведущие:Нина Соловяненко, к. , старший научный сотрудник Сектора предпринимательского и корпоративного права Института государства и права РАН
Наталья Никитина, руководитель управления, АО «ПФ «СКБ Контур»

Практика и основные тенденции создания и использования электронных архивов
Наталья Храмцовская, к. , ведущий эксперт по управлению документацией компании «Электронные Офисные Системы» ZOOM
15:40-16:00
Законопроект об электронном архиве: текущее состояние, проблематика и перспективы
Дмитрий Соболев, заместитель директора по экспериментальным правовым режимам, направление «Эффективное регулирование», АНО «Цифровая экономика» ZOOM
16:00-16:20
Архивное хранение документов с ЭП, или почему пользователям не нужны 5-ти летние сертификаты
Александра Жильцова, ведущий инженер ООО «Газинформсервис»
16:20-16:40
Подведение итогов PKI-Форум Россия 2022
16:40-17:00

ЭП для физических лиц

Это удобный инструмент электронного взаимодействия с вузами, работодателями, госструктурами и даже другими физлицами. Так, с помощью электронной подписи можно оформить частную сделку купли-продажи недвижимости или автомобиля. И также человек может:

• подавать декларацию 3-НДФЛ на сайте ФНС;
• регистрировать юридическое лицо или статус предпринимателя;
• дистанционно получить услугу через сайт gosuslugi.ru;
• отправлять электронные документы при поступлении в вуз или аспирантуру;
• подписывать трудовой договор;
• оформлять кредит онлайн и другое.

УКЭП для уполномоченного сотрудника выпускается с 1 марта 2022 и также выдается на физлицо. Суть ее изменилась: в сертификате ключа проверки теперь указывается только Ф. владельца, а информация о работодателе — нет. Такую подпись можно использовать как в личных, так и в корпоративных целях. Во втором случае необходимо получить машиночитаемую доверенность (МЧД), в свою очередь, заверенную электронной подписью руководителя компании. МЧД также можно оформлять с 1 марта 2022 — по желанию. А вот с 1 января 2023 она станет обязательной.

Виды ЭП

Электронная подпись бывает простой и усиленной. Первая — это:

• банковские коды подтверждения, которые приходят в SMS;
• созданные в различных программах и на веб-сервисах знаки, логотипы, фрагменты текста, которые добавляются, например, к электронным письмам.

Усиленная ЭП формируется с помощью средств криптографической защиты информации (СКЗИ). То есть обязательно применяются современные алгоритмы шифрования данных.

Всем известный криптопровайдер КриптоПро CSP — это СКЗИ.

Усиленная ЭП может быть 2 видов:

• неквалифицированная (УНЭП);
• квалифицированная (УКЭП).

При формировании УНЭП используется криптопровайдер, а данные шифруются. С помощью неквалифицированной электронной подписи можно подтвердить авторство составителя документа и обнаружить изменения в файле, если таковые имели место, после его подписания.

В отличие от УНЭП, УКЭП подтверждается сертификатом выдавшего ее удостоверяющего центра. Этот документ содержит ключ ее проверки. Файлы, заверенные УКЭП, обладают юридической значимостью:

• используются в межкорпоративном ЭДО и на ЭТП;
• принимаются всеми надзорными и исполнительными органами, включая суды.

Сертификат УКЭП содержит такие данные:

• уникальный номер и срок действия;
• Ф. И. О. физлица/ИП или ОГРН компании;
• ИНН или СНИЛС (в зависимости от организационной формы собственности);
• ключ проверки;
• данные удостоверяющего центра, который выпустил электронную подпись, и другие.

В таблице наглядно представлены различия между ЭП разных видов

Вид ЭППорядок формированияСферы использованияПростаяСоздается с помощью различных программ и веб-сервисов, в том числе и самостоятельноПрименяется внутри предприятия, на интернет-сайтах, в онлайн-банкингеУНЭПВыпускается любым человеком и/или компанией, которые обладают для этого достаточным техническим ресурсом. Аккредитация в Минцифры не нужнаМожет использоваться в межкорпоративном ЭДО по договору между всеми участниками. Не признается надзорными органами и судами, больше не принимается на ЭТПУКЭПВыдается только УЦ ФНС (и его доверенными лицами), Федерального Казначейства, Центробанка России и другими, аккредитованными Минцифры по новым правиламПризнается всеми инстанциями, используется в межкорпоративном ЭДО и на ЭТП. Имеет наивысшую степень защиты

Поможем оформить ЭП на руководителя компании или ИП. Оставьте заявку и получите консультацию!

Оставьте заявку и получите консультацию в течение 5 минут.

ГОСТ ЭП

С 1 января 2019 действует новый ГОСТ Р 34. 11-2012/34. 10-2012, или просто ГОСТ-2012. Что это означает для бизнеса? Производители ЭП, аккредитованные удостоверяющие центры, ЭТП и онлайн-сервисы российских ведомств перешли на новые алгоритмы шифрования. Они обязаны формировать, принимать и обрабатывать документы, подписанные электронными подписями, сгенерированными по новому стандарту.

В течение 2019 допускалось использование ЭП по ГОСТу 2001 (Р 34. 10-2001). Предприниматели и компании могли выбирать, какую электронную подпись применять — по ГОСТу 2001 или 2012. В 2020 завершился переход на применение ЭП, генерируемых по новому стандарту, — действие старого закончилось 31. 2019.

Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455

Гайд написан с исследовательской целью – проверить возможность подписания документов УКЭП с помощью самописного сервиса на. NET Core 3. 1 с формированием штампов подлинности и времени подписания документов.

Безусловно это решение не стоит брать в работу “как есть” и нужны некоторые доработки, но в целом оно работает и подписывает документы подписью УКЭП.

Браузерные плагины

Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.

Кроссбраузерные плагины

Спецификация-
ПлатформыСемейство Windows, GNULinux, OS X
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP (КриптоПро ЭЦП Browser plugin), TSP (КриптоПро ЭЦП Browser plugin)
Механизмы ЭЦППрограммный интерфейс для использования в JavaScript

Механизмы аутентификацииЭЦП случайных данных
Механизмы “гостирования” TLS-
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (КриптоПро ЭЦП Browser plugin), CADES (КриптоПро ЭЦП Browser plugin)
Интеграция с браузеромActiveX (для IE)
NPAPI

Мобильные платформыне поддерживаются
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, через CryptoAPI

ПриложенияБраузеры
ИнсталляцияПрограмма установки, не требуются права системного администратора
Примеры (ГОСТ)КриптоПро ЭЦП Browser plugin
eSign-PRO
КриптоПлагин Лисси
Плагин портала госуслуг
JC-WebClient
Рутокен Плагин
Плагин BSS
КриптоАРМ Browser plugin

• отсутствие TLS
• удаление NPAPI из Chromium
• браузеры на мобильных платформах не поддерживают плагины
• настройки безопасности IE могут блокировать исполнение плагина

• кроссбраузерность
• плагины на базе PKCS#11 не требуют установки СКЗИ
• прозрачное использование для пользователя

ActiveX

Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер. Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.

В следующих статьях будут подробно рассмотрены оставшиеся решения.

ЭП для юридических лиц

ЭП для юридических лиц содержит данные о компании. Она позволяет организациям:

• вести межкорпоративный ЭДО;
• работать в «Честном ЗНАКе»;
• сдавать электронную отчетность в ФНС и надзорные органы;
• участвовать в торгах на ЭТП и другое.

С 1 января 2022 ЭП для юридических лиц выдается исключительно на руководителя компании и только удостоверяющим центром налоговой службы и его доверенными лицами.

Читайте полезные материалы по теме:

Что такое ЭДО и как на него перейти

Как и где получить электронную подпись уполномоченного лица

Быстро настроим Рутокен для работы с электронной подписью!

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Криптографические решения. От криптопровайдеров до браузерных плагинов

Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.

В данном материале сделана попытка классифицировать средства криптографической защиты информации.

• Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
• Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
• Отдельно выделены аппаратные криптографические устройства.

Классификация построена на основе:

• технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
• интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.

Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах

Общая схема классификации приведена в таблице:

КриптопровайдерыНативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы)Локальные проксиБраузерные плагиныОблачная подписьБраузеры с российской криптографией
Почтовые клиенты с российской криптографиейРоссийская криптография в фреймворках, платформах, интерпретаторахНастольные криптографические приложенияКриптография в BIOS UEFIСервис-провайдеры ЭЦПЭмуляторы доверенной среды
Аппаратные средства

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.