В наличии. На официальном сайте компании вы можете приобрести лицензию КриптоПро со скидкой, воспользовавшись каталогом Softline

Программно-аппаратное решение «КриптоПро Рутокен» объединяет в себе возможности российского криптопровайдера «КриптоПро» и USB-токена «Рутокен КП». «КриптоПро Рутокен» использует криптографические возможности  «Рутокен КП» для генерации ключевых пар, выработки ключей согласования, осуществления электронной подписи и т. В продукте реализована уникальная технология ФКН, которая защищает от атак протокол обмена между программной частью и криптографическим токеном, а также обеспечивает дополнительную безопасность закрытых ключей. Срок действия закрытого ключа пользователя до 3-х лет. «КриптоПро Рутокен» имеет сертификат ФСБ о соответствии требованиям, предъявляемым к средствам электронной подписи и к средствам криптографической защиты информации по классам КС1 и КС2.

В «КриптоПро Рутокен» криптографические операции на закрытых ключах выполняются внутри токена, при этом ключи не покидают само устройство. Выполнение этих операций на борту токена обеспечивает максимально высокую степень сохранности ключевой информации. Решение «КриптоПро Рутокен»  является преемником СКЗИ «КриптоПро» и поддерживает все его возможности. Также оно полностью интегрируется в инфраструктуру открытых ключей, базирующуюся на удостоверяющем центре «КриптоПро УЦ».

basid
Оставлено
:
25 февраля 2022 г. 16:08:36(UTC)

Цитата:КриптоПро CSP 5. 0 R2Сертифицированная версия КриптоПро CSP 5. 12000 (Kraken) от 24. 2020. Сертификаты соответствия:1-Base: СФ/114-4064 от 20. 2021 до 01. 20242-Base: СФ/124-4065 от 20. 2021 до 01. 20243-Base: СФ/124-4066 от 20. 2021 до 01. 2024Внимание:Это последняя сборка, которая неофициально работает на Windows XPИзменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5. 0 (начинаются на 50). От КриптоПро CSP 4. 0 подходят только временные лицензии с датой окончания. TLS-сервер на *nix теперь требует особую лицензию.

#1 2022-01-18 17

Сегодня получила сертификат ЭЦП в налоговой, в ЛК налоговой зашла с применением ЭЦП, но без КриптоПро CSP, теперь нужно настроить сертификат в Диадок, там без КриптоПро CSP не получается. КриптоПро CSP не видит сертификат через Просмотреть сертификаты в контейнере, через Мастер установки личного сертификата тоже не получается. В чем может быть проблема?

#2 Ответ от Ксения Шаврова 2022-01-18 20

Здравствуйте, Анна.

Это ключи формата PKCS#11. Работа с таким типом ключей возможна в КриптоПро CSP начиная с версии 5. 0 R2. Скорее всего, у вас установлена более ранняя версия. Проверьте, пожалуйста, и обновите при необходимости. На данный программный продукт потребуется лицензия, начинающаяся на 5050.

#3 Ответ от Анна Ш. 2022-01-19 02

Да, действительно стояла 4 версия, скачала демоверсию 5, сертификат программа видит, спасибо!Но возникла другая проблема, Диадок требует ввести номер лицензии, нашла его, ввела, но Диадок пишет, что лицензия истекла 25. 2021 г. Где можно взять актуальный номер лицензии для демоверсии?

#4 Ответ от Ксения Шаврова 2022-01-19 11

По этому вопросу вам нужно обратиться в компанию СКБ Контур. Для работы с таким типом сертификата нужно приобрести лицензию на программу КриптоПро 5. 0 R2.

#5 Ответ от Анна Ш. 2022-01-19 11

Приобрести лицензию это понятно, но на вашем сайте написано, что в электронном виде лицензии не предоставляются, а ЭЦП нужно срочно, хотела пока воспользоваться бесплатным 90 дневным периодом демоверсии. Как можно это сделать, если лицензия демоверсии истекла 25. 2021 г. , хотя я ее скачала и установила только сегодня?

#6 Ответ от Ксения Шаврова 2022-01-19 12

Анна, Компания Актив не занимается продажей лицензий КриптоПро CSP. Именно поэтому я прошу вас обратиться в компанию СКБ Контур или в любую другую компанию или интернет магазин, кто эти лицензии продает, специалисты которых смогут вас проконсультировать.

Лицензия истекла, потому что она плюсуется с предыдущей версией, которая была установлена на ваш компьютер – КриптоПро CSP 4. Как обходной вариант, могу предложить только установить на чистый компьютер, если такой имеется, где никогда не была установлена программа КриптоПро CSP.

Раскрыть предложения
Скрыть предложения

Если вам требуется лицензия КриптоПро по доступной стоимости – вы можете приобрести ее у нас в СофтМагазине. Наша компания – крупнейший интернет-магазин лицензионного программного обеспечения в России. Мы являемся сертифицированными партнерами ведущих мировых брендов. На нашем сайте осуществляется продажа актуальных программ КриптоПро разных версий и с разным сроком действия лицензии (1 год или бессрочно).

Лицензии КриптоПро

Российская компания «КриптоПро» – известный разработчик криптографических утилит, обеспечивающих защиту конфиденциальной информации. Флагманская разработка вендора – криптопровайдер, сертифицированный ФСБ: КриптоПро купить целесообразно для генерации ЭЦП, а также для работы с сертификатами. Данное решение используется в программах интернет-банкинга, в софте для сдачи отчетности в налоговую, в УЭК.

Компания была создана в 2002 г. Помимо разработки софта в сфере криптографической защиты данных, вендор активно развивает инфраструктуру Public Key с использованием не только отечественных разработок, но и международного опыта.

Программа СКЗИ КриптоПро CSP адаптирована под широкий перечень платформ: Windows, Linux, MacOS, iOS, Android, Solaris и др. ПО является лицензионным, вендор выдал около 4 миллионов лицензий на криптопровайдеры и более 800 корпоративных лицензий, позволяющих использовать удостоверяющий центр компании. Среди клиентов разработчика – Правительство РФ, крупные банковские учреждения, Государственный таможенный комитет.

Программные продукты CryptoPro

«КриптоПро» разрабатывает программные и программно-аппаратные решения в области защиты информации (конфиденциальность секретных данных, защита авторского права, целостность контента). При этом используются технологии шифрования и ЭЦП. Программно-аппаратные решения вендора представляют собой USB-токены и смарт-карты.

Флагманские приложения компании:

• CryptoPro CSP – криптопровайдер последнего поколения;
• CryptoPro IPsec – программный комплекс, обеспечивающий аутентификацию участников сетевого общения;
• CryptoPro AirKey – утилита для смартфонов, служащая для работы с ключами (сертификатами), а также для их хранения;
• КриптоАРМ – программное средство для шифровки и дешифровки информации, генерирования ЭЦП (электронной цифровой подписи), работы с сертификатами.

Основные пользователи продуктов «Крипто-Про» – системные интеграторы и корпоративные клиенты.

Покупать продукты CryptoPro в Softmagazin – просто и выгодно!

Наша компания является авторизованным партнером CryptoPro и продает оригинальные решения от производителя. На выбор предлагается различный софт для защиты корпоративных систем (одна лицензия активируется на одно рабочее место).

Преимущества покупки приложений CryptoPro в СофтМагазине:

• Работаем на IT-рынке России более 20 лет.
• Предлагаем лицензированный софт по доступным ценам.
• Оказываем профессиональные консультации по любым вопросам.

Покупка выбранного решения происходит предельно просто. Вам лишь нужно добавить нужную программу в корзину и заполнить стандартную заявку на сайте. Также можно оформить заказ в телефонном режиме (связавшись с нами в рабочее время).

от 2208 руб.

от 2237 руб.

от 300 руб.

от 2711 руб.

от 1728 руб.

от 294 руб.

от 2365 руб.

от 1500 руб.

от 7528 руб.

от 4786 руб.

от 1912 руб.

от 1675 руб.

Российская компания «Актив», созданная в 1994 г. , – разработчик программного обеспечения в сфере информационной защиты. У компании два основных направления деятельности: производство аппаратных ключей (Rutoken) и разработка решений в сфере защиты ПО от пиратства (Guardant).

Линейка программно-аппаратных решений «Рутокен» обеспечивает безопасное использование и хранение криптографических ключей, паролей, электронных цифровых подписей и сертификатов. Аппаратный продукт – это средство аутентификации в виде токена с USB. Решение может использоваться как самостоятельно, так и в качестве компонента системы информационной безопасности, реализованной на основе разработок компании «Актив».

Основные области использования программно-аппаратных решений Rutoken: информационные системы госорганов, электронные торги, электронный банкинг, цифровой документооборот компаний, организаций и учреждений.

В устройствах «Рутокен» используются криптографические алгоритмы. Ключи не выходят за пределы токена, что максимизирует уровень информационной безопасности компании. Решения Rutoken сертифицированы ФСТЭК и ФСБ, что позволяет применять их в информационных системах, работающих с конфиденциальными данными.

Программные и аппаратные решения компании «Актив»:

• «Рутокен» – аппаратное средство аутентификации в виде USB-брелока, предназначенное для шифрования и безопасного хранения паролей, ЭЦП, цифровых сертификатов, криптографических ключей;
• «Рутокен ЭЦП» – средство защиты данных путем шифрования и криптографической защиты посредством алгоритмов ЭЦП;
• «Рутокен ЭЦП Flash» – аппаратный ключ: USB-токен с дополнительной функцией накопителя (имеет flash-память);
• «Рутокен RF» – аппаратный ключ в виде USB-брелока, имеющего радиочастотную метку и соответствующего ГОСТ 28147-89;
• «Рутокен ЭЦП RF» – аппаратный ключ, объединяющий в себе электронную цифровую подпись и радиочастотную метку;
• «Рутокен» сертифицированный ФСТЭК» – аппаратное средство аутентификации в виде USB-токена, предназначенное для зашифрованного хранения ЭЦП, паролей, ключей и цифровых сертификатов, одобренное Федеральной службой России по техническому и экспортному контролю;
• «Рутокен» для Windows: стартовый комплект» – программный комплекс, благодаря которому существенно сокращается время на внедрение технологии аппаратной авторизации и безопасного электронного обмена сообщениями в среде Windows;
• «КриптоТри» – комплексное решение, объединившее три программы («КриптоАРМ», «КриптоПро CSP» и «Рутокен»), позволяющие создать рабочие станции с полностью защищенным документооборотом.

Криптографические решения. От криптопровайдеров до браузерных плагинов

Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.

В данном материале сделана попытка классифицировать средства криптографической защиты информации.

• Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
• Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
• Отдельно выделены аппаратные криптографические устройства.

Классификация построена на основе:

• технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
• интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.

Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах

Общая схема классификации приведена в таблице:

КриптопровайдерыНативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы)Локальные проксиБраузерные плагиныОблачная подписьБраузеры с российской криптографией
Почтовые клиенты с российской криптографиейРоссийская криптография в фреймворках, платформах, интерпретаторахНастольные криптографические приложенияКриптография в BIOS UEFIСервис-провайдеры ЭЦПЭмуляторы доверенной среды
Аппаратные средства

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.

Облачная подпись

Концепция облачной подпись предполагает хранение закрытого ключа и выполнение процедуры подписи/шифрования данных непосредственно на сервере. Для безопасного применения облачной подписи требуется решить задачу строгой аутентификации клиента при доступе к его закрытому ключу и задачу надежного хранения закрытого ключа на сервере. Примером подобного решения может служить КриптоПро DSS, который в качестве одного из вариантов аутентификации поддерживает Рутокен WEB (строгая двухфакторная аутентификация), а для хранения закрытого ключа использует HSM.

• строгая аутентификация в сервисе
• гарантии защиты закрытого ключа от НСД

• кроссплатформенность, кроссбраузерность
• удобство для конечного пользователя — вообще ничего не надо устанавливать и настраивать
• удобная интеграция в информационные системы (WEB API)

Отдельные браузеры с российской криптографией

Браузеры, созданные на базе open source проектов Mozilla FireFox и Chromium, используют в качестве криптоядра NSS или OpenSSL. OpenSSL поддерживает российские криптоалгоритмы. Для NSS также существуют разработки, которые обеспечивают поддержку российских криптоалгоритмов. Некоторое время назад на рынке появились полнофункциональные браузеры с поддержкой российской криптографии.

Подобное решение обладает большим, на данный момент невостребованным, потенциалом, так как позволяет создавать защищенные стандартные WEB-клиенты для систем с высокими требованиями к безопасности. Еще одним плюсом подобного браузера является его «портабельность». С учетом существования USB-токенов с защищенной FLASH-памятью созданы безопасные решения, в котором наиболее критические операции с закрытом ключом осуществляются на «борту» USB-токена, а сам браузер хранится в его защищенной от модификации FLASH-памяти. Подобное решение кроме высокого уровня безопасности является очень удобным в применении.

На базе NSS

На картинке представлена архитектура решения, реализованная в проекте по расширению NSS aToken.

СпецификацияNSS c использованием PKCS#11-токенов, программных и аппаратных
ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL
Механизмы ЭЦПВызов из JavaScript встроенных в браузер функций
TLS-ГОСТВстроен в библиотеку и поддерживается браузером
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузером100%
Мобильные платформыiOS, Android
Хранилища ключейБраузерное хранилище, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
ИнсталляцияПрограмма установки, в целом, не требуются права системного администратор
Portable. Например, запуск браузера с FLASH-памяти USB-токена
Примеры (ГОСТ)Mozilla FireFox, Chromium от Лисси
Проект atoken от R-Альфа (Mozilla FireFox)
КриптоFox (PKCS11-токен на базе КриптоПро CSP)

• только одно приложение с российской криптографией — сам браузер
• обновление браузера
• переучивать пользователя на использование кастомного браузера
• сертификация (нет прецедентов)

• кроссплатформенность
• прозрачность использования для пользователя
• нет ограничений для разработчиков серверной части
• не требуется инсталляция, запуск с FLASH-памяти USB-токена

Средства формирования доверенной среды

Проблема формирования доверенной среды для выполнения криптоопераций, в частности ЭЦП, является отдельной большой темой. В данной статье не планируется ее подробно рассматривать, но хочется отметить, что концептуально разработчики идут следующими путями:

• отдельное устройство, на котором визуализируются данные, предназначенные для подписи и сама подпись производится после подтверждения пользователя (trustscreen)
• установка на компьютер и клиентскую ОС комплекса средств защиты информации (МДЗ, антивирусы и т.п.), с целью минимизации возможности заражения компьютера вредоносным ПО
• загрузка отдельной доверенной ОС в режиме USB-live
• параллельная работа клиентской ОС и доверенной среды на различных ядрах одного компьютера

На последнем способе формирования ДС хотелось бы остановиться подробнее.

Компанией «Код безопасности» предложен интересный продукт Jinn, который позволяет эмулировать доверенную среду как на многоядерном, так и на одноядерном компьютере. Основной идеей данного решения является то, что доверенная среда выполняется на логических ядрах, на которых не выполняется сама клиентская ОС. В случае одноядерного компьютера now-how решения позволяет реализовать эмуляцию отдельного физического вычислительного устройства, которое не видно ОС (или, вернее, доступ к нему из ОС сильно затруднен).

Для случая многоядерного компьютера доверенная среда функционирует на 2 ядрах, на остальных ядрах функционирует клиентская ОС. Доверенная среда загружается перед загрузкой клиентской ОС либо с флешки, либо с электронного замка Соболь. Решение гарантирует, что клиентская ОС (а следовательно и потенциальное вредоносное ПО) не управляет поведением доверенной среды. По сути, в решении две ОС разнесены по различным ядрам одного компьютера и между ними настроен канал передачи данных. При этом одна из ОС (доверенная среда), спроектирована таким образом, что варианты ее заражения минимизированы и ее функционал служит исключительно цели безопасной визуализации данных и их пописи.

Для доступа к доверенной среде из клиентской ОС используется специальная библиотека (COM-объект). При подписи платежки через данную библиотеку Jinn перехватывает управление графическим адаптером и визуализирует на нем платежку. Если представленная информация верна, то после подтверждения пользователя Jinn подписывает платежку и возвращает управление клиентской ОС.

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Спецификация-
ПлатформыСемейство Windows, GNULinux, OS X. На базе СПО iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦППодпись WEB-форм при прохождении траффика
WEB API
Механизмы аутентификацииклиентская аутентификация в рамках TLS
Механизмы “гостирования” TLSЧерез механизм проксирования
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузеромЧерез механизм проксирования
Мобильные платформыiiOS, Android на базе СПО sTunnel
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, PC/SC, APDU
ПриложенияБраузеры
WEB-сервера
RDP
Почтовые клиенты и сервера
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование, запуск
Запуск с FLASH-памяти USB-токена

Примеры (ГОСТ)МагПро КриптоТуннель
Inter-PRO
VPNKey-TLS
LirTunnel
КриптоПро sTunnel
sTunnel

• прокси должен быть запущен;
• приложение должно работать через прокси, нужно «научить» его этому;
• могут использоваться нестандартные порты, отсюда проблемы в файрволом
• дополнительные ограничения на разработку web-сайта — в ряде случаев использование только относительных ссылок, чтобы не «вылететь» из туннеля
• прокси сконфигурирован на проксирование конечной группы сайтов, расширение группы — это обновление клиентского конфига
• работа через внешний прокси требует дополнительного конфигурирования локального прокси, при этом могут быть проблемы с аутентификацией пользователя на внешнем прокси

• решение использует универсальную технологию, поэтому можно не бояться его устаревания;
• решение может применяться на большом числе платформ, в том числе на мобильных платформах;
• кроссбраузерность, поддержка всех WEB-серверов без модификации;
• не требует инсталляции;
• поддержка различных прикладных протоколов.

Браузерные плагины

Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.

Кроссбраузерные плагины

Спецификация-
ПлатформыСемейство Windows, GNULinux, OS X
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP (КриптоПро ЭЦП Browser plugin), TSP (КриптоПро ЭЦП Browser plugin)
Механизмы ЭЦППрограммный интерфейс для использования в JavaScript

Механизмы аутентификацииЭЦП случайных данных
Механизмы “гостирования” TLS-
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (КриптоПро ЭЦП Browser plugin), CADES (КриптоПро ЭЦП Browser plugin)
Интеграция с браузеромActiveX (для IE)
NPAPI

Мобильные платформыне поддерживаются
Хранилища ключейРеестр, файлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11, через CryptoAPI

ПриложенияБраузеры
ИнсталляцияПрограмма установки, не требуются права системного администратора
Примеры (ГОСТ)КриптоПро ЭЦП Browser plugin
eSign-PRO
КриптоПлагин Лисси
Плагин портала госуслуг
JC-WebClient
Рутокен Плагин
Плагин BSS
КриптоАРМ Browser plugin

• отсутствие TLS
• удаление NPAPI из Chromium
• браузеры на мобильных платформах не поддерживают плагины
• настройки безопасности IE могут блокировать исполнение плагина

• кроссбраузерность
• плагины на базе PKCS#11 не требуют установки СКЗИ
• прозрачное использование для пользователя

ActiveX

Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер. Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.

В следующих статьях будут подробно рассмотрены оставшиеся решения.

Криптографические решения. От облачной подписи к доверенной среде

Данная статья является продолжением статьи «Криптографические решения. От криптопровайдеров до браузерных плагинов» и охватывает криптографические решения:

• облачная подпись
• отдельные браузеры с российской криптографией
• отдельные почтовые клиенты с российской криптографией
• российская криптография в фреймворках, платформах, интерпретаторах
• настольные криптографические приложения
• средства формирования доверенной среды

Сравнение версий КриптоПро CSP

CSP 3. 6

CSP 3. 9

CSP 4. 0

CSP 5. 0

Windows Server 2019

x64

Windows Server 2016

x64*

x64**

x64

Windows 10

x86 / x64*

x86 / x64**

x86 / x64

Windows Server 2012 R2

x64

x64

x64

Windows 8. 1

x86 / x64

x86 / x64

x86 / x64

Windows Server 2012

x64

x64

x64

x64

Windows 8

x86 / x64

x86 / x64

x86 / x64

Windows Server 2008 R2

x64 / itanium

x64

x64

x64

Windows 7

x86 / x64

x86 / x64

x86 / x64

x86 / x64

Windows Server 2008

x86 / x64 / itanium

x86 / x64

x86 / x64

x86 / x64

Windows Vista

x86 / x64

x86 / x64

Windows Server 2003 R2

x86 / x64 / itanium

x86 / x64

x86 / x64

x86 / x64

Windows Server 2003

x86 / x64 / itanium

x86 / x64

x86 / x64

x86 / x64

Windows XP

x86 / x64

Windows 2000

x86

* Начиная с версии КриптоПро CSP 3. 9 R2.

** Начиная с версии КриптоПро CSP 4. 0 R2.

Поддерживаемые UNIX-подобные операционные системы

* До версии КриптоПро CSP 3. 6 R1 (сборка 3. 5402 от 2009-07-29) включительно.

** Начиная с версии КриптоПро CSP 3. 9 R2.

*** Начиная с версии КриптоПро CSP 4. 0 R2.

**** Начиная с версии КриптоПро CSP 4. 0 R3.

***** Начиная с версии КриптоПро CSP 4. 0 R4.

Поддерживаемые алгоритмы

CSP 3. 6

CSP 3. 9

CSP 4. 0

CSP 5. 0

ГОСТ Р 34. 10-2012 Создание подписи

512 / 1024 бит

512 / 1024 бит

ГОСТ Р 34. 10-2012 Проверка подписи

512 / 1024 бит

512 / 1024 бит

ГОСТ Р 34. 10-2001 Создание подписи

512 бит

512 бит

512 бит

512 бит**

ГОСТ Р 34. 10-2001 Проверка подписи

512 бит

512 бит

512 бит

512 бит***

ГОСТ Р 34. 10-94 Создание подписи

1024 бит*

ГОСТ Р 34. 10-94 Проверка подписи

1024 бит*

ГОСТ Р 34. 11-2012

256 / 512 бит

256 / 512 бит

ГОСТ Р 34. 11-94

256 бит

256 бит

256 бит

256 бит

ГОСТ Р 34. 12-2015

256 бит****

ГОСТ Р 34. 13-2015

256 бит****

ГОСТ 28147-89

256 бит

256 бит

256 бит

256 бит

* До версии КриптоПро CSP 3. 6 R2 (сборка 3. 6497 от 2010-08-13) включительно.

** До 31 декабря 2019 года включительно.

*** До окончания действия сертификатов, содержащих указанный алгоритм ключа проверки электронной подписи.

**** Начиная с версии КриптоПро CSP 5. 0 R2.

Поддерживаемые носители

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

• П – пассивный носитель – флеш-память с защитой PIN-ом от записи.
• А – активный носитель – неизвлекаемые ключи без защиты канала связи с носителем.
• ФКН – функциональный ключевой носитель – неизвлекаемые ключи с защитой канала связи с носителем.

CSP 3. 6

CSP 3. 9

CSP 4. 0

CSP 5. 0

Alioth

SCOne Series (v5/v6)

П

П

П

Gemalto

Optelio Contactless Dxx Rx

П

П

П

П

Optelio Dxx FXR3 Java

П

П

П

П

Optelio G257

П

П

П

Optelio MPH150

П

П

П

ISBC

Esmart Token

П

П

П

П

Esmart Token ГОСТ

П

П / А

MorphoKST

MorphoKST

П

П

П

NovaCard

Cosmo

П

П

П

Rosan

G&D element V14 / V15

П

П

G&D 3. 45 / 4. 42 / 4. 44 / 4. 45 / 4. 65 / 4. 80

П

П

Kona 2200s / 251 / 151s / 261 / 2320

П

П

Kona2 S2120s / C2304 / D1080

П

П

SafeNet *

eToken Java Pro JC

П

П

П

П

eToken 4100

П

П

eToken 5100

П

П

eToken 5110

П

П

eToken 5105

П

П

eToken 5205

П

П

Актив

Рутокен 2151

П

П / А

Смарт-карта Рутокен 2151

П

П / А

Рутокен ЭЦП Bluetooth

П

П / А

Рутокен ЭЦП 2. 0 Bluetooth

А

Рутокен ЭЦП PKI

А

Рутокен S

П

П

П

П

Рутокен КП

ФКН

П

Рутокен Lite

П

П

П

П

Смарт-карта Рутокен Lite

П

П

П

Рутокен PINPad

А

Рутокен ЭЦП 2. 0 3000

П

П

П / ФКН

Рутокен ЭЦП

П

П

П

П / А

Смарт-карта Рутокен ЭЦП SC

П

П

П / А

Рутокен ЭЦП 2. 0

П

П

П / А

Рутокен ЭЦП 2. 0 2100

П

П

П / А

Смарт-карта Рутокен ЭЦП 2. 0 2100

П

П

П / А

Рутокен ЭЦП 2. 0 Flash

П

П

П

П / А

Аладдин Р. JaCarta ГОСТ

П

П

П

П

JaCarta PKI

П

П

П

П

JaCarta PRO

П

П

П

П

JaCarta LT

П

П

П

П

JaCarta-2 ГОСТ

П

П / А

Инфокрипт

InfoCrypt Token++

ФКН

InfoCrypt Token++ TLS

А

InfoCrypt Token++ lite

П

П

InfoCrypt VPN-Key-TLS

А

Мультисофт

MS_Key исп. 8 Ангара

П

П

П

MS_Key ESMART исп. 5

П

П

П

СмартПарк

Магистра

П

П

П

П

R301 Форос

П

П

П

П

Оскар

П

П

П

П

Оскар 2

П

П

П

П

Рутокен Магистра

П

П

П

П

* Поддерживается только в ОС Windows.

У нас вы можете купить лицензию Базовая СКЗИ КриптоПро CSP версии 5. 0 на одном рабочем месте артикул 75-10-75-CRYPTOPRO-SL по выгодной цене: стоимость лицензии 2700 руб. Наши менеджеры проконсультируют по продукту КриптоПро CSP 5. 0 (устаревшая) для покупки в Москве, Санкт-Петербурге и других городах России. Мы продаем только лицензионное ПО КриптоПро и многих других мировых производителей.

Российская криптография в фреймворках, платформах, интерпретаторах

В платформе существует набор криптографических классов, в которых предусмотрены механизмы расширения сторонними алгоритмами. Наиболее известным на рынке решением по расширению платформы Microsoft. NET российскими криптоалгоритмами является продукт КриптоПро. NET, представляющий собой надстройку над КриптоПро CSP. Установка КриптоПро. NET позволяет использовать российские криптоалгоритмы, например,
в WEB-сервисах на базе ASP. NET, SOAP-сервисах, в клиентских браузерных приложениях MS. Silverlight.

Отдельные библиотеки

BouncyCastle — это open source библиотека, в которой реализована своя система криптографических классов для платформы Microsoft. NET. В библиотеке поддерживаются как базовые криптографические алгоритмы ГОСТ 28147-89, ГОСТ Р 34. 10-2001, ГОСТ Р 34. 11-94, так и криптографические форматы PKCS#7/CMS, PKCS#10, X. 509 с учетом специфики, описанной в RFC российских производителей СКЗИ. Кроме того, по утверждениям разработчиков библиотека поддерживает формат CADES с российскими криптоалгоритмами.

Java

Архитектура криптографической системы платформы Java (Java Cryptography Architecture) позволяет расширять набор поддерживаемых в платформе криптоалгоритмов. С учетом большой распространенности Java многие из российских разработчиков криптосредств предлагают сертифицированные JCP-провайдеры.

JCP

СпецификацияJava Cryptography Architecture, JavaTM Cryptography Extension, JavaTM Secure Socket Extension
ПлатформыSun Java 2 Virtual Machine
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦПНабор классов
Механизмы аутентификацииклиентская аутентификация в рамках TLS
TLS-ГОСТОтдельный TLS-провайдер, реализованный на Java в соответствии со спецификацией JavaTM Secure Socket Extension
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (например, через Apache XML Security API), S/MIME;
Интеграция с браузеромЭЦП/шифрование через Java-апплеты, загрузка апплетов через Java TLS
Интеграция со службой каталоговс произвольным LDAP-каталогом
Мобильные платформыAndroid
Хранилища ключейРеестр, файлы, UBS-токены, MicroSD-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации криптоалгоритмов через PKCS#11 (в продуктах Java LCPKCS11 компании Лисси и в Java-провайдере для Рутокен ЭЦП компании Актив)
ИнсталляцияПрограмма установки, требуются права системного администратора
Примеры (ГОСТ)КриптоПро JCP, КриптоПро JTLS
Signal-COM JCP, Signal-COM Java TLS
LCJCE, LCJSSE, LCPKCS11
Java-провайдер для Рутокен ЭЦП
Trusted Java

Java-апплеты

• Апплет ЭТП «Стройторги» (реализован в соответствии с приведенной на схеме архитектурой)
• Система ДБО Бифит

PHP

PHP является одним из наиболее распространенных языков WEB-разработки. Криптографическая подсистема PHP построена на базе OpenSSL, в котором есть поддержка российских криптоалгоритмов. Но при этом в самом PHP поддержки российских криптоалгоритмов нет. Некоторые российские производители СКЗИ приступали к формированию патча к PHP, который позволял бы использовать российскую криптографию, но до конца эти работы доведены не были. Бинарная совместимость таких СКЗИ, как МагПро КриптоПакет, с OpenSSL позволила бы придать данному решению легитимность. В настоящее время многие разработчики инфосистем на базе PHP используют непосредственный вызов командно-строчной утилиты OpenSSL для проведения криптоопераций с использованием российских алгоритмов.

Экзотическое решение реализовано в рамках проекта Рутокен WEB. В серверной компоненте решения проверка подписи ГОСТ Р 34. 10-2001 реализована непосредственно на PHP с использованием математических примитивов из нативной библиотеки.

Perl

Ruby использует в качестве криптоядра openssl, что позволило автору данной статьи habrahabr. ru/post/231261 пропатчить его для поддержки российской криптографии.

JavaScript

• Нет ГОСТов
• Закрытый ключ находится в «хранилище браузеру», а не в отчуждаемом носителе
• Как подключать PKCS#11-совместимые устройства?

• кроссплатформенное, кроссбраузерное решение
• подпись на клиенте
• Поддержка PKI
• не требуется установка вообще ничего на клиент

Информация о производителе

Компания «КриптоПро» была создана в 2000 году и в настоящее время занимает лидирующее положение по распространению средств криптографической защиты информации и электронной цифровой подписи.

Основное направление деятельности компании – разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.

Продукты компании распространяют более 850 юридических лиц на основании дилерских договоров.

Компания выдала более 4 000 000 лицензий на использование СКЗИ КриптоПро CSP и свыше 800 лицензий на использование удостоверяющего центра КриптоПро УЦ, которые применяются различными государственными и коммерческими организациями в системах электронного документооборота, а также востребованы при построении глобальных общегосударственных информационных систем

✅ Купить продукцию производителя Крипто-Про на официальном сайте

✅ Лицензионный софт и оборудование по цене от 1200 руб.

Отдельные почтовые клиенты с российской криптографией

Отдельные почтовые клиенты с российской криптографией позволяют реализовать защиту переписки, используя электронную подпись и шифрование письма для абонента/группы абонентов (S/MIME). Данное решение удобно использовать в системах, построенных по принцу «точка-точка», в которых обмен информацией происходит непосредственно между абонентами, а сервер при этом используется только для маршрутизации сообщений.

ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL
Механизмы ЭЦПВызов из JavaScript встроенных в браузер функций
TLS-ГОСТВстроен в библиотеку и поддерживается браузером
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузером100%
Мобильные платформыiOS, Android
Хранилища ключейБраузерное хранилище, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
ИнсталляцияПрограмма установки, в целом, не требуются права системного администратор
Portable. Например, запуск браузера с FLASH-памяти USB-токена
Примеры (ГОСТ)Mozilla ThunderBird от Лисси
DiPost от Фактор ТС

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.

• Отсутствие нормальной кроссплатформенности;
• Установка с правами администратора, настройка;
• Установка обновления Windows может потребовать обновления провайдера;
• Необходимость встраивания в приложения посредством модификации кода «на лету»;
• CSP — неродной интерфейс для не-Windows-приложений.

• Широкий охват Windows-приложений;
• Богатый инструментарий для разработчиков защищенных систем;
• Апробированная на большом количестве проектов технология.

Нативные библиотеки

Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.

После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.

СпецификацияOpenSSL API — один из де-факто стандартов для СПО
ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO;
TLS
Интеграция с PKIX. 509, PKCS#10, CMS, CRL, OCSP, TSP
Механизмы ЭЦПНативный программный интерфейс, Си-style;
Механизмы аутентификацииклиентская аутентификация в рамках TLS
собственные механизмы на базе ЭЦП случайных данных
Механизмы “гостирования” TLSTLS с российской криптографией поддержан в библиотеке (в случае использования OpenSSL в качестве браузерного криптодвижка)
TLS-прокси на базе OpenSSL (например, sTunnel)

Форматы защищенных сообщенийPKCS#7, CMS, XMLSec (при использовании с библиотекой www. aleksey. com/xmlsec, в том числе ГОСТ), S/MIME
Интеграция с браузеромЧерез TLS-прокси
Через проприетарные плагины
В Chromium OpenSSL один из возможных криптодвижков
Интеграция со службой каталоговOpenLDAP
Мобильные платформыiOS, Android
Команднострочная утилитаЕсть
Хранилища ключейФайлы, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через PKCS#11
ПриложенияOpenVPN, Apache, sTunnel, Nginx, Postgre SQL, postfix, dovecot
Проприетарные приложения
Интеграция с фреймворкамиOpenSSL интегрирован в большое количество фреймворков (PHP, Python,. NET и др. ), но ГОСТа нет. Требуется выпускать патчи к фреймворкам
ИнсталляцияПрограмма установки, в целом не требуются права системного администратора
Копирование
Запуск использующих rкриптосредства приложений с FLASH-памяти USB-токена
Примеры (ГОСТ)МагПро КриптоПакет
ЛирССЛ
OpenSSL (несерт. )
OpenSSL + engine PKCS11_GOST + Рутокен ЭЦП

• OpenSSL и его аналоги не поддерживается приложениями Microsoft;
• Необходимость патчить СПО, которое поддерживает OpenSSL, для включения ГОСТов.

• Кроссплатформенность;
• Использование в огромном количестве проектов, открытые исходники большей части проекта — выявление и устранение уязвимостей (как пример, недавнее выявление heartbleed);
• Распространяется копированием — можно делать приложения, не требующие инсталляции;
• Широкий охват приложений СПО, на базе которых можно делать защищенные сертифицированные продукты;
• Широкая интеграция в фреймворки, но при этом проблемы с ГОСТами.

PKCS#11

Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.

Функции делятся на:

• Функции доступа к устройству;
• Функции записи/чтения произвольных данных;
• Функции работы с ключами (поиск, создание, удаление, импорт, экспорт);
• Функции работы с сертификатами (поиск, импорт, экспорт);
• Функции ЭЦП;
• Функции хэширования;
• Функции шифрования;
• Функции вычисления имитовставки;
• Функции выработки ключа согласования (Диффи-Хeллман);
• Функции экспорта/импорта сессионного ключа;

Таким образом, стандарт PKCS#11 поддерживает полный набор криптопримитивов, пригодный для реализации криптографических форматов (PKCS#7/CMS/CADES, PKCS#10, X. 509 и др. ) и протоколов (TLS, IPSEC, openvpn и др.

Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.

В стандарте PKCS#11, начиная с версии 2. 30, поддерживаются ГОСТ Р 34. 10-2001, ГОСТ Р 34. 11-94, ГОСТ 28147-89.

Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.

Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.

PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.

Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.

У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:

Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.

NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.

В данный момент существуют два проекта по «гостификации» NSS:

• Компания Лисси периодически публикует на своем сайте доступные для скачивания актуальные версии Mozilla Firefox и Mozilla Thunderbird, пересобранные с поддержкой российской криптографии. Кроме того, существует ряд продуктов этой компании, построенный на базе модифицированной библиотеки NSS — высокоуровневая библиотека NSSCryptoWrapper, плагин LCSignPlugin, десктопное приложение для ЭЦП под Android SignMaker-A.
  Следует отметить, что модифицированный специалистами этой компании NSS позволяет использовать как программные PKCS#11-токены, так и аппаратные (Рутокен ЭЦП, eToken ГОСТ, JaCarta ГОСТ, MS_KEY).
• Atoken — это open source проект компании R-Альфа. В рамках проекта создан программный PKCS#11-токен с российской криптографией и выложены патчи для определенной версии NSS и компонента Security Manаger, позволяющие использовать в продуктах Mozilla россиийскую криптографию (TLS, ЭЦП, PKI). Кроме того R-Альфа предлагает реализацию программного PKCS#11-токена с поддержкой сертифицированной библиотеки Агава-С под названием Агава-Про.

Библиотеки c собственным интерфейсом

Проприетарные библиотеки предоставляют собственный API для встраивания в приложения. В данный список можно внести:

• Агава-С
• Крипто-C
• Крипто-КОМ

Настольные криптографические приложения

Класс приложений, которые предоставляют законченный оконный пользовательский интерфейс для проведения клиентских криптоопераций. Как правило, используют некоторое СКЗИ в качестве криптоядра.

• подпись файла
• проверка подписи под файлом, в том числе построение цепочки и проверка списка отзыва, OCSP, проверка таймштампа
• зашифрование файла, в том числе для нескольких респондентов
• расшифрование файла
• поиск и выбор сертификата пользователя
• просмотр сертификата
• ведение базы сертификатов респондентов, интеграция со службой каталога (по протоколу LDAP) для поиска сертификата респондента
• генерация ключевой пары, формирование запроса на сертификат
• удаление ключевой пары
• импорт/экспорт сертификатов (корневых, пользовательских, респондентов)
• удаление сертификата

• КриптоАРМ
• КриптоНУЦ
• Блокхост ЭЦП
• Sign Maker
• ViPNet Crypto File