внедрение криптопро

Доброго времени суток!
Необходимо дать пользователям возможность подписывать документы при помощи их собственной ЭЦП через интерфейс существующего веб-приложения. Компания небольшая, и планируется, что количество пользователей будет не более 10, а ЭЦП они получают через сторонний УЦ. Искал разные сервисы, но для РФ не смог разобраться, что было бы оптимально. Какой облачный сервис ЭЦП вы могли бы посоветовать для небольшой компании?

• Вопрос задан

  08 дек. 2021

• 264 просмотра

СОИБ. Внедрение. Встраивание КриптоПро

20 октября, 2010

По одному проекту возникла задача – встроить СКЗИ КриптоПро в существующие у заказчика средства построения SSL VPN – Check Point Connectra.

Решение вроде проверенное. Со стороны всех 3-х сторон (КриптоПро, ООО “Цифровые технологии”, Check Point) получены подтверждения что всё ок и неоднократно использовалось. Месяца 4 назад, заложили бюджет

Загрузка и импорт виртуальной машины

В качестве гостевой ОС используется ознакомительная версия Microsoft Windows Server 2012 R2.

Образ для VMWare Workstation/VMWare vSphere (7 Гб) Контрольная сумма (ГОСТ Р 34. 11 94): EEDDEE925562BCA85BDB530267618BD3B35FBC2A802A317D0444E82D5BC74976

Проверить целостность скачанного образа можно с помощью утилиты cpverify, подробнее здесь.

Импорт виртуальной машины в VMware Workstation

• Открыть VMware Workstation.
• В меню File выбрать Open или воспользоваться комбинацией (Ctrl-O).
• В появившемся окне указать путь до файла импортируемой виртуальной машины.
• В окне Import Virtual Machine оставить значения по умолчанию и нажать Import.
• Запустить виртуальную машину.

Импорт виртуальной машины в VMware vSphere

• Открыть vSphere Client.
• На странице Source указать путь до файла импортируемой виртуальной машины и нажать Next.
• На страницах OVF Template Details, Name and Location оставить значения по умолчанию.
• На страницах HostCluster, Resource Pool определить хост назначения и его пул.
• На странице Disk Format оставить значения по умолчанию.
• На странице Ready to Complete нажать Finish.
• Запустить виртуальную машину.

Более детально о работе с КриптоПро УЦ 2. 0 и миграции с КриптоПро УЦ 1. 5 на КриптоПро УЦ 2. 0 можно узнать на курсах авторизованного учебного центра Информзащита:

Из нашей статьи вы узнаете:

Что такое TLS

TLS (transport layer security — протокол защиты транспортного уровня)— это протокол защиты данных при транспортировке их в сети интернет. Протокол шифрует передаваемую информацию криптографическим методом, оставляя данные конфиденциальными.

Для чего нужен протокол

Протокол TLS — шифрует все виды интернет-трафика, в том числе и веб-трафик, используя широкий набор методов шифрования. Используется приложениями электронной почты и системами телеконференций.

Как работает протокол

Протокол использует асимметричное шифрование для аутентификации данных, симметричное шифрование для конфиденциальности и коды аутентичности для сохранения целостности сообщений.

Важнейшим фактором шифрования является условия для отсутствия уязвимостей при передаче данных. Протокол TLS компании КриптоПро отражает такие атаки, как дешифрование куки-файлов и атаки на блочный шифр, благодаря российским наборам шифрования на основе ГОСТ Р 34. 10-2001, ГОСТ Р 34. 10-2012 и ГОСТ Р 34. 11-2012. Реализация протокола используется для обеспечения безопасности защищённых соединений и совместимости продуктов различных производителей. Список совместимости со средствами криптографической защиты информации других компаний расширяется по мере проведения тестовых испытаний.

Модуль сетевой идентификации входит в комплект поставки ПО КриптоПро CSP 5. 0 и не требует отдельной установки и настройки. Протокол КриптоПро TLS совместим с программным обеспечением (ПО) средств криптографической информации (СКЗИ) компании КриптоПро.

Для работы на госпорталах и торговых площадках, сдачи электронной отчётности, работы c ЭДО необходима электронная подпись. ЭЦП – это реквизит официального документа электронного формата, такая подпись является программно-криптографическим средством и обеспечивает подлинность документа.

Напомним, c 01 января 2022 года Удостоверяющий Центр ФНС России бесплатно выпускает квалифицированные электронные цифровые подписи (ЭЦП).

КриптоПро CSP 5. 0– новое поколение криптопровайдера, имеющее ряд преимуществ: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Рекомендуем устанавливать именно эту версию программы.

Для работы КриптоПро CSP необходима лицензия, без лицензии криптопровайдер будет работать ограниченное время (3 месяца) в тестовом режиме. Производитель программного обеспечения предоставляет бессрочные, годовые и встроенные лицензии.

Годовую, бессрочную и серверную лицензии можно приобрести у официальных представителей, a для их активации необходимо ввести вручную серийный номер после установки СКЗИ на компьютер.

А можно ли пользоваться КриптоПро бесплатно? Да, и тут два варианта использования ПО.

Использовать электронную подпись УЦ ФНС со встроенной лицензией КриптоПро CSP.

ФНС России проводит эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России программного обеспечения (ПО) для работы с электронной подписью.

Разработчик программного обеспечения уже принимает участие в эксперименте. Для бесплатного использования КриптоПро CSP необходимо получить электронную подпись в налоговом органе.

В рамках данного эксперимента лицензия на использование программного обеспечения для работы с электронной подписью и российской криптографией «КриптоПро» включена в сертификаты, выдаваемые УЦ ФНС России с 12 апреля 2022 года.

Срок проведения эксперимента 6 месяцев.

Перечень адресов налоговых органов, принявших участие в эксперименте

Для работы с сертификатами, полученными ранее указанной даты, требуется перевыпуск квалифицированной электронной подписи в любом налоговом органе, оказывающем данную услугу.

Лицензия КриптоПро CSP встроенная в сертификат действует до окончания срока действия этого сертификата.

Вы получили на токене сертификат ЭЦП в УЦ ФНС. A как определить, встроена ли в него лицензия КриптоПРО? Расскажем далее.

Важно: При отсутствии лицензии на рабочее место в программе КриптоПро CSP будет отображено, что лицензия истекла. Это нормально! В программе отображается состояние именно лицензии на рабочее место. Сертификат со встроенной лицензией будет работать.

Ведущий менеджер по развитию ИТС партнёрской сети «ИнфоСофт»

Главный специалист направления «Сервисное обслуживание» партнёрской сети «ИнфоСофт»

Криптопровайдер КриптоПро DSS позволяет подписывать документы в ELMA4 без установки на рабочие места пользователей ПО КриптоПро CSP, плагинов и сертификатов. Подписание возможно в любом поддерживаемом ELMA4 браузере (Google Chrome или Mozilla Firefox).

Чтобы подписывать документы в ELMA4 с помощью КриптоПро DSS, требуется ПО КриптоПро DSS одного из двух форматов:

• КриптоПро DSS 2.0 версии 2.0.3210 или выше. Описание продукта: www.cryptopro.ru/products/dss. Это ПО устанавливается на собственный сервер компании.
• Сервис электронной подписи ООО «КРИПТО-ПРО» на базе ПАК «КриптоПро DSS» (далее — облачный DSS).

Описание продукта: www. cryptopro. ru/service/sign#rules_of_uses.

Сайт продукта: dss. cryptopro.

Функциональные возможности облачного DSS абсолютно аналогичны тем, что вы можете получить при внедрении ПАК «КриптоПро DSS» на своей площадке, но при этом вашей организации не придётся самостоятельно устанавливать ПО и поддерживать его работу, так как вы получаете доступ к облачному сервису, развёрнутому на сервере компании КриптоПро.

Настройки на стороне DSS

Выполните следующие действия:

Если у вас нет прав администратора, эти настройки облачного DSS выполняет служба технической поддержки облачного DSS.

Чтобы зарегистрировать клиент, в режиме командлета администрирования нужно выполнить следующие команды.

Вместо clientName нужно задать свой идентификатор OAuth-клиента.

• — идентификатор OAuth-клиента, заданный при выполнении предыдущей команды ;
• — пароль OAuth-клиента: указать свой пароль.

Для облачного DSS нужно направить запрос в службу технической поддержки облачного DSS на выполнение команд создания OAuth-клиента.

Настройки в системе

О них читайте в статье «Настройки ЭП в системе».

Настройки в профиле пользователя

Настроить подписание в профиле пользователя может администратор системы или сам пользователь.

• Вверху страницы профиля наведите курсор на кнопку панели инструментов и выберите Подписание — Выбор криптопровайдера для подписания.
• В появившемся окне укажите данные и нажмите .

В первом поле выберите криптопровайдер КриптоПро DSS.

Во втором поле вы можете выбрать тип подписи. Подробнее о типах читайте в статье «Настройки ЭП в системе».

Порядок подписания документов с использованием КриптоПро DSS аналогичен подписанию с использованием КриптоПро CSP. Подробнее об этом читайте в статье «Подписание документа с использованием ЭП».

Нашли опечатку? Выделите текст, нажмите ctrl + enter и оповестите нас

Зачем нужно покупать КриптоПро CSP и можно ли сэкономить? Что делать, если ЭП от УЦ ФНС уже получили, а КриптоПро на рабочее место еще не приобрели? А если у клиента установлен VipNet, ему КриптоПро не нужен же? — читайте об этом в нашей новой статье.

Мы продолжаем готовиться к изменениям в 2022 году в области получения электронной подписи для руководителей ЮЛ и ИП, их сотрудников и нотариусов.

Напоминаем, чтос 1 января 2022 года на ФНС России будет бесплатно выпускать квалифицированную электронную подпись. Однако сопутствующие инструменты, для ее хранения (носитель) и использования (криптопровайдер), необходимо приобрести отдельно от самой ЭП и заранее.

В предыдущей статье мы рассмотрели рекомендуемые носители, которые УЦ ФНС принимает для записи ЭП. Подпись выдается в единственном экземпляре и защищена от копирования. Именно поэтому, так важно позаботиться о ее хранении и безопасности в случае утери или кражи. В этой статье мы рассмотрим инструмент для использования полученной ЭП в УЦ ФНС на своем рабочем месте — криптопровайдер. По умолчанию, налоговая генерирует и шифрует электронные подписи с помощью КриптоПро CSP.

КриптоПро CSP — это криптопровайдер — независимый модуль в операционной системе вашего компьютера. Он позволяет выполнить криптографические операции для создания электронной подписи, ее шифрования и защиты от навязывания ложных данных.

Без наличия криптопровайдера на рабочем месте пользователя нельзя выполнить какие-либо операции с электронной подписью.

Для того, чтобы полученная подпись через УЦ ФНС заработала на выбранном компьютере руководителя или сотрудника, необходимо подготовить рабочее место:

• Шаг 1. Купите средство криптозащиты КриптоПро CSP.
• Шаг 2. Установите его на компьютер.
• Шаг 3. Загрузите сертификат ЭП.

КриптоПро CSP имеет только прямую схему распространения до конечного пользователя. Дистрибьютор «1С‑Рарус» с партнерской сетью 1С работает по агентской схеме:

• являемся лицензиатами ФСБ;
• имеем дилерский договор с КриптоПро.

Если компания-лицензиат ФСБ не имеет дилерского договора с КриптоПро, она может стать нашим агентом или заключить прямой договор с вендором «КриптоПро».

Если компания-НЕлицензиат ФСБ — для вас доступна только агентская схема продаж.

Помочь с выбором необходимого тарифа КриптоПро CSP вам помогут менеджеры отдела продаж системного программного обеспечения компании «1С‑Рарус», а также приведенные ниже ответы на часто задаваемые вопросы.

Не успел Не знал Забыл купить лицензию КриптоПро CSP до получения ЭП через УЦ ФНС?

Не беда! Пользователь может использовать 90 дней бесплатного промо-периода, если ранее его не активировал. В течение этого времени необходимо приобрести платную лицензию и выполнить ее установку, а после загрузку ЭП.

На вашем рабочем месте установлен криптопровайдер VipNet. Что делать?

УЦ ФНС использует для выдачи подписи только КриптоПро CSP. Если на одном компьютере установлены и VipNet, и КриптоПро CSP — программы конфликтуют.

• Вариант 1 — удалить VipNet, купить КриптоПро CSP, перевыпустить ЭП до конца декабря 2021 года. Пользователи АО «Калуга Астрал» перевыпускают ЭП бесплатно по акции ZABOTA.
• Вариант 2 — конвертировать действующую ЭП на VipNet, купить КриптоПро CSP и загрузить сертификат ЭП. Вендор АО «Калуга Астрал» поделился инструкцией. По дополнительным вопросам можно обратиться по тел.: 8 (800) 700‑86‑68, 8 (800) 700‑39‑84.

Приобретая КриптоПро CSP появился вопрос — «А какой тариф выбрать?»

Мы рекомендуем приобретать бессрочные лицензии КриптоПро CSP.

Бессрочную лицензию на 1 рабочее место пользователь будет использовать на 1 компьютере неограниченное время и для неограниченного количества ЭП:

• Стоимость для клиента 2 700 ₽, без НДС:
  цена не влияет на версию 4.0 и 5.0;
  выбор версии зависит от операционной системы;доход партнера 1С — 11% или 297 ₽ с одной лицензии.
• цена не влияет на версию 4.0 и 5.0;
• выбор версии зависит от операционной системы;
• доход партнера 1С — 11% или 297 ₽ с одной лицензии.
• Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP»:
  мы рекомендуем, но это не обязательно;на 1 рабочее место 850 ₽, с НДС;доход партнера 1С при продаже лицензии с сертификатом — 15% или 532 ₽.
• мы рекомендуем, но это не обязательно;
• на 1 рабочее место 850 ₽, с НДС;
• доход партнера 1С при продаже лицензии с сертификатом — 15% или 532 ₽.

Бессрочную лицензию на 1 сервер пользователь будет использовать без ограничения количества рабочих мест неограниченное время и для неограниченного количества ЭП:

• Стоимость для клиента 37 500 ₽, без НДС:
  цена не влияет на версию 4.0 и 5.0;
  выбор версии зависит от операционной системы;доход партнера 1С — 11% или 4 125 ₽ с одной лицензии.
• цена не влияет на версию 4.0 и 5.0;
• выбор версии зависит от операционной системы;
• доход партнера 1С — 11% или 4 125 ₽ с одной лицензии.
• Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP»:
  мы рекомендуем, но это не обязательно;на 1 сервере 4 200 ₽, с НДС;доход партнера 1С при продаже лицензии с сертификатом — 15% или 6 255 ₽.
• мы рекомендуем, но это не обязательно;
• на 1 сервере 4 200 ₽, с НДС;
• доход партнера 1С при продаже лицензии с сертификатом — 15% или 6 255 ₽.

Важно! Все лицензии КриптоПро CSP именные. На какое ЮЛ или ИП приобретена лицензия, от той компании и нужно получать ЭП и подписывать документы.

Почему мы рекомендуем приобретать сертификат на годовую поддержку СКЗИ?

• Личный кабинет с дистрибутивом на портале ТП support.cryptopro.ru.
• Всегда доступна консультация по установке, настройке и обновлению версий.
• Лицензию КриптоПро восстановят при утере.
• Есть доступ к базе знаний по типовым ошибкам и решениям.
• SLA по инцидентам — 1 рабочий день.

Пользователь когда-то приобретал бессрочный КриптоПро CSP и сейчас он установлен на его компьютере. Он будет продолжать работать в 2022 году?

Да, будет. КриптоПро продолжает работать в прежнем режиме, для криптопровайдеров правила работы не изменились.

В сервисе 1С-Отчетность реализовано дополнительное расширение — «Расширение лицензии на программный продукт „АстралОтчетность“» с применением ограниченной лицензии на СКЗИ «КриптоПро CSP» в составе сертификата ключа проверки электронной подписи.

Это значит, что пользователь может сэкономить на приобретении основной лицензии КриптоПро CSP и работать по действующей ЭП весь 2022 год.

Как? Перевыпускаем электронную подпись (например, предыдущая ЭП была выпущена на VipNet, изменились данные о подписанте или организации) и получаем сертификат ЭП со встроенной лицензией КриптоПро CSP сроком действия на 15 месяцев.

• При перевыпуске ЭП с уже встроенной лицензией КриптоПро CSP, она оплачивается повторно.
• Стоимость для клиента 450 ₽ (можно продавать дороже, по 590 ₽), стоимость для партнеров 1С — 360 ₽, без НДС.

Станьте нашим агентом и предоставляйте своим клиентам возможность приобретения КриптоПро CSP! Для заключения договора обращайтесь в отдел продаж системного программного обеспечения «1С‑Рарус».

• тел.: +7 (495) 642-78-78;
• или в ваше региональное представительство компании «1С‑Рарус».

Использование КриптоПро CSP позволяет решить сразу несколько задач:

• для корпоративных пользователей – это возможность использовать стандартные и повсеместно используемые приложения компании Microsoft с надежной российской криптографией;
• для системных интеграторов – это возможность создания новых, надежно защищенных приложений с использованием богатейшего и проверенного временем инструментария разработки компании Microsoft.

Использование КриптоПро CSP в ПО Microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

• Microsoft XML версии 5.0 (Microsoft Office 2003 и Microsoft XML Viewer) и версии 6.0 (Microsoft Visual Studio 2005);
• Microsoft Certification Authority, входящее в состав ОС Windows Server 2000/2003/2008/2008R2 (см. особенности установки);
• Microsoft Outlook Express, входящее в состав Internet Explorer версии 5.0 и выше;
• Microsoft Outlook, входящее в состав MS Office 2000/XP/2003/2007/2010/2013 (при формировании сообщений в формате S/MIME). При использовании ПО Microsoft Outlook 2000 рекомендуем установить Набор исправлений Office 2000 SR-1a, который позволяет корректно обрабатывать кодировки KOI8 и Win1251 в подписанных сообщениях;
• Microsoft Word/Excel, входящее в состав MS Office 2003/2007 (при формировании ЭЦП документов);
• Средства формирования и проверки ЭЦП программного обеспечения, распространяемого по сети (Microsoft Authenticode);
• Защита почтовых соединений (TLS для IMAPS/POP3S/SMTPS) в Microsoft Exchange и Microsoft Outlook;
• Защита соединений удалённого администрирования при использовании Microsoft Terminal Server или серверов и клиентов Citrix;

Встраивание КриптоПро CSP в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему. Однако следует отметить, что использование криптографии ни в коем случае не исключает применение организационно-технических мер защиты.

В общем случае создание защищенной автоматизированной системы – это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации. В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

• Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
• Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
• Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
• Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
• Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
• Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
• Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
• Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.

Использование CryptoAPI

Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

• Дать прикладному уровню доступ к криптографическим функциям для генерации ключей, формирования/проверки электронной цифровой подписи, шифрования/расшифрования данных. Эта цель была достигнута путем изолирования прикладного уровня от уровня реализаций криптографических функций. Приложениям и прикладным программистам не нужно детально изучать особенности реализации того или иного алгоритма или изменять код в зависимости от алгоритма.
• Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные.

На рисунке ниже приведена общая архитектура криптографических функций.

Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:

Базовые криптографические функции

• Функции инициализации (работы с контекстом). Эти функции предоставляют приложению возможность выбрать определенный криптопровайдер по типу имени или по требуемой функциональности.
• Функции генерации ключей. Эти функции предназначены для формирования и хранения криптографических ключей различных типов.
• Функции обмена ключами. Эти функции предназначены для того чтобы приложения могли обмениваться различными типами ключевой информации для обеспечения взаимодействия между собой.

Функции кодирования/декодирования

Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN. 1 (Abstracy Syntax Notation One), определенный серией рекомендаций X. 680.

К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

• Зашифровать/расшифровать сообщение от одного пользователя к другому.
• Подписать данные.
• Проверить подпись данных.

Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X. 509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.

Использование SSPI

Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

• Дать прикладному уровню доступ к криптографическим функциям аутентификации сторон сетевых соединений, а так же обеспечение конфиденциальности и имитозащиты данных передаваемых по этим соединениям. Эта цель была достигнута путем изолирования прикладного уровня от уровня реализаций криптографических функций. Приложениям и прикладным программистам не нужно детально изучать особенности реализации того или иного алгоритма или изменять код в зависимости от алгоритма.
• Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные.

Инструментарий разработчика CAPICOM

CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi.

Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.

Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:

• CAPICOM Versions;
• Using CAPICOM;
• CAPICOM Reference.

Инструментарий разработчика КриптоПро CSP SDK

КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Для этих целей в комплект поставки включается Руководство программиста (csp_2_0. chm, tls_2_0. chm для версии 2. 0, CSP_3_0. chm, SSPI_3_0. chm, CAPILite_3_0. chm для версии 3. 0), описывающее состав функций и тестовое ПО (sample2_0. zip для версии 2. 0 и SDK для версии 3.

Руководство программиста и тестовое ПО для версии 3. 6 доступны на странице загрузки.

Онлайн-версия руководства программиста для версии 3. 6 также доступна на нашем сайте:

• КриптоПро CSP;
• КриптоПро SSPI;
• КриптоПро CAPILite.

Тестовое ПО разработано с использованием компиляторов Microsoft Visual C++ (версия 2. 0) и Microsoft Visual Studio. NET (для 3.

Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.

В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.

Вы также можете получить уже скомпилированную тестовую программу csptest2_0. exe для версии 2. 0 или SDK для версий 3. 0 и выше.

Вебинар 18 марта 2022 г.

«Защита доступа к веб-сайтам в условиях отзыва SSL / TLS сертификатов международными УЦ» (файл презентации)

Вебинар по актуальным вопросам обеспечения защищённого доступа пользователей к веб-сайтам в условиях отзыва SSL/TLS-сертификатов международными Удостоверяющими Центрами.

http://www.youtube.com//embed/EyLUNmCVAEg

Когда переустанавливать

Если заменяете демопрограмму на основную или переходите на следующую версию дистрибутива, переустановите КриптоПро. Удостоверьтесь в том, что на компьютере есть лицензия КриптоПро или сертификаты. Если нет, сохраните их.

Через запуск меню имеющейся программы с функциями администратора системы удалите предыдущую программу стандартным способом.

Если через панель установки и удаления корректно удалить программу не получается, используйте дистрибутив. В аварийном случае удалите через специальную утилиту. Здесь найдете эти программы:

Утилита подходит для всех версий CSP. Для выполнения очистки запустите файл cspclean. exe, перезагрузите компьютер и повторно запустите утилиту.

Теперь установите новый продукт.

Вебинар 10 сентября 2020 г.

«Практические сценарии обеспечения безопасной удаленной работы с помощью Рутокен и КриптоПро NGate»

Вебинар посвящен комплексному решению на основе продуктов Рутокен ЭЦП 2. 0 Flash и КриптоПро NGate, а также другим сценариям совместного использования NGate и Рутокен, в том числе в облаках, системах телемедицины, видеоконференцсвязи и т.

http://www.youtube.com//embed/8QqreVOCgwY

Как учесть расходы на покупку ЭЦП

Чтобы подписывать документы, составленные в электронной форме, надо приобрести электронную подпись (ЭП) в удостоверяющем центре. Покупка складывается из приобретения:

• услуг по созданию ключа, ключа проверки и его сертификата;
• материального носителя ключа (иначе — ключевого носителя, токена);
• неисключительной лицензии (экземпляра программы) на средство криптографической защиты информации (СКЗИ) — специального программного обеспечения для работы.

КриптоПро в госзакупках

Функции по контролю и надзору в финансово-бюджетной сфере осуществляет Федеральное казначейство РФ. В случае обнаружения признаков нарушения законодательства о контрактной системе в действиях заказчика при осуществлении им закупки обращение о таком нарушении необходимо направить для рассмотрения в Федеральное казначейство.

• в целях установления законности составления и исполнения бюджетов различных уровней;
• в отношении расходов, связанных с осуществлением закупок;
• в осуществлении достоверности учета таких расходов.

Проще говоря, Федеральное казначейство осуществляет контроль и надзор в финансово-бюджетной сфере.

В приведенной ниже инструкции расскажем, с чего начать и как установить КриптоПро на компьютер пошагово.

Шаг 1. Зайдите на сайт Казначейства РФ.

Шаг 2. Заходим во вкладку «Удостоверяющий центр».

Шаг 3. Нажимаем кнопку «Программное обеспечение».

Шаг 4. Скачиваем файл «АРМ Генерации ключей».

Шаг 5. Извлекаем файлы из скачанной папки.

Шаг 6. Видим первое окно установщика программы. Нажимаем «Далее».

Шаг 7. Соглашаемся с лицензионным соглашением, нажав кнопку «Согласен».

Шаг 8. Действуем по инструкции, размещенной ниже.

Шаг 9. Выбираем «Далее» и «Установить».

Шаг 10. После завершения установки появится окно, свидетельствующее об успешной установке программы. Нажимаем «ОК».

Теперь осталось только запустить программу. Делаем это в два шага.

Шаг 1. Заходим в меню «Пуск».

Шаг 2. После запуска программы нажимаем кнопку «Создать запрос на сертификат». Все.

Устанавливаем КриптоПро

Из описания приобретенной программы делаем вывод о том, с какими операционными системами она совместима. Удостоверимся, что у нужного функционала есть сертификат.

Во вкладке «Продукты» выберем раздел «Сертификаты».

Ознакомимся с описанием.

Когда появятся предпочтения по выбору определенной версии, получите представление о возможных затратах. Стоимость и набор продуктов различается в зависимости от того, кто приобретает программу:

• юридические лица;
• ИП;
• физические лица;
• иностранные физические лица.

Опубликован прайс-лист услуг получения лицензий и сертификатов компании по состоянию на июнь 2022 года. Например, для юридических лиц сертификат на годовую техническую поддержку на рабочем месте стоит 850 рублей, а сертификат на установку и (или) обновление на рабочем месте или сервере — 5500 руб.

Подробнее со всеми прайс-листами можно ознакомиться в разделе “Приобретение” на сайте КриптоПро.

Как используют программу

Разработчик на сайте указывает, что такое КриптоПро, — это разработанная одноименной компанией линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров, средство криптографической защиты информации (СКЗИ). Эта программа защищает информацию через шифрование и создание электронных подписей (ЭП). Без применения таких программ использование ЭЦП становится невозможным.

Эти сертификаты подтверждают значимость и статус электронных документов при работе:

• с электронными площадками;
• электронной отчетностью;
• клиент-банками;
• при обмене между пользователями в сети.

Криптографическая защита основана на исполнении нацстандартов в этой области:

• ГОСТ Р 34.10-2012 (взамен 34.10-2001) об ЭЦП;
• ГОСТ Р 34.11-2012 (сменил 34.11-94) о кэшировании;
• ГОСТ 28147-89 об алгоритме криптопреобразования.

Компания ввела в действие программные модули CryptoPro Cryptographic Service Provider (CSP), которые совместимы с интерфейсом Microsoft. Простыми словами, КриптоПро — программа, которая шифрует, защищает информацию и хранит секретные ключи.

Сервис сертификата электронной подписи

Из доступных в электронной форме услуг установите сертификат КриптоПро для ЭЦП. Получите юридически значимую подпись, которая проверит, зашифрует и дешифрует документы в электронной форме с помощью сертификата.

Через вкладку «Услуги» откроем «Сервис электронной подписи».

Сервис электронной подписи (СЭП) предназначен для шифрования и расшифрования электронных документов, формирования запросов на создание и управление сертификатами ключей проверки электронной подписи, создания и проверки электронной подписи различного формата криптографических сообщений.

Предлагаются два режима использования ключей ЭП:

• серверный («облачный»). В этом случае никаких дополнительных компонент на рабочее место пользователя устанавливать не требуется, электронная подпись создается на сервере СЭП;
• локальный (DSS Lite). Ключи создаются и используются на рабочих местах (ключевых носителях) пользователей.

Чтобы работать с «облачным» режимом, понадобится криптографический модуль.

Локальный режим позволяет подписывать документы всех распространенных форматов на различных платформах с использованием средства ЭП, установленного на устройстве пользователя.

Для использования требуется установка программного обеспечения.

Для загрузки и проверки электронной подписи на web-страницах с применением КриптоПро CSP понадобится плагин. Он предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах и поддерживает работу с широким набором алгоритмов, как встроенных в операционную систему, так и доустановленных дополнительно.

Просто следуйте указаниям.

Бесплатная установка КриптоПро

Помните, что бесплатная (демонстрационная) версия программы доступна ограниченное количество времени (90 дней), во течение которого функционал неограничен. Бесплатная версия программы доступна только для тех, кто впервые устанавливает ПО на компьютер. Если ранее на вашем компьютере уже стояло ПО КриптоПро, данная версия активирована не будет. Чтобы понять, как установить программу КриптоПро на компьютер бесплатно, обратитесь на официальный сайт разработчика.

Имея необходимые сведения, используем программу в демонстрационном режиме. Вот инструкция, как бесплатно пользоваться КриптоПро:

Шаг 1. Загружаем файлы через продукты и вкладку СКЗИ «КриптоПро CSP».

Шаг 2. Пройдем предварительную регистрацию и ответим на несколько вопросов. Заполняем поля и отправляем запрос на регистрацию, совершаем дальнейшие действия, следуя подсказкам.

Шаг 3. Выбираем продукт, который соответствует операционной системе компьютера, и скачиваем его. Загружается быстро. Запускаем программный файл с расширением. ехе. Программная система безопасности предупредит о том, что в компьютер внесут изменения. Если согласны, нажимаем «Установить». Загружается модуль.

После того как установили последнюю версию, работайте с программой сразу. Если загружали предыдущие версии, перезагрузите компьютер сразу или отложите это действие.

Получается, что бесплатно установить СКЗИ КриптоПро — это означает не вводить серийный номер.

Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.

Теперь вы знаете, как пользоваться КриптоПро бесплатно.

Хронология вебинара

• Требования законодательства по ИБ (ЕБС, КИИ, ПДн, ГИС и др.) 5:39
• Какие бизнес-потребности удовлетворяет, где можно использовать 15:55
• Преимущества от внедрения КриптоПро NGate для потребителя, администратора и руководителя 17:25
• На чём основано решение КриптоПро NGate 20:46
• Примеры практического применения КриптоПро NGate 22:54
• Статус по сертификации 25:47
• Режимы работы 27:07
• Поддерживаемые методы аутентификации 31:12
• Состав компонентов и схемы внедрения 33:15
• Производительность 34:57
• Интеграция с корпоративными системами 36:07
• Планы дальнейшего развития продукта 37:10
• Ценовая политика, что входит в цену конечного решения 38:37

Демонстрация реальной работы

• Демонстрация работы КриптоПро NGate в режиме TLS-терминатора 52:40
• Демонстрация работы КриптоПро NGate в режиме VPN доступа 54:39
• Демонстрация работы КриптоПро NGate в режиме Портального доступа 56:30

Как получить электронную подпись

Можно использовать простую электронную подпись и без информационной системы. Для этого надо подписать с контрагентом соглашение об обмене документами по электронной почте с использованием такой подписи. В качестве подписи используется адрес электронной почты и пароль к определенному почтовому ящику.

Дополнительные материалы

• Листовка А4 об основных преимуществах КриптоПро NGate (подготовлена в марте 2021 г.)
• Брошюра с описанием решения – КриптоПро NGate (подготовлена в октябре 2018 г.)

Представленные материалы подготовлены в апреле 2018 г

• КриптоПро NGate новый взгляд на удаленный доступ в компании
• Что внутри и когда оно случится (про криптографию и сертификацию)
• Технические детали
• Схемы интеграции
• Схема лицензирования

Демонстрация клиента КриптоПро NGate для телефона

Вы можете самостоятельно убедиться в простоте и удобстве клиентской части, установив приложение КриптоПро NGate на ваш телефон. Приложение уже настроено на живую демонстрацию работы с подключением к тестовому стенду ng-test. cryptopro. ru и отображением «закрытых ресурсов организации» в соответствии с настройками доступа.

Демонстрационная версия приложения

Различные типы и характеристики аппаратных платформ