Сертифицированное СКЗИ «КриптоПро CSP» версии 5. 0 R2 теперь поддерживает совместную работу с Яндекс. Браузером (для обеспечения защиты соединений по протоколу TLS с использованием российских криптографических алгоритмов при доступе к сайтам).
Данное изменение внесено в СКЗИ «КриптоПро CSP» версии 5. 0 R2 в соответствии с Извещениями об изменениях ЖТЯИ. 00101-02. 1-2021, ЖТЯИ. 00102-02. 1-2021, ЖТЯИ. 00103-02. 1-2021 и изучено в рамках тематических исследований, по результатам которых ООО «КРИПТО-ПРО» письмом № 149/3/2/2-2541 от 06. 2021 получило выписку из положительного заключения ФСБ России.
В соответствии с указанной выпиской СКЗИ «КриптоПро CSP» версии 5. 0 R2 поддерживает создание защищенного соединения при работе с веб-браузером Яндекс. Браузер без проведения дополнительных тематических исследований и исследований по оценке влияния при условии выполнения требований эксплуатационной документации согласно формулярам.
OlegIntelcom
Оставлено
:
29 марта 2022 г. 15:48:23(UTC)
Добрый день!Версия КриптоПро 4. 9963 уязвима, более поздние версии КриптоПро 4 несертифицированы. Как нам остаться на сертифицированной версии 4. 9963 и при этом закрыть уязвимость в CryptoPro CSP до 4. 9973. 0 и 5. x до 5. 11729. 0 на 64-битной платформе (CVE-2020-9361)?
13 мая 2019
Компания «КРИПТО-ПРО» получила выписку из положительного заключения ФСБ России по результатам экспертизы тематических исследований СКЗИ «КриптоПро CSP» версии 5. 0 (классов КС1, КС2, КС3). Подробнее о содержании выписки в информационном письме.
Согласно тексту письма № 149/3/2-972 от 07. 2019, ООО «КРИПТО-ПРО» получило выписку из заключения ФСБ России по результатам экспертизы тематических исследований СКЗИ «КриптоПро CSP» версий 5. 0 КС1 исполнение 1-Base, 5. 0 КС2 исполнение 2-Base, 5. 0 КС3 исполнение 3-Base (далее — СКЗИ «КриптоПро CSP» версия 5.
В соответствии с указанной выпиской из заключения СКЗИ «КриптоПро CSP» версия 5. 0 (исполнения 1-Base, 2-Base, 3-Base) в составе согласно формулярам (ЖТЯИ. 00101-01 30 01, ЖТЯИ. 00102-01 30 01, ЖТЯИ. 00103-01 30 01 соответственно) при выполнении операций:
– зашифрование/расшифрование, вычисление имитоставки (в соответствии с ГОСТ 28147-89);
– создание/проверка ЭП (в соответствии с ГОСТ Р 34. 10-2001, ГОСТ Р 34. 10-2012, ГОСТ 34. 10-2018);
– выработка значения хэш-функций (в соответствии с ГОСТ Р 34. 11-94, ГОСТ Р 34. 11-2012, ГОСТ 34. 11-2018);
– создание ключа ЭП/ключа проверки ЭП,
используемых при помощи функций, приведенных в приложении 2 Правил пользования, а также при выполнении криптографических протоколов:
- CMS;
- EFS (только для исполнения 3-Base);
- TLS;
- Ipsec;
- SESPAKE;
- PKINIT (только для исполнения 3-Base),
реализованных с использованием перечисленных выше алгоритмов, удовлетворяет Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну для СКЗИ классов КС1 (версия 5. 0 КС1 исполнение 1-Base), КС2 (версия 5. 0 КС2 исполнение 2-Base) и КС3 (версия 5. 0 КС3 исполнение 3-Base), Специальным требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, и эксплуатируемым на территории Российской Федерации, по уровню КС и Требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27. 2011 г. № 796, для средств ЭП классов КС1 (версия 5. 0 КС1 исполнение 1-Base), КС2 (версия 5. 0 КС2 исполнение 2-Base) и КС3 (версия 5. 0 КС3 исполнение 3-Base).
СКЗИ «КриптоПро CSP» версия 5. 0 разрешается эксплуатировать до 01 мая 2024 года.
Использование «КриптоПро CSP» версия 5. 0 для формирования электронной подпись по ГОСТ Р 34. 10-2001 после 31 декабря 2019 года не допускается.
В CSP 5. 0 добавлена поддержка платформы Android, функциональных ключевых носителей (с защитой взаимодействия с помощью стандартизированного протокола SESPAKE), а также облачных токенов.
Эксплуатация ПАК «КриптоПро УЦ» версии 2. 0 осуществляется в соответствии с требованиями, изложенными в эксплуатационной документации на данный продукт.
Основными существенными условиями эксплуатации являются:
- Эксплуатация серверных компонент должна осуществляться на выделенных, не виртуализированных, серверах.
- Сервера должны размещаться в выделенной компьютерной стойке, но не обязательно в выделенном помещении.
- Все сервера с серверными компонентами ПАК «КриптоПро УЦ» и рабочие места с установленным компонентом «АРМ обслуживающего персонала» должны быть оборудованными сертифицированными ФСБ России средствами защиты от несанкционированного доступа типа «электронный замок».
- Все сервера с серверными компонентами ПАК «КриптоПро УЦ» должны находиться в защищённой подсети, образованной с использованием сертифицированного ФСБ России межсетевого экрана.
- Все компоненты ПАК «КриптоПро УЦ» должны быть защищены антивирусным программным обеспечением.
На компонентах Центр сертификации и Центр регистрации должно быть организовано периодическое резервное копирование на съёмные носители информации и не должно быть установлено программное обеспечение, не указанное в эксплуатационной документации.
ПАК «КриптоПро УЦ» версии 2. 0 обеспечивает поддержку разных процедур обслуживания пользователей и схем предоставления услуг Удостоверяющим центром (централизованных, распределённых, гибридных). Модульная архитектура и средства автоматизации ПАК «КриптоПро УЦ» позволяют интегрировать УЦ с любыми бизнес-процессами организации и обеспечить изготовление, выдачу и управление сертификатами без реорганизации бизнес-процессов.
Режим централизованной регистрации пользователей. Обслуживание пользователей осуществляется, при их непосредственной явке, уполномоченным сотрудникам из числа обслуживающего персонала УЦ.
Режим распределенной (удаленной) регистрации пользователей. Работа Удостоверяющего центра в данном режиме обеспечивает обслуживание пользователей, территориально удаленных от Удостоверяющего центра. Регистрация пользователей происходит на основании запросов и заявлений на регистрацию, управление которыми осуществляется администратором/оператором Удостоверяющего центра с использованием компоненты «АРМ обслуживающего персонала».
Централизованное управление ключами и сертификатами ключей пользователей. При работе комплекса в данном режиме, уполномоченные сотрудники из числа обслуживающего персонала УЦ, формируют для пользователей ключевые носители, содержащие ключи (подписи и/или шифрования), сертификаты, и передают пользователям лично или по доверенным каналам связи.
Распределенное управление пользователями личными ключами и сертификатами ключей. В данном режиме, пользователи посредством программного обеспечения «АРМ пользователя», имеют возможность на своем рабочем месте выполнить генерацию ключей, сформировать запрос на сертификат и отправить данный запрос в Удостоверяющий центр. Дальнейшее управление запросами и выпуском сертификатов осуществляется уполномоченными сотрудниками из числа обслуживающего персонала УЦ с использованием компоненты «АРМ обслуживающего персонала».
Функциональные возможности ПАК «КриптоПро УЦ» позволяют работать также и в комбинированных/гибридных режимах (например, совмещая централизованную и распределенную модель регистрации пользователей и управления сертификатами ключей), достигая необходимых требований политики предприятия и бизнеса.
ПАК «КриптоПро УЦ» версии 2. 0 имеет программный Интерфейс Внешних Приложений (ИВП), выполненный в виде SOAP-сервиса с доступом по TLS с двусторонней аутентификацией. Использование ИВП и интеграция с прикладными автоматизированными информационными системами (например, «Банк-Клиент», СЭД и т. ) позволит сделать управление пользователями своими сертификатами крайне простым и удобным. Так же через ИВП происходит интеграция с бухгалтерскими, биллинговыми и прочими системами, что существенно снижает эксплуатационные расходы на применение систем с технологией PKI.
Операционная платформа компонент для ПАК “КриптоПро УЦ” 2
Программные компоненты ПАК «КриптоПро УЦ» версии 2. 0 могут эксплуатироваться на следующих ОС:
Компонент УЦWindows Server 2008 R2/2012/2012 R2Windows 7/8/8. 1Windows XP/Vista
Центр Сертификации «КриптоПро УЦ»+–
Центр Регистрации «КриптоПро УЦ»+–
Консоль управления Центра Регистрации++-
АРМ разбора конфликтных ситуаций++-
АРМ пользователя (веб-портал)+++
Поддерживаемые на компонентах УЦ средства криптографической защиты информации
Для уровня защиты КС2:
Компонент УЦВариант исполнения 1Вариант исполнения 5
Центр Сертификации «КриптоПро УЦ»КриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 2ПАКМ «КриптоПро HSM» (для хранения ключей УЦ)КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 2-Base
Центр Регистрации «КриптоПро УЦ»КриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 2КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 2-Base
Консоль управления Центра РегистрацииКриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 2КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 2-Base
АРМ разбора конфликтных ситуацийКриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 2КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 2-Base
АРМ пользователя (веб-портал)КриптоПро CSP 3. 6, 3. 9, 4. 0КриптоПро CSP 3. 6, 3. 9, 4
Для уровня защиты КС3:
Компонент УЦВариант исполнения 2Вариант исполнения 6
Центр Сертификации «КриптоПро УЦ»КриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 3 совместно с пакетом Secure Pack Rus 3. 0ПАКМ «КриптоПро HSM» (для хранения ключей УЦ)КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 3-Base
Центр Регистрации «КриптоПро УЦ»КриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 3 совместно с пакетом Secure Pack Rus 3. 0КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 3-Base
Консоль управления Центра РегистрацииКриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 3 совместно с пакетом Secure Pack Rus 3. 0КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 3-Base
АРМ разбора конфликтных ситуацийКриптоПро CSP 3. 9 (ЖТЯИ. 00083-01) исполнение 3 совместно с пакетом Secure Pack Rus 3. 0КриптоПро CSP 4. 0 (ЖТЯИ. 00088-01) исполнение 3-Base
АРМ пользователя (веб-портал)КриптоПро CSP 3. 6, 3. 9, 4. 0КриптоПро CSP 3. 6, 3. 9, 4