Что такое скзи криптопро
Всё, что нужно знать о КриптоПро CSP
Бумажный документооборот уходит в прошлое. Постепенно взаимодействие между юридическими лицами, государственными органами и даже физлицами переходит в электронный вид. Но подписывать электронные документы по-прежнему надо. Только не собственноручной подписью, а электронной.
Все, кто знаком с юридически значимым электронным документооборотом и технологией электронной подписи, слышали о КриптоПро. Рассказываем что это такое, зачем нужно, где применяется и как установить.
Компания КриптоПро что это и зачем
КриптоПро – это компания-лидер на рынке средств криптографической защиты информации. Программные и аппаратные продукты КриптоПро применяются государственными органами и коммерческими организациями для работы в системах электронного документооборота.
КриптоПро – это компания c большим опытом по разработке софта для информационной защиты на базе СКЗИ – криптографических технологий.
Поэтому на вопрос «КриптоПро: что это и зачем?» ответить просто: к услугам компании прибегают, когда нужно купить софт для сохранения конфиденциальности информации, что необходимо при её передаче в сети интернет.
КриптоПро CSP: что это за программа
Самым распространённым решением для работы с электронной подписью является программа КриптоПро CSP.
Программное обеспечение КриптоПро CSP – это обязательный атрибут ЮЗЭДО, который называют средством электронной подписи. Оно нужно для создания и проверки ЭП согласно 63-ФЗ.
Программа КриптоПро CSP также называется криптопровайдером, то есть программой для осуществления криптографической защиты. Аббревиатура CSP расшифровывается на английском языке как «cryptography service provider». Криптопровайдер зашифровывает информацию, благодаря чему сохраняется конфиденциальность данных при передаче в сети Интернет.
Под криптопровайдером также понимается модуль в ОС компьютера владельца ЭП, который позволяет осуществлять криптографические операции: создание подписи, зашифровку и защиту данных.
Алгоритм работы программы
Итак, криптопровайдер устанавливается на компьютер пользователя ЭП. Что делается программой? Она обращается к сертификату ЭП на компьютере, токене или других носителях и подписывает документы.
Стоит помнить, что сама по себе ЭП неполноценна без закрытого ключа и настройки ключевой связки. Поэтому CSP КриптоПро сначала проверяет подпись, подтверждает её корректность. Потом зашифровывает и отправляет документ.
Программное обеспечение разработчика есть в двух частях: клиентское и серверное. Первое устанавливается на компьютер пользователя. Второе – на сервер организации.
Для чего нужна программа КриптоПро CSP
Ответить на вопрос, для чего понадобится КриптоПро CSP, просто. Это все случаи, когда требуется применение именно усиленной квалифицированной ЭП, а не какой-либо ещё.
Приведём лишь неполный список, для чего она нужна:
— для работы на государственных порталах;
— отправки отчётности в налоговую и другие госорганы;
— для регистрации онлайн-кассы в налоговой;
— для работы с ЕГАИС, маркировкой и ФГИС Меркурий;
— электронного документооборота с контрагентами;
— участия в электронных торгах.
Что КриптоПро умеет
Итак, КриптоПро – это программа, которая шифрует, защищает информацию, а также хранит секретные ключи. Вот полный список, того, для чего эта программа нужна:
— создание ключа ЭП и его проверки;
— шифрование данных и сохранение их конфиденциальности при передаче;
— аутентичность соединений и протоколов;
— контроль целостности ПО на ПК;
— защита от внешних проникновений и нелегальных изменений в пользовательской информации.
Как установить программу
Нужной версией КриптоПро CSP на сегодняшний день является издание не ниже 4.0. Именно оно и последующие являются сертифицированными для работы с квалифицированным сертификатом ключа проверки ЭП.
Нужную версию программы – 4.0 – можно скачать двумя способами.
Первый – с сайта компании-разработчика. Для загрузки нужно зарегистрироваться на сайте.
Второй – в личном кабинете компании Такском. После входа в ЛК нужно перейти в раздел «Управление услугами» → «АРМ» → «Плагины, дополнения» → «Утилита установки КриптоПро». Для загрузки надо ввести логин и пароль (находятся в «Карточке настройки ПО для представления отчётности»).
Во время установки требуется принять условия лицензионного соглашения. По завершению установки программы – перезагрузить компьютер.
Отметим также, что использование программы бесплатно можно только в течение тестового периода – три месяца. В дальнейшем нужно приобрести лицензию на программу CSP КриптоПро. Приобретать её лучше заблаговременно.
Если лицензия куплена, то в процессе установки нужной версии КриптоПро CSP потребуется ввод серийного номера с бланка лицензии.
FAQ и инструкцию по установке можно посмотреть здесь, на странице техподдержки. На этой же странице вы найдёте ответы на такие вопросы:
— Срок действия КриптоПро истёк – что это?
— Как обновить КриптоПро CSP и что для этого нужно?
— Куда вводить серийный номер лицензии?
— Как удалить КриптоПро типа CSP?
— Как установить личный сертификат КриптоПро и что это за процедура?
Приобрести лицензию на программу можно у Такском
Такском имеет статус официального дилера продуктов торговой марки КриптоПро. Статус даёт право на распространение, внедрение и сопровождение программ для ЭВМ. Сведения о Такском как об официальном дилере числятся в списке партнёров на о сайте КриптоПро.
Такском является одним из ведущих операторов ЭДО, а его Удостоверяющий центр — крупнейший аккредитованный центр по выдаче сертификатов ЭП в России.
Лицензию КриптоПро CSP можно приобрести в УЦ Такском. Нужную версию КриптоПро CSP уточняйте в специальном разделе сайта. Такском предлагает как клиентские, так и серверные решения, сроком на год или бессрочные.
Итак, мы уже сказали, что нужную КриптоПро CSP лицензию можно купить у Такском. Это делается в 4 простых шага:
— В разделе «Средства защиты информации и токены» выбираете тот тип лицензии, что нужен вам, и нажимаете «В корзину».
— Заполняете регистрационную карту и отправляете её.
— На указанный вами адрес электронной почты поступят счета на оплату и инструкции по получению серийного номера лицензии на КриптоПро типа CSP.
Программа КриптоПро – далеко не единственный инструмент для работы, который предоставляет Такском. На сайте компании можно выбрать электронную подпись. В каталоге компании есть ЭП для различных целей и площадок: для участиях в торгах, получения госуслуг и сдачи отчётности, систем ЭДО и для физических лиц. Также компания реализует защищённые носители (токены). Каждый посетитель сайта найдёт то, что ему нужно. Если нет – специалисты техподдержки Такском с удовольствием ответят на все возникшие вопросы.
Что такое скзи криптопро
Использование КриптоПро CSP позволяет решить сразу несколько задач:
Использование КриптоПро CSP в ПО Microsoft
К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:
Встраивание КриптоПро CSP в приложения
Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).
Цели использования криптографических функций
Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему. Однако следует отметить, что использование криптографии ни в коем случае не исключает применение организационно-технических мер защиты.
Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.
Использование CryptoAPI
Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:
На рисунке ниже приведена общая архитектура криптографических функций.
Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:
Базовые криптографические функции
Функции кодирования/декодирования
Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680.
К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.
Функции работы со справочниками сертификатов
Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.
Высокоуровневые функции обработки криптографических сообщений
Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:
Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.
Низкоуровневые функции обработки криптографических сообщений
Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.
Использование SSPI
Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:
Инструментарий разработчика CAPICOM
CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.
С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi.
Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.
Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:
Инструментарий разработчика КриптоПро CSP SDK
КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.
Для этих целей в комплект поставки включается Руководство программиста (csp_2_0.chm, tls_2_0.chm для версии 2.0, CSP_3_0.chm, SSPI_3_0.chm, CAPILite_3_0.chm для версии 3.0), описывающее состав функций и тестовое ПО (sample2_0.zip для версии 2.0 и SDK для версии 3.0).
Руководство программиста и тестовое ПО для версии 3.6 доступны на странице загрузки.
Онлайн-версия руководства программиста для версии 3.6 также доступна на нашем сайте:
Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.
В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.
Вы также можете получить уже скомпилированную тестовую программу csptest2_0.exe для версии 2.0 или SDK для версий 3.0 и выше.
Что такое скзи криптопро
Данная страница перенесена в архив.
Актуальную информацию можно узнать в разделе по ссылке.
КриптоПро ФКН CSP 3.9 — средство криптографической защиты информации (СКЗИ), которое позволяет вывести защиту секретного ключа пользователя на качественно новый уровень и увеличить срок его действия до 3-х лет.
СКЗИ КриптоПро ФКН CSP 3.9 реализовано с использованием архитектуры ФКН и дополнительно содержит набор ограничительных счётчиков, позволяющих существенно ограничивать возможности реализации атак, связанных с опробованием значений пароля (PIN-кода).
Аппаратные средства
КриптоПро ФКН CSP 3.9 используется со смарт-картой или USB-ключом JaCarta CryptoPro российской компании «Аладдин Р.Д.». Устройства содержат в своём составе смарт-карточный микроконтроллер, имеющий защиту от клонирования, взлома, физических, логических, статистических, переборных и стрессовых атак, атак с использованием специальных зондов и т.д. Высокие защитные качества микроконтроллера и операционной системы подтверждаются сертификатом соответствия профилю защиты Security IC Platform Protection Profile, версия 1.0. Оценка соответствия выполнена по методике Common Criteria (версия 3.1, ревизия 3). Достигнутый уровень доверия — EAL 5+.
Области применения
СКЗИ КриптоПро ФКН CSP 3.9 предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной подписи, например:
Криптографические решения. От криптопровайдеров до браузерных плагинов
Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.
С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.
Общая схема классификации приведена в таблице:
| Криптопровайдеры | Нативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы) | Локальные прокси | Браузерные плагины | Облачная подпись | Браузеры с российской криптографией |
| Почтовые клиенты с российской криптографией | Российская криптография в фреймворках, платформах, интерпретаторах | Настольные криптографические приложения | Криптография в BIOS UEFI | Сервис-провайдеры ЭЦП | Эмуляторы доверенной среды |
| Аппаратные средства |
В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.
Криптопровайдеры
Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.
Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.
Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.
Нативные библиотеки
OpenSSL-style
Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.
После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.
PKCS#11
Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.
Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.
В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.
Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.
Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.
PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.
Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.
У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:
Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.
NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.
В данный момент существуют два проекта по «гостификации» NSS:
Библиотеки c собственным интерфейсом
Локальные прокси
Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.
Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).
Браузерные плагины
Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.
Кроссбраузерные плагины
ActiveX
Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.
В следующих статьях будут подробно рассмотрены оставшиеся решения.
СКЗИ для работы с электронной подписью: виды, особенности и стандарты
Федеральный закон «Об электронной подписи» № 63-ФЗ от 06.04.2011 относит СКЗИ к средствам электронной подписи, то есть средствам, которые используются, в частности, для создания и проверки ЭП. Фактически это программа, работающая при создании электронной подписи во взаимодействии с закрытым ключом ЭП, который хранится на специальном защищённом носителе, получаемом владельцем электронной подписи при оформлении сертификата.
Так на практике выглядит документооборот с ЭП, для которого и нужны СКЗИ:
Какими бывают СКЗИ
Основные типы СКЗИ — программные и аппаратные. Первые создаются в виде отдельной программы, для использования которой нужно её скачать, установить на рабочее место и настроить. Дополнительно устанавливается плагин — программа-посредник для исполнения функций формирования и проверки ЭП при помощи СКЗИ. Аппаратные, точнее программно-аппаратные СКЗИ, уже «вшиты» в токены, на которые дополнительно записываются другие средства (ключи) для ЭП, а также информация о сертификате ЭП и его владельце.
Как выбрать СКЗИ
Созданием СКЗИ занимаются компании, обладающие лицензией на разработку криптографических средств. Самые распространённые и проверенные временем программные криптопровайдеры для работы с электронной подписью — ViPNet CSP и КриптоПро CSP.
Одно из преимуществ первого в том, что он бесплатно предоставляется в удостоверяющем центре «Инфотекс Интернет Траст» при оформлении сертификата электронной подписи. КриптоПро CSP нужно скачивать отдельно. Бесплатно он предоставляется только для ознакомления, затем необходимо покупать лицензию.
В большинстве систем и направлений, в которых используется электронная подпись, альтернативно можно работать и с ViPNet CSP, и с КриптоПро CSP. Но при необходимости использования разных СКЗИ (ограничение может быть установлено сайтом или системой) каждый из криптопровайдеров предпочтительно установить на отдельное рабочее место, чтобы избежать возможной несовместимости и технических сбоев.