Как работает крипто программа

Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.

ВИДЕО ГАЙД, С ЧЕГО НАЧАТЬ НОВИЧКУ В КРИПТОВАЛЮТЕ !

• Рассмотрены в основном СКЗИ, использующиеся на клиентских местах для защиты клиент-серверных соединений по протоколу TLS, для организации ЭЦП, шифрования передаваемых данных;
• Не рассматриваются СКЗИ, применяемые для создания VPN и шифрования файловой системы, хранимых данных, а так же УЦ;
• Отдельно выделены аппаратные криптографические устройства.

• технологий интеграции (CryptoAPI, Active-X, NPAPI и др.), которые поддерживают СКЗИ для встраивания в приложения и прикладные системы;
• интерфейсов, которые предоставляют СКЗИ для встраивания в приложения и прикладные системы.

Общая схема классификации приведена в таблице:

Криптопровайдеры	Нативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы)	Локальные прокси	Браузерные плагины	Облачная подпись	Браузеры с российской криптографией
Почтовые клиенты с российской криптографией	Российская криптография в фреймворках, платформах, интерпретаторах	Настольные криптографические приложения	Криптография в BIOS UEFI	Сервис-провайдеры ЭЦП	Эмуляторы доверенной среды
Аппаратные средства

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

ТОП-5: Крипто-приложений (для начинающих)

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.

• Отсутствие нормальной кроссплатформенности;
• Установка с правами администратора, настройка;
• Установка обновления Windows может потребовать обновления провайдера;
• Необходимость встраивания в приложения посредством модификации кода «на лету»;
• CSP — неродной интерфейс для не-Windows-приложений.

• Широкий охват Windows-приложений;
• Богатый инструментарий для разработчиков защищенных систем;
• Апробированная на большом количестве проектов технология.

Нативные библиотеки

OpenSSL-style

Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.

После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.

• OpenSSL и его аналоги не поддерживается приложениями Microsoft;
• Необходимость патчить СПО, которое поддерживает OpenSSL, для включения ГОСТов.

• Кроссплатформенность;
• Использование в огромном количестве проектов, открытые исходники большей части проекта — выявление и устранение уязвимостей (как пример, недавнее выявление heartbleed);
• Распространяется копированием — можно делать приложения, не требующие инсталляции;
• Широкий охват приложений СПО, на базе которых можно делать защищенные сертифицированные продукты;
• Широкая интеграция в фреймворки, но при этом проблемы с ГОСТами.

PKCS#11

Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.

• Функции доступа к устройству;
• Функции записи/чтения произвольных данных;
• Функции работы с ключами (поиск, создание, удаление, импорт, экспорт);
• Функции работы с сертификатами (поиск, импорт, экспорт);
• Функции ЭЦП;
• Функции хэширования;
• Функции шифрования;
• Функции вычисления имитовставки;
• Функции выработки ключа согласования (Диффи-Хeллман);
• Функции экспорта/импорта сессионного ключа;

Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.

В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.

Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.

Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.

PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.

Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.

У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:

Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.

NSS

NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.

В данный момент существуют два проекта по «гостификации» NSS:

• Компания Лисси периодически публикует на своем сайте доступные для скачивания актуальные версии Mozilla Firefox и Mozilla Thunderbird, пересобранные с поддержкой российской криптографии. Кроме того, существует ряд продуктов этой компании, построенный на базе модифицированной библиотеки NSS — высокоуровневая библиотека NSSCryptoWrapper, плагин LCSignPlugin, десктопное приложение для ЭЦП под Android SignMaker-A.
  Следует отметить, что модифицированный специалистами этой компании NSS позволяет использовать как программные PKCS#11-токены, так и аппаратные (Рутокен ЭЦП, eToken ГОСТ, JaCarta ГОСТ, MS_KEY).
• Atoken — это open source проект компании R-Альфа. В рамках проекта создан программный PKCS#11-токен с российской криптографией и выложены патчи для определенной версии NSS и компонента Security Manаger, позволяющие использовать в продуктах Mozilla россиийскую криптографию (TLS, ЭЦП, PKI). Кроме того R-Альфа предлагает реализацию программного PKCS#11-токена с поддержкой сертифицированной библиотеки Агава-С под названием Агава-Про.

Библиотеки c собственным интерфейсом

• Агава-С
• Крипто-C
• Крипто-КОМ

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).

• прокси должен быть запущен;
• приложение должно работать через прокси, нужно «научить» его этому;
• могут использоваться нестандартные порты, отсюда проблемы в файрволом
• если приложение «ходит» через localhost, то, например, в адресной строке браузера прописано localhost… — нестандартно
• дополнительные ограничения на разработку web-сайта — в ряде случаев использование только относительных ссылок, чтобы не «вылететь» из туннеля
• прокси сконфигурирован на проксирование конечной группы сайтов, расширение группы — это обновление клиентского конфига
• работа через внешний прокси требует дополнительного конфигурирования локального прокси, при этом могут быть проблемы с аутентификацией пользователя на внешнем прокси

• решение использует универсальную технологию, поэтому можно не бояться его устаревания;
• решение может применяться на большом числе платформ, в том числе на мобильных платформах;
• кроссбраузерность, поддержка всех WEB-серверов без модификации;
• не требует инсталляции;
• поддержка различных прикладных протоколов.

Браузерные плагины

Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.

Кроссбраузерные плагины

• отсутствие TLS
• удаление NPAPI из Chromium
• браузеры на мобильных платформах не поддерживают плагины
• настройки безопасности IE могут блокировать исполнение плагина

• кроссплатформенность для плагинов на базе PKCS#11
• кроссбраузерность
• плагины на базе PKCS#11 не требуют установки СКЗИ
• прозрачное использование для пользователя

ActiveX

Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.

В следующих статьях будут подробно рассмотрены оставшиеся решения.

• Блог компании «Актив»
• Информационная безопасность
• Криптография

Источник: habr.com

Что такое криптопровайдер

Электронные подписи (ЭП или ранее – ЭЦП) позволяют существенно упростить обмен документами. С помощью них можно получать различные госуслуги или обмениваться документами с партнерами без использования бумажных оригиналов. Но для корректной работы ЭП требуется установить программу – криптопровайдер. Однако далеко не каждый пользователь имеет представление о данном программном обеспечении.

Что такое криптопровайдер простыми словами?

Слово «криптопровайдер» значит специализированный модуль для операционной системы, который служит для выполнения различных криптографических операций. Управление криптопровайдером происходит через специальный интерфейс.

Замечание. Криптопровайдер часто обозначается сокращенно буквами CSP от английского Cryptography Service Provider.

Простыми словами криптопровайдер – это программное обеспечение, то есть посредник, который позволяет операционной системе выполнять шифровальные функции. Еще проще можно сказать, что это специальная программа для работы с ЭП, обеспечивающая соблюдение стандартов (ГОСТ).

Для работы CPS в Windows компания Microsoft разработала специальный интерфейс – CryptoAPI 2.0.

Для работы на некоторых сайтах не требуется CSP, т. к. его функции выполняются на стороне сервера. Простая ЭП может также работать без CSP, но ее возможности существенно ограничены.

Объекты криптопровайдера

Фактически основным объектом выступает ключевой контейнер. Он имеет собственное имя. Для создания или запроса используется специальная функция CryptAcquireContext(…), реализованная в интерфейсе CryptoAPI 2.0.

Каждый ключевой контейнер может содержать:

• максимум 1 пару ключей ЭП;
• максимум 1 пару ключей обмена;
• максимум 1 симметричный ключ.

Вне контейнера может находиться исключительно открытый ключ. Для вычисления хеш-функций используются специальные объекты хеширования. Для их создания наличие контейнера не требуется.

Криптосервисы для устройств под управлением Windows

Начиная с версии Windows 2000, Microsoft встроила в операционную систему Microsoft Base Cryptographic Provider. Он имел существенное ограничение – длина ключа не больше 40 бит. После отмены ограничений на экспорт из США ПО с ключами шифрования большей длины на смену этому провайдеру пришел Microsoft Strong Cryptographic Provider.

К сожалению, стандартные средства MS Windows CSP использовать в РФ практически невозможно. С помощью них нельзя вести обмен с госорганами и т. д. Эти ограничения вызваны отсутствием сертификации у продуктов Майкрософт.

Наиболее распространены в России следующие сторонние криптосервисы:

• КриптоПро. Наиболее популярный в РФ криптопровайдер. Он работает под всеми популярными системами – Windows, Linux, Mac OS. Существует также несертифицированная версия для Android. Но графический интерфейс предлагается исключительно в программе для Windows.
• ViPNet CSP – бесплатный российский криптопровайдер от компании ИнфоТеКС, имеющий все необходимые сертификаты ФСБ. Он выпускается в вариантах для Windows и Linux.
• Signal-COM CSP – российский сертифицированный криптопровайдер, работающий исключительно под Windows. Разработан компанией Сигнал-КОМ.

Криптопровайдер – необходимая для корректной и полноценной работы с ЭП программа. Без нее воспользоваться основными преимуществами электронного документооборота не получится. Хорошо, что выбор криптопровайдеров довольно широк.

Это интересно:

1. Электронная подпись для физических лиц
2. Электронная подпись для торгов на электронных площадках
3. Как сделать электронную подпись для налоговой
4. Доступные виды электронной подписи

Источник: ecp-info.ru

lifeip.ru

Жизнь индивидуального предпринимателя – сайт на простом языке об отчетности ИП

КриптоПро CSP

КриптоПро CSP

11.04.2017 admin Comments 4 комментария

Добрый день дорогие друзья! Сегодня я хочу с Вами рассмотреть очень важный для нашей работы программный продукт КриптоПро CSP. КриптоПро CSP это программа, не бесплатная, которая помогает нам устанавливать наши сертификаты, ну или ЭЦП, ЭП как угодно, смысл один и тот же.

Познакомимся с этой программой поближе. Существует несколько версий данной программы. Версии 3.6, 3.9, 4.0. В добавок существует еще огромное количество модификаций каждой версии.

Версии КриптоПро CSP

Почему используется 3 версии? Почему не оставить всего одну самую последнюю? Ответ очень прост. Каждая версия сделана под определенную операционную систему. Например КриптоПро CSP 3.6 можно установить на Windows 2000 , XP и так далее, но есть предел. Последняя операционная система, на которую Вы можете поставить версию 3.6 — это Windows 8 и Windows 2012.

А что если у Вас скажем Windows 10? Тогда Вам нужно установить 4.0 версию. Каких то особых отличий между 3.9 и 4.0, именно по операционным платформам, нет.

То есть если у Вас Windows 7, то Вам нужно купить версия 3.6, а если Windows 10, то 4.0.

Лицензия на КриптоПро CSP

Л ицензию на КриптоПро CSP обязательно нужно приобретать. Цена лицензии не столь велика, чтобы воровать программу. Тем более КриптоПро не жадная фирма и у нее есть бессрочные лицензии, то есть по принципу «Купил и забыл». Но бывают такие моменты, когда программа потребовалась посреди ночи и срочно, времени купить и возможно нет. Поэтому я расскажу Вам небольшой секрет.

КриптоПро CSP бесплатно!

Вам не показалось! КриптоПро CSP бесплатно все-таки возможно. Ребята, которые написали программу , повторюсь, не жадные и все понимают. Поэтому они сделали Вам подарок в виде пользования их программой бесплатно в течени е трёх месяцев. Но после окончания пробного периода Вам все же придется приобрести лицензию на данный программный продукт .

К ак установить КриптоПро CSP

Т еперь давайте рассмотрим процесс установки программы. Для этого скачаем дистрибутив, распакуем его и откроем. Я буду устанавливать версию 3.6.

Теперь откроем установочный файл, просто 2 раза кликнем левой кнопкой мыши.

Далее видим окно приветствия. Так как у меня уже есть более старая версия, то программа установки предупреждает меня, что старая версия будет заменена на более новую. Просто нажимаем «Далее».

Видим процесс установки.

Программа может Вас предупредить, что возможно, после установки программы, Вам придется перезагрузить компьютер. Поэтому, советую Вам, прежде, чем нажимать что-то, сохраните все открытые документы и закройте все программы, чтобы не потерять данные. Нажимаем «ОК»

После того как программа полностью установится у Вас появится вот такое окно. Просто нажимаем «Готово»

После этого программа спросит у Вас перезагрузиться сейчас или позже? Можете сделать это сейчас, тогда нажмите « OK », если хотите перезагрузить позже, то нажмите «Нет».

Все, на этом установка завершена!

Скачать КриптоПро CSP бесплатно

Вы можете скачать программу с официального сайта, но там нужна предварительная регистрация. Но производитель говорит о том, что установку можно производить только после того, как Вы купите программу или у них, или у партнёров. Все верно они говорят. Но если Вы все таки просто хотите ознакомит ь ся с программой, то Вы можете скачать ее у меня.

Скачать КриптоПро CSP 4.0

Скачать КриптоПро CSP 3.9 R2

Скачать КриптоПро CSP 3.6 R4

Скачать КриптоПро CSP 5.0

Так же обязательно прочитайте мою статью КриптоПро ЭЦП Browser plug-in. Там я рассказываю о том, зачем нужен этот плагин и как он важен для нашей работы с КриптоПро CSP.

Н а этом все! Если у Вас появятся вопросы задавайте их в комментариях! Всем удачи и добра!

Присоединяйтесь к нам в социальных сетях, чтобы самыми первыми получать все новости с нашего сайта!

Рекомендую:

1. КриптоПро ЭЦП Browser plug-in
2. Портал ФСРАР. Плагин не загружен
3. Как распаковать файл
4. КриптоПро CSP 5.0

Источник: lifeip.ru