КриптоПро | КриптоПро ЭЦП — Использование

Возможности криптопровайдера

КриптоПро применяется для генерации ЭЦП (простой, неквалифицированной или квалифицированной), работы с сертификатами, организации структуры PKI и т. д. Для пользователя это означает, что программа позволяет в полной мере использовать электронную подпись для подтверждения различных документов при:

Кроме того, криптопровайдер использует инфраструктуру управления открытыми ключами (PKI). С ее помощью пользователи ОС Microsoft Windows могут с помощью стандартного ПО операционной системы управлять криптографической защитой в приложениях, поддерживающих PKI.

КриптоПро соответствует всем принятым российским стандартам и находится в списке средств криптографии, утвержденном ФСБ РФ.
Как установить и пользоваться КриптоПро

Без криптопровайдера не получится работать с электронной подписью. Поэтому перед тем, как настроить ЭЦП на компьютере, Крипто Про необходимо установить. Программа может поставляться сразу с сертификатом или скачивается на сайте разработчика или УЦ, выпустившего электронную подпись.

Установка программы не представляет особой сложности — она поддерживает все основные операционные системы и браузеры, поэтому использование дополнительных приложений не требуется. Инсталляция выполняется под правами администратора. Дополнительные настройки устанавливаются в зависимости от особенностей использования ЭЦП согласно руководству разработчика. По завершению процесса компьютер необходимо перезагрузить.

Разработчик предоставляет возможность использования демо-программы, действующей в течение 90 дней с момента установки. Для дальнейшей работы с ЭЦП потребуется приобрести платную версию — с ценой лицензии Крипто Про можно ознакомиться на сайте разработчика.  
Установка ЭП в КриптоПро

Для использования электронной подписи помимо криптопровайдера необходимы корневой сертификат УЦ и личный сертификат ЭП, выдающиеся удостоверяющим центром на каком-либо носителе. Последний инсталлируется средствами КриптоПро. Но прежде необходимо установить драйвера USB-токена(предоставляются УЦ или скачиваются с официальных сайтов), чтобы компьютер распознал ваш ключ.

Как установить электронную подпись в Крипто Про (личный сертификат):

При установке ЭЦА на устаревших операционных системах операция выполняется через кнопку “Установить личный сертификат» в вкладке «Сервис» программы. Пути к ключу и хранилищу указываются вручную через «Обзор».

Корневой сертификат выдается УЦ или скачивается на официальном сайте удостоверяющего центра. Для установки его достаточно загрузить на компьютер, открыть файл и нажать кнопку «Установить сертификат». После чего следовать инструкциям мастера импорта. После завершения всех операций рекомендуется проверить корректность установки — в Крипто Про в окне просмотра сертификата ЭП при нажатии кнопки «Свойства» во вкладке «Путь сертификации» должны присутствовать все корневые сертификаты УЦ.  Это обязательное условие для нормального использования электронной подписи.

Без корневого сертификата ключ ЭЦП не будет признан действительным, так как проверить его подлинность невозможно. Поэтому программа будет выдавать ошибку и не даст подписать документ. 

Возможные проблемы

При установке программы или сертификатов ЭЦП возможны сбои и появление различных ошибок, связанных с некорректным выполнением операций. В этом случае рекомендуется обращаться в УЦ, где была изготовлена электронная подпись. 

В компании «Ленпромаудит» предусмотрена всесторонняя помощь и техническая поддержка для ЭЦП, выпущенных нашим удостоверяющим центром. Обращайтесь к нам, и вас не будет беспокоить вопрос, как добавить подпись в Крипто Про, выбрать драйвер USB-токена или установить корневой сертификат.

Наши специалисты возьмут на себя решение всех проблем, возникших при установке, настройке или использовании криптопровайдера, его плагинов и компонентов. Большинство операций проводим дистанционно, с помощью программы TeamViewer, обеспечивающей удаленный доступ к вашему компьютеру.

Встраивание криптопро csp в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.

Доказательство действительности сертификата ключа подписи на момент подписи

Наличие доказательств подлинности ЭЦП в подписанном документе позволяет подтвердить действительность сертификата ключа подписи. Дополнительный штамп времени удостоверяет время сбора доказательств подлинности, а следовательно, позволяет удостовериться в действительности подписи даже если не только сертификат ключа подписи был аннулирован (отозван), но и если аннулирован или отозван был сертификат ключа подписи службы актуальных статусов или сертификаты промежуточных УЦ.

Доказательство момента подписи документа

Штамп времени, полученный на ЭЦП, удостоверяет время создания ЭЦП для последующего разрешения конфликтов, связанных с использованием электронного документа.

Достоинства крипто про

Крипто Про устанавливается на компьютер (или сервер) пользователя и обеспечивает формирование ЭП, контроль целостности используемого ПО и защиту конфиденциальности информации при ее передаче. Разноплановые модули могут идти в составе ПО или устанавливаться отдельно.

Так, к дистрибутиву предусмотрен дополнительный плагин КриптоПро ЭЦП Browser plug-in, встраивающийся в операционную систему и обеспечивающий использование ЭЦП на электронных площадках. Он подгружает подписанные данные из криптопровайдера и позволяет создавать и проверять электронную подпись на веб-страницах всех современных браузеров — Yandex, Google, Mozilla, Explorer и т.д.

Другие варианты использования

Область других возможных вариантов применения усовершенствованной ЭЦП очень широка. Например, усовершенствованная ЭЦП может использоваться для долговременного хранения подписанных документов в тех случаях, когда необходимо выполнять проверку по истечении существенно длинных промежутков времени после создания ЭЦП.

Это может быть удобным при организации архивов электронных документов. Отсутствие необходимости сетевых обращений может оказаться полезным в системах, где подобные обращения по тем или иным причинам недоступны либо невозможны, например, в силу установленного режима безопасности.

Данный формат включает в себя:

Усовершенствованная ЭЦП может храниться как вместе с подписанным документом (в том же файле) так и отдельно от него (в отдельном файле).

Зачем нужна программа «криптопро csp»?

Для безопасности и конфиденциальности электронной подписью можно пользоваться только с помощью специальных средств криптографической защиты. Они работают через программу-посредника — криптопровайдера. Таким является и Криптопро CSP.

Программа выполняет несколько функций:

• создает электронную подпись;
• проверяет электронную подпись;
• дает возможность установить пин-код, не зная который подписать документ нельзя;
• шифрует текст документа, прежде чем он попадет в интернет;
• защищает подпись от подмены и компрометации.

Инструментарий разработчика capicom

CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C , JavaScript, VBScript и среды разработки Delphi.

Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.

Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:

Инструментарий разработчика криптопро csp sdk

КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Для этих целей в комплект поставки включается Руководство программиста (csp_2_0.chm, tls_2_0.chm для версии 2.0, CSP_3_0.chm, SSPI_3_0.chm, CAPILite_3_0.chm для версии 3.0), описывающее состав функций и тестовое ПО (sample2_0.zip для версии 2.0 и SDK для версии 3.0).

Руководство программиста и тестовое ПО для версии 3.6 доступны на странице загрузки.

Онлайн-версия руководства программиста для версии 3.6 также доступна на нашем сайте:

Тестовое ПО разработано с использованием компиляторов Microsoft Visual C (версия 2.0) и Microsoft Visual Studio .NET (для 3.0).

Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.

В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.

Вы также можете получить уже скомпилированную тестовую программу csptest2_0.exe для версии 2.0 или SDK для версий 3.0 и выше.

Использование cryptoapi

Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

На рисунке ниже приведена общая архитектура криптографических функций.

Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:

Использование sspi

Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

Использование криптопро csp в по microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

Классические пассивные usb-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Криптопро csp — это средство криптографической защиты данных

Среди списка доступных продуктов на официальном сайте есть КриптоПро CSP, а что это за программа, можно понять исходя из ее функциональных возможностей:

КриптоПро CSP — это многофункциональная программа, представленная в двух версиях: клиентская и серверная. В первом случае ПО устанавливают локально на ПК. Вторая версия CSP на сайте КриптоПро предполагает инсталляцию СКЗИ на севере организации, что открывает больше возможностей перед пользователями. Подходит ПО для операционных систем Linux LSB 3.1 и выше, Windows Vista до Windows 10, Mac OSX 10.7/8 или выше.

Криптопро. ру: сайт и его владелец

CryptoPro начала свою деятельность в 2000 году и сегодня входит в число лидеров среди организаций, разрабатывающих средства криптозащиты информации и электронных цифровых подписей. Она выдала свыше 4 миллионов лицензий на применение СКЗИ.

При создании средств защиты данных компания придерживается международных стандартов. За счет этого клиентам доступны только качественные программные продукты, соответствующие ФАПСИ и установленным ГОСТам.

Разработки CryptoPro распространяют более 850 дилеров. С каждым годом количество партнеров компании растет, как и количество клиентов. В их число входят такие банки, как «ВТБ», «Лукойл», «Рапида», «Альфа-Банк» и другие. Организации делают выбор в пользу сотрудничества с CryptoPro по следующим причинам:

• богатый опыт в разработке, использовании и сопровождении средств защиты информации;
• интеграция предлагаемого ПО с большинством популярных IT-решений;
• обучение по применению софта;
• предоставление консалтинговых услуг;
• наличие наград в отраслевой сфере, в том числе премия «За укрепление безопасности России».

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем.

Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Обязательно ли использовать криптопро csp?

ФСБ России установила правило: использовать электронную подпись без средств криптографической защиты нельзя. Кроме того, они должны соответствовать ГОСТу.

В России популярны два криптопровайдера: Криптопро CSP и ViPNet CSP. Они сертифицированы ФСБ России. Это значит, что подойдут для работы с электронной подписью.

Отсутствие необходимости сетевых обращений

Доказательства подлинности, входящие в состав усовершенствованной ЭЦП, включают в себя полный набор данных и сертификатов, необходимый для проверки ЭЦП.

При этом полностью решается весь круг потенциальных проблем, связанных с необходимостью сетевых обращений — необходимость в подобных обращениях отпадает, поскольку все необходимые данные уже присоединены к ЭЦП.

Официальный сайт криптопро

Официальный сайт КриптоПро. ру содержит исчерпывающую информацию об используемых методах и технологиях при создании продуктов, сведения о самом разработчике, а также условия сотрудничества для партнеров.

Официальный сайт КриптоПро включает раздел «Продукты», где пользователям представлены программы криптографической защиты информации, в том числе с USB-ключами и смарт-картами. Здесь же размещен список доступных систем идентификации.

Плагин крипто про эцп browser plug-in

Плагин поддерживает все популярные операционные системы — Microsoft Windows, Linux, iOS, Android, Apple MacOS и другими ОС, работает со всеми стандартными приложениями — клиент Microsoft Outlook, офисным пакетом Microsoft Office, продуктами Adobe и т.д.

Плагин распространяется бесплатно.

Поддерживаемые алгоритмы

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Техподдержка на сайте криптопро

На официальном сайте ООО «КриптоПро» доступна ссылка для перехода на портал технической поддержки. Отдельно представлены инструкции для пользователей и ответы на часто задаваемые вопросы. Дополнительно можно ознакомиться с регламентами оказания техподдержки, со сроками выполнения работ по установке и обновлению ПО, обслуживанию оборудования.

Установка дистрибутива и криптопро ключа

Установку дистрибутива CSP  с официального сайта КриптоПро проводят с правами администратора. Процесс инсталляции подразумевает несколько шагов:

1. Запуск диска с программами на ПК и выбор дистрибутива в соответствии с операционной системой компьютера.
2. В приветственном окне программы-установщика нажимаем кнопку «Далее». Будет предложено зарегистрировать считыватели ключевой информации или выполнить настройку используемых служб хранения ключей.
3. После установки нужных параметров начнется инсталляция дистрибутива. По завершении процесса система выведет соответствующее уведомление. После чего компьютер нужно перезагрузить.

Для добавления КриптоПро ключа, в разъем ПК устанавливают съемный носитель и запускают установленную программу от имени администратора, переходят во вкладку «Оборудование». В меню панели выбирают «Настроить типы носителей» — «Управление ключевыми носителями».

В отобразившемся списке выбирают нужный аппаратный ключ, нажимают на кнопку «Добавить». Автоматически запускается программа-установщик. В ней вновь выбирают нужный ключевой носитель, нажимают кнопку «Далее», указывают имя ключа и разметку карты, ожидают завершения процесса инсталляции.

Функции кодирования/декодирования

Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680.

К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему.

В общем случае создание защищенной автоматизированной системы — это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации.

В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

• Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
• Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
• Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
• Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
• Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
• Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
• Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
• Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.