- Архивное хранение
- Безопасность
- Высокая отказоустойчивость и доступность
- Доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент
- Инструкция по установке криптопро 4.0
- Классические пассивные usb-токены и смарт-карты
- Криптопро
- Лицензия ключ криптопро 4
- Лицензия ключ криптопро 5
- Мониторинг функционирования и доступности
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Проверка подлинности эцп без сетевых обращений
- Состав
- Способы аутентификации
- Требования к окружению
- Усовершенствованная подпись крипто-про. новое средство обеспечения юридической значимости электронных документов
Архивное хранение
Использование усовершенствованной подписи является необходимым условием архивного хранения электронных документов, удостоверенных ЭЦП.
В формате усовершенствованной подписи вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа. Для сохранения юридической значимости электронных документов при архивном хранении остаётся только обеспечить их целостность организационно-техническими мерами.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент
Согласно статье 4 ФЗ «Об электронной цифровой подписи», ЭЦП признаётся равнозначной собственноручной подписи в документе на бумажном носителе при условии, что сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания.
Формат усовершенствованной подписи предусматривает обязательное включение в реквизиты подписанного документа доказательства момента создания подписи и доказательства действительности сертификата в момент создания подписи.
Для доказательства момента подписи используются штампы времени, соответствующие международной рекомендации RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)».
Доказательства действительности сертификата в момент подписи обеспечиваются вложением в реквизиты документа цепочки сертификатов до доверенного УЦ и OCSP-ответов. На эти доказательства также получается штамп времени, подтверждающий их целостность в момент проверки.
Инструкция по установке криптопро 4.0
Запустите установочный файл CSPSetup_4.0.xxxx.exe
В первом появившемся окне нажмите кнопку «Запустить».
Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».
В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.
Нажимаем «Далее».
Принимаем условия лицензионного соглашения, нажимаем «Далее».
Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».
Выбираем обычную установку. Нажимаем «Далее».
Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).
Нажимаем «Установить».
Ждем пока программа установится.
Дальше остается нажать «Готово». КриптоПро установлено.
Классические пассивные usb-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
Криптопро
Компания КриптоПро разработала полный спектр программных и аппаратных продуктов для обеспечения целостности, авторства и конфиденциальности информации с применением ЭП и шифрования для использования в различных средах (Windows, Unix, Java). Новое направление продуктов компании – программно-аппаратные средства криптографической защиты информации с использованием смарткарт и USB ключей, позволяющие существенно повысить безопасность систем, использующих ЭП.
Наша компания является дилером КриптоПро и имеет соответствующий сертификат.
Стоимость продуктов КриптоПро CSP:
Информация с сайта https://www.ecp64.ru
Обращаем внимание, что для продолжения работы с ГОСТ Р 34.10-2001 в 2022 году (отключая предупреждающие окна или запреты при обращении к ключам ГОСТ Р 34.10-2001 после 1 января 2022 года) с использованием продуктов КриптоПро необходимо применить следующие рекомендации:
*По умолчанию в данных версиях отключен. Подробнее в ЖТЯИ.00087-01 95 01. Правила пользования.
В эксплуатационной документации на КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 явно указан запрет на формирование электронной подписи по ГОСТ Р 34.10-2001 с 1 января 2022 года. Но, в связи с переносом сроков перехода на ГОСТ Р 34.10-2022 до 1 января 2020 года, нами были направлены соответствующие извещения в ФСБ России, корректирующие эту дату. Информация о согласовании извещений будет опубликована на нашем сайте.
Попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2022 года вызовет ошибку или предупреждение (в зависимости от продукта и режима работы), в соответствии с изначально принятым в 2022 году порядком перехода на ГОСТ Р 34.10-2022 до 1 января 2022 года. Ошибки/предупреждающие окна могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001, в связи с чем просим заблаговременно применить упомянутые инструкции.
Также сообщаем, что на данный момент завершается сертификация обновленных версий КриптоПро CSP 4.0 R4 и КриптоПро JCP 2.0 R2, о чем будет сообщено на нашем сайте. Рекомендуем обновиться до этих версий после их выхода.
Лицензия ключ криптопро 4
4040A-Q000K-9KAC2-9A6QR-6FCZN
4040Y-Q0000-02Q6T-NFYX9-24Z86
40400-00000-11111-101EB-G2EM0
40400-00000-11111-00NHL-372FM
40400-00000-UKAC8-00PRU-B8HE6
40400-00000-UKAC2-00QP8-MT29G
Лицензия ключ криптопро 5
50500-00120-0Z178-0055H-AMWN1
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Сервис электронной подписи ООО «КРИПТО-ПРО»
Тестовый сервис электронной подписи
Приобрести ПАК «КриптоПро DSS 2.0»
Загрузить ПАК «КриптоПро DSS 2.0»
Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2.0» для работы с квалифицированной электронной подписью
Учебный курс по ПАК «КриптоПро DSS 2.0»
Учебный курс по «КриптоПро Центр мониторинга 1.0»
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем.
Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
Поддерживаемые алгоритмы
В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись | ГОСТ Р 34.10-2022 (ГОСТ 34.10-2022), ECDSA, RSA |
Хэш-функции | ГОСТ Р 34.11-2022 (ГОСТ 34.11-2022), SHA-1, SHA-2 |
Шифрование | ГОСТ Р 34.12-2022 (ГОСТ 34.12-2022), ГОСТ Р 34.13-2022 (ГОСТ 34.13-2022), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4 |
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Проверка подлинности эцп без сетевых обращений
Вложение в реквизиты документа всех доказательств, необходимых для проверки подлинности ЭЦП, обеспечивает возможность оффлайн-проверки подлинности ЭЦП. Доступ к репозиторию сертификатов, службам OCSP и службам штампов времени необходим только в момент создания подписи.
Состав
Стандарт применения усовершенствованной электронной цифровой подписи включает в себя:
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:
Требования к окружению
КриптоПро DSS 2.0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Усовершенствованная подпись крипто-про. новое средство обеспечения юридической значимости электронных документов
Компания КРИПТО-ПРО предлагает Стандарт применения усовершенствованной электронной цифровой подписи. Опыт КРИПТО-ПРО – ведущей российской компании в области технологии ЭЦП – свидетельствует, что при использовании «классической» ЭЦП в юридически значимом электронном документообороте, в случае возникновения спора достаточно трудно, а подчас и невозможно, доказать подлинность ЭЦП и момент подписи (создания) ЭЦП. Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства. Данные трудности порождаются рядом проблем, присущих «классической» ЭЦП, а именно:
— нет доказательства момента подписи;- трудность доказывания статуса сертификата открытого ключа подписи на момент подписи (или действителен, или аннулирован, или приостановлен).
Предлагаемый КРИПТО-ПРО Стандарт применения усовершенствованной подписи позволяет решить все основные трудности, связанные с применением ЭЦП, и обеспечить участников электронного документооборота всей необходимой доказательной базой (причем собранной в самой ЭЦП в качестве реквизитов электронного документа), связанной с установлением момента подписи и статуса сертификата открытого ключа подписи на момент подписи.
Формат усовершенствованной подписи основан на европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 «CMS Advanced Electronic Signatures (CAdES)». Новый формат подписи решает описанные выше и множество других потенциальных проблем, обеспечивая: