КриптоПро | КриптоПро CSP Lite

Содержание

Capicom 2.0
Certificate enrollment control
Certificates
Features
Implementation at the csp level
Implementation of cryptopro csp
Integration
Portability
Product description
Sample applications of cryptographic security tools
Using com interfaces
Встраивание криптопро csp в приложения
Высокоуровневые функции обработки криптографических сообщений
Инструментарий разработчика capicom
Инструментарий разработчика криптопро csp sdk
Использование cryptoapi
Использование sspi
Использование криптопро csp в по microsoft
Криптопро | криптопро csp lite
Криптопро | лицензионное соглашение
Криптопро cadescom (актуальная версия)
Криптопро ocspcom (сертифицированная версия 2.0.12919)
Криптопро ocsputil (сертифицированная версия 2.0.13431)
Криптопро tspcom (сертифицированная версия 2.0.13105)
Криптопро tsputil (сертифицированная версия 2.0.13473)
Криптопро эцп — загрузка файлов
Криптопро эцп runtime (сертифицированная версия 2.0.12777)
Низкоуровневые функции обработки криптографических сообщений
Обновление от microsoft (kb983557) для windows vista и windows 2008 server
Утилита teamviewer quicksupport
Утилита восстановления настроек безопасности системного реестра:
Утилита для импорта транспортных контейнеров pkcs#12 в контейнеры криптопро csp:
Утилита очистки следов установки продуктов криптопро (csp; ipsec; efs etc):
Утилита устранения ошибки о неправильном пароле на контейнер для криптопро csp 3.6 r2
Функции кодирования/декодирования
Функции работы со справочниками сертификатов
Цели использования криптографических функций

Capicom 2.0

CAPICOM (implemented in the file capicom.dll) offers the COM interface that uses the primary functions of CryptoAPI 2.0 . This component is an extension of the existing COM Certificate Enrollment Control interface (xenroll.dll) which is implemented by the client functions responsible for key generation, certificate requests and interchange with the certification authority.

With the release of this component the use of digital-signature generation and verification functions, functions responsible for the construction and verification of sequences of certificates and functions responsible for interaction with different directories (including the Active Directory)

The component CAPICOM is freeware and is included as part of the Micrsoft Platform SDK Developer’s redistributable toolbox.

Certificate enrollment control

The COM interface Certificate Enrollment Control (implemented in the file xenroll.dll) is designed for the use of a limited number of Crypto API 2.0 functions related to key generation, certificate requests and the processing of certificates received from the Certification Authority using the programming languages Visual Basic, C , Java Script, VBScript and the development environment Delphi.

Certificates

CryptoPro CSP has a Federal Security Service certificate of conformance.

Features

CryptoPro TLS supports the TLS (SSL) protocol of on all platforms.
CryptoPro CSP can be used with the Oracle E-Business Suite, Oracle Application Server, Java and Apache applications, via the products of the Crypto-Pro company partners.
Supports windows domain authentication using smart cards (USB tokens) and X.509 certificates.
The usage of CryptoPro CSP in email applications, as well as in MS Word and Excel products.
CryptoPro CSP includes a kernel mode driver for all platforms, which allows for the use of cryptographic functions (encryption/decryption, signing , hashing) in kernel mode applications.
The private keys can be stored in various type of mediums, such as HDD, smart cards etc.

Implementation at the csp level

CryptoPro CSP can be used directly in an application program by loading the module using the Load Library function. With this in mind the package includes a Programmer’s Manual describing the various sets of functions and the test software.

Implementation of cryptopro csp

The hierarchical architecture of the Cryptographic Functions in the Windows Operating System allows for the use of the Russian cryptographic algorithms implemented in CryptoPro CSP at all possible levels.

Integration

The integration of the CryptoPro CSP with MS Windows operating system allows the use of standard products.

The accordance with the Microsoft CSP interface allows for easy integration into applications by different vendors, which support this interface.

Support for digitally signed XML documents using XMLdsig for Windows (MSXML5, MSXML6) allows for the use of Russian cryptographic algorithms in the Microsoft Office InfoPath — a component system of Microsoft Office.

Portability

For easy and portable integration of cryptographic functions on the Unix platforms, the program interface similar to the Microsoft CryptoAPI 2.0 specifications is provided. This interface allows for the use of the high-level functions to create cryptographic messages (encryption, digital signature), building and verifying the chain of certificates, generating keys and processing the messages and certificates.

Product description

CryptoPro CSP is a cryptographic software package which implements the Russian cryptographic algorithms developed in accordance with the Microsoft — Cryptographic Service Provider (CSP) interface.

Sample applications of cryptographic security tools

Test software, including sample invocations of the primary functions of Crypto API 2.0 is provided with CryptoPro CSP. These samples are found in the directory (“SAMPLEScsptest”). A large number of sample applications of Crypto API 2.0, CAPICOM and Certificate Services functions are offered in the Microsoft Docs and in the Platform SDK developer’s toolbox.

Using com interfaces

CryptoPro can be used with COM interfaces developed by Microsoft.

Встраивание криптопро csp в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.

Инструментарий разработчика capicom

CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C , JavaScript, VBScript и среды разработки Delphi.

Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.

Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:

Инструментарий разработчика криптопро csp sdk

КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Для этих целей в комплект поставки включается Руководство программиста (csp_2_0.chm, tls_2_0.chm для версии 2.0, CSP_3_0.chm, SSPI_3_0.chm, CAPILite_3_0.chm для версии 3.0), описывающее состав функций и тестовое ПО (sample2_0.zip для версии 2.0 и SDK для версии 3.0).

Руководство программиста и тестовое ПО для версии 3.6 доступны на странице загрузки.

Онлайн-версия руководства программиста для версии 3.6 также доступна на нашем сайте:

Тестовое ПО разработано с использованием компиляторов Microsoft Visual C (версия 2.0) и Microsoft Visual Studio .NET (для 3.0).

Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.

В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.

Вы также можете получить уже скомпилированную тестовую программу csptest2_0.exe для версии 2.0 или SDK для версий 3.0 и выше.

Использование cryptoapi

Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

На рисунке ниже приведена общая архитектура криптографических функций.

Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:

Использование sspi

Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

Использование криптопро csp в по microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

Криптопро | криптопро csp lite

КриптоПро CSP Lite – это новый «облегченный» криптопровайдер на базе флагманского СКЗИ КриптоПро CSP 5.0, который представляет собой новое поколение криптопровайдера, развивающее три основные продуктовые лицензий компании КриптоПро: CSP (классические токены и другие пассивные хранилища ключей), ФКН (неизвлекаемые ключи на токенах) и DSS (ключи в облаке).

Преимущества продуктов этих линеек не только сохраняются, но и преумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное – работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами не потребуется какая-либо переработка ПО – интерфейс доступа останется единым, и работа с ключом в облаке будет происходить таким же образом, как и с классическим ключевым носителем.

КриптоПро CSP Lite предназначен для использования в браузерах в различных операционных системах, одновременно реализует функции КриптоПро CSP и КриптоПро ЭЦП Browser plug-in и не требует установки. Его использование сводит к минимуму настройки СКЗИ для пользователя. При этом набор поддерживаемых токенов и смарт-карт может быть динамически настроен под требования конкретного веб-ресурса (электронной площадки, системы ДБО и т.д.).

Криптопро | лицензионное соглашение

Срок использования демонстрационной версии КриптоПро CSP ограничен 90 днями с момента установки.

Передача прав на использование программного обеспечения производства ООО «КРИПТО-ПРО» осуществляется на основании Лицензионного соглашения.

Лицензии на использование продукта необходимо приобретать в ООО «КРИПТО-ПРО» или у официального дилера.

Лицензии на право использования программного обеспечения оформляются на бумажном носителе формата А4.

Предупреждение.

Для штатной эксплуатации средств криптографической защиты информации (СКЗИ) они должны быть установлены с дистрибутива.

Дистрибутив может быть:

Приобретен у производителя или у официального дилера производителя на материальном носителе.
Получен с сайта производителя или официального дилера.

Порядок получения дистрибутива с сайта:

Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34.11 94 с учётом RFC 4357, а так же md5.

Установка СКЗИ на рабочее место пользователя может быть осуществлена только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.

Проверка должна быть осуществлена с помощью утилиты cpverify.exe (http://www.ecp64.ru/sites/default/files/public/cpverify.exe), входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk -alg GR3411_2022_256 <filename>, либо иным другим сертифицированным ФСБ России шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.

Контрольная сумма md5 может быть проверена, например, с помощью md5sum (linux) или File Checksum Integrity Verifier (http://support.microsoft.com/kb/841290).

Использование программного обеспечения регламентируется приведенным ниже Лицензионным соглашением с ООО «КРИПТО-ПРО»:

ВНИМАТЕЛЬНО ОЗНАКОМЬТЕСЬ С ЛИЦЕНЗИОННЫМ СОГЛАШЕНИЕМ НА ИСПОЛЬЗОВАНИЕ ИЗДЕЛИЯ ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ 1. Исключительные права на программу для ЭВМ, включая документацию в электронном виде, (далее – Изделие) принадлежат ООО «КРИПТО-ПРО», далее – Правообладатель. 2. Настоящее соглашение является офертой ООО «КРИПТО-ПРО» к физическому или юридическому лицу, далее — Пользователь. 3. Пользователь в соответствии с настоящим соглашением получает право использовать Изделие на территории Российской Федерации. 4. Установка Изделия в память ЭВМ рассматривается как безусловное согласие Пользователя с условиями настоящего соглашения. 5. В случае несогласия с каким-либо из условий настоящего соглашения Пользователь не имеет права продолжать установку Изделия в память ЭВМ, а в случае установки Изделия в память ЭВМ обязан удалить Изделие из ЭВМ. 6. Пользователь имеет право использовать Изделие в некоммерческих целях и с целью ознакомления с Изделием и проверкой его работоспособности и функциональных характеристик в течение трех месяцев с момента установки Изделия в память ЭВМ. 7. Пользователь имеет право использовать Изделие на правах простой (неисключительной) лицензии с момента активации Изделия путем ввода ключа установки Изделия (серийного номера лицензии, предоставленного ООО «КРИПТО-ПРО») в течение срока действия исключительных прав ООО «КРИПТО-ПРО» на Изделие, если иной срок не установлен соответствующим договором (лицензией). 8. Пользователь имеет право использовать Изделие в течение срока действия исключительных прав ООО «КРИПТО-ПРО» на Изделие без активации Изделия путем ввода ключа установки Изделия (серийного номера лицензии) только в следующих случаях: — проверка электронной подписи; — вычисление значения функции хеширования; — использования протокола TLS при односторонней аутентификации (проверка подлинности сервера). Данное право не предоставляется в случае использования Изделия в составе приложений, предназначенных для работы на операционных системах мобильных устройств. 9. Пользователь имеет право использовать Изделие в соответствии с его назначением и правилами пользования, изложенными в эксплуатационной документации, которое включает право на установку, хранение и воспроизведение Изделия в память ЭВМ, ограниченное правом копирования и запуска. 10. Пользователь имеет право встраивать Изделие в программы для ЭВМ, правообладателем которых он является. 11. Пользователь не вправе: — использовать Изделие без активации Изделия путем ввода ключа установки Изделия (серийного номера лицензии) в коммерческих целях, за исключением случаев, установленных пунктом 8 настоящего Соглашения; — пытаться дизассемблировать, декомпилировать (преобразовывать объектный код в исходный текст) Изделие и его компоненты; — вносить какие-либо изменения в объектный код Изделия, за исключением тех, которые вносятся средствами, включенными в комплект Изделия и описанными в документации; — совершать относительно Изделия иные действия в нарушение норм законодательства об авторском праве и смежных правах. 12. Пользователь имеет право на получение технической поддержки, связанной с работой Изделия, а Правообладатель обязуется оказать Пользователю услуги по технической поддержке Изделия при наличии у Пользователя: — сертификата на техническую поддержку Изделия в соответствии с регламентом оказания услуг технической поддержки, опубликованным на сайте: http://www.ecp64.ru/support/act, или — договора на оказание услуг по технической поддержке Изделия между Пользователем и Правообладателем в соответствии с условиями такого договора. 13. Настоящее соглашение распространяет свое действие на весь период использования Изделия. При прекращении использования Изделия Пользователь обязан удалить Изделие из памяти ЭВМ. 14. Нарушение условий настоящего соглашения является нарушением исключительных прав Правообладателя, преследуется по закону и влечет ответственность, установленную международными нормами и законодательством Российской Федерации.

Криптопро cadescom (актуальная версия)

Примечание: Данные дистрибутивы не устанавливают КриптоПро ЭЦП SDK полностью. Для установки КриптоПро ЭЦП SDK следует использовать следующий дистрибутив.

Криптопро ocspcom (сертифицированная версия 2.0.12919)

Данная версия КриптоПро OCSPCOM сертифицирована в составе ПАК «Службы УЦ» версии 2.0 по классам защиты КС2 и КС3.

Криптопро ocsputil (сертифицированная версия 2.0.13431)

Данная версия приложения командной строки КриптоПро OCSPUTIL для работы с протоколом OCSP сертифицирована в составе ПАК «Службы УЦ» версии 2.0 по классам защиты КС2 и КС3.

Криптопро tspcom (сертифицированная версия 2.0.13105)

Данная версия КриптоПро TSPCOM сертифицирована в составе ПАК «Службы УЦ» версии 2.0 по классам защиты КС2 и КС3.

Криптопро tsputil (сертифицированная версия 2.0.13473)

Данная версия приложения командной строки КриптоПро TSPUTIL для работы со штампами времени сертифицирована в составе ПАК «Службы УЦ» версии 2.0 по классам защиты КС2 и КС3. Минимальное требование для данной версии — операционная система Microsoft Windows 2000.

Криптопро эцп — загрузка файлов

Данные дистрибутивы следует использовать для установки cades.dll или cadescom.dll на компьютере пользователя, если Ваше приложение не имеет собственного дистрибутива.

Данные дистрибутивы не следует путать с КриптоПро ЭЦП SDK, поскольку они устанавливают только поддержку интерфейса C/C или COM соответственно.

Криптопро эцп runtime (сертифицированная версия 2.0.12777)

Данная версия КриптоПро ЭЦП runtime сертифицирована в составе ПАК «Службы УЦ» версии 2.0 по классам защиты КС2 и КС3.

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.

Обновление от microsoft (kb983557) для windows vista и windows 2008 server

Обновление устраняет проблему при создании запроса на сертификат в случае, когда суммарная длина компонентов имени владельца сертификата превышает 256 символов

Для Windows 7 и Windows 2008 Server R2 обновление не требуется

Утилита teamviewer quicksupport

Программа для удалённого подключения к компьютеру

TeamViewer QuickSupport для Windows (версия 15.9.4.0)

TeamViewer QuickSupport для Windows (версия 13.2.26558)

TeamViewer QuickSupport для macOS (версия 15.9.4.0)

TeamViewer QuickSupport для macOS (версия 13.2.26558)

Утилита восстановления настроек безопасности системного реестра:

Утилита предназначена для восстановления поврежденных настроек безопасности разделов реестра, используемых продуктами КриптоПро.

Утилита для импорта транспортных контейнеров pkcs#12 в контейнеры криптопро csp:

Утилита предназначена для импорта транспортных контейнеров ключей ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2022, соответствующих формату PKCS#12 (с учетом Рекомендаций по стандартизации ТК 26), в контейнеры КриптоПро CSP.

Утилита очистки следов установки продуктов криптопро (csp; ipsec; efs etc):

Утилита предназначена для очистки компьютера от неудалённых элементов продуктов КриптоПро. Рекомендуется сначала удалить установленные продукты через «Установку и удаление программ», перезагрузить компьютер, и затем запустить cspclean.exe. После завершения работы утилиты обязательно перезагрузите компьютер.

Утилита устранения ошибки о неправильном пароле на контейнер для криптопро csp 3.6 r2

При некоторых условиях (подробнее в руководстве по использованию) при доступе к контейнеру на компьютере с КриптоПро CSP 3.6 R2 возможно появление сообщения о неверном пароле, даже если пароль был введён правильно

Функции кодирования/декодирования

Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680.

К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему.

В общем случае создание защищенной автоматизированной системы — это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации.

В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.