КриптоПро CSP (СКЗИ) — Описание | ООО «Профиль Защиты»

КриптоПро CSP  (СКЗИ) - Описание | ООО «Профиль Защиты» ЭЦП
Содержание
  1. Capicom 2.0
  2. Certificate enrollment control
  3. Certificates
  4. Features
  5. Implementation at the csp level
  6. Implementation of cryptopro csp
  7. Integration
  8. Portability
  9. Product description
  10. Sample applications of cryptographic security tools
  11. Using com interfaces
  12. Встраивание криптопро csp в приложения
  13. Высокоуровневые функции обработки криптографических сообщений
  14. Для кого нужна программа криптопро
  15. Инструментарий разработчика capicom
  16. Инструментарий разработчика криптопро csp sdk
  17. Использование cryptoapi
  18. Использование sspi
  19. Использование криптопро csp в по microsoft
  20. Какую криптопро csp установить?
  21. Компании криптопро — лидер в защите информации
  22. Назначение криптопро csp
  23. Низкоуровневые функции обработки криптографических сообщений
  24. Особенности
  25. Официальный сайт криптопро
  26. Программа криптопро csp
  27. Реализуемые криптопро csp алгоритмы
  28. Сертификаты фсб
  29. Типы ключевых носителей
  30. Установка дистрибутива и ключа криптопро
  31. Функции кодирования/декодирования
  32. Функции работы со справочниками сертификатов
  33. Характиристики
  34. Цели использования криптографических функций

Capicom 2.0

CAPICOM (implemented in the file capicom.dll) offers the COM interface that uses the primary functions of CryptoAPI 2.0 . This component is an extension of the existing COM Certificate Enrollment Control interface (xenroll.dll) which is implemented by the client functions responsible for key generation, certificate requests and interchange with the certification authority.

With the release of this component the use of digital-signature generation and verification functions, functions responsible for the construction and verification of sequences of certificates and functions responsible for interaction with different directories (including the Active Directory)

The component CAPICOM is freeware and is included as part of the Micrsoft Platform SDK Developer’s redistributable toolbox.

Certificate enrollment control

The COM interface Certificate Enrollment Control (implemented in the file xenroll.dll) is designed for the use of a limited number of Crypto API 2.0 functions related to key generation, certificate requests and the processing of certificates received from the Certification Authority using the programming languages Visual Basic, C , Java Script, VBScript and the development environment Delphi.

Certificates

CryptoPro CSP has a Federal Security Service certificate of conformance.

Features

  • CryptoPro TLS supports the TLS (SSL) protocol of on all platforms.
  • CryptoPro CSP can be used  with the Oracle E-Business Suite, Oracle Application Server, Java and Apache applications, via the products of the Crypto-Pro company partners.
  • Supports windows domain authentication using smart cards (USB tokens) and X.509 certificates.
  • The usage of CryptoPro CSP in email applications, as well as in MS Word and Excel products.
  • CryptoPro CSP  includes a kernel mode driver for all platforms, which allows for the use of cryptographic functions (encryption/decryption, signing , hashing) in kernel mode applications.
  • The private keys can be stored in various type of mediums, such as HDD, smart cards etc.

Implementation at the csp level

CryptoPro CSP can be used directly in an application program by loading the module using the Load Library function. With this in mind the package includes a Programmer’s Manual describing the various sets of functions and the test software.

Implementation of cryptopro csp

The hierarchical architecture of the Cryptographic Functions in the Windows Operating System allows for the use of the Russian cryptographic algorithms implemented in CryptoPro CSP at all possible levels.

Integration

The integration of the CryptoPro CSP with MS Windows operating system allows the use of standard products.

The accordance with the Microsoft CSP interface allows for easy integration into applications by different vendors, which support this interface.

Support for  digitally signed  XML documents using XMLdsig for Windows (MSXML5, MSXML6) allows for the use of Russian cryptographic algorithms in the Microsoft Office InfoPath — a component system of Microsoft Office.

Portability

For easy and portable integration of cryptographic functions on the Unix platforms, the program interface similar to the Microsoft CryptoAPI 2.0 specifications is provided. This interface allows for the use of the high-level functions to create cryptographic messages (encryption, digital signature), building and verifying the chain of certificates, generating keys and processing the messages and certificates.

Product description

CryptoPro CSP is a cryptographic software package which implements the Russian cryptographic algorithms developed in accordance with the Microsoft — Cryptographic Service Provider (CSP) interface.

Sample applications of cryptographic security tools

Test software, including sample invocations of the primary functions of Crypto API 2.0 is provided with CryptoPro CSP. These samples are found in the directory (“SAMPLEScsptest”). A large number of sample applications of Crypto API 2.0, CAPICOM and Certificate Services functions are offered in the Microsoft Docs and in the Platform SDK developer’s toolbox.

Using com interfaces

CryptoPro can be used with COM interfaces developed by Microsoft.

Встраивание криптопро csp в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.

Для кого нужна программа криптопро

Программа КриптоПро понадобится вам, если вы работаете с электронной подписью на государственных порталах и в иных целях. Для работы с государственными площадками важно обратить внимание на то, что нужна именно усиленная квалифицированная электронная подпись, а не обычная ЭЦП.

КриптоПро понадобится вам даже для работы одной подписью с одного компьютера. Пригодится программа при работе с налоговой для ИП и ООО, для торгов и различных торговых площадок, для госпорталов (например, госуслуги), для подачи деклараций в ФСРАР. Также КриптоПро понадобится вам при регистрации онлайн-кассы в ФНС, работы с ЕГАИС, ЭДО, маркировкой и ФГИС Меркурий.

Итак, КриптоПро понадобится для работы с:

Инструментарий разработчика capicom

CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C , JavaScript, VBScript и среды разработки Delphi.

Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.

Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:

Инструментарий разработчика криптопро csp sdk

КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Для этих целей в комплект поставки включается Руководство программиста (csp_2_0.chm, tls_2_0.chm для версии 2.0, CSP_3_0.chm, SSPI_3_0.chm, CAPILite_3_0.chm для версии 3.0), описывающее состав функций и тестовое ПО (sample2_0.zip для версии 2.0 и SDK для версии 3.0).

Руководство программиста и тестовое ПО для версии 3.6 доступны на странице загрузки.

Онлайн-версия руководства программиста для версии 3.6 также доступна на нашем сайте:

Тестовое ПО разработано с использованием компиляторов Microsoft Visual C (версия 2.0) и Microsoft Visual Studio .NET (для 3.0).

Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.

В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.

Вы также можете получить уже скомпилированную тестовую программу csptest2_0.exe для версии 2.0 или SDK для версий 3.0 и выше.

Использование cryptoapi

Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

На рисунке ниже приведена общая архитектура криптографических функций.

Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:

Использование sspi

Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

Использование криптопро csp в по microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

Какую криптопро csp установить?

Для начала можно воспользоваться бесплатной пробной версией на 90 дней. Но для дальнейшей работы программу придется покупать. Для работы с подписью на одном компьютере лучше всего приобрести лицензию на 1 год. Обратите внимание, что при покупке программы пользоваться ей вы сможете только с одного компьютера. Лицензия привязывается к конкретной подписи и одному ПК. В случае если у вас не одна подпись, понадобится приобрести лицензию на неограниченное количество ЭЦП на один компьютер. Если вы планируете использовать КЭП постоянно, лучше приобрести бессрочную лицензию. 

Если пользоваться электронной подписью вы будете на сайтах, вам потребуется установить бесплатный плагин КриптоПро ЭЦП Browser plug-in. Плагин предназначен для работы исключительно в браузерах.

Компании криптопро — лидер в защите информации

Компания CryptoPro была основана в 2000 году и на сегодня является лидирующей по разработкам средств криптозащиты. Компания уже распространила более, чем 4 млн. лицензий на применение криптозащиты. При создании своих продуктов CryptoPro основывается на международных стандартах защиты информации.

Назначение криптопро csp

КриптоПро CSP предназначен для:

  • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 и ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022;
  • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  • контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.

Особенности

В качестве особенностей КриптоПро CSP можно выделить:

  • встроенную поддержку Winlogon;
  • наличие в составе КриптоПро CSP Revocation Provider, работающего через OCSP-ответы;
  • поддержка платформы x64;
  • реализация протокола EAP/TLS;
  • расширенный внешний интерфейс СКЗИ для обеспечения работы с функциональным ключевым носителем (ФКН), согласования ключей для использования в реализациях протокола IPSec, работы с другими приложениями;
  • исключена возможность использования стандарта ГОСТ Р 34.10-94 начиная с версии КриптоПро CSP 3.6 R3 (ГОСТ Р 34.10-94 отменен).

Официальный сайт криптопро

На официальном сайте разработчика КриптоПро.ру можно найти всю информацию о существующих программах, компании и технологиях. В разделе с продуктовой линейкой можно найти криптопрограммы, некоторые из которых идут вместе со смарт-картами и USB ключами, и список систем идентификации.

Программа криптопро csp

Одно из самых популярных решений для работы с электронной подписью — это программа КриптоПро CSP. Программа обращается к сертификату электронной подписи на компьютере, на Рутокен или eToken (самой флешке ЭЦП) или другие носители и подписывает документы.

Сама по себе электронная подпись не является полноценной. Для работы ЭЦП требуется закрытый ключ и настройка ключевой связки. Основная функция КриптоПро заключается в проверке электронной подписи, подтверждении ее правильности. И только потом программа зашифровывает и отправляет документ.

Решение представлено в двух частях: для клиентов и серверное. Клиентская версия КриптоПро устанавливается на компьютер. Серверная версия устанавливается на сервер организации. Программа совместима с ОС: Linux LSB 3.1, Windows Vista/8/10, Mac OSX 10.7/8 и более свежие версии.

Реализуемые криптопро csp алгоритмы

КриптоПро CSP реализует следующие алгоритмы:

  • алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
  • алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022.

При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 и ГОСТ 28147-89.

Сертификаты фсб

СКЗИ КриптоПро CSP сертифицированы ФСБ России по классам КС1, КС2 и КС3. Сертификаты КриптоПро CSP

Типы ключевых носителей

КриптоПро CSP работает со следующими ключевыми носителями:

Установка дистрибутива и ключа криптопро

Программа КриптоПро CSP устанавливается на правах администратора с официального сайта разработчика:

  1. 1. Выберите версию программы соответственно вашей оперативной системе
  2. 2. Появится окно установщика, нажмите далее
  3. 3.Программа преложит регистрацию считывателей ключевой информации и сделать соответствующие настройки служб хранения для ключей
  4. 4. После завершения установки программа потребует перезагрузить компьютер
  5. 5.Откройте программу от имени администратора и подключите ЭЦП
  6. 6.Откройте раздел «Оборудование» и выберите настройку типов носителей, управление ключевыми носителями
  7. 7. Появится список, в котором нужно выбрать вашу подпись и кликнуть «Добавить»
  8. 8. Запустится окно программы-установщика, выберите подпись, укажите название ключа и разметку карты
  9. 9. Закончите установку

Функции кодирования/декодирования

Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680.

К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Характиристики

Длина ключей электронной цифровой подписи:

  • закрытый ключ – 256 бит;
  • открытый ключ:
    • 512 бит при использовании алгоритма ГОСТ Р 34.10-2001,
    • 1024 бита при использовании алгоритма ГОСТ Р 34.10-94.

Длина ключей, используемых при шифровании:

  • закрытый ключ – 256 бит;
  • открытый ключ:
    • 512 бит на базе алгоритма ГОСТ Р 34.10-2001,
    • 1024 бита на базе алгоритма ГОСТ Р 34.10-94;
  • симметричный ключ – 256 бит.

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему.

В общем случае создание защищенной автоматизированной системы — это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации.

В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

  • Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
  • Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
  • Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
  • Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
  • Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
  • Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
  • Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
  • Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.
Оцените статью
ЭЦП64
Добавить комментарий