КриптоПро | Задачи КриптоПро OCSP

КриптоПро | Задачи КриптоПро OCSP ЭЦП
На чтение 11 мин. Просмотров 1 Опубликовано
Содержание
  1. Основные характеристики
  2. Ocsp client — описание компоненты | такском
  3. Trusted esign
  4. Как я настраивал новые утилиты по работе с электронной подписью в linux
  5. Криптопро ocsp client — купить лицензию криптопро ocsp client по выгодной цене в ростове-на-дону на официальном сайте
  6. Криптопро ocsp server
  7. Криптопро revocation provider
  8. Настройка «криптопро» csp
  9. Настройка ocsp в криптопро
  10. Настройка работы с рутокен эцп 2.0
  11. Настройки работы с ocsp службой
  12. Операционные системы
  13. Подпись средствами «криптопро csp»
  14. Получаем тестовый сертификат
  15. Резюме

Основные характеристики

КриптоПро OCSP Client:

источник

Ocsp client — описание компоненты | такском

Компонента «КриптоПро OCSP Client» предназначена для обращения к серверу «КриптоПро OCSP Server» по протоколу OCSP поверх HTTP, получения от него OCSP-ответов, обработки и работы с OCSP-запросами и OCSP-ответами.

Протокол OCSP является протоколом типа запрос-ответ.

Весь обмен заключается в двух сообщениях. Клиент инициирует протокол, посылая серверу запрос на получение статуса сертификата, на что сервер возвращает ответ, содержащий статус запрашиваемого сертификата, или не содержащий его в случае ошибки.

Преимущество такого подхода состоит в том, что клиенту не нужно скачивать весь CRL, что экономит трафик, поскольку объем ответа службы фиксирован и сравнительно мал, а пользователь всегда получает самую актуальную информацию об интересующем его сертификате в реальном времени. 

«КриптоПро OCSP Client» — это программная библиотека, предоставляющая программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP.

«КриптоПро OCSP Client» функционирует под управлением операционных систем, на которых может эксплуатироваться СКЗИ «КриптоПро CSP» соответствующих версий (4.0 и выше).

Для сертификатов выпущенных по ГОСТу Р 34.10-2022 необходимо использовать «КриптоПро OCSP Client» версии 2.0.

Входит в состав квалифицированного сертификата «Совершенный» 

Trusted esign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

Как я настраивал новые утилиты по работе с электронной подписью в linux

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2022 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign.

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто.

Для настройки нам понадобится:

  • Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
  • Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
  • Рутокен ЭЦП 2.0.

Криптопро ocsp client — купить лицензию криптопро ocsp client по выгодной цене в ростове-на-дону на официальном сайте

Осуществляется транспортной компанией, курьером или в пункты самовывоза от 4 до 9 рабочих дней после оплаты или подтверждения заказа.
Электронные лицензии отправляются на электронную почту заказчика.
Точная стоимость и срок доставки в Ростове-на-Дону рассчитываются при оформлении заказа.

Криптопро ocsp server

При совместной работе ПАК «КриптоПро УЦ» и ПАК «КриптоПро OCSP Server» для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК «КриптоПро УЦ». Подробнее о данном режиме можно узнать здесь.

Криптопро revocation provider

В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации.

По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю.

СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.

Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт «КриптоПро Revocation Provider», который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows.

Схема встраивания «КриптоПро Revocation Provider» в операционные системы семейства Microsoft Windows представлена на рисунке:

Основные характеристики «КриптоПро Revocation Provider»:

  • Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.
  • Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.
  • Автоматически проверяет статусы сертификатов OCSP-серверов.
  • Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
  • Настраивается через групповые политики.
  • Даёт возможность настройки доверия к конкретным OCSP-серверам.
  • При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
  • Может осуществлять соединения по защищённому протоколу TLS (SSL).
  • Устанавливается с помощью Windows Installer.

Настройка «криптопро» csp

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.

Настройка ocsp в криптопро

КриптоПро TSP Client и КриптоПро OCSP Client не имеют отдельных дистрибутивов для установки.

Чтобы установить КриптоПро TSP Client или КриптоПро OCSP Client неоходимо установить тот программный продукт, в состав которого входит КриптоПро TSP Client или КриптоПро OCSP Client.

КриптоПро TSP Client входит в состав:

  1. TSPCOM
  2. TSPUTIL — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime (также будет установлен OCSP Client) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM (также будет установлен OCSP Client) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен OCSP Client)

КриптоПро OCSP Client входит в состав:

  1. OCSPCOM
  2. OCSPUTIL — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime (также будет установлен TSP Client) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM (также будет установлен TSP Client) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен TSP Client)

КриптоПро TSP Client 2.0 входит в состав:

  1. TSPCOM 2.0
  2. TSPUTIL 2.0 — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime 2.0 (также будет установлен OCSP Client 2.0) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM 2.0 (также будет установлен OCSP Client 2.0) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен OCSP Client 2.0)

КриптоПро OCSP Client 2.0 входит в состав:

источник

Настройка работы с рутокен эцп 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

Настройки работы с ocsp службой

Для работы со Службой OCSP при создании классической электронной цифровой подписи необходимо указать параметры доступа к службе OCSP

в групповых политиках либо в сертификате и настройках «КриптоАРМ»:

Для работы со Службой OCSP при создании усовершенствованной электронной цифровой подписи необходимо

  • выполнять следующие условия:
    • OCSP-Служба должна быть настроена на работу с базой данных Удостоверяющего центра (а не по СОС)
    • Сертификат OCSP-оператора должен иметь расширение no-check (формируется «КриптоПро УЦ» версии 1.4)
  • указать параметры доступа к службе OCSP в групповых политиках либо в сертификате и настройках «КриптоАРМ»

Для настройки параметров доступа к службе OCSP в групповых политиках выполните следующие действия:

  1. Откройте ПускВыполнить.
  2. Укажите Редактор объекта групповой политики — gpedit.msc:
  1. Отредактируйте основные объекты групповой политики: Политика «Локальный компьютер»Конфигурация компьютера/КонфигурацияпользователяАдминистративные шаблоныКрипто-ПроКриптоПро OCSP Client (установите Включен):

для усовершенствованной ЭЦП

  • Адрес OCSP Службы: адреспо умолчанию (указывается в том случае, если она не указана в сертификате)
  • Аутентификация (прокси-сервер): тип по умолчанию (позволяет задать тип аутентификации, используемый по умолчанию при соединении с прокси-сервером) (указывается в том случае, если тип аутентификации не указан в настройке/мастере TSP)
  • Прокси-сервер: адрес прокси-сервера по умолчанию (определяет прокси-сервер, используемый по умолчанию при подключении к службе OCSP) (указывается в том случае, если тип аутентификации не указан в настройке/мастере TSP)
  • Адрес OCSP Службы: адреспо умолчанию (указывается в том случае, если она не указана в настройке OCSP и сертификате)
  • Аутентификация (прокси-сервер): тип по умолчанию (позволяет задать тип аутентификации, используемый по умолчанию при соединении с прокси-сервером) (указывается в том случае, если тип аутентификации не указан в настройке OCSP)
  • Прокси-сервер: адрес прокси-сервера по умолчанию (определяет прокси-сервер, используемый по умолчанию при подключении к службе OCSP) (указывается в том случае, если тип аутентификации не указан в настройке OCSP)

источник

Операционные системы

КриптоПро OCSP Client функционирует в следующих операционных системах:

  • Microsoft Windows XP / 2003 / Vista / 2008 / W7 / 2008 R2 / W8 / 2022 / W8.1 / 2022 R2 / 2022 / W10
  • ОС семейства Linux, удовлетворяющих LSB 3.1 и выше,
  • FreeBSD 7.x и выше,
  • AIX 5.3 и 6.x,
  • Apple MacOS 10.6 и выше.

Подпись средствами «криптопро csp»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

  • Отсутствие хорошей документации;
  • Отсутствие графического интерфейса.

Подписать можно с помощью команды:

Здесь, my — параметр, в котором надо указать часть Common Name сертификата для подписи; detached — позволяет создать открепленную подпись; alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2022 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать; — Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF: abf.io/uxteam/rosa-crypto-tool-devel Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Резюме

Подведем итог. В конце 2022 – начале 2022 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

источник

КриптоПро revocation provider купить купить КриптоПро revocation provider устаревшая
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64