КРИПТОПРОВАЙДЕРЫ СРАВНЕНИЕ

20 Февраля 2018 — 08:43

В сравнении мы детально сопоставили токены с аппаратной поддержкой алгоритмов, установленных национальными стандартами Российской Федерации, а также имеющие действующий сертификат ФСБ России. Статья будет полезна тем, кто выбирает токен для использования в коммерческих и государственных организациях, чтобы обеспечить юридическую значимость действий пользователей различных электронных сервисов, включая корпоративные и ведомственные системы электронного документооборота, дистанционного банковского обслуживания, сдачи электронной отчетности (ФНС, ЕГАИС, ПФР), таможенного декларирования, системы контроля управления доступом, электронные торговые площадки, портал государственных услуг и др.

было бы большой ошибкой думать

Собственно, нужда такая (всё в пакетном, неинтерактивном режиме):

.необходимо запросить массив случайных данных, подписать их УКЭП и отправить в обратно для проверки.

Ну и «до кучи»:

поддерживает только соединения, защищенные алгоритмами TLS/HTTPS:
ssl_protocols: TLSv1
ssl_ciphers: GOST2012-GOST8912-GOST8912

Собственно, как я понимаю, у меня одна дорога — в CryptoPro, просто хотел уточнить, может есть альтернативы какие?

Ну и для ясности: достаточно ли будет только CryptoPro CSP или ещё какие лицензии у них приобретать понадобится?

CryptoPro CSP сам по себе это просто криптопровайдер. Он дает возможность другим средствам использовать ГОСТовую криптографию.
Для веба нужно еще установить cryptopro browser plug-in, вроде он бесплатный.
Если нужно шифровать файлы в командной строке, то нужно использовать соответствующую утилиту (cryptcp) — для винды предоставляется за отдельные деньги.
Для использования пользователями можно юзать КриптоАРМ — графический интерфейс для крипто операций стороннего производителя.
Или можете использовать CryptoPro CSP в своем приложении — можно использовать CryptoAPI для работы с CryptoPro CSP.

У КриптоПро есть альтернатива, и даже бесплатная и даже с сертификатом ФСБ, ViPNet CSP 4.2. Но, как справедливо заметили выше, несмотря на декларированную свободную конкуренцию, в гос-ых ИС КриптоПро фактически монополист. Я тестировал связку ViPNet CSP 4.2 + ViPNet CryptoFile, как бесплатную замену КриптоПро 4 + КриптоАРМ, ЭП были выпущены в двух разных УЦ, по ГОСТ-2001 и ГОСТ-2012 но УЦ использовали ПО от Крипто Про и у меня ничего не получилось.

30 сент. 2023, в 17:51

5000 руб./за проект

30 сент. 2023, в 17:47

3000 руб./за проект

30 сент. 2023, в 17:46

В продолжение вопроса «ЭЦП для подписи файлов сотрудниками»: при использовании юридически значимой ЭЦП (по ФЗ №63) от аккредитованного УЦ, в чём разница между криптопровайдерами? Их много, я знаю, в заголовке я указал КриптоПро CSP и ViPNet CSP как самые распространённые, причём вторая бесплатная. Большинство УЦ если и указывает криптопровайдера, то это КриптоПро, но действительно ли это ограничивает выбор, или с тем же УЦ я могу использовать и бесплатную ViPNet CSP? В чём отличия, есть ли подводные камни?

P. S. Про клиентский интерфейс не спрашиваю: я так понимаю, альтернатив КриптоАРМ нет (нагуглились только КриптЭК, КриптоЛайн и ViPNet CryptoFile, но инфы о них крайне мало).

UPD: По поводу клиентского интерфейса: ViPNet CryptoFile стал доступен для загрузки с сайта производителя, а также внесена ясность в права его использования: он бесплатен для использования с другим ПО ViPNet. Таким образом, ViPNet CSP и ViPNet CryptoFile составляют цельный и бесплатный стек для работы с ЭЦП. Ура 🙂

УЦ практически всегда будет выдавать сертификаты с использованием Крипто-Про CSP, это текущее положение вещей.

А вот для формирования подписи на базе этих сертификатов вполне возможно использовать и ViPNet CSP, выданные в УЦ сертификаты вполне под это подойдут.

Эта тема обсуждалась на форуме Крипто-Про: ссылка.

Альтернативы КриптоАрму тоже можно найти, просто эта программа наиболее популярна.

Нужно уточнять у УЦ на каком криптопровайдере они смогут выдать вам эцп. Контейнеры ключей у КриптоПРО и ViPNet в разном формате поэтому использовать понравившийся не получится, необходима «совместимость с УЦ». Если есть возможность использовать ViPNet то лучше его конечно — ибо бесплатно, плюс имхо vipnet проще. КриптоАРМу все равно какой из них будет использоваться. Да есть небольшой момент, юридически вы должны использовать сертифицированную версию криптопровайдера, если у вас ОС win7 и ниже приобретайте(скачивайте) любой, если win8 то тут печально, с ней совместим и сертифицирован только КриптоПРО 3.6 R3, ViPNet CSP 4.0 сертификацию еще не прошел, он в бете, хотя из практики ставил, работает но с нюансами :). Как то так.

Бесплатных что-то не припомню 🙂
Да и врядли они есть так как в вашем случае (юридически значимая подпись) следует использовать сертифицированное средство подписи, а сертификация процесс требующий денежных вложений.

Ставите Vip Net (бесплатно) и заказываете КЭП в тензоре (700р).
Для создания и подписи документов есть бесплатный виртуальный принтер который делает PDF, подписывает его и пересылает на электронку. Или сохраняет на диск PDF+подпись.
www.nextech.ru/Slides#akt

Скачивайте отсюда криптопро бесплатно cryptoproo.ru и будет вам счастье.

В данной статье речь пойдёт о разнице между разными версиями программы КриптоАРМ.

Основной функционал одинаковый. Основные отличия — в интерфейсе, поддерживаемых криптопровайдерах и совместимых операционных системах.

КриптоАРМ 5 работает только на операционной системе Windows. В то же время программа поддерживает работу с различными криптопровайдерами, в том числе отечественными: КриптоПро CSP, ViPNet CSP, SignalCOM CSP и другие.

Существует три версии программы КриптоАРМ 5:

1. КриптоАРМ Старт — бесплатная версия, которая работает с встроенными криптопровайдерами ОС Windows. Включена проверка подписи при наличии СКЗИ КриптоПро CSP.

2. КриптоАРМ Стандарт — базовая версия, которая работает с СКЗИ КриптоПро CSP 4 и выше, ViPNet CSP, SignalCOM CSP.

3. КриптоАрм Стандарт Плюс — расширенная версия, которая поддерживает российские ГОСТ алгоритмы подписи и шифрования, а также работу с внешними ключевыми носителями Рутокен ЭЦП, JaCarta-2 ГОСТ, ESMART Token ГОСТ через #PKCS11.

Функциональные особенности КриптоАРМ 5:

поддержка интерфейса PKCS#11 для работы с защищёнными ключевыми носителями с аппаратной криптографией (только для КриптоАРМ Стандарт Плюс).

КриптоАРМ ГОСТ 2.5

Главная особенность этой версии — мультиплатформенность: она одинаково функционирует на ОС Windows, Linux, macOS, а также на мобильных устройствах Android и iOS.
⠀
Кроме того, КриптоАРМ ГОСТ 2.5 совместим с российскими ОС на базе ядра Linux: Astra Linux, Альт, РЕД ОС и РОСА.
⠀
КриптоАрм ГОСТ 2.5 сертифицирован в ФСБ России в составе СКЗИ «КриптоПро CSP» версии 5.0 R2.
⠀
Функциональные особенности КриптоАРМ ГОСТ 2.5:

диагностика рабочего места на наличие криптопровайдеров и установленных сертификатов электронной подписи.

КриптоАРМ ГОСТ 3

В данную версию добавлен собственный встроенный почтовый клиент, что позволяет организовать работу с электронной почтой различных почтовых сервисов.
⠀
Приложение КриптоАРМ ГОСТ 3 представлено на операционных системах Windows, Linux, macOS, а также на российской мобильной ОС Аврора 4.0.
Для работы с КриптоАРМ ГОСТ 3 рекомендуется использовать криптопровайдер КриптоПро CSP 5.0 R2 и выше.
⠀
1. КриптоАРМ ГОСТ 3 — базовая версия, в которой криптографические операции осуществляются только с файлами в разделе Документы. Дополнительно приложение можно использовать в качестве стандартного почтового клиента.
⠀
2. КриптоАрм ГОСТ 3 Защищённая почта — расширенная версия, в которой можно подписывать, шифровать и расшифровывать электронные письма. Работа с электронными документами представлена в полном объёме.
⠀
Функциональные особенности КриптоАРМ ГОСТ 3 Защищённая почта:

Компания КРИПТО-ПРО создана в 2000 году и сейчас является лидером по распространению СКЗИ и ЭЦП в России. Наиболее известным продуктом компании является криптопровайдер КриптоПро СSP, разработанный в 2000 году по техническому заданию, согласованному с ФАПСИ. На текущий момент актуальной версией криптопровайдера является КриптоПро CSP 3.6, имеющая сертификат соответствия ФСБ.

Компания КРИПТО-ПРО сегодня занимается не только разработкой криптографического программного обеспечения, но и оказывает консалтинговые услуги по применению ЭЦП, услуги удостоверяющего центра ( УЦ КриптоПро). Компания также оказывает квалифицированную техническую экспертизу электронной цифровой подписи в судах всех инстанций.

На наиболее известных программных продуктах компании КРИПТО-ПРО мы остановимся подробнее.

Криптопровайдер КриптоПро CSP 3. 6 R2

КриптоПро CSP 3.6 — российский криптопровайдер, выпущенный в 2010 году, использующийся для операций шифрования и электронной подписи. Он поддерживает стандарты шифрования и электронной подписи ГОСТ, что дает возможность применять КриптоПро CSP для сдачи отчетности в гос. органы, построения систем защищенного электронного документооборота и юридически значимой подписи, а также в системах защиты персональных данных.

КриптоПро CSP для Windows выпускается с двумя видами лицензии: годовой и бессрочной. Существуют версии криптопровайдера и под операционные системы, отличные от клиентских версий Windows:

Вышеперечисленные продукты вы можете приобрести в нашем интернет-магазине:

КриптоПро Office Signature

КриптоПро Office Signature — это продукт компании КриптоПро, предназначенный для электронной подписи и проверки подписей в документах Microsoft Word и Excel, прямо из интерфейса офисных программ. Для использования необходим установленный криптопровайдер КриптоПро CSP.

КриптоПро. N ET

КриптоПро . NET — программный продукт, позволяющий использовать КриптоПро CSP на платформе Microsoft . NET Framework. КриптоПро . NET является новой версией КриптоПро Sharpei (более не разрабатываемого и не поддерживаемого) и реализует набор интерфейсов для доступа к криптографическим операциям . NET Cryptographic Provider:

Кроме того КриптоПро . NET позволяет использовать стандартные классы Microsoft для высокоуровневых операций:

КриптоПро . NET состоит из двух частей:

КриптоПро . NET обеспечивает применение всех алгоритмов, реализуемых КриптоПро CSP.

ПАК «КриптоПро УЦ»

Компания КРИПТО-ПРО является разработчиком и поставщиком программно-аппаратного комплекса «Удостоверяющий Центр «КриптоПро УЦ» (ПАК «КриптоПро УЦ»), обеспечивающего автоматизацию целевых функций Удостоверяющего центра.

Удостоверяющий центр — это организационный элемент АИС, обеспечивающий изготовление сертификатов открытых ключей и управление (аннулирование, приостановление, возобновление) ими, а также выполняющий иные функции, установленные законодательством Российской Федерации.

ПАК «КриптоПро УЦ» предназначен для выполнения организационно-технических мероприятий по обеспечению участников АИС средствами применения электронной цифровой подписи (электронной подписи) в целях:

Введение

Традиционно под токенами понимаются портативные устройства, которые содержат во внутренней памяти «секрет» (криптографические ключи, сертификаты, пароли). Это могут быть смарт-карты, SIM-карты, USB-устройства на основе смарт-карт и др. Термин «токен» используется наравне с альтернативными ему обозначениями: «аппаратный токен», «электронный ключ», «криптографический токен» и пр.

Обычно токен оснащен защищенным микропроцессором, операционной системой, ядром для исполнения криптографических алгоритмов, защищенным хранилищем чувствительных данных («секрета»), одним или несколькими сервисными приложениями. Производители также могут встраивать в него механизмы предотвращения физических и логических атак.

Токены используются в качестве элементов подсистемы обеспечения информационной безопасности в коммерческих и государственных учреждениях, банках, телекоммуникационных системах. Токены, в которых реализованы криптографические алгоритмы преобразования информации (главным образом, в этом контексте уместно вести речь об электронной подписи), относятся к числу средств криптографической защиты информации (СКЗИ). Законодательство Российской Федерации и сложившаяся практика в сфере обеспечения информационной безопасности в ряде случаев предусматривают обязательное использование СКЗИ, которые имеют сертификат ФСБ России. Так, для использования усиленной квалифицированной электронной подписи подходят только токены, для которых подтверждено соответствие требованиям, установленным Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Это соответствие подтверждается наличием сертификата соответствия, выданного ФСБ России, в котором соответствующая информация приводится в явном виде. В зависимости от нужд потребителя токены в качестве СКЗИ могут быть сертифицированы на различные классы защиты. В нашем сравнении в таблице ниже на соответствие этим требованиям указывает параметр «Класс» раздела «Сертификат ФСБ». В соответствии со статьей 20 Приказа ФСБ № 796 при разработке средств электронной подписи должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований. Иными словами, сертификат ФСБ России для токена может быть получен только после реализации в нем отечественных криптографических алгоритмов.

С использованием токенов в зависимости от их функциональных особенностей может быть реализовано множество функций безопасности:

Даже из приведенного краткого описания видно, что за понятием «токен» кроется обширное множество решений. Они могут различаться почти во всех отношениях, начиная от форм-фактора изделия и заканчивая ограничениями на среду его функционирования. Оборотная сторона разнообразия — трудный выбор.

Как показывает опыт, разночтения есть даже в самом понимании сущности токена. Иногда потребитель рассчитывает на наличие несвойственных токену функций — например, возможности защищенного хранения пользовательских данных. Или может не принимать во внимание имеющиеся ограничения (поддерживаемые интерфейсы встраивания; операционные системы, в которых может работать токен; поддерживаемые криптографические алгоритмы и др.). Зачастую игнорируются упомянутые выше требования российского законодательства, предписывающие применение только сертифицированных средств защиты информации.

Далее, если сертификат имеется, потребитель не всегда старается разобраться в нюансах, а удовлетворяется фактом его наличия. Например, есть риск упустить из виду, что в соответствии с выпиской из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хеширования», использование ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается. Вместо этого должен быть выполнен переход к использованию национального стандарта ГОСТ Р 34.10-2012. Обратите внимание, что в таблице ниже приведены реализованные в токенах в настоящее время национальные стандарты.

Наконец, производитель порой выбирает настолько сложную схему сертификации изделия, что неискушенному человеку трудно разобраться в ней. Список факторов, влияющих на выбор, широк.

При существующем положении вещей полезно иметь компактный справочник с указанием основных характеристик, функциональных возможностей и ограничений токенов. Особенно наглядна такая информация в виде сравнительной таблицы — она представляет сведения о каждом токене в удобной форме и позволяет сравнить токены разных производителей между собой.

Локальные прокси

Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.

Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).

ГОСТ Р 34. 10-2012

Выясните, нужна ли вам поддержка новых стандартов электронной подписи 2012 года. Только версия 4.0 поддерживает стандарт электронной подписи ГОСТ Р 34.10-2012 (“Создание подписи” и “Проверка подписи”). Остальные версии криптопровайдера (3.0, 3.6 и 3.9) поддерживают ГОСТ 94 и 2001 годов.

Доводим до вашего сведения

Определен порядок перехода на национальный стандарт ГОСТ Р 34.10-2012 в средствах электронной подписи для информации, не содержащей государственную тайну.

Из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования» мы узнаем, что после 31 декабря 2019 года для создания электронной подписи  будет недопустимо использовать ГОСТ Р 34.10-2001.

Браузерные плагины

Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.

Кроссбраузерные плагины

ActiveX

Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.

В следующих статьях будут подробно рассмотрены оставшиеся решения.

Криптографические решения. От криптопровайдеров до браузерных плагинов

Время на прочтение

Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. С КЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.

С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.

В данном материале сделана попытка классифицировать средства криптографической защиты информации.

Классификация построена на основе:

Кроме того, показаны способы интеграции СКЗИ с Web-приложениями и возможность его использования на мобильных платформах

Общая схема классификации приведена в таблице:

В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.

Windows или Unix

Если вы выбираете версию 3.6, то нужно определиться, на какую операционную систему будет установлено ПО, — на Windows или Unix-подобную. Такое деление есть только в версии КриптоПро СSP 3.6 и более ранних. Если вы приобретаете версию 3.9 или 4.0, то не имеет значения, на какую операционную систему вы планируете ее устанавливать — Windows или Unix-подобную.

Клиентская или серверная лицензия

Первое, с чего следует начать, — определиться в версии, которая вам нужна. Клиентская или серверная. Если вы планируете использовать СКЗИ “КриптоПро CSP” на сервере, сразу покупайте серверную лицензию. Клиентская лицензия не подойдет. Да, цена серверной лицензии в несколько раз выше и в более ранних версиях можно было установить на сервер клиентскую лицензию, но сегодня на серверные операционные системы клиентские лицензии просто не установятся, несмотря на то, что в триальном (тестовом) периоде все работало.

Сертификат ФСБ

Во многих информационных системах (особенно государственных) одно из главных и обязательных требований — наличие на ПО сертификата соответствия ФСБ. На данный момент сертифицированы версии  3.6,  3.9 и 4.0.

Версия КриптоПро CSP 4.0 имеет сертификаты ФСБ по классам защиты КС1 и КС2 для операционных систем от Windows Vista до Windows 10.

КриптоПро CSP 3.9 R2 КриптоПро CSP 4.0 R2 поддерживающие работу в Windows 10 в на сегодняшний день получили положительное заключение ФСБ.

Поддержка операционных систем Windows

Поддержка Windows 2012 R2 и 8.1 реализована только в последних версиях КриптоПро CSP 3.9 и 4.0.

Поддержка Windows 10 реализована в последних версиях КриптоПро CSP 3.9  и 4.0, но мы рекомендуем использовать версию 4.0 для корректной работы.

Подробные сравнения по всем версиям криптопровайдера “КриптоПро CSP” вы найдете в описании продукта, они собраны в виде таблиц.

Сравнение токенов с действующим сертификатом ФСБ России

В сравнении мы намеренно не делаем выводов, не выделяем продукты и производителей. Этот материал следует расценивать как сводку информации о токенах, без замалчиваний и преувеличений. Окончательный выбор всегда остается за потребителем, поскольку только он способен адекватно оценить значимость каждого показателя в выборе токена в своем, частном случае.

Благодарим за активное участие в создании статьи:

Владимира Иванова, директора по развитию компании «Актив»

Антона Кузнецова, ведущего менеджера по развитию продуктов компании «Аладдин Р. Д.»

Максима Садовского, ведущего специалиста компании «Валидата»

Илью Моргасова, генерального директора компании «Инфокрипт»

Методология сравнения токенов

Сведения, представленные в рамках сравнения, включают:

Номенклатура токенов, имеющих действующий сертификат ФСБ России, составлена преимущественно на основе данных «Перечня средств защиты информации, сертифицированных ФСБ России». Этот перечень регулярно обновляется, и разумно рассматривать его в качестве достоверного источника информации с поправкой на некоторую задержку в части обновления сведений.

Параметры сравнения выбирались таким образом, чтобы как можно более полно представить имеющуюся информацию о токенах. При формировании набора параметров учитывалось как исторически сложившееся в отрасли представление об устройствах данного класса, так и критерии последнего времени. При этом помимо отечественной нормативной базы использовались следующие зарубежные документы:

Оценка токенов согласно выбранным параметрам производилась на основании сведений из открытых источников, уточненных производителями решений по нашей просьбе. Авторы сравнения старались, чтобы сведения были максимально полными и достоверными. Но реалии таковы, что полностью исключить возможность ошибки нельзя. Поэтому мы готовы внести в материал коррективы, которые помогут повысить его качество.

При использовании сравнительной таблицы следует принять в расчет ряд оговорок частного характера:

Нативные библиотеки

Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.

После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.

PKCS#11

Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.

Функции делятся на:

Таким образом, стандарт PKCS#11 поддерживает полный набор криптопримитивов, пригодный для реализации криптографических форматов (PKCS#7/CMS/CADES, PKCS#10, X.509 и др.) и протоколов (TLS, IPSEC, openvpn и др.).

Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.

В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.

Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.

Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.

PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.

Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.

У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:

Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.

NSS

NSS представляет собой криптографическую библиотеку от сообщества Mozilla. N SS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.

В данный момент существуют два проекта по «гостификации» NSS:

Библиотеки c собственным интерфейсом

Проприетарные библиотеки предоставляют собственный API для встраивания в приложения. В данный список можно внести:

Криптопровайдеры

Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.

Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.

Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.