- Что такое tls с гост?
- Tls-клиент с гост
- Tls-сервер с гост
- Другие решения
- Классические пассивные usb-токены и смарт-карты
- Купить cr-pro-3 лицензия на право использования скзи «криптопро csp» версии 5.0 на сервере по лучшей цене
- Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
- Поддерживаемые алгоритмы
- Поддерживаемые технологии хранения ключей
- Решения для мобильных устройств
- Решения для стационарных устройств
Что такое tls с гост?
В процессе работы над задачей разработки протокола TLS с поддержкой российских криптонаборов при активном участии специалистов КриптоПро было создано два ключевых документа, регламентирующих порядок работы протоколов TLS 1.2 и TLS 1.3 с ГОСТ Р 34.12-2022 (с использованием алгоритмов Магма и Кузнечик) – рекомендации по стандартизации Р 1323565.1.
020-2022 для TLS 1.2 и рекомендации по стандартизации Р 1323565.1.030-2020 для TLS 1.3. Документы определяют криптонаборы с российскими алгоритмами хэширования, шифрования и электронной подписи с учетом наиболее современных и безопасных практик использования криптоалгоритмов.
Для регламентации работы протокола с использованием криптонаборов на базе ГОСТ 28147-89 ранее были разработаны методические рекомендации МР 26.2.001-2022. Отметим, что сами российские алгоритмы стандартизируются в международных организациях ISO и IETF, проходя экспертизу ведущих мировых специалистов.
Tls-клиент с гост
Одна из важнейших задач, стоящих перед командой КриптоПро, – создание для пользователя как можно более комфортных условий при работе с сервисами по TLS c ГОСТ. В настоящее время мы предлагаем несколько вариантов решений, включающих в себя как готовые клиентские решения для стационарных устройств, так и решения для разработки собственных мобильных приложений.
Tls-сервер с гост
Предлагаем воспользоваться одним из двух подходов, позволяющих без дополнительной сертификации и разработки программного кода развернуть TLS-сервер, который будет одновременно работать как с российскими, так и с зарубежными криптонаборами:
- Если вам необходимо настроить работу для конкретного серверного ПО (IIS, Apache, nginx), вы можете на компьютере с указанным серверным ПО установить КриптоПро CSP и, следуя соответствующим инструкциям по настройке, получить TLS-сервер, дополнительно поддерживающий алгоритмы ГОСТ.
- Вы также можете воспользоваться решением КриптоПро NGate, представляющим собой самостоятельный TLS-шлюз (отдельная аппаратная или виртуальная платформа). Решение имеет большое количество преимуществ, одним из которых является удобство обеспечения классов защиты KC2-KC3: в отличие от предыдущего подхода, не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные компоненты решения.
Ниже представлена сравнительная таблица характеристик каждого предлагаемого решения. В колонке “Cертификация” приведена информация о статусе сертификации решения: как самостоятельное СКЗИ или как решение, исследование которого было проведено в рамках сертификации КриптоПро CSP. Во втором случае указана соответствующая версия криптопровайдера.
Решение | Платформа | Сертификация | Класс защиты |
CSP IIS | Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
CSP Apache | Linux | начиная с CSP 5.0 R2 | КС1, КС2*, КС3** |
CSP nginx | Linux | начиная с CSP 5.0 R2 | КС1, КС2*, КС3** |
NGate | Усиленная ОС на базе Linux Debian | самостоятельное СКЗИ | КС1, КС2, КС3 |
* – требуются дополнительные настройки и технические средства защиты ** – КС3 только под Astra Linux |
Другие решения
Протокол TLS позволяет обеспечивать защищенное соединение между любыми узлами в сети, что выводит область его применения за рамки представленных решений. TLS может обеспечивать защищенную передачу данных между узлами блокчейна, между пользователями VoIP, фактически между любыми двумя приложениями. Мы предлагаем продукт, позволяющий решить и такие задачи.
Приложение stunnel, входящее в дистрибутив КриптоПро CSP, позволяет устанавливать защищенный с помощью отечественных криптонаборов канал между любыми двумя незащищенными приложениями без дополнительной разработки.
Ниже представлен список наиболее популярных поддерживаемых операционных систем и соответствующих классов защиты:
Операционная система | Сертификация | Класс защиты |
Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
Linux | КС1, КС2*, КС3** | |
MacOS | КС1 | |
* – требуются дополнительные настройки и технические средства защиты ** – КС3 только под Astra Linux |
Классические пассивные usb-токены и смарт-карты
Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.
Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.
Купить cr-pro-3 лицензия на право использования скзи «криптопро csp» версии 5.0 на сервере по лучшей цене
Описание товара
Основные характеристики
Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».
Решение предназначено для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022);
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
- контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Реализуемые алгоритмы
- Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022 «Информационная технология. Криптографическая защита информации. Функция хэширования».
- Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».
При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.
Поддерживаемые типы ключевых носителей
- дискеты 3,5;
- смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
- таблетки Touch-Memory DS1993 — DS1996 с использованием устройств Аккорд 4 , электронный замок «Соболь», «Криптон» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
- электронные ключи с интерфейсом USB (USB-токены);
- сменные носители с интерфейсом USB;
- реестр ОС Windows;
- файлы ОС Solaris/Linux/FreeBSD.
CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
---|---|---|---|---|
Windows Server 2022 | x64* | x64** | x64 | |
Windows 10 | x86 / x64* | x86 / x64** | x86 / x64 | |
Windows Server 2022 R2 | x64 | x64 | x64 | |
Windows 8.1 | x86 / x64 | x86 / x64 | x86 / x64 | |
Windows Server 2022 | x64 | x64 | x64 | x64 |
Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 | |
Windows Server 2008 R2 | x64 / itanium | x64 | x64 | x64 |
Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Server 2008 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Vista | x86 / x64 | x86 / x64 | ||
Windows Server 2003 R2 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Server 2003 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows XP | x86 / x64 | |||
Windows 2000 | x86 |
Носители с неизвлекаемыми ключами и защищенным обменом сообщениями
В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем.
Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.
Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.
Поддерживаемые алгоритмы
В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.
Электронная подпись | ГОСТ Р 34.10-2022 (ГОСТ 34.10-2022), ECDSA, RSA |
Хэш-функции | ГОСТ Р 34.11-2022 (ГОСТ 34.11-2022), SHA-1, SHA-2 |
Шифрование | ГОСТ Р 34.12-2022 (ГОСТ 34.12-2022), ГОСТ Р 34.13-2022 (ГОСТ 34.13-2022), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4 |
Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.
Поддерживаемые технологии хранения ключей
В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.
Решения для мобильных устройств
КриптоПро предоставляет возможность встраивания поддержки отечественных криптоалгоритмов в ваше мобильное приложение при помощи КриптоПро CSP для операционных систем iOS и Android.
Кратко о решении:
- CSP встраивается в мобильное приложение, пользователю не требуется устанавливать дополнительное ПО
- Приложение может использовать как российские, так и иностранные криптонаборы
Ниже представлен список поддерживаемых операционных систем и соответствующих классов защиты:
Операционная система | Сертификация | Класс защиты |
iOS | любая поддерживаемая версия CSP | КС1 |
Android | начиная с CSP 5.0 | КС1 |
В случае использования КриптоПро CSP версии 5.0 R2 встраивание не требует проведения тематических исследований. Для CSP 5.0 и более ранних версий требуются тематические исследования.
Решения для стационарных устройств
Одним из популярных клиентских сценариев является взаимодействие клиента с сайтом, требующим защиту соединения с помощью отечественных алгоритмов (например, сайты банков). В этом случае необходимо, чтобы клиент со своей стороны, так же как и сервер, поддерживал работу по TLS с ГОСТ.
Кратко о решении:
Ниже представлена сравнительная таблица характеристик поддерживаемых браузеров. Прочерк в колонке «Cертификация» означает необходимость проведения тематических исследований.
Браузер | Платформа | Сертификация | Класс защиты |
Internet Explorer | Windows | любая поддерживаемая версия CSP | КС1, КС2*, КС3* |
Спутник Браузер | Windows, Astra Linux, ALT Linux | самостоятельное СКЗИ | КС1, КС2* |
Chromium-Gost | Astra Linux | начиная с CSP 5.0 R2 | КС1, КС2*, КС3* |
Windows, Linux, MacOS | – | – | |
Яндекс.Браузер | Windows | – | – |
* – требуются дополнительные настройки и технические средства защиты |