ПОЧТИ ВСЕ ЧТО ВЫ ХОТЕЛИ ЗНАТЬ О КРИПТОПРО CSP

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 16 марта 2019 года; проверки требуют 5 правок.

Криптопровайдер (Cryptography Service Provider, CSP) — это независимый модуль, позволяющий осуществлять криптографические операции в операционных системах Microsoft, управление которым происходит с помощью функций CryptoAPI. Проще говоря, это посредник между операционной системой, которая может управлять им с помощью стандартных функций CryptoAPI, и исполнителем криптографических операций (это может быть как программа, так и аппаратный комплекс).

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 1 марта 2023 года; проверки требуют 2 правки.

КриптоПро — разработанная одноименной компанией линейка криптографических утилит (вспомогательных программ) — так называемых криптопровайдеров. Они используются в других программах для генерации электронной подписи (ЭП), работы с сертификатами, организации структуры PKI и т.д.

Для цифровой подписи электронных документов и обмена бланками необходим криптопровайдер. Он шифрует и защищает информацию, хранит секретные ключи — вот что такое КриптоПро. Вот для чего вам необходимо это ПО:

КриптоПро CSP 5.0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и преумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остается единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Назначение КриптоПро CSP

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Таблица алгоритмов, поддерживаемых разными версиями КриптоПро CSP.

Поддерживаемые технологии хранения ключей

В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт, СмартПарк, Аладдин Р. Д. и Gemalto разработали новые защищенные токены, которые поддерживают данный протокол.

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р. Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Таблица носителей, поддерживаемых разными версиями КриптоПро CSP.

Инструменты КриптоПро

В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение — «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея — предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе — при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

Таблица операционных систем, поддерживаемых разными версиями КриптоПро CSP.

Классификация операционных систем для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Регулирующие документы

Все преимущества продуктов этих линеек не только сохраняются, но и приумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное — работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО — интерфейс доступа остаётся единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Компании Актив, ИнфоКрипт и СмартПарк разработали новые защищенные токены, которые поддерживают данный протокол.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0 R2

Почти все, что вы хотели знать о КриптоПро CSP

“Что мы знаем о лисе? Ничего. И то не все.”Б. Заходер

– 90 дней;

– доступна только для тех, кто впервые устанавливает ПО на компьютер;

Если ранее на вашем компьютере уже стояло ПО Крипто Про, данная версия активирована не будет.

А всем, кто хотел бы узнать, что такое КриптоПро CSP, для чего нужно и как применяется, пригодится наша статья.

Времена, когда любой значимый документ нужно было напечатать, собственноручно подписать, поставить печать и отправить обычной почтой, а то и принести лично, уходят в прошлое. Практически любой документ теперь можно подписать электронной подписью, которая надёжно удостоверяет личность отправителя, а зашифрует документ как раз загадочный КриптоПро.

Купить ЭЦП – этого не достаточно?

Итак, вы купили (или собрались покупать) ЭЦП. И уже добрались до того момента, когда в процессе покупки всплыл термин «криптопровайдер» и название КриптоПро.

Криптопровайдером называется независимый модуль в операционной системе вашего компьютера, который позволяет осуществлять криптографические (то есть защищающие информацию от прочтения и искажения посторонним) операции, такие как, создание электронной подписи, шифрование и защита от навязывания ложных данных.

Большинство известных программ для подписи и шифрования работают в связке с криптопровайдером и не могут ничего подписать при его отсутствии. А КриптоПро (а точнее, КриптоПро CSP – cryptography service provider) – это и есть криптопровайдер.

Для чего нужен КриптоПро CSP?

Криптопровайдер КриптоПро CSP устанавливается на ПК пользователя локально. Он подписывает документы, обращаясь к сертификату электронной подписи в реестре компьютера, на eToken или RuToken («флешка» для хранения ЭЦП), смарт-картах и других носителях. Ведь электронный носитель, будь то токен, дискета или флешка – не является полноценной ЭЦП. Без закрытого ключа внутри и настройки ключевой связки – это просто бесполезные аксессуары.

Главная задача КриптоПро – подтвердить правильность электронной подписи владельца, зашифровать документ и отправить получателю через интернет, подтвердив юридическую достоверность и целостность изначального документа.

Если проводить аналогии с чем-то распространенным в быту, то криптопровайдер можно сравнить с карандашом. Сам по себе карандаш ничего подписать не может, однако поставить свою подпись без него невозможно. Точно также и криптопровайдер – он обеспечивает подписание документа, без него, в большинстве случаев, ничего подписать или зашифровать не получится. Однако сам по себе криптопровайдер ничего не делает. Для письма карандашом нужна человеческая рука, а для криптопровайдера – взаимодействующие с ним программы. И уже пользователь решает, какой программный продукт больше подходит для его целей.

Использование КриптоПро CSP

Использование КриптоПро CSP в современном электронном мире растет ежемесячно, ведь все больше областей нашей жизни цифровизируется.

При этом возникают все новые области, в которых без электронной подписи и вовсе нельзя обойтись. Например, ЭЦП для торгов на коммерческих или государственных электронных площадках открывает владельцу двери в мир коммерческих и федеральных закупок: вам становится доступным участие в торгах и аукционах на электронных торговых площадках. С помощью ЭЦП для торгов можно участвовать в тендерах для строительства, ремонта и реконструкции, в аукционах по банковским, финансовым, страховым услугам и подрядам, в торгах по банкротству и многим другим областям.

Взаимодействуете с Госуслугами или отправляете декларацию в Росалкогольрегулирование как владелец придомового магазина или сети супермаркетов – вам тоже нужно использование КриптоПро CSP.

Сформировать онлайн электронную декларацию и отправить в региональную таможню? Да, для этого вам тоже потребуется воспользоваться ПО КриптоПро CSP.

Уловили суть? Фактически все государственные учреждения и порталы используют КриптоПро CSP в качестве криптопровайдера для сохранения целостности документа и его идентификации между пользователем и получателем. Будьте только внимательны и получайте Квалифицированную усиленную электронную подпись вместо обычной или неквалифицированной, чтобы избежать проблем с взаимодействием ваших документов и официальных порталов, выбирая сертифицированные Удостоверяющие центры.

Какой вариант КриптоПро CSP мне нужен?

Рассмотрим наиболее распространенные варианты связки КриптоПро CSP-ЭЦП, которые мы предлагаем нашим клиентам.

1. Вы всего лишь просто хотели купить электронную подпись. Это, разумеется, возможно. Но без КриптоПро CSP, вы не сможете ею пользоваться.

У вас не куплена лицензия КриптоПро? Вы, конечно, можете использовать 90 дней бесплатного пробного периода, но лучше сразу купить ключ КриптоПро.

2. Вам нужна ровно одна ЭЦП для использования на 1 компьютере.  В этом случае можно купить 1 электронную подпись и к ней подшить КриптоПро CSP – на 1 компьютер, на 1 год и на 1 ЭЦП.

Также в этом случае следует иметь ввиду, что:

а) Пользователь сможет пользоваться ЭЦП только с одного рабочего места, т.к. лицензионный ключ привязан к конкретному компьютеру.

б) Если вы будете докупать еще электронные подписи для разных нужд, вам нужно будет докупать и КриптоПро CSP для них.

3. Вам требуется использовать больше одной ЭЦП. В этом случае можно купить КриптоПро CSP на неограниченное количество подписей на 1 компьютер, на 1 год. ( Лицензионный ключ так же будет привязан к конкретному компьютеру).

4. Вы все время пользуетесь разными ЭЦП для разных задач. В этом случае вам имеет смысл купить бессрочную версию КриптоПро CSP. Она позволит пользоваться любым количеством подписей на 1 компьютере неограниченное время.

Всегда ли нужно устанавливать криптопровайдер?

Для пользователей, работающих в облачных сервисах, бывает необходимо поставить электронную подпись непосредственно на веб-сайте. В этом случае достаточно установить бесплатный плагин для интернет-браузеров. Данный программный модуль отвечает за создание и проверку электронной подписи на веб-страницах с использованием криптопровайдера КриптоПро CSP. При помощи КриптоПро ЭЦП Browser plug-in пользователь может использовать свою электронную подпись на клиентских порталах, электронных офисах, в системах интернет-банкинга.

Это все про КриптоПро CSP?

Нет, конечно не все. Мир программных решений КриптоПро в полной мере отражает многообразие запросов реальной жизни и бизнеса. Наши менеджеры подберут вам необходимый вариант для использования в конкретно вашей ситуации.

Поддержка КриптоПро различными платформами

• КриптоПро CSP 1.1
• КриптоПро CSP 3.6
• КриптоПро CSP 3.9

Средства криптографической защиты информации со смарткартами и USB ключами

Инфраструктура открытых ключей

Любой криптопровайдер должен экспортировать набор обязательных функций, которые формируют системный программный интерфейс CryptoAPI, при этом каждая из этих функций соответствует некоторой функции CryptoAPI. Также криптопровайдер должен обеспечивать:

Приложения не работают напрямую с криптопровайдером. Вместо этого они вызывают функции CryptoAPI из библиотек Advapi32.dll и Crypt32.dll. Операционная система фильтрует вызовы этих функций и вызывает соответствующие функции CryptoAPI, которые непосредственно работают с криптопровайдером.

Минимальный состав криптопровайдера — одна DLL. Обычно эта библиотека хранится в папке WINDOWSsystem32. Обязательным является контроль целостности этой DLL.

Кроме стандартных функций CryptoAPI, криптопровайдер обычно поддерживает ряд собственных функций. Если собственные функции не реализованы, то DLL действует, по сути, как промежуточный слой между операционной системой и исполнителем криптографических операций.

Пары ключей и симметричные ключи могут находиться только в контейнере. Только открытый ключ пары может находиться вне контейнера.

Закрытые (private) ключи пар ключей экспортируются только в зашифрованном виде. Некоторые криптопровайдеры принципиально не позволяют экспортировать закрытые ключи, даже в зашифрованном виде.
Симметричные ключи при экспорте также обязательно шифруются на открытом ключе получателя или ключе согласования.
Для вычисления хеш-функций создаются объекты хеширования. Для создания объектов хеширования создавать контейнер не нужно.

Во все операционные системы Microsoft, начиная с Windows 2000, встроен криптопровайдер Microsoft Base Cryptographic Provider, который обладает набором основных криптографических функций. В Microsoft Base Cryptographic Provider длина ключей шифрования не превышает 40 бит. Так как до января 2000 года в США существовал запрет на экспорт программного обеспечения для шифрования с использованием ключей длиной более 40 бит, то в Windows 98 и ранних версиях Windows 2000 существовала поддержка только этого криптопровайдера. Microsoft Base Cryptographic Provider по сути является урезанным вариантом Microsoft Enhanced Cryptographic Provider. Но после отмены запрета на экспорт стало бессмысленно иметь 2 криптопровайдера, поэтому программисты Microsoft ввели ещё одно название — Microsoft Strong Cryptographic Provider, который ничем не отличается от Microsoft Enhanced Cryptographic Provider. Этот криптопровайдер является криптопровайдером по умолчанию типа PROV_RSA_FULL в Windows 2000, Windows XP, Windows 2003.

Все криптопровайдеры Microsoft могут быть скачаны с сайта Microsoft.