Удостоверяющий центр CryptoPro TLS CA

Удостоверяющий центр CryptoPro TLS CA ЭЦП
На чтение 12 мин. Просмотров 2 Опубликовано
Содержание
  1. Отдельные почтовые клиенты с российской криптографией
  2. Javascript
  3. Java-апплеты
  4. Безопасность
  5. Высокая отказоустойчивость и доступность
  6. Контактная информация
  7. Криптопро купить онлайн | уц такском
  8. Мониторинг функционирования и доступности
  9. На базе nss
  10. Настольные криптографические приложения
  11. Неаккредитованный удостоверяющий центр
  12. Облачная подпись
  13. Отдельные библиотеки
  14. Отдельные браузеры с российской криптографией
  15. Распределенная схема обслуживания
  16. Распределенная схема обслуживания с оператором удостоверяющего центра
  17. Расширения классов
  18. Сертификаты аутентификации серверов удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)
  19. Документы, регламентирующие деятельность УЦ CryptoPro TLS CA (схема обслуживания – распределенная)
  20. Порядок получения сертификата:
  21. Способы аутентификации
  22. Средства формирования доверенной среды
  23. Удостоверяющие центры ооо «крипто-про»
  24. Центр управления tls-сертификатами аутентификации серверов
  25. Центр управления сертификатами vpn-сетей

Отдельные почтовые клиенты с российской криптографией

Отдельные почтовые клиенты с российской криптографией позволяют реализовать защиту переписки, используя электронную подпись и шифрование письма для абонента/группы абонентов (S/MIME). Данное решение удобно использовать в системах, построенных по принцу «точка-точка», в которых обмен информацией происходит непосредственно между абонентами, а сервер при этом используется только для маршрутизации сообщений.

ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKIX.509, PKCS#10, CMS, CRL
Механизмы ЭЦПВызов из JavaScript встроенных в браузер функций
TLS-ГОСТВстроен в библиотеку и поддерживается браузером
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузером100%
Мобильные платформыiOS, Android
Хранилища ключейБраузерное хранилище, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
ИнсталляцияПрограмма установки, в целом, не требуются права системного администратор
Portable. Например, запуск браузера с FLASH-памяти USB-токена
Примеры (ГОСТ)Mozilla ThunderBird от Лисси
DiPost от Фактор ТС

Javascript

Некоторое время назад на Хабре появилась статья, автор которой реализовал многие криптографические форматы непосредственно на JavaScript


При этом криптоалгоритмы используются из унифицированного ядра WebCrypto, которое уже сейчас поддерживается большинством современных браузеров.

Java-апплеты

Одним из вариантов использования СКЗИ в браузере является их интеграция в Java-апплеты.

В ряде случаев СКЗИ и криптографические библиотеки не требуют установки и представляют собой нативную библиотеку. В этом случае возможна ее интеграция непосредственно «внутрь» апплета и вызов функций СКЗИ через механизм JNI. При этой схеме библиотека будет инсталлирована в профайл пользователя при первой загрузке Java-апплета в браузере и ее отдельной инсталляции не потребуется.


Другим вариантом является написание Java-апплета, который вызывает предустановленное в системе СКЗИ (CSP, JCP и др.)

Более подробно пример подобной реализации, основанный на использовании Рутокен ЭЦП и OpenSSL, описан в статье

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Контактная информация

По вопросам обслуживания на Удостоверяющем Центре ООО «КРИПТО-ПРО» обращайтесь:

Криптопро купить онлайн | уц такском

Мы всегда готовы вам помочь

Оставьте свой номер, если возникли вопросы. Мы перезвоним и поможем со всем разобраться

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Приобрести ПАК «КриптоПро DSS 2.0»

Загрузить ПАК «КриптоПро DSS 2.0»

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2.0» для работы с квалифицированной электронной подписью

Учебный курс по ПАК «КриптоПро DSS 2.0»

Учебный курс по «КриптоПро Центр мониторинга 1.0»

На базе nss

На картинке представлена архитектура решения, реализованная в проекте по расширению NSS aToken.

СпецификацияNSS c использованием PKCS#11-токенов, программных и аппаратных
ПлатформыСемейство Windows, GNULinux, OS X, iOS, Android
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS
Интеграция с PKIX.509, PKCS#10, CMS, CRL
Механизмы ЭЦПВызов из JavaScript встроенных в браузер функций
TLS-ГОСТВстроен в библиотеку и поддерживается браузером
Форматы защищенных сообщенийPKCS#7, CMS
Интеграция с браузером100%
Мобильные платформыiOS, Android
Хранилища ключейБраузерное хранилище, USB-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
ИнсталляцияПрограмма установки, в целом, не требуются права системного администратор
Portable. Например, запуск браузера с FLASH-памяти USB-токена
Примеры (ГОСТ)Mozilla FireFox, Chromium от Лисси
Проект atoken от R-Альфа (Mozilla FireFox)
КриптоFox (PKCS11-токен на базе КриптоПро CSP)

Проблемы:


Плюсы:

Настольные криптографические приложения

Класс приложений, которые предоставляют законченный оконный пользовательский интерфейс для проведения клиентских криптоопераций. Как правило, используют некоторое СКЗИ в качестве криптоядра.

Операции:

Примеры:

Неаккредитованный удостоверяющий центр

Описание процесса регистрации и получения неквалифицированного сертификата ключа проверки электронной подписи

Облачная подпись

Концепция облачной подпись предполагает хранение закрытого ключа и выполнение процедуры подписи/шифрования данных непосредственно на сервере.

Для безопасного применения облачной подписи требуется решить задачу строгой аутентификации клиента при доступе к его закрытому ключу и задачу надежного хранения закрытого ключа на сервере. Примером подобного решения может служить КриптоПро DSS, который в качестве одного из вариантов аутентификации поддерживает Рутокен WEB (строгая двухфакторная аутентификация), а для хранения закрытого ключа использует HSM.

Отдельные библиотеки

BouncyCastle — это open source библиотека, в которой реализована своя система криптографических классов для платформы Microsoft.NET. В библиотеке поддерживаются как базовые криптографические алгоритмы ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, так и криптографические форматы PKCS#7/CMS, PKCS#10, X.

Отдельные браузеры с российской криптографией

Браузеры, созданные на базе open source проектов Mozilla FireFox и Chromium, используют в качестве криптоядра NSS или OpenSSL. OpenSSL поддерживает российские криптоалгоритмы. Для NSS также существуют разработки, которые обеспечивают поддержку российских криптоалгоритмов. Некоторое время назад на рынке появились полнофункциональные браузеры с поддержкой российской криптографии.

Подобное решение обладает большим, на данный момент невостребованным, потенциалом, так как позволяет создавать защищенные стандартные WEB-клиенты для систем с высокими требованиями к безопасности. Еще одним плюсом подобного браузера является его «портабельность».

С учетом существования USB-токенов с защищенной FLASH-памятью созданы безопасные решения, в котором наиболее критические операции с закрытом ключом осуществляются на «борту» USB-токена, а сам браузер хранится в его защищенной от модификации FLASH-памяти. Подобное решение кроме высокого уровня безопасности является очень удобным в применении.

Распределенная схема обслуживания

Данная схема обслуживания удобна для организаций, пользователи которых территориально удаленны от Удостоверяющего центра (например, в разных субъектах Российской федерации).

При использовании распределенной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется без личного прибытия пользователя в Удостоверяющий центр и производится на основании заявлений, поступающих в Удостоверяющий центр посредством специализированного программного обеспечения Удостоверяющего центра, электронной почты, почтовой либо курьерской связи.

Схема процесса регистрации пользователя представлена на рисунке:

Распределенная схема обслуживания с оператором удостоверяющего центра

Данная схема обслуживания удобна для организаций, являющихся владельцами информационных систем, использующих электронную цифровую подпись.

Распределенная схема с оператором основывается на предоставлении Удостоверяющим центром обслуживающейся организации — Оператору Удостоверяющего Центра полномочий по регистрации пользователей и принятию решений по управлению (изготовлению, отзыву, приостановлению/возобновлению действия) сертификатов ключей подписей.

Схема процесса регистрации пользователя представлена на рисунке:

Расширения классов

В платформе существует набор криптографических классов, в которых предусмотрены механизмы расширения сторонними алгоритмами. Наиболее известным на рынке решением по расширению платформы Microsoft.NET российскими криптоалгоритмами является продукт КриптоПро. NET, представляющий собой надстройку над КриптоПро CSP.

Установка КриптоПро.NET позволяет использовать российские криптоалгоритмы, например,

в WEB-сервисах на базе ASP.NET, SOAP-сервисах, в клиентских браузерных приложениях MS.Silverlight.

ПлатформыMicrosoft.NET 2.0 и старше
Алгоритмы и криптографические протоколыЭЦП, шифрование, хэш-функция, имитозащита, HMAC, VKO, TLS, SOAP
Интеграция с PKIX.509, PKCS#10, CMS, CRL
Механизмы ЭЦПНабор классов. Есть полностью “управляемые” реализации. Есть реализации на базе Crypto API 2.0 и CNG
Механизмы аутентификацииклиентская аутентификация в рамках TLS
аутентификация в SOAP-сервисах
собственные механизмы аутентификации на базе ЭЦП случайных данных
TLS-ГОСТВстраивание
Форматы защищенных сообщенийPKCS#7, CMS, XMLSec, SOAP (OASIS Standard 200401), S/MIME
Интеграция с браузеромЭЦП и шифрование через MS Silverlight
Хранилища ключейРеестр, UBS-токены
Взаимодействие с USB-токенамиХранилище ключей и сертификатов
Использование аппаратной реализации алгоритмов
Через Crypto API 2.0
ПриложенияMicrosoft Lync 2022, Microsoft Office Forms Server 2007 и Microsoft SharePoint 2022, Microsoft XPS Viewer
ИнсталляцияMicrosoft. NET включен в состав Windows, начиная с Windows Vista. Поддержка российских криптоалгоритмов требует установки дополнительного ПО
Примеры (ГОСТ)КриптоПро. NET (на базе КриптоПро CSP)

Сертификаты аутентификации серверов

удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)

Документы, регламентирующие деятельность УЦ CryptoPro TLS CA
(схема обслуживания – распределенная)

Порядок получения сертификата:

  1. Заполните заявку на нашем сайте, выбрав позицию «Услуги Удостоверяющего Центра по изготовлению сертификата ключа аутентификации сервера по распределенной схеме обслуживания». При необходимости там же можно заказать лицензии на «КриптоПро CSP».
    В течение суток на указанный Вами адрес электронной почты будет выслан скан счета. Распечатайте и оплатите его.
  2. Подготовьте заявительные документы по формам из приложений в Регламенте УЦ:

    • Приложение № 1 (Заявление о присоединении к Регламенту) — 2 экз. (предоставляется один раз при получении первого сертификата)
    • Приложение № 2 (Заявление на регистрацию) — 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
    • Приложение № 3 (Доверенность пользователя УЦ) — 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
  3. Зайдите по адресу https://tlsca.cryptopro.ru/ui (следует использовать Internet Explorer на компьютере, где установлен КриптоПро CSP и сертификат уполномоченного лица УЦ), нажмите кнопку «Регистрация» на пункте «для получения сертификатов Web-серверов» и введите идентификационные данные регистрирующегося лица в соответствии с данными, указанными в Заявлении на регистрацию (Приложение № 2 к Регламенту). Во время этой процедуры формируется логин (маркер) временного доступа и пароль — их нужно запомнить (сохранить).
  4. Подготовленные в п. 2 документы необходимо отсканировать и отправить на адрес cpca@cryptopro.ru.
  5. После регистрации пользователя, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Заранее подготовьте ключевой носитель (флэшку, дискету, eToken, Rutoken, …) для сохранения на нём сформированных ключей. Далее нажмите кнопку «Создать запрос на сертификат».
  6. После успешной генерации ключей распечатайте заявление на изготовление сертификата ключа подписи (оно автоматически сформируется при нажатии на кнопку «Печать»), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
  7. После изготовления сертификата, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Далее нажмите кнопку «Получить сертификат».
  8. После успешной установки сертификата распечатайте сертификат в 2-х экземплярах (с помощью присланной вам в письме формы), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
  9. Оригиналы всех подготовленных документов (Заявление о присоединении, Заявление на регистрацию, Доверенность, Заявление на изготовление сертификата, Сертификат на бумажном бланке) необходимо прислать Почтой России или курьерской службой в ООО «КРИПТО-ПРО».

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:

Средства формирования доверенной среды

Проблема формирования доверенной среды для выполнения криптоопераций, в частности ЭЦП, является отдельной большой темой. В данной статье не планируется ее подробно рассматривать, но хочется отметить, что концептуально разработчики идут следующими путями:

На последнем способе формирования ДС хотелось бы остановиться подробнее.

Компанией «Код безопасности» предложен интересный продукт Jinn, который позволяет эмулировать доверенную среду как на многоядерном, так и на одноядерном компьютере. Основной идеей данного решения является то, что доверенная среда выполняется на логических ядрах, на которых не выполняется сама клиентская ОС.

Для случая многоядерного компьютера доверенная среда функционирует на 2 ядрах, на остальных ядрах функционирует клиентская ОС. Доверенная среда загружается перед загрузкой клиентской ОС либо с флешки, либо с электронного замка Соболь. Решение гарантирует, что клиентская ОС (а следовательно и потенциальное вредоносное ПО) не управляет поведением доверенной среды.

По сути, в решении две ОС разнесены по различным ядрам одного компьютера и между ними настроен канал передачи данных. При этом одна из ОС (доверенная среда), спроектирована таким образом, что варианты ее заражения минимизированы и ее функционал служит исключительно цели безопасной визуализации данных и их пописи.

Для доступа к доверенной среде из клиентской ОС используется специальная библиотека (COM-объект). При подписи платежки через данную библиотеку Jinn перехватывает управление графическим адаптером и визуализирует на нем платежку. Если представленная информация верна, то после подтверждения пользователя Jinn подписывает платежку и возвращает управление клиентской ОС.

Удостоверяющие центры ооо «крипто-про»

Основное направление деятельности компании ‑ разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.

Продукты компании широко используется различными государственными и коммерческими организациями в системах электронного документооборота, сдачи налоговой и бухгалтерской отчетности, системами исполнения бюджета, городского заказа и интегрированы в прикладные системы ведущих российских ИТ производителей.

Во многих случаях, организация собственного Удостоверяющего центра экономически не целесообразна. В целях снижения затрат на организацию защищенного, юридически значимого электронного документооборота предлагаем вам воспользоваться нашими услугами в части создания сертификатов ключей проверки электронных подписей (сертификатов открытых ключей) и осуществляемых на следующих технологических площадках:

Центр управления tls-сертификатами аутентификации серверов

Удостоверяющий центр CryptoPro TLS CAОписание процесса регистрации и получения сертификатов для аутентификации серверов

Центр управления сертификатами vpn-сетей

Удостоверяющий центр CryptoPro TLS CAОписание процесса регистрации и получения сертификата для аутентификации и защиты сетевого трафика

Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64