Запретить использование старых методов шифрования |

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Регистрация плагинов для доставки событий на Сервис рассылки уведомлений.

Все события КриптоПро DSS, предназначенные для отправки Пользователям и Операторам, должны быть
переданы в Сервис рассылки уведомлений. Сервис рассылки уведомлений является частью Центра Идентификации
и разворачивается автоматически при создании экземпляра.

Для событий Центра Идентификации:

Задание контактной информации Пользователей и/или Операторов.

Наличие контактной информации Пользователей и/или Операторов необходимо для корректной работы
системы оповещения. В зависимости от выбранного способа оповещения (Email, SMS) в профиле Пользователя
или Оператора должны быть указаны соответствующие номера телефонов или адрес электронной почты.
Заполнение контактной информации возможно следующими способами:

Регистрация набора плагинов для определенного способа рассылки.

Как только для события получены способы доставки и контактная информация, производится его отправка.
Для отправки должны быть зарегистрированы следующие плагины:

Пример настройки оповещения Пользователей по Email

Пример настройки уведомлений по SMS

Для описанных способов оповещения установлены шаблоны сообщений. Администратор может их изменять
при помощи специализированных командлетов.

Настройка PUSH-уведомлений и их шаблонов

Включение/отключение оповещения

После выполнения всех перечисленных выше действий оповещение будет настроено и включено автоматически.
Для отключения оповещения можно использовать следующие способы:

Плагины, необходимые для отправки и записи сообщений в журнал аудита, регистрируются при помощи
командлетов вида New-Dss…Audit.

Военные секреты

Важность развития технологий шифрования для военных хорошо иллюстрирует взлом специалистами Блетчли-парка кодов немецкого командования во время Второй мировой войны. Сюжет, известный по фильму «Игра в имитацию» и «Книге шифров» Саймона Сингха.

Кадр из фильма «Игра в имитацию». Бенедикт Камбербэтч в роли Алана Тьюринга, британского криптографа, взломавшего код немецкой шифровальной машины «Энигма» во время Второй мировой войны

Иронично то, что вычислительные машины, изначально предназначенные для расшифровки, со временем развились в компьютеры, составившие основы информационной экономики современности, и нанесли сокрушительный удар по своим создателям.

Шифровальщики, получив в свое распоряжение колоссальные вычислительные мощности, избавились от необходимости конструировать сложнейшие механические шифраторы по типу машины «Энигма» и реализовали недоступные прежде для использования из-за сложности стойкие к взлому алгоритмы.

Современные шифры настолько совершенны, что на их дешифровку требуется неоправданно большое время, от десятка лет и до тысячелетий в зависимости от сложности алгоритма и длины ключа. Это свойство современного шифрования делает его надежной защитой для любой информации и чрезвычайно усложняет работу криптоаналитиков.

Государственные запреты — новая тенденция

С 1 июля 2022 года закон требует от «организаторов распространения информации», к которым относятся практически все интернет-ресурсы и сервисы, от Яндекса до Telegram, хранить в течение года информацию о фактах приема, передачи, доставки, обработки сообщений, а также о данных пользователях, участвующих в переписке на территории России, и по требованию передавать ее правоохранительным органам.

Подобные законы действуют и в других странах. Всем известен пример Китая, за общением жителей которого в Интернете установлен жесткий контроль, но эта страна — не исключение. Китай представляется скорее наиболее яркой иллюстрацией общемировых тенденций.

Ведь, например, и английские власти с начала века требуют от граждан выдавать ключи шифрования под угрозой уголовной ответственности. Даже в США, на родине крупнейших интернет-корпораций, вокруг права на шифрование ведутся горячие споры.

Дополнительные настройки плагинов для доставки событий на сервис рассылки уведомлений

Плагины для доставки событий на Сервис рассылки уведомлений имеют также дополнительные параметры.
Полный список доступных настроек:

Транспортный плагин (командлет Add(Set)-Dss…Plugin):

Плагин рассылки уведомлений (командлет Add(Set)-Dss…Notifier):

• MinQueueSize – приемлемый размер очереди сообщений. При превышении заданного значения обработчики будут забирать сообщения из очереди без паузы до момента уменьшения размера очереди ниже данного значения. По умолчанию параметр равен 100.
• MaxQueueSize – максимальный размер очереди. При достижении максимального размера очереди отправка новых сообщений блокируется, до момента снижения размера очереди ниже данного значения. По умолчанию параметр равен 10000.
• TimerInterval – интервал времени опроса очереди сообщений в мс. По умолчанию параметр равен 500.
• TTL – количество повторных попыток отправки сообщения, при возникновении ошибок. По умолчанию параметр равен 3.
• MessageWindow – количество сообщений, забираемых из очереди для отправки за один раз. По умолчанию параметр равен 1.
• ThreadCount – количество обработчиков очереди сообщений. По умолчанию равен 1.
• Enabled – состояние компонента для рассылки сообщений: включен/отключен. По умолчанию включен.

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.

Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

В данном случай zerox — имя учетной записи, для которой узнаем SID.

Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:

где S-1−5−21−4126079715—2548991747—1835893097—1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.

Настройка оповещения

СЭП «КриптоПро DSS» позволяет настроить оповещение Пользователей и Операторов о различных событиях
системы. Также события могут заноситься в журнал Сервиса Аудита.

В этом разделе:

Система оповещения КриптоПро DSS позволяет уведомлять различными способами Пользователей и Операторов
о событиях, происходящих на следующих компонентах:

При этом используется разделение событий на два основных потока:

Некоторые события могут отправляться как в аудит, так и на Сервис рассылки уведомлений.

Пользователи и Операторы КриптоПро DSS могут быть оповещены о событиях Центра Идентификации, Сервиса
Подписи и myDSS посредством SMS-сообщений, электронной почты и PUSH-уведомлений (в мобильном приложении
myDSS при использовании данного метода аутентификации).

Настройка оповещения Пользователей и/или Операторов о событиях КриптоПро DSS производится
следующим образом.

Новое противостояние

Прежде стойкие алгоритмы шифрования использовались исключительно для защиты государственных секретов, но в последнее десятилетие ХХ века подобные алгоритмы получили повсеместное распространение благодаря единственному человеку — Филиппу Циммерману.

В 1991 году этот американский программист опубликовал программу для шифрования электронной почты собственной разработки, названную Pretty Good Privacy (PGP), настолько совершенную, что ее шифрование не взломано до сих пор.

Филипп Циммерман, американский программист, создатель пакета программного обеспечения для шифрования электронной почты PGP

На протяжении трех лет программист подвергался судебному преследованию со стороны властей США, однако был оправдан. Пока шли судебные тяжбы, стало ясно, что джинн выпущен из бутылки.

Все заинтересованные пользователи компьютеров получили в распоряжение инструмент, способный защитить их сообщения от перехвата. Началось активное развитие общедоступной компьютерной криптографии, а с ним возникло новое противостояние.

Шифровальщики и криптоаналитики не прекратили свою работу, однако вокруг шифрования развернулась борьба гражданского общества и государства.

Убежденность в необходимости шифрования нашла прочную основу в виде статьи 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию».

В то же время активному внедрению шифрования способствовали чисто коммерческие интересы. Компании давно испытывали потребность в надежных каналах связи. Шифрование повысило безопасность общения в Мировой сети и выступило катализатором ее развития.

Шифрование сделалось заметным конкурентным преимуществом для интернет-компаний, ведь оно обеспечивало безопасные денежные переводы, удаленный доступ к файловым хранилищам и продажу товаров онлайн.

Однако, помимо положительной, у прогресса есть и обратная сторона, напоминают противники распространения шифрования, число которых в государственных органах со временем лишь возросло.

Когда говорят об ограничении использования или запрете стойкого шифрования, как правило, речь заходит о всевозможных преступниках, от хакеров-одиночек до террористических групп. По словам обеспокоенных правоохранителей, чтобы защитить от них общество, спецслужбы должны иметь доступ к переписке граждан.

Хорошей иллюстрацией того, к чему приводит эта позиция, служит комплекс антитеррористических поправок в российское законодательство, известный как «пакет Яровой». Несмотря на широчайший резонанс и стотысячную петицию на сайте Российской общественной инициативы, он был принят и частично уже вступил в силу.

Общество — за шифрование

На международном уровне этот вопрос изучает Организация Объединенных Наций. На одном из докладов в мае 2022 года Специальный докладчик по вопросу о поощрении и защите права на свободу мнений и выражений Дэвид Кей дал однозначную оценку праву человека на шифрование переписки, охарактеризовав его как важнейший инструмент сохранения частной жизни и свободы самовыражения.

ООН однозначно высказалась за шифрование и отдельно подчеркнула, что право на шифрование может ограничиваться лишь в исключительных случаях, которые должны быть отражены в законах в четкой и однозначной форме.

Такой подход представляется наиболее здравым и взвешенным, ведь вопрос об использовании шифрования в конечном счете сводится к оценке соотношения рисков. Что будет разумнее: разрешить повсеместное шифрование и лишиться возможности вычислять террористов, просматривая переписку, или пожертвовать приватностью граждан?

Предпочтительным представляется первое, и на то существует целый ряд причин, организационных и технологических:

• чрезвычайно сложно контролировать законность и обоснованность вмешательства в частную жизнь граждан. Хорошим подтверждением этого тезиса служит то, что британские спецслужбы на протяжении 17 лет бесконтрольно собирали конфиденциальные данные о гражданах своей страны;

• невозможно отделить шифрование переписки от других видов защищенной связи. Схожие подходы используются для передачи файлов, удаленного подключения к компьютерам, защиты программ от копирования и совершения денежных переводов. Ограничения, накладываемые на шифрование, в конечном счете сказываются на безопасности всего перечисленного. Любые уязвимости, оставленные в алгоритмах шифрования с целью предоставить спецслужбам доступ к передаваемым сообщениям, рано или поздно будут обнаружены и использованы иными лицами;

• средства шифрования общеизвестны и широко доступны. Запрет на использование шифрования переписки в мессенджерах и других общедоступных сервисах никак не отменяет этого факта. С введением запретов законопослушные граждане и их данные становятся уязвимее, в то время как злоумышленникам нет дела до законов, они продолжат использовать шифрование, как и прежде;

Оповещение операторов

Получение политики оповещения Операторов

# Получение глобальной политики:
Get-DssNotificationPolicy -Type Operator
# Если в выводе данной команды содержится AllowOverride = False,
# Оператор не сможет самостоятельно настраивать политику в своем 
# личном кабинете на веб-интерфейсе.

# Просмотр списка событий с указанием настроенных способов доставки для каждого события:
(Get-DssNotificationPolicy -Type Operator ).EventNotifiers

Настройка политики оповещения Операторов без возможности редактирования

Данный пример позволяет настроить оповещение Операторов. При этом Операторы НЕ могут
изменять список событий, о которых они получают оповещения.**

Оповещение пользователей

Получение политики оповещения Пользователей по уровням

Отключаем уведомление о переходе на гост р 34.10−2022

С недавних пор, криптопровайдер КриптоПро CSP стал заботливо выдавать следующее предупреждение:

С 1 января 2022 года запрещено формирование электронной подписи с помощью ключей ЭП ГОСТ Р 34.10−2001. Вам необходимо перейти на использование ключей ЭП ГОСТ Р 34.10−2022. Продолжить использование ключа ЭП ГОСТ Р 34.10−2001?

Там же, внизу можно поставить галочку, чтобы данное напоминание не отображалось в течении месяца. Впрочем, бывает и такое, что данную галочку КриптоПро игнорирует и радует подобным окошком при каждом использовании.

Для того, чтобы отключить НАВСЕГДА данные уведомления, необходимо проделать следующее:

Windows Vista, Windows Server 2008 и новее:

Создаем два параметра типа QWORD, и задаем им значение 1d4a164f03e4000 (в шестнадцатеричной системе). Параметры должны находиться по следующему адресу (в конце — название параметра):

Для 64-битных систем:

Для 32-битных систем:

Windows XP или Windows Server 2003:

Создаем два параметра типа DWORD, и задаем им значение ffffffffff (в шестнадцатеричной системе). Параметры должны находиться по следующему адресу (в конце — название параметра):

Для 64-битных систем:

Для 32-битных систем:

В операционных системах семейства Linux, необходимо добавить два ключа в файл конфигурации, который расположен по следующему адресу:

Для 64-битных систем:

Для 32-битных систем:

Ключи должны располагаться в уже существующей секции Parameters, и должны иметь следующее содержание:

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Отключение оповещения обо всех событиях

Для того чтобы отключить оповещение обо всех событиях, необходимо указать флаг
AllNotificationEvents и в параметре Notifier передать пустой список типов оповещения.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Политики оповещения

События, отправленные с компонентов DSS при помощи настроенных ранее плагинов, доставляются на
Сервис рассылки уведомлений. Здесь происходит получение информации о доступных способах доставки
(Email, SMS, PUSH), а также контактной информации из профиля Пользователя или Оператора, которому
должно быть доставлено уведомление.

Политика оповещения Пользователей состоит из трех уровней:

• глобального,
• уровня группы,
• уровня Пользователя (настройка доступна только через веб- и REST-интерфейсы).

Политика оповещения Пользователей заполняется при помощи командлета Set-DssNotificationPolicy
и представляет собой набор следующих настроек:

Примечание

Оповещение Пользователей требует подключения ЦИ и/или Сервиса Подписи к SMS-шлюзу оператора
сотовой связи или к почтовому серверу в соответствии со схемой размещения компонентов (см документ
ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание) и в соответствии с требованиями к подключению к
сетям общего пользования, описанными в разделе 10 документа ЖТЯИ.00096-02 95 01 КриптоПро HSM.
Правила пользования.