Schutz kryptografischer Informationen. Schutz vor unbefugtem Zugriff mit CryptoPro CSP

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

Mittel zum Schutz kryptografischer Informationen

  • CryptoPro CSP – ein Mittel zum Schutz kryptografischer Informationen (Verschlüsselung/Entschlüsselung, Signaturüberprüfung, Hashing) auf der Kernelebene des Betriebssystems. Der Kryptotreiber ist für den Einsatz in speziellen Anwendungen (IP-Protokollverschlüsseler, Dateisystem)
  • CryptoPro JCP– ein Tool zum Schutz kryptografischer Informationen, das gemäß der JCA-Spezifikation (Java Cryptography Architecture) entwickelt wurde und russische kryptografische Standards implementiert
  • CryptoPro Sharpei– ermöglicht Ihnen die Verwendung des kryptografischen Informationsschutztools CryptoPro CSP auf der Microsoft-Plattform. Net Framework. Das Softwareprodukt implementiert eine Reihe von Schnittstellen für den Zugriff auf kryptografische Operationen.Net Cryptographic Provider
  • CryptoPro IPSec– eine Reihe von Protokollen, die den Schutz der über das Internetprotokoll IP übertragenen Daten gewährleisten. Das Softwareprodukt ermöglicht die Authentifizierung und/oder Verschlüsselung von IP-Paketen
  • CryptoPro HSM– Hardware- und Software-Kryptografiemodul (Hardware-Sicherheitsmodul), kompatibel mit CryptoPro CSP, das den Benutzern kryptografische Dienste bereitstellt Firmennetzwerk
  • Atlix HSM– Hardware-Kryptografiemodul (Hardware-Sicherheitsmodul), kompatibel mit CryptoPro CSP. Atlix HSM soll die sichere Speicherung und Nutzung des privaten Schlüssels einer autorisierten Person einer Zertifizierungsstelle gewährleisten

Tools zum Schutz kryptografischer Informationen mit Smartcards und USB-Sticks

  • MSc CSP– ein Tool zum Schutz kryptografischer Informationen, mit dem Sie den Schutz des geheimen Schlüssels des Benutzers auf ein neues Niveau heben und die Gültigkeitsdauer geheimer Schlüssel auf 3 Jahre erhöhen können
  • CryptoPro Rutoken CSP– Software- und Hardware-CIPF, das die Fähigkeiten des russischen Krypto-Anbieters CryptoPro und der Rutoken EDS-Kennung kombiniert
  • CryptoPro eToken CSP– ein Mittel zum Schutz kryptografischer Informationen, mit dem Sie den Schutz des geheimen Schlüssels des Benutzers auf ein höheres Niveau bringen und die Gültigkeitsdauer geheimer Schlüssel auf 3 Jahre erhöhen können

Public-Key-Infrastruktur

  • Zertifizierungszentrum „CryptoPro UC“– ein PC zur Durchführung organisatorischer und technischer Maßnahmen zur Bereitstellung von Werkzeugen und Spezifikationen für die Verwendung von Public-Key-Zertifikaten für Benutzer des Zertifizierungszentrums als Organisation
  • CryptoPro TSP– eine Produktlinie zur Organisation eines Zeitstempelservers und zur Einbettung von Funktionen für die Arbeit mit Zeitstempeln in verschiedenen Anwendungen
  • CryptoPro OCSP– eine Produktlinie zur Organisation eines OCSP-Servers und zur Einbettung der Funktionalität zur Überprüfung des Zertifikatsstatus mithilfe des OCSP-Protokolls in verschiedene Anwendungen
  • Arbeitsplatz zur Analyse von Konfliktsituationen– PC, der in der CryptoPro CA-Software enthalten ist und dazu dient, die Übereinstimmung der digitalen Signatur mit dem Inhalt zu überprüfen elektronisches Dokument und Bestimmung des Teilnehmers am automatisierten Bankenabwicklungssystem, der seine Gründung abgeschlossen hat
  • CryptoPro-Widerrufsanbieter– ein Produkt zur Integration der Echtzeitprüfung des Status von Public-Key-Zertifikaten mithilfe des OCSP-Protokolls in Windows-Betriebssystemen
  • Zertifizierungszentrum Atlix CA
  • CryptoPro EDS– eine verbesserte digitale Signatur, mit der Sie die mit der Verwendung digitaler Signaturen verbundenen Schwierigkeiten lösen können. CryptoPro EDS bietet Teilnehmern an der elektronischen Dokumentenverwaltung eine Beweisbasis zur Feststellung des Zeitpunkts der Signatur und des Status des Signatur-Public-Key-Zertifikats zum Zeitpunkt der Signatur

Schutz vor unbefugtem Zugriff mit CryptoPro CSP

  • CryptoPro TLS– Modul zur Unterstützung der TLS-Netzwerkauthentifizierung von CryptoPro, Teil des CryptoPro CSP CIPF, das das Transport Layer Security-Protokoll (TLS v. 1.0, RFC 2246) unter Verwendung russischer kryptografischer Standards implementiert
  • CryptoPro Winlogon– Das Produkt ist für das Windows-Betriebssystem konzipiert, implementiert die anfängliche Benutzerauthentifizierung des Kerberos V5-Protokolls (RFC 4120) mithilfe eines Zertifikats und Schlüsselträger CryptoPro CSP 3.0 (Smartcard, USB-Token)
  • CryptoPro EAP-TLS– Erweitertes bidirektionales kryptografisches Authentifizierungsprotokoll zwischen Remote-Benutzern und dem RADIUS-Server (Remote Authentication Dial-In User Service)
  • Secure Pack Rus 1.0, Secure Pack Rus 2.0– Service-Update-Paket für Betriebssysteme Microsoft-Systeme Windows XP und Microsoft Windows Server 2003
  • CryptoPro EFS– ein Produkt zur Gewährleistung des Schutzes vertraulicher Informationen bei der Speicherung auf einem PC

Identifikationssysteme

  • IdM– Systeme zur Automatisierung zahlreicher anfallender Aufgaben Lebenszyklus Identifikationsdaten. Stellen Sie die Interaktion zwischen dem Sicherheitsdienst der Personalabteilung und den IT-Administratoren sicher und stellen Sie ihnen die erforderlichen Softwaretools zur Verfügung

Programme und Dienstprogramme

  • CryptoARM (Krypto Drei)Software, entwickelt, um mit Zertifikaten und Anbietern zu arbeiten, Daten zu verschlüsseln oder zu entschlüsseln, elektronische Daten zu erstellen oder zu überprüfen Digitale Unterschrift(EDS) unter Verwendung von Public-Key-Zertifikaten
  • Anwendung Befehlszeile cryptcp– ein Softwareprodukt, bei dem es sich um eine Befehlszeilenanwendung zum Arbeiten mit Zertifikaten, zum Ver- und Entschlüsseln von Daten, zum Hashing von Daten mithilfe von Public-Key-Zertifikaten sowie zum Erstellen und Überprüfen einer elektronischen digitalen Signatur (EDS) handelt.
  • EDS-Prozessor– ein Softwareprodukt zur Implementierung des zertifizierten CIPF-Tools CryptoPro CSP in ein sicheres elektronisches Dokumentenverwaltungssystem, um den Zugriff auf die kryptografischen Funktionen des CIPF CryptoPro CSP zu vereinheitlichen
  • CryptoPro PDF– Modul zum Erstellen und Überprüfen digitaler Signaturen zum Erstellen und Überprüfen elektronischer digitaler Signaturen in Adobe Reader-Programmen, Adobe Acrobat Version 7 und höher
  • CryptoPro Bürounterschrift – ein Softwareprodukt, das die Möglichkeit bietet, eine elektronische digitale Signatur (EDS) gemäß dem GOST R 34.10-2001-Algorithmus zu erstellen und zu überprüfen Word-Dokumente und Excel aus der Komposition Microsoft Office 2007 und Microsoft Office 2010

wurde gemäß den Anforderungen von Microsoft an Kryptografieanbieter entwickelt und ermöglicht Ihnen die Erstellung neuer, zuverlässig geschützter Anwendungen mit den umfangreichsten und bewährtesten Tools. Darüber hinaus können Sie mit CryptoPro Sharpei Standardsoftware wie XPSViewer und Microsoft Office Forms Server 2007 verwenden, um digitale Signaturen mithilfe russischer kryptografischer Algorithmen zu signieren und zu überprüfen.

Konfigurieren von Microsoft Office Forms Server 2007 für die Verwendung digitaler Signaturen in Webformularen.

Die folgenden Anweisungen beschreiben, wie Sie Microsoft Office Forms Server 2007 konfigurieren, um Formulare mit CryptoPro CSP signieren zu können.

Aufmerksamkeit! Nach Ausführung dieser Anweisung ist das Signieren mit anderen Kryptoanbietern (z. B. solchen, die den RSA-Algorithmus implementieren) nicht mehr möglich.

Auf dem Server:

  1. Installieren Sie CryptoPro CSP Version 3.6. Wenn der Registry-Reader während des Installationsvorgangs nicht hinzugefügt wurde, müssen Sie ihn installieren.
  2. Installieren Sie CryptoPro Sharpei Version 1.0.3497.2 oder höher.
  3. Erstellen Privat Schlüssel EDS im Register mit dem Namen FormsServerKey für den lokalen Rechner, zum Beispiel mit der folgenden Befehlszeile:
    csptest -keyset -newkeyset -machine
    -container „\\.\Registry\FormsServerKey“
  4. Erstellen Sie einen Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
  5. Fügen Sie einen Parameter hinzu DWORD AlgType 1 , fügen Sie einen String-Parameter hinzu Container in den obigen Schlüssel mit dem Wert ein \\.\Registry\FormsServerKey.
  6. Installieren Sie Client ActiveX von DSIGCTRL.cab (weitere Details in der Anleitung).
  7. Überprüfen Sie, ob Zugriffsrechte (Vollzugriff) auf den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey des Benutzers vorliegen, unter dem die Gruppe gestartet wird SharePoint-Anwendungen(Normalerweise Netzwerkdienst, lokales System...)
  8. Überprüfen Sie, ob im Speicher der vertrauenswürdigen Stammzertifizierungsstellen des lokalen Computers (LocalMachine) Stammzertifikate vorhanden sind, für die Clientzertifikate ausgestellt wurden.
  9. Überprüfen Sie das Vorhandensein aktueller CRLs für die Stammzertifikate aus Punkt 6 im Intermidiate Certification Authorities Store des lokalen Computers (LocalMachine) oder die Möglichkeit, über CDP darauf zuzugreifen.
  10. Starten Sie den Server neu

Auf dem Client:

  1. Installieren Sie CryptoPro CSP Version 3.6.
  2. Wenn Formulare noch nicht auf dem Client signiert wurden, sind keine weiteren Maßnahmen erforderlich.

Dies kann durch das Vorhandensein der Datei DSigCtrl.dll im Verzeichnis \WINDOWS\Downloaded Program Files festgestellt werden. Fehlt diese Datei, wurden die Formulare zuvor nicht signiert. Wenn der Client zuvor signiert hat, müssen Sie zum Verzeichnis \WINDOWS\Downloaded Program Files wechseln und regsvr32 /u DSigCtrl.dll ausführen. Darüber hinaus müssen Sie die DSigCtrl.*-Dateien aus dem Verzeichnis \WINDOWS\Downloaded Program Files entfernen.

Mögliche Änderungen während des Installationsprozesses.

Wenn Forms Server ausgeführt wird, wird zum Signieren ein temporärer Schlüssel verwendet. Dieser Schlüssel wird auf dem Server jedes Mal verwendet, wenn auf dem Client ein Signiervorgang ausgeführt wird. Daher wird empfohlen, ihn auf einem unveräußerlichen Medium – in der Registrierung – zu speichern. Wenn der Schlüssel benannt ist FormsServerKey bereits vor der Installation verwendet wurde, können Sie einen beliebigen anderen Namen verwenden. Bei der Neuinstallation des Produkts können Sie den alten Schlüssel verwenden.

Während der Installation können Sie sich auf nur einen letzten Neustart beschränken.

Wenn CryptoPro CSP und CryptoPro Sharpei vorinstalliert sind, können Sie keinen Neustart durchführen, sondern einfach den Befehl iisreset verwenden.

Rückkopplung:

Fragen zur Verwendung digitaler Signaturen in Microsoft Office Forms Server 2007 werden im Forumbereich besprochen.

Implementierungen der kryptografischen Algorithmen GOST 28147-89, GOST R 34.10-2001 und GOST R 34.11-94 sind in der von der Firma CryptoPro entwickelten und unter Lizenz vertriebenen CryptoPro.NET SDK-Bibliothek enthalten, die die Installation des Kryptoproviders CryptoPro CSP erfordert für seinen Einsatz. Um das CryptoPro.NET SDK in C#-Anwendungen zu verwenden, müssen Sie die Bibliothek CryptoPro.Sharpei.Base.dll mit dem Projekt verbinden (über den Menübefehl MicrosoftVisualStudioProject|Referenz hinzufügen|Registerkarte Durchsuchen) und sie den in verwendeten CryptoPro.Sharpei-Namespaces hinzufügen die Anwendung:

mit CryptoPro.Sharpei;

Dokumentation zur Verwendung der Klassen der CryptoPro.NET SDK-Bibliothek finden Sie in der frei verteilten Hilfedatei Sharpei.chm.

Die Implementierung des symmetrischen Blockverschlüsselungsalgorithmus GOST 28147-89 ist in der Klasse Gost28147CryptoServiceProvider enthalten, die ein Erbe der abstrakten Klasse Gost28147 ist, die wiederum ein Erbe der standardmäßigen abstrakten Klasse der FCLSymmetricAlgorithm-Bibliothek ist.

Ein Merkmal der Gost28147CryptoServiceProvider-Klasse besteht darin, dass, wenn eine Anwendung versucht, die Eigenschaft von Objekten dieser Klasse Key (Sitzungsschlüssel) zu verwenden, immer eine CryptographicException ausgelöst wird. Um einen Sitzungsschlüssel aus einer Passphrase abzuleiten und einen zufälligen Sitzungsschlüssel zu exportieren/importieren, sollten Sie daher andere Methoden verwenden als bei der Arbeit mit anderen Klassen mit Implementierungen symmetrischer Verschlüsselungsalgorithmen.

Um den Sitzungsschlüssel aus einer Passphrase abzuleiten, verwenden Sie beispielsweise die Methode ByDeriveBytes der Klasse Gost28147CryptoServiceProvider (die Passphrase ist in einem Formularelement namens PassFrase1 enthalten, und im Array andBytes handelt es sich um eine zufällige Beimischung von 8 Byte Länge):

Gost28147CryptoServiceProvider gostCSP = neu

Byte randBytes = neues Byte;

RNGCryptoServiceProvider rand = new RNGCryptoServiceProvider();

rand.GetBytes(randBytes);

byte pwd = Encoding.Unicode.GetBytes(PassFrase1.Text);

Bytebuf=neues Byte;

pwd.CopyTo(buf,0);

randBytes.CopyTo(buf, pwd.Length);

gostCSP.ByDeriveBytes(buf);

Wenn zur Ableitung des Schlüssels aus der Passphrase eine zufällige Beimischung verwendet wird, sollte diese zusammen mit der Synchronisierungsnachricht (Initialisierungsvektor) zusammen mit den verschlüsselten Daten gespeichert werden.

Um einen zufälligen Sitzungsschlüssel mit dem Empfänger verschlüsselter Daten auszutauschen, werden die Klassen GostKeyExchangeFormatter (Export des Sitzungsschlüssels), GostKeyExchangeDeformatter (Import des Sitzungsschlüssels) und Gost3410CryptoServiceProvider (asymmetrischer Verschlüsselungsalgorithmus, der beim Austausch des Sitzungsschlüssels verwendet wird) verwendet.

Die Klasse Gost3410CryptoServiceProvider, die die Implementierung des digitalen Signaturalgorithmus GOST Z 34.10-2001 enthält, ist der Erbe der abstrakten Klasse Gost3410, die wiederum der Erbe der abstrakten Standardklasse der FCLAsymmetricAlgorithm-Bibliothek ist.

Um einen Sitzungsschlüssel zu exportieren, verwenden Sie die Methode „CreateKeyExchangeData“ der Klasse „GostKeyExchangeFormatter“ und zum Importieren verwenden Sie die Methode „DecryptKeyExchangeData“ der Klasse „GostKeyExchangeDeformatter“.

Wenn Sie Objekte der Gost3410CryptoServiceProvider-Klasse in einer Anwendung verwenden, sollten Sie bedenken, dass der CryptoPro CSP-Kryptoanbieter private Benutzerschlüssel auf verschiedenen Medien speichern kann. Die Auswahl eines bestimmten Mediums (z. B. der Windows-Systemregistrierung) ist über das Konfigurationsprogramm CryptoProCSP möglich. Wählen Sie auf der Registerkarte „Hardware“ des Einstellungsfensters private Schlüsselleser aus. Das Hinzufügen eines Lesers erfolgt im Dialog mit dem Leser-Installationsassistenten.

Beim Erstellen eines asymmetrischen Schlüsselpaars in einem Container auf dem ausgewählten Medium muss der Benutzer den Zufallszahlengenerierungsprozess starten, indem er Tasten drückt oder die Maus über das Fenster des Zufallszahlengenerators bewegt. Nach Abschluss der Schlüsselpaarerstellung müssen Sie ein Passwort festlegen und bestätigen, um auf den privaten Schlüssel des Benutzers zuzugreifen. Dieses Passwort muss nun eingegeben werden, wenn die Anwendung einen privaten Schlüssel verwenden muss, um einen Sitzungsschlüssel zu importieren oder eine digitale Signatur zu berechnen.

Schauen wir uns ein Beispiel für das Exportieren und Importieren eines Sitzungsschlüssels bei Verwendung der Klasse Gost28147CryptoServiceProvider an (der Wert der Synchronisierungsnachricht muss separat gespeichert werden). Das CspParameters-Klassenobjekt wird im Beispiel verwendet, um einen Container mit Schlüsseln aus der Registrierung anzugeben, wenn mit dem Kryptoprovider CryptoPro CSP gearbeitet wird, der den Typ 75 hat:

Gost28147CryptoServiceProvider gostEnc = neu

Gost28147CryptoServiceProvider();

CspParameters csp = new CspParameters();

csp.KeyContainerName = "Registrierung";

csp.ProviderType = 75;

Gost3410CryptoServiceProvider gostExch = neu

Gost3410CryptoServiceProvider(csp);

GostKeyExchangeFormatter keyEnc = neu

GostKeyExchangeFormatter(gostExch);

byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);

Byte IV = gostEnc.IV;

GostKeyExchangeDeformatter keyDec = neu

GostKeyExchangeDeformatter(gostExch);

gostEnc = (Gost28147CryptoServiceProvider)keyDec.

DecryptKeyExchangeData(sessionKey);

gostEnc.IV = IV;

Die Implementierung des GOST 34.11-94-Hashing-Algorithmus wird durch die abstrakte Klasse Gost3411 repräsentiert, die ein Nachfolger der abstrakten Standardklasse der FCLHashAlgorithm-Bibliothek ist, und deren Nachfolger – die Klasse Gost3411CryptoServiceProvider.

Um Nabasierend auf Hashing und Imit-Einfügungen (Nabasierend auf symmetrischer Verschlüsselung) zu berechnen, werden die Klassen Gost3411HMAC (Erbe der abstrakten Standardklasse HMAC) und Gost28147ImitCryptoServiceProvider (Erbe der abstrakten Klasse Gost28147Imit, die wiederum eine ist Erbe der abstrakten Standardklasse KeyedHashAlgorithm).



Freunden erzählen
Twitter
Gerät mit...
Nächster Artikel
Lesen Sie auch
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
2023-10-23 00:05:22
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
2023-10-22 00:02:31
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
2023-10-22 00:02:31
Klassenkameraden arbeiten nicht!
Klassenkameraden arbeiten nicht!
2023-10-22 00:02:31