Kriptografska zaštita informacija. Zaštita od neovlaštenog pristupa pomoću CryptoPro CSP

💖 Sviđa li vam se? Podijelite vezu sa svojim prijateljima
0

Sredstva kriptografske zaštite informacija

  • CryptoPro CSP – sredstvo kriptografske zaštite informacija (šifriranje/dešifriranje, provjera potpisa, raspršivanje) na razini jezgre operacijskog sustava. Kripto upravljački program namijenjen je za korištenje u posebnim aplikacijama (kriptori IP protokola, sustav datoteka)
  • CryptoPro JCP– alat za kriptografsku zaštitu informacija razvijen u skladu sa specifikacijom JCA (Java Cryptography Architecture), implementirajući ruske kriptografske standarde
  • CryptoPro Sharpei– omogućuje korištenje alata za kriptografsku zaštitu podataka CryptoPro CSP na Microsoft platformi. Net Framework. Softverski proizvod implementira skup sučelja za pristup kriptografskim operacijama. Net Cryptographic Provider
  • CryptoPro IPSec– skup protokola koji osiguravaju zaštitu podataka koji se prenose preko internetskog protokola IP. Softverski proizvod omogućuje provjeru autentičnosti i/ili šifriranje IP paketa
  • CryptoPro HSM– hardverski i softverski kriptografski modul (hardverski sigurnosni modul), kompatibilan s CryptoPro CSP, pružanje kriptografskih usluga korisnicima korporativna mreža
  • Atlix HSM– hardverski kriptografski modul (hardverski sigurnosni modul), kompatibilan s CryptoPro CSP. Atlix HSM je dizajniran da osigura sigurnu pohranu i korištenje privatnog ključa ovlaštene osobe certifikacijskog tijela

Alati za kriptografsku zaštitu informacija s pametnim karticama i USB ključevima

  • MSc CSP– kriptografski alat za zaštitu podataka koji vam omogućuje podizanje zaštite korisničkog tajnog ključa na novu razinu i povećanje roka valjanosti tajnih ključeva na 3 godine
  • CryptoPro Rutoken CSP– softver i hardver CIPF koji kombinira mogućnosti ruskog kriptoprovajdera CryptoPro i Rutoken EDS identifikator
  • CryptoPro eToken CSP– sredstvo kriptografske zaštite informacija koje vam omogućuje podizanje zaštite tajnog ključa korisnika na višu razinu i povećanje roka valjanosti tajnih ključeva na 3 godine

Infrastruktura javnih ključeva

  • Certifikacijski centar "CryptoPro UC"– osobno računalo namijenjeno provedbi organizacijskih i tehničkih mjera za pružanje alata i specifikacija za korištenje certifikata javnih ključeva za korisnike Certifikacijskog centra kao organizacije
  • CryptoPro TSP– linija proizvoda dizajniranih za organiziranje poslužitelja vremenskih oznaka i ugradnju funkcionalnosti za rad s vremenskim oznakama u različitim aplikacijama
  • CryptoPro OCSP– linija proizvoda dizajniranih za organiziranje OCSP poslužitelja i za ugradnju funkcionalnosti provjere statusa certifikata pomoću OCSP protokola u različite aplikacije
  • Radna stanica za analizu konfliktnih situacija– PC uključen u softver CryptoPro CA i dizajniran za provjeru usklađenosti digitalnog potpisa sa sadržajem elektronički dokument i definicije sudionika automatizirani sustav bankovna naselja koja su izvršila njegovo formiranje
  • CryptoPro pružatelj opoziva– proizvod dizajniran za integraciju provjere statusa certifikata javnih ključeva u stvarnom vremenu korištenjem OCSP protokola u Windows OS-u
  • Certifikacijski centar Atlix CA
  • CryptoPro EDS – poboljšani digitalni potpis koji vam omogućuje rješavanje poteškoća povezanih s korištenjem digitalnog potpisa. CryptoPro EDS pruža sudionicima u upravljanju elektroničkim dokumentima bazu dokaza vezanu uz utvrđivanje trenutka potpisa i statusa certifikata javnog ključa potpisa u trenutku potpisa

Zaštita od neovlaštenog pristupa pomoću CryptoPro CSP

  • CryptoPro TLS– Modul za podršku mrežne provjere autentičnosti CryptoPro TLS, dio CryptoPro CSP CIPF, koji implementira protokol Transport Layer Security (TLS v. 1.0, RFC 2246) koristeći ruske kriptografske standarde
  • CryptoPro Winlogon– proizvod je dizajniran za Windows OS, implementira početnu autentifikaciju korisnika Kerberos V5 protokola (RFC 4120) pomoću certifikata i nosač ključeva CryptoPro CSP 3.0 (pametna kartica, USB token)
  • CryptoPro EAP-TLS– napredni dvosmjerni protokol kriptografske provjere autentičnosti između udaljenih korisnika i RADIUS poslužitelja (Remote Authentication Dial-In User Service)
  • Secure Pack Rus 1.0, Secure Pack Rus 2.0– servisni paket ažuriranja operativnih sustava Microsoft sustavi Windows XP i Microsoft Windows Server 2003
  • CryptoPro EFS– proizvod za osiguravanje zaštite povjerljivih informacija kada su pohranjene na računalu

Identifikacijski sustavi

  • IdM– sustavi za automatizaciju brojnih zadataka koji se pojavljuju kroz životni ciklus identifikacijski podaci. Osigurati interakciju između sigurnosne službe HR odjela i IT administratora, opskrbljujući ih potrebnim programskim alatima

Programi i pomoćni programi

  • CryptoARM (Crypto Three)softver, dizajniran za rad s certifikatima i pružateljima usluga, šifriranje ili dešifriranje podataka, stvaranje ili provjeru elektroničkih digitalni potpis(EDS) korištenjem certifikata javnih ključeva
  • Primjena naredbeni redak cryptcp– programski proizvod koji predstavlja aplikaciju naredbenog retka za rad s certifikatima, šifriranje i dešifriranje podataka, raspršivanje podataka pomoću certifikata javnih ključeva, izradu i provjeru elektroničkog digitalnog potpisa (EDS)
  • EDS procesor– softverski proizvod za implementaciju certificiranog CIPF alata CryptoPro CSP u siguran elektronički sustav za upravljanje dokumentima, za objedinjavanje pristupa kriptografskim funkcijama CIPF CryptoPro CSP
  • CryptoPro PDF– modul za izradu i provjeru digitalnog potpisa za generiranje i provjeru elektroničkog digitalnog potpisa u programima Adobe Reader, Adobe Acrobat verzija 7 i novija
  • CryptoPro ured Potpis– softverski proizvod za pružanje mogućnosti stvaranja i provjere elektroničkog digitalnog potpisa (EDS) prema algoritmu GOST R 34.10-2001 Word dokumenti a Excel iz sastava Microsoft Office 2007 i Microsoft Office 2010

razvijen u skladu s Microsoftovim zahtjevima za pružatelje kriptografskih usluga i omogućuje vam stvaranje novih, pouzdano zaštićenih aplikacija korištenjem najbogatijih i vremenski testiranih alata. Osim toga, CryptoPro Sharpei vam omogućuje korištenje standardnog softvera kao što su XPSViewer i Microsoft Office Forms Server 2007 za potpisivanje i provjeru digitalnih potpisa korištenjem ruskih kriptografskih algoritama.

Konfiguriranje Microsoft Office Forms Servera 2007 za korištenje digitalnih potpisa u web obrascima.

Upute u nastavku opisuju kako konfigurirati Microsoft Office Forms Server 2007 da bi mogao potpisivati ​​obrasce koristeći CryptoPro CSP.

Pažnja! Nakon izvršavanja ove upute, potpisivanje korištenjem drugih kripto pružatelja usluga (na primjer, onih koji implementiraju RSA algoritam) neće biti moguće.

Na poslužitelju:

  1. Instalirajte CryptoPro CSP verziju 3.6. Ako čitač registra nije dodan tijekom postupka instalacije, morate ga instalirati.
  2. Instalirajte CryptoPro Sharpei verziju 1.0.3497.2 ili noviju.
  3. Stvoriti privatni ključ EDS u registru s nazivom FormsServerKey za lokalno računalo, na primjer koristeći sljedeću naredbenu liniju:
    csptest -keyset -newkeyset -stroj
    -spremnik "\\.\Registry\FormsServerKey"
  4. Stvorite ključ registra HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
  5. Dodajte parametar DWORD AlgType 1 , dodajte parametar niza Kontejner u gornji ključ s vrijednošću \\.\Registar\FormsServerKey.
  6. Instalirajte ActiveX klijenta iz DSIGCTRL.cab (više detalja u uputama).
  7. Provjerite prava pristupa (Full Control) ključu registra HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey korisnika pod kojim je pokrenuta Grupa SharePoint aplikacije(Obično mrežna usluga, lokalni sustav...)
  8. Provjerite prisutnost korijenskih certifikata na kojima su izdani klijentski certifikati u trgovini Trusted Root Certification Authorities lokalno računalo(Lokalni stroj).
  9. Provjerite dostupnost trenutnih CRL-ova za korijenske certifikate iz točke 6. u pohrani srednjih certifikacijskih tijela lokalnog računala (LocalMachine) ili mogućnost pristupa njima putem CDP-a.
  10. Ponovno pokrenite poslužitelj

Na klijentu:

  1. Instalirajte CryptoPro CSP verziju 3.6.
  2. Ako klijent prethodno nije potpisao obrasce, nisu potrebne dodatne radnje.

To se može utvrditi prisutnošću datoteke DSigCtrl.dll u direktoriju \WINDOWS\Downloaded Program Files. Ako ova datoteka nedostaje, tada obrasci nisu prethodno potpisani. Ako se klijent prethodno potpisao, trebate otići u direktorij \WINDOWS\Downloaded Program Files i pokrenuti regsvr32 /u DSigCtrl.dll. Osim toga, morate ukloniti datoteke DSigCtrl.* iz direktorija \WINDOWS\Downloaded Program Files.

Moguće promjene tijekom procesa instalacije.

Kada je Forms Server pokrenut, za potpisivanje se koristi privremeni ključ. Ovaj ključ se koristi na poslužitelju svaki put kada se izvršava operacija potpisivanja na klijentu, stoga je preporučljivo pohraniti ga na neotuđivi medij – u registar. Ako je ključ imenovan FormsServerKey već korišten prije instalacije, možete koristiti bilo koji drugi naziv. Prilikom ponovne instalacije proizvoda možete koristiti stari ključ.

Tijekom instalacije možete se ograničiti na samo jedno zadnje ponovno pokretanje.

Ako su CryptoPro CSP i CryptoPro Sharpei unaprijed instalirani, ne možete se ponovno pokrenuti, već jednostavno upotrijebite naredbu iisreset.

Povratne informacije:

O pitanjima u vezi s korištenjem digitalnih potpisa u Microsoft Office Forms Serveru 2007 raspravlja se u odjeljku foruma.

Implementacije kriptografskih algoritama GOST 28147-89, GOST R 34.10-2001 i GOST R 34.11-94 sadržane su u biblioteci CryptoPro.NET SDK koju je razvila tvrtka CryptoPro i koja se distribuira pod licencom, što zahtijeva instalaciju kriptoprovajdera CryptoPro CSP za njegovu upotrebu. Da biste koristili CryptoPro.NET SDK u C# aplikacijama, trebate povezati biblioteku CryptoPro.Sharpei.Base.dll s projektom (pomoću naredbe izbornika MicrosoftVisualStudioProject|AddReference|Browse tab) i dodati je u CryptoPro.Sharpei imenske prostore koji se koriste u aplikacija:

koristeći CryptoPro.Sharpei;

Dokumentacija o korištenju klasa biblioteke CryptoPro.NET SDK nalazi se u besplatno distribuiranoj datoteci pomoći Sharpei.chm.

Implementacija algoritma simetrične blokovne enkripcije GOST 28147-89 sadržana je u klasi Gost28147CryptoServiceProvider, koja je nasljednica apstraktne klase Gost28147, koja je pak nasljednica standardne apstraktne klase biblioteke FCLSymmetricAlgorithm.

Značajka klase Gost28147CryptoServiceProvider je da kada aplikacija pokuša koristiti svojstvo objekata ove klase Ključ (ključ sesije), uvijek se izbacuje CryptographicException. Stoga, da biste izveli ključ sesije iz zaporke i izvezli-uvezli nasumični ključ sesije, trebali biste koristiti različite metode nego kada radite s drugim klasama s implementacijama algoritama simetrične enkripcije.

Za izvođenje ključa sesije iz zaporke, upotrijebite metodu ByDeriveBytes klase Gost28147CryptoServiceProvider, na primjer (zaporka je sadržana u elementu obrasca pod nazivom PassFrase1, a u nizu andBytes je nasumična mješavina duga 8 bajtova):

Gost28147CryptoServiceProvider gostCSP = novo

bajt randBytes = novi bajt;

RNGCryptoServiceProvider rand = novi RNGCryptoServiceProvider();

rand.GetBytes(randBytes);

byte pwd = Encoding.Unicode.GetBytes(PassFrase1.Text);

bajt buf=novi bajt;

pwd.Kopiraj u (buf,0);

randBytes.CopyTo(buf, pwd.Length);

gostCSP.ByDeriveBytes(buf);

Ako se za izvođenje ključa iz zaporke koristi nasumična mješavina, treba je pohraniti s šifriranim podacima zajedno s porukom sinkronizacije (inicijalizacijski vektor).

Za razmjenu nasumičnog ključa sesije s primateljem šifriranih podataka koriste se klase GostKeyExchangeFormatter (izvoz ključa sesije), GostKeyExchangeDeformatter (uvoz ključa sesije) i Gost3410CryptoServiceProvider (algoritam asimetrične enkripcije koji se koristi pri razmjeni ključa sesije).

Klasa Gost3410CryptoServiceProvider, koja sadrži implementaciju algoritma za digitalni potpis GOST Z 34.10-2001, nasljednik je apstraktne klase Gost3410, koja je pak nasljednica standardne apstraktne klase biblioteke FCLAsymmetricAlgorithm.

Za izvoz ključa sesije koristite metodu CreateKeyExchangeData klase GostKeyExchangeFormatter, a za uvoz koristite metodu DecryptKeyExchangeData klase GostKeyExchangeDeformatter.

Kada koristite objekte klase Gost3410CryptoServiceProvider u aplikaciji, trebali biste imati na umu da CryptoPro CSP kripto pružatelj može pohraniti privatne ključeve korisnika na različite medije. Odabir određenog medija (na primjer, registar sustava Windows) moguć je pomoću konfiguracijskog programa CryptoProCSP. Na kartici Hardver prozora postavki odaberite čitače privatnih ključeva. Dodavanje čitača događa se u dijalogu s čarobnjakom za instalaciju čitača.

Prilikom stvaranja asimetričnog para ključeva u spremniku na odabranom mediju, korisnik će morati pokrenuti proces generiranja slučajnih brojeva pritiskom na tipke ili pomicanjem miša preko prozora generatora slučajnih brojeva. Nakon dovršetka procesa stvaranja para ključeva, morat ćete postaviti i potvrditi lozinku za pristup privatnom ključu korisnika. Sada će ovu lozinku trebati unijeti u slučaju kada aplikacija treba koristiti privatni ključ za uvoz ključa sesije ili izračunavanje digitalnog potpisa.

Pogledajmo primjer izvoza i uvoza ključa sesije pri korištenju klase Gost28147CryptoServiceProvider (vrijednost sinkronizacijske poruke mora se zasebno pohraniti). Objekt klase CspParameters koristi se u primjeru za određivanje spremnika ključeva iz registra pri radu s CryptoPro CSP kripto pružateljem, koji ima tip 75:

Gost28147CryptoServiceProvider gostEnc = novo

Gost28147CryptoServiceProvider();

CspParametri csp = novi CspParametri();

csp.KeyContainerName = "Registar";

csp.ProviderType = 75;

Gost3410CryptoServiceProvider gostExch = novo

Gost3410CryptoServiceProvider(csp);

GostKeyExchangeFormatter keyEnc = novo

GostKeyExchangeFormatter(gostExch);

byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);

bajt IV = gostEnc.IV;

GostKeyExchangeDeformatter keyDec = novo

GostKeyExchangeDeformatter(gostExch);

gostEnc = (Gost28147CryptoServiceProvider)ključDec.

DecryptKeyExchangeData(sessionKey);

gostEnc.IV = IV;

Implementacija algoritma za raspršivanje GOST 34.11-94 predstavljena je apstraktnom klasom Gost3411, koja je nasljednica apstraktne standardne klase biblioteke FCLHashAlgorithm, i njenog nasljednika – klase Gost3411CryptoServiceProvider.

Za izračunavanje kodova za provjeru autentičnosti poruka na temelju raspršivanja i umetanja imitiranja (kodovi za provjeru autentičnosti poruka temeljeni na simetričnoj enkripciji), klase Gost3411HMAC (nasljednik apstraktne standardne klase HMAC) i Gost28147ImitCryptoServiceProvider (nasljednik apstraktne klase Gost28147Imit, koja je, pak, nasljednik apstraktne standardne klase KeyedHashAlgorithm).



reci prijateljima
Cvrkut
Samsung igra...
Sljedeći članak
Pročitajte također
Najbolji glazbeni playeri za Android
Najbolji glazbeni playeri za Android
2024-03-13 00:03:49
Što je hub, switch i router?
Što je hub, switch i router?
2024-03-12 00:04:38
Json dekodiranje kratica
Json dekodiranje kratica
2024-03-11 00:04:21
jQuery galerija slika sa zanimljivim efektom
jQuery galerija slika sa zanimljivim efektom
2024-03-09 00:04:15