- Генерація ключів ЕП та ключів узгодження
- Формування та перевірка електронного підпису
- Імпорт програмно згенерованих закритих ключів ЕП – для посилення їхньої захищеності
- Оновлення інсталяційної бази криптопровайдера "КріптоПро CSP"
Особливості
Головною особливістю (раніше продукт називався "КріптоПро eToken CSP") є використання технології функціонального ключового носія (ФКН).
Функціональний ключовий носій (ФКН)- архітектура програмно-апаратних продуктів на базі смарт-карток або USB-токенів, що реалізує принципово новий підхід до забезпечення безпечного використання ключа на смарт-картці або USB-токені.
Завдяки наявності захищеного каналу зв'язку між токеном та криптопровайдером частина криптографічних перетворень, включаючи зберігання закритих ключів та ключів ЕП у невилученому вигляді, виноситься на смарт-карту або USB-токен.
Крім апаратної генерації ключів, їх безпечного зберігання та формування ЕП у мікропроцесорі ключового носія, архітектура ФКН дозволяє ефективно протистояти атакам, пов'язаним із заміною хеш-значення або підпису в каналі зв'язку між програмною та апаратною частиною CSP.
У "КриптоПро ФКН CSP" версії 3.9 як ключовий носій виступає спеціально розроблений токен JaCarta CryptoPro, представлений у форм-факторах смарт-карти та USB-токена.
В склад СКЗІ "КріптоПро ФКН CSP" версії 3.9входить спеціально розроблений токен JaCarta CryptoPro з можливістю обчислення ЕП за технологією ФКН компанії "КРІПТО-ПРО" і випускається у форм-факторах USB-токена (в корпусі Nano або XL) або смарт-картки.
JaCarta CryptoPro здійснює безпечне зберігання та використання закритих ключів ЕП, виконує взаємну аутентифікацію CSP та токена, а також строгу двофакторну аутентифікацію користувача-власника токена.
Ключові переваги JaCarta CryptoPro
- Є найшвидшим токеном серед ФКН-пристроїв (випереджає існуючі продукти, що працюють із ФКН, за швидкістю формування електронного підпису майже в 3 рази – на основі Протоколу вимірів швидкодії ФКН-пристроїв "КРІПТО-ПРО" від 08.12.2014 р.).
- Застосовано принцип Secure by design– використовується захищений мікроконтролер, сконструйований як безпечний, з метою забезпечення безпеки, має вбудований захист як на апаратному, так і на програмному рівнях від клонування, злому та всіх інших атак, відомих на сьогоднішній день.
- Генерація ключів ЕП, ключів узгодження, а також створення ЕП відбувається усередині токена JaCarta CryptoPro.
- Використовує захищений канал передачі даних із програмною частиною "КриптоПРО ФКН CSP".
склад
"КріптоПро ФКН CSP" версії 3.9і двох ключових компонент.
1. USB-токен або смарт-карта JaCarta CryptoPro:
- є функціональним ключовим носієм (ФКН), у якому апаратно реалізована російська криптографія;
- дозволяє безпечно зберігати та використовувати закриті ключіЕП;
- формує ЕП "під маскою" - K(h), що дозволяє захистити канал обміну між токеном (смарт-картою) та програмним криптопровайдером (CSP);
- виконує взаємну аутентифікацію CSP та токена та строгу двофакторну аутентифікацію користувача - власника токена.
2. Криптопровайдер (CSP):
- є високорівневим програмним інтерфейсом(MS CAPI) для зовнішніх додатків та надає їм набір криптографічних функцій;
- з підпису "під маскою", отриманого від апаратного токена (смарт-карти) - K(h), "знімає" маску K(s) і формує "нормальний" підпис, зрозумілий для зовнішніх додатків
Архітектура "КріптоПро ФКН CSP" версії 3.9
Технічні характеристики токена JaCarta CryptoPro
Характеристики мікроконтролера | Виробник | INSIDE Secure |
Модель | AT90SC25672RCT | |
EEPROM Memoryс | 72 Кб | |
Характеристики операційної системи | Операційна система | Athena Smartcard Solutions OS755 |
Міжнародні сертифікати | CC EAL4+ | |
Криптоалгоритми, що підтримуються | ГОСТ Р 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-94 | |
Підтримувані інтерфейси | USB | Так |
Контактний інтерфейс (ІSO7816-3) | T=1 | |
Сертифікати безпеки | ФСБ Росії | Сертифікат відповідності ФСБ Росії № СФ/114-2734 Сертифікат відповідності ФСБ Росії № СФ/114-2735 |
Підтримувані ОС | Microsoft Windows Server 2003 | (32/64-бітові платформи) |
Microsoft Windows Vista | (32/64-бітові платформи) | |
Microsoft Windows 7 | (32/64-бітові платформи) | |
Microsoft Windows Server 2008 | (32/64-бітові платформи) | |
Microsoft Windows Server 2008 R2 | (32/64-бітові платформи) | |
CentOS 5/6 | (32/64-бітові платформи) | |
Linpus Lite 1.3 | (32/64-бітові платформи) | |
Mandriva Server 5 | (32/64-бітові платформи) | |
Oracle Enterprise Linux 5/6 | (32/64-бітові платформи) | |
Оpen SUSE 12 | (32/64-бітові платформи) | |
Red Hat Enterprise Linux 5/6 | (32/64-бітові платформи) | |
SUSE Linux Enterprise 11 | (32/64-бітові платформи) | |
Ubuntu 8.04/10.04/11.04/11.10/12.04 | (32/64-бітові платформи) | |
ALT Linux 5/6 | (32/64-бітові платформи) | |
Debian 6 | (32/64-бітові платформи) | |
FreeBSD 7/8/9 | (32/64-бітові платформи) | |
Час виконання криптографічних операцій | Імпорт ключа | 3.2 op/s (USB-токен), 2.4 op/s (смарт-картка) |
Створення підпису | 5.8 op/s (USB-токен), 3.9 op/s (смарт-картка) | |
Доступні ключові носії | Смарт-картка | JaCarta CryptoPro |
USB-токен | JaCarta CryptoPro |
Сертифікати безпеки
підтверджує, що засіб криптографічного захисту інформації (СКЗІ) "КриптоПро ФКН CSP" Версія 3.9 (виконання 1) відповідає вимогам ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, вимогам ФСБ Росії до шифру КС1, вимогам до засобів електронного підпису, затвердженим наказом ФСБ Росії від 27 грудня 2011 р. № 796, встановленим для класу КС1, і може використовуватися для криптографічного захисту (створення та управління ключовою інформацією, шифрування даних, що містяться в області оперативної пам'яті, обчислення значення хеш-функції для даних, що містяться в області оперативної пам'яті, захист TLS-з'єднань, реалізація функцій електронного підпису відповідно до Федеральним закономвід 6 квітня 2011 р. № 63-ФЗ "Про електронний підпис": створення електронного підпису, перевірка електронного підпису, створення ключа електронного підпису, створення ключа перевірки електронного підпису) інформації, що не містить відомостей, що становлять державну таємницю.
що підтверджує, що засіб криптографічного захисту інформації (СКЗІ) "КриптоПро ФКН CSP" Версія 3.9 (виконання 2) відповідає вимогам ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, вимогам ФСБ Росії до шифру КС2, вимогам до засобів електронного підпису, затвердженим наказом ФСБ Росії від 27 грудня 2011 р. № 796, встановленим для класу КС2, і може використовуватися для криптографічного захисту (створення та управління ключовою інформацією, шифрування даних, що містяться в галузі оперативної пам'яті, обчислення значення хеш-функції для даних, що містяться в області оперативної пам'яті, захист TLS-з'єднань, реалізація функцій електронного підпису відповідно до Федерального закону від 6 квітня 2011 р. № 63-ФЗ "Про електронний підпис": створення електронного підпису, перевірка електронного підпису, створення ключа електронного підпису, створення ключа перевірки електронного підпису) інформації, що не містить відомостей, що становлять державну таємницю.
Для встановлення системи без інсталяційного дисканеобхідно завантажити та встановити всі дистрибутиви компонентів з цієї інструкції. Встановлення необхідно виконувати з правами локального адміністратора.
Установка СКЗІ КриптоПро CSP
Завантажте та встановіть дистрибутив КриптоПро CSP згідно з придбаною ліцензією.
Відкрийте програму КриптоПро CSP та введіть серійний номерліцензії. Залежно від комп'ютера, це можна зробити різними способами:
Інсталяція драйвера RuToken
Завантажте та встановіть компоненти для роботи з носієм RuToken. (якщо сертифікати зберігаються на flash-носії пропустіть цей крок). Під час встановлення компонентів відключіть RuToken від комп'ютера.
Встановлення Capicom
Встановлення сертифікатів центру посвідчення
Завантажте та встановіть сертифікати посвідчувального центру
Встановлення та налаштування браузера
Система працює в наступних браузерах: Internet Explorer версії не нижче 11, Mozilla Firefox, Google Chrome, Яндекс.Браузер, Opera.
Для установки .
Для коректної роботи Internet Explorer із системою Контур.Екстерн необхідно запустити утиліту для налаштування браузера.
Також можна налаштувати браузер вручну. Для цього скористайтеся даною.
З питань інсталяції інших браузерів зверніться до свого системного адміністратора.
Встановлення Adobe Reader
Завантажте та встановіть Adobe Reader. Скористайтеся посиланням на офіційний сайт Adobe. Для початку встановлення необхідно вибрати версію операційної системи та мову.
Установка ярлика
Для зручності входу в систему збережіть на робочий стіл. Після завершення інсталяції необхідно перезавантажити комп'ютер. Перед початком роботи в системі звітування не забудьте встановити сертифікат підпису. Скористайтеся інструкцією зі встановлення особистого сертифіката.
Встановлення завершено