Призначення КриптоПро CSP. Призначення криптопро CSP Ліцензія криптопро csp 3.9 безстрокова

Генерація ключів ЕП та ключів узгодження
Формування та перевірка електронного підпису
Імпорт програмно згенерованих закритих ключів ЕП – для посилення їхньої захищеності
Оновлення інсталяційної бази криптопровайдера "КріптоПро CSP"

Особливості

Головною особливістю (раніше продукт називався "КріптоПро eToken CSP") є використання технології функціонального ключового носія (ФКН).

Функціональний ключовий носій (ФКН)- архітектура програмно-апаратних продуктів на базі смарт-карток або USB-токенів, що реалізує принципово новий підхід до забезпечення безпечного використання ключа на смарт-картці або USB-токені.

Завдяки наявності захищеного каналу зв'язку між токеном та криптопровайдером частина криптографічних перетворень, включаючи зберігання закритих ключів та ключів ЕП у невилученому вигляді, виноситься на смарт-карту або USB-токен.

Крім апаратної генерації ключів, їх безпечного зберігання та формування ЕП у мікропроцесорі ключового носія, архітектура ФКН дозволяє ефективно протистояти атакам, пов'язаним із заміною хеш-значення або підпису в каналі зв'язку між програмною та апаратною частиною CSP.

У "КриптоПро ФКН CSP" версії 3.9 як ключовий носій виступає спеціально розроблений токен JaCarta CryptoPro, представлений у форм-факторах смарт-карти та USB-токена.

В склад СКЗІ "КріптоПро ФКН CSP" версії 3.9входить спеціально розроблений токен JaCarta CryptoPro з можливістю обчислення ЕП за технологією ФКН компанії "КРІПТО-ПРО" і випускається у форм-факторах USB-токена (в корпусі Nano або XL) або смарт-картки.

JaCarta CryptoPro здійснює безпечне зберігання та використання закритих ключів ЕП, виконує взаємну аутентифікацію CSP та токена, а також строгу двофакторну аутентифікацію користувача-власника токена.

Ключові переваги JaCarta CryptoPro

Є найшвидшим токеном серед ФКН-пристроїв (випереджає існуючі продукти, що працюють із ФКН, за швидкістю формування електронного підпису майже в 3 рази – на основі Протоколу вимірів швидкодії ФКН-пристроїв "КРІПТО-ПРО" від 08.12.2014 р.).
Застосовано принцип Secure by design– використовується захищений мікроконтролер, сконструйований як безпечний, з метою забезпечення безпеки, має вбудований захист як на апаратному, так і на програмному рівнях від клонування, злому та всіх інших атак, відомих на сьогоднішній день.
Генерація ключів ЕП, ключів узгодження, а також створення ЕП відбувається усередині токена JaCarta CryptoPro.
Використовує захищений канал передачі даних із програмною частиною "КриптоПРО ФКН CSP".

склад

"КріптоПро ФКН CSP" версії 3.9і двох ключових компонент.

1. USB-токен або смарт-карта JaCarta CryptoPro:

є функціональним ключовим носієм (ФКН), у якому апаратно реалізована російська криптографія;
дозволяє безпечно зберігати та використовувати закриті ключіЕП;
формує ЕП "під маскою" - K(h), що дозволяє захистити канал обміну між токеном (смарт-картою) та програмним криптопровайдером (CSP);
виконує взаємну аутентифікацію CSP та токена та строгу двофакторну аутентифікацію користувача - власника токена.

2. Криптопровайдер (CSP):

є високорівневим програмним інтерфейсом(MS CAPI) для зовнішніх додатків та надає їм набір криптографічних функцій;
з підпису "під маскою", отриманого від апаратного токена (смарт-карти) - K(h), "знімає" маску K(s) і формує "нормальний" підпис, зрозумілий для зовнішніх додатків

Архітектура "КріптоПро ФКН CSP" версії 3.9

Технічні характеристики токена JaCarta CryptoPro

Характеристики мікроконтролера	Виробник	INSIDE Secure
	Модель	AT90SC25672RCT
	EEPROM Memoryс	72 Кб
Характеристики операційної системи	Операційна система	Athena Smartcard Solutions OS755
	Міжнародні сертифікати	CC EAL4+
	Криптоалгоритми, що підтримуються	ГОСТ Р 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-94
Підтримувані інтерфейси	USB	Так
Підтримувані інтерфейси	Контактний інтерфейс (ІSO7816-3)	T=1
Сертифікати безпеки	ФСБ Росії	Сертифікат відповідності ФСБ Росії № СФ/114-2734 Сертифікат відповідності ФСБ Росії № СФ/114-2735
Підтримувані ОС	Microsoft Windows Server 2003	(32/64-бітові платформи)
	Microsoft Windows Vista	(32/64-бітові платформи)
	Microsoft Windows 7	(32/64-бітові платформи)
	Microsoft Windows Server 2008	(32/64-бітові платформи)
	Microsoft Windows Server 2008 R2	(32/64-бітові платформи)
	CentOS 5/6	(32/64-бітові платформи)
	Linpus Lite 1.3	(32/64-бітові платформи)
	Mandriva Server 5	(32/64-бітові платформи)
	Oracle Enterprise Linux 5/6	(32/64-бітові платформи)
	Оpen SUSE 12	(32/64-бітові платформи)
	Red Hat Enterprise Linux 5/6	(32/64-бітові платформи)
	SUSE Linux Enterprise 11	(32/64-бітові платформи)
	Ubuntu 8.04/10.04/11.04/11.10/12.04	(32/64-бітові платформи)
	ALT Linux 5/6	(32/64-бітові платформи)
	Debian 6	(32/64-бітові платформи)
	FreeBSD 7/8/9	(32/64-бітові платформи)
Час виконання криптографічних операцій	Імпорт ключа	3.2 op/s (USB-токен), 2.4 op/s (смарт-картка)
Час виконання криптографічних операцій	Створення підпису	5.8 op/s (USB-токен), 3.9 op/s (смарт-картка)
Доступні ключові носії	Смарт-картка	JaCarta CryptoPro
Доступні ключові носії	USB-токен	JaCarta CryptoPro

Сертифікати безпеки

підтверджує, що засіб криптографічного захисту інформації (СКЗІ) "КриптоПро ФКН CSP" Версія 3.9 (виконання 1) відповідає вимогам ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, вимогам ФСБ Росії до шифру КС1, вимогам до засобів електронного підпису, затвердженим наказом ФСБ Росії від 27 грудня 2011 р. № 796, встановленим для класу КС1, і може використовуватися для криптографічного захисту (створення та управління ключовою інформацією, шифрування даних, що містяться в області оперативної пам'яті, обчислення значення хеш-функції для даних, що містяться в області оперативної пам'яті, захист TLS-з'єднань, реалізація функцій електронного підпису відповідно до Федеральним закономвід 6 квітня 2011 р. № 63-ФЗ "Про електронний підпис": створення електронного підпису, перевірка електронного підпису, створення ключа електронного підпису, створення ключа перевірки електронного підпису) інформації, що не містить відомостей, що становлять державну таємницю.

що підтверджує, що засіб криптографічного захисту інформації (СКЗІ) "КриптоПро ФКН CSP" Версія 3.9 (виконання 2) відповідає вимогам ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, вимогам ФСБ Росії до шифру КС2, вимогам до засобів електронного підпису, затвердженим наказом ФСБ Росії від 27 грудня 2011 р. № 796, встановленим для класу КС2, і може використовуватися для криптографічного захисту (створення та управління ключовою інформацією, шифрування даних, що містяться в галузі оперативної пам'яті, обчислення значення хеш-функції для даних, що містяться в області оперативної пам'яті, захист TLS-з'єднань, реалізація функцій електронного підпису відповідно до Федерального закону від 6 квітня 2011 р. № 63-ФЗ "Про електронний підпис": створення електронного підпису, перевірка електронного підпису, створення ключа електронного підпису, створення ключа перевірки електронного підпису) інформації, що не містить відомостей, що становлять державну таємницю.

КриптоПро CSP 5.0 - нове покоління криптопровайдера, що розвиває три основні продуктові лінійки компанії КриптоПро: КриптоПро CSP (класичні токени та інші пасивні сховища секретних ключів), КриптоПро ФКН CSP/Рутокен CSP (невилучені ключі на токенах у хмарі).

Всі переваги продуктів цих лінійок не тільки зберігаються, але й примножуються в КриптоПро CSP 5.0: ширший список підтримуваних платформ і алгоритмів, вища швидкодія, зручніший інтерфейс користувача. Але головне – робота з усіма ключовими носіями, включаючи ключі у хмарі, тепер однакова. Для перекладу прикладної системи, в якій працював КриптоПро CSP будь-якої з версій, на підтримку ключів у хмарі або на нові носії з невилученими ключами, не буде потрібно будь-яка переробка ПЗ - інтерфейс доступу залишається єдиним, і робота з ключем у хмарі буде відбуватися таким же чином, як та з класичним ключовим носієм.

Призначення КриптоПро CSP

Формування та перевірка електронного підпису.
Забезпечення конфіденційності та контролю цілісності інформації за допомогою її шифрування та імітозахисту.
Забезпечення автентичності, конфіденційності та імітозахисту з'єднань за протоколами , та .
Контроль цілісності системного та прикладного програмного забезпеченнядля його захисту від несанкціонованих змін та порушень довіреного функціонування.

Підтримувані алгоритми

У КриптоПро CSP 5.0 поруч із російськими реалізовані зарубіжні криптографічні алгоритми. Тепер користувачі мають можливість використовувати звичні носії ключів для зберігання секретних ключів RSA та ECDSA.

Підтримувані технології зберігання ключів

Хмарний токен

У криптопровайдері КриптоПро CSP 5.0 вперше з'явилася можливість використання ключів, що зберігаються на хмарному сервісіКриптоПро DSS через інтерфейс CryptoAPI. Тепер ключі, що зберігаються у хмарі, можуть бути легко використані як будь-якими додатками, так і більшістю додатків компанії Microsoft.

Носії з невилученими ключами та захищеним обміном повідомленнями

У КріптоПро CSP 5.0 додано підтримку носіїв з невилученими ключами, що реалізують протокол SESPAKE, що дозволяє провести аутентифікацію, не передаючи у відкритому вигляді пароль користувача, та встановити шифрований канал для обміну повідомлень між криптопровайдером та носієм. Порушник, що знаходиться в каналі між носієм і програмою користувача, не може ні вкрасти пароль при автентифікації, ні підмінити дані, що підписуються. При використанні таких носіїв повністю вирішується проблема безпечної роботиз ключами, що не виймаються.

Компанії Актив, ІнфоКрипт, СмартПарк та Gemalto розробили нові захищені токени, які підтримують цей протокол (СмартПарк та Gemalto починаючи з версії 5.0 R2).

Носії з ключами, що не виймаються.

Багато користувачів хочуть мати можливість працювати з ключами, що не виймаються, але при цьому не оновлювати токени до рівня ФКН. Спеціально для них до провайдера додана підтримка популярних ключових носіївРутокен ЕЦП 2.0, JaCarta-2 ГОСТ та InfoCrypt VPN-Key-TLS.

Список виробників та моделей підтримуваних КриптоПро CSP 5.0

Список виробників та моделей носіїв з невилученими ключами підтримуваних КриптоПро CSP 5.0

Компанія	Носій
ISBC	Esmart Token ГОСТ
Актив	Рутокен 2151
	Рутокен PINPad
	Рутокен ЕЦП
	Рутокен ЕЦП 2.0
	Рутокен ЕЦП 2.0 2100
	Рутокен ЕЦП 2.0 3000
	Рутокен ЕЦП PKI
	Рутокен ЕЦП 2.0 Flash
	Рутокен ЕЦП 2.0 Bluetooth
	Рутокен ЕЦП 2.0 Touch
	Смарт-карта Рутокен 2151
	Смарт-карта Рутокен ЕЦП 2.0 2100
Аладдін Р.Д.	JaCarta-2 ГОСТ
Інфокрипт	InfoCrypt Token++ TLS
Інфокрипт	InfoCrypt VPN-Key-TLS

Класичні пасивні USB-токени та смарт-картки

Більшість користувачів віддає перевагу швидким, дешевим і зручні рішеннядля зберігання ключів. Як правило, перевага надається токенам та смарт-карт без криптографічних співпроцесорів. як і в попередніх версіяхпровайдера, в КриптоПро CSP 5.0 збережена підтримка всіх сумісних носіїв виробництва компаній Актив, Аладдін Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST та СмартПарк.

Крім того, звичайно, як і раніше підтримуються способи зберігання ключів у реєстрі Windowsна жорсткому диску, на флеш-накопичувачах на всіх платформах.

Список виробників та моделей підтримуваних КриптоПро CSP 5.0

Список виробників та моделей класичних пасивних USB-токенів та смарт-карт підтримуваних КриптоПро CSP 5.0

Компанія	Носій
Alioth	SCOne Series (v5/v6)
Gemalto	Optelio Contactless Dxx Rx
	Optelio Dxx FXR3 Java
	Optelio G257
	Optelio MPH150
ISBC	Esmart Token
ISBC	Esmart Token ГОСТ
MorphoKST	MorphoKST
NovaCard	Cosmo
Rosan	G&D element V14 / V15
	G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80
	Kona 2200s / 251 / 151s / 261 / 2320
	Kona2 S2120s/C2304/D1080
SafeNet	eToken Java Pro JC
	eToken 4100
	eToken 5100
	eToken 5110
	eToken 5105
	eToken 5205
Актив	Рутокен 2151
	Рутокен S
	Рутокен КП
	Рутокен Lite
	Рутокен ЕЦП
	Рутокен ЕЦП 2.0
	Рутокен ЕЦП 2.0 3000
	Рутокен ЕЦП Bluetooth
	Рутокен ЕЦП Flash
	Смарт-карта Рутокен 2151
	Смарт-карта Рутокен Lite
	Смарт-карта Рутокен ЕЦП SC
	Смарт-карта Рутокен ЕЦП 2.0
Аладдін Р.Д.	JaCarta ГОСТ
	JaCarta PKI
	JaCarta PRO
	JaCarta LT
	JaCarta-2 ГОСТ
Інфокрипт	InfoCrypt Token++ lite
Мультисофт	MS_Key исп.8 Ангара
Мультисофт	MS_Key ESMART ісп.5
СмартПарк	Магістра
	R301 Форос
	Оскар
	Оскар 2
	Рутокен Магістра

Інструменти КриптоПро

У складі КриптоПро CSP 5.0 з'явилося кросплатформне (Windows/Linux/macOS) графічний додаток- "Інструменти КриптоПро" ("CryptoPro Tools").

Основна ідея – надати можливість користувачам зручно вирішувати типові завдання. Всі основні функції доступні в простому інтерфейсі - при цьому ми реалізували режим для досвідчених користувачів, що відкриває додаткові можливості.

За допомогою Інструментів КриптоПро вирішуються завдання управління контейнерами, смарт-картами та налаштуваннями криптопровайдерів, а також ми додали можливість створення та перевірки електронного підпису PKCS#7.

Підтримуване програмне забезпечення

КриптоПро CSP дозволяє швидко та безпечно використовувати російські криптографічні алгоритми у наступних стандартних додатках:

офісний пакет Microsoft Office;
поштовий сервер Microsoft Exchangeта клієнт Microsoft Outlook;
продукти Adobe Systems Inc.;
браузери Яндекс.Браузер, Супутник, Internet Explorer ,Edge;
засіб формування та перевірки підпису додатків Microsoft Authenticode;
веб-сервери Microsoft IIS, nginx, Apache;
засоби віддалених робочих столів Microsoft Remote Desktop Services;
Microsoft Active Directory.

Інтеграція з платформою КриптоПро

З першого ж релізу забезпечується підтримка та сумісність із усіма нашими продуктами:

КриптоПро УЦ;
Служби УЦ;
КриптоПро ЕЦП;
КриптоПро IPsec;
КриптоПро EFS;
КриптоПро.NET;
КриптоПро Java CSP.
КриптоПро NGate

Операційні системи та апаратні платформи

Традиційно ми працюємо у неперевершено широкому спектрі систем:

Microsoft Windows;
Mac OS;
Linux;
FreeBSD;
Solaris;
Android;
Sailfish OS.

апаратних платформ:

Intel/AMD;
PowerPC;
MIPS (Байкал);
VLIW (Ельбрус);
Sparc.

та віртуальних середовищ:

Microsoft Hyper-V
VMWare
Oracle Virtual Box
RHEV.

Підтримуваних різними версіямиКриптоПро CSP.

Для використання КриптоПро CSP з ліцензією на робоче місцета сервер.

Інтерфейси для вбудовування

Для вбудовування додатків на всіх платформах КриптоПро CSP доступний через стандартні інтерфейси для криптографічних засобів:

Microsoft CryptoAPI;
PKCS#11;
OpenSSL engine;
Java CSP (Java Cryptography Architecture)
Qt SSL.

Продуктивність на будь-який смак

Багаторічний досвід розробки дозволяє охопити всі рішення від мініатюрних ARM-плат, таких як Raspberry PI, до багатопроцесорних серверів на базі Intel Xeon, AMD EPYC та PowerPC, відмінно масштабуючи продуктивність.

Регулюючі документи

Повний перелік регулюючих документів

У криптопровайдері використовуються алгоритми, протоколи та параметри, визначені в наступних документах російської системи стандартизації:
Р 50.1.113–2016 « Інформаційна технологія. Криптографічний захистінформації. Криптографічні алгоритми, супутні застосуваннюалгоритмів електронної цифровий підписта функції хешування» (також див. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.114–2016 «Інформаційна розробка. Криптографічний захист інформації. Параметри еліптичних кривих для криптографічних алгоритміві протоколів» (також див. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.111–2016 «Інформаційна розробка. Криптографічний захист інформації. Парольний захист ключової інформації»
Р 50.1.115–2016 «Інформаційна розробка. Криптографічний захист інформації. Протокол вироблення загального ключа з аутентифікацією на основі пароля» (також див. RFC 8133 The Security Evaluated Standardized Password-Authenticated Key Exchange (SESPAKE) Protocol «)
Методичні рекомендації ТК 26 "Криптографічний захист інформації" "Використання наборів алгоритмів шифрування на основі ГОСТ 28147-89 для протоколу безпеки транспортного рівня(TLS)»
Методичні рекомендації ТК 26 «Криптографічний захист інформації» «Використання алгоритмів ГОСТ 28147-89, ГОСТ Р 34.11 та ГОСТ Р 34.10 у криптографічних повідомленнях формату CMS»
Технічна специфікація ТК 26 «Криптографічний захист інформації» «Використання ГОСТ 28147-89, ГОСТ Р 34.11-2012 та ГОСТ Р 34.10-2012 у протоколах обміну ключами IKE та ISAKMP»
Технічна специфікація ТК 26 "Криптографічний захист інформації" "Використання ГОСТ 28147-89 при шифруванні вкладень у протоколах IPsec ESP"
Технічна специфікація ТК 26 «Криптографічний захист інформації» «Використання алгоритмів ГОСТ Р 34.10, ГОСТ Р 34.11 у профілі сертифіката та списку відкликання сертифікатів (CRL) інфраструктури відкритих ключів X.509»
Технічна специфікація ТК 26 «Криптографічний захист інформації» «Розширення PKCS#11 для використання російських стандартів ГОСТ Р 34.10-2012 та ГОСТ Р 34.11-2012»

Для встановлення системи без інсталяційного дисканеобхідно завантажити та встановити всі дистрибутиви компонентів з цієї інструкції. Встановлення необхідно виконувати з правами локального адміністратора.

Установка СКЗІ КриптоПро CSP

Завантажте та встановіть дистрибутив КриптоПро CSP згідно з придбаною ліцензією.

Відкрийте програму КриптоПро CSP та введіть серійний номерліцензії. Залежно від комп'ютера, це можна зробити різними способами:

Інсталяція драйвера RuToken

Завантажте та встановіть компоненти для роботи з носієм RuToken. (якщо сертифікати зберігаються на flash-носії пропустіть цей крок). Під час встановлення компонентів відключіть RuToken від комп'ютера.

Встановлення Capicom

Встановлення сертифікатів центру посвідчення

Завантажте та встановіть сертифікати посвідчувального центру

Встановлення та налаштування браузера

Система працює в наступних браузерах: Internet Explorer версії не нижче 11, Mozilla Firefox, Google Chrome, Яндекс.Браузер, Opera.
Для установки .

Для коректної роботи Internet Explorer із системою Контур.Екстерн необхідно запустити утиліту для налаштування браузера.
Також можна налаштувати браузер вручну. Для цього скористайтеся даною.

З питань інсталяції інших браузерів зверніться до свого системного адміністратора.

Встановлення Adobe Reader

Завантажте та встановіть Adobe Reader. Скористайтеся посиланням на офіційний сайт Adobe. Для початку встановлення необхідно вибрати версію операційної системи та мову.

Установка ярлика

Для зручності входу в систему збережіть на робочий стіл. Після завершення інсталяції необхідно перезавантажити комп'ютер. Перед початком роботи в системі звітування не забудьте встановити сертифікат підпису. Скористайтеся інструкцією зі встановлення особистого сертифіката.

Встановлення завершено