Что такое криптопро и зачем он нужен. Назначение КриптоПро CSP

КриптоПро – программная линейка криптопровайдеров. Они используются во многих программах разработчиков для генерации электронной подписи, работы с сертификатами, структуры организации PKI и т.д.
КриптоПро позволит решить несколько задач сразу:

Корпоративные пользователи – можно использовать все стандартные программы Microsoft все это защищено очень надежно русской криптогафией.
Системные интерграторы – создание новейших программ и приложений под надежной защитой с возможностью использования богатейшего инструментария Microsoft.

Зачем нужна программа КриптоПро?

Программа КриптоПро используется с целью защитить вашу информацию. Криптографическая защита обеспечит защиту авторских прав, конфиденциальности и целостности информации, вот зачем нужна программа. Использование такой системы не обеспечивает полную защиту поэтому не стоит забывать о технических мерах защиты. После получения сертификатов они получают юридическую силу.

Пункты защиты (функции):

Авторство
Конфиденциальность
Целостность
Защита от переповторов
Защита от навязывания чужой информации
Защита от вирусов и модификаций ПО

Базовые функции:

Функции инициализации – для предоставления приложению выбора определенного криптопровайдера по нужной функциональности.
Функция генерация ключей – предназначена для правильного формирования, хранения, криптографических ключей разных типов
Функция обмена ключей – предназначена для передачи данных от первого приложения ко второму для большего взаимодействия между ними.

Как работать с программой КриптоПро?

Основные файлы и совместимости с продуктами Microsoft обязательно к установке. Рекомендуем установить службу хранения ключей, т.к это куда безопаснее хранения ключей в реестре. В случае хищения сертификатов из реестра ключи спрятаны в контейнер к которому требуется установленный пароль. Revocation provider - это компонент используется не в домашних условиях, в случаи установки будет каждый раз проверяться подлинность сертификата через OSCP сервер. Криптопровайдер уровня ядра ОС нужен если у вас используется LTC-сервер, IPsec, EFS файловая система, в других случаях его использовать не надо. Совместимость с программой криптопро нужно только если у все есть старая версия на ОС.
Оставляем все как есть, только убираем галочку «не сохранять информацию об использованных съемных носителях. Это позволит узнать какие носители подключались к системе, копировали, использовали ключи и сертификаты программы криптопро.
Затем перезапускаем систему после установки, чтобы избежать различных лагов и багов.

2 этап. Первоначальная настройка

Настройка считывателей. В этой вкладке вы можете добавить откуда будут считываться ключи, если там не присутствует нужного варианта то можно установить драйвера для считывателя вручную. По стандарту к считывателям относится смарт-карта, Rutoken, Etoken, жесткие диски и реестр.
Настройка типа ключевых носителей. Тут вы можете выбрать куда будут сохраняться ключи.
Датчики случайных чисел. Используются для создания ключей, в стандарте идет биологический ДСЧ, но вы можете скачать и установить свой по желанию. Для пользователей которые работают на дому достаточно встроенного ДСЧ.

Вкладка сервис сделана для работ с самими контейнерами. В случае, если вы используете реестр - это файл или несколько файлов, в этом контейнере хранятся ключи или сертификаты.

Вкладка алгоритмы используется для настройки асимметричного алгоритма вы можете выбрать какие параметры он будет использовать.

Вкладка безопасность в поле режим работы CSP выбрать параметр использовать службу хранения ключей, это намного безопаснее хранения ключей в памяти программы, там же можно выбрать максимальное количество хранения ключей. Для выбора максимального хранения ключей нужно включить параметр кэширование, после чего нужно перезагрузить ПК.

3 этап. Работа

Для работы с программой нам потребуется получить ключ или сертификат. Получить его можно например, здесь http://psk-tender.ru/pered-aukcionom/.
Для получения требуется подать заявку на регистрацию и после того как придет одобрение со стороны сервера вы можете подать заявку на получение сертификата.
После получения сертификата вы можете заходить в программу криптопро SCP и работать с сертификатом
Во вкладке сервис вы можете протестировать ваш контейнер, скопировать или удалить его. Ниже есть панель где вы можете проверить ваши сертификаты, еще ниже вы можете добавить свои. В последней вкладке вы можете назначать новый пароль на контейнер и удалить сохраненные ранее пароли. Более подробную информацию о программе ищите в поиске.

КриптоПро CSP 5.0 - новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и преумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное - работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО - интерфейс доступа остается единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Назначение КриптоПро CSP

Формирование и проверка электронной подписи.
Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам , и .
Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые алгоритмы

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Поддерживаемые технологии хранения ключей

Облачный токен

В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE , позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт, СмартПарк и Gemalto разработали новые защищенные токены, которые поддерживают данный протокол (СмартПарк и Gemalto начиная с версии 5.0 R2).

Носители с неизвлекаемыми ключами

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0

Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5.0

Компания	Носитель
ISBC	Esmart Token ГОСТ
Актив	Рутокен 2151
	Рутокен PINPad
	Рутокен ЭЦП
	Рутокен ЭЦП 2.0
	Рутокен ЭЦП 2.0 2100
	Рутокен ЭЦП 2.0 3000
	Рутокен ЭЦП PKI
	Рутокен ЭЦП 2.0 Flash
	Рутокен ЭЦП 2.0 Bluetooth
	Рутокен ЭЦП 2.0 Touch
	Смарт-карта Рутокен 2151
	Смарт-карта Рутокен ЭЦП 2.0 2100
Аладдин Р.Д.	JaCarta-2 ГОСТ
Инфокрипт	InfoCrypt Token++ TLS
Инфокрипт	InfoCrypt VPN-Key-TLS

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0

Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5.0

Компания	Носитель
Alioth	SCOne Series (v5/v6)
Gemalto	Optelio Contactless Dxx Rx
	Optelio Dxx FXR3 Java
	Optelio G257
	Optelio MPH150
ISBC	Esmart Token
ISBC	Esmart Token ГОСТ
MorphoKST	MorphoKST
NovaCard	Cosmo
Rosan	G&D element V14 / V15
	G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80
	Kona 2200s / 251 / 151s / 261 / 2320
	Kona2 S2120s / C2304 / D1080
SafeNet	eToken Java Pro JC
	eToken 4100
	eToken 5100
	eToken 5110
	eToken 5105
	eToken 5205
Актив	Рутокен 2151
	Рутокен S
	Рутокен КП
	Рутокен Lite
	Рутокен ЭЦП
	Рутокен ЭЦП 2.0
	Рутокен ЭЦП 2.0 3000
	Рутокен ЭЦП Bluetooth
	Рутокен ЭЦП Flash
	Смарт-карта Рутокен 2151
	Смарт-карта Рутокен Lite
	Смарт-карта Рутокен ЭЦП SC
	Смарт-карта Рутокен ЭЦП 2.0
Аладдин Р.Д.	JaCarta ГОСТ
	JaCarta PKI
	JaCarta PRO
	JaCarta LT
	JaCarta-2 ГОСТ
Инфокрипт	InfoCrypt Token++ lite
Мультисофт	MS_Key исп.8 Ангара
Мультисофт	MS_Key ESMART исп.5
СмартПарк	Магистра
	R301 Форос
	Оскар
	Оскар 2
	Рутокен Магистра

Инструменты КриптоПро

В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение - «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея - предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе - при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

офисный пакет Microsoft Office ;
почтовый сервер Microsoft Exchange и клиент Microsoft Outlook ;
продукты Adobe Systems Inc. ;
браузеры Яндекс.Браузер, Спутник, Internet Explorer , Edge ;
средство формирования и проверки подписи приложений Microsoft Authenticode ;
веб-серверы Microsoft IIS , nginx , Apache ;
средства удаленных рабочих столов Microsoft Remote Desktop Services ;
Microsoft Active Directory .

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

КриптоПро УЦ;
Службы УЦ;
КриптоПро ЭЦП;
КриптоПро IPsec;
КриптоПро EFS;
КриптоПро.NET;
КриптоПро Java CSP.
КриптоПро NGate

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

Microsoft Windows;
Mac OS;
Linux;
FreeBSD;
Solaris;
Android;
Sailfish OS.

аппаратных платформ:

Intel / AMD;
PowerPC;
MIPS (Байкал);
VLIW (Эльбрус);
Sparc.

и виртуальных сред:

Microsoft Hyper-V
VMWare
Oracle Virtual Box
RHEV.

Поддерживаемых разными версиями КриптоПро CSP.

Для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

Microsoft CryptoAPI;
PKCS#11;
OpenSSL engine;
Java CSP (Java Cryptography Architecture)
Qt SSL.

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Регулирующие документы

Полный перечень регулирующих документов

В криптопровайдере используются алгоритмы, протоколы и параметры, определенные в следующих документах российской системы стандартизации:
Р 50.1.113–2016 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования» (также см. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.114–2016 «Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов» (также см. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.111–2016 «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации»
Р 50.1.115–2016 «Информационная технология. Криптографическая защита информации. Протокол выработки общего ключа с аутентификацией на основе пароля» (также см. RFC 8133 The Security Evaluated Standardized Password-Authenticated Key Exchange (SESPAKE) Protocol«)
Методические рекомендации ТК 26 «Криптографическая защита информации» «Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS)»
Методические рекомендации ТК 26 «Криптографическая защита информации» «Использование алгоритмов ГОСТ 28147-89, ГОСТ Р 34.11 и ГОСТ Р 34.10 в криптографических сообщениях формата CMS»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование ГОСТ 28147-89, ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 в протоколах обмена ключами IKE и ISAKMP»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование ГОСТ 28147-89 при шифровании вложений в протоколах IPsec ESP»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование алгоритмов ГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата и списке отзыва сертификатов (CRL) инфраструктуры открытых ключей X.509»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012»

Доказательство момента подписи документа

Штамп времени, полученный на ЭЦП, удостоверяет время создания ЭЦП для последующего разрешения конфликтов, связанных с использованием электронного документа.

Доказательство действительности сертификата ключа подписи на момент подписи

Наличие доказательств подлинности ЭЦП в подписанном документе позволяет подтвердить действительность сертификата ключа подписи. Дополнительный штамп времени удостоверяет время сбора доказательств подлинности, а следовательно, позволяет удостовериться в действительности подписи даже если не только сертификат ключа подписи был аннулирован (отозван), но и если аннулирован или отозван был сертификат ключа подписи службы актуальных статусов или сертификаты промежуточных УЦ. Таким образом, сохраняется возможность использования отозванного сертификата для проверки ЭЦП, созданных до момента отзыва. Эта проблема актуальна для всех систем электронного документооборота.

Отсутствие необходимости сетевых обращений

Доказательства подлинности, входящие в состав усовершенствованной ЭЦП, включают в себя полный набор данных и сертификатов, необходимый для проверки ЭЦП.

При этом полностью решается весь круг потенциальных проблем, связанных с необходимостью сетевых обращений - необходимость в подобных обращениях отпадает, поскольку все необходимые данные уже присоединены к ЭЦП.

Другие варианты использования

Область других возможных вариантов применения усовершенствованной ЭЦП очень широка. Например, усовершенствованная ЭЦП может использоваться для долговременного хранения подписанных документов в тех случаях, когда необходимо выполнять проверку по истечении существенно длинных промежутков времени после создания ЭЦП. Это может быть удобным при организации архивов электронных документов. Отсутствие необходимости сетевых обращений может оказаться полезным в системах, где подобные обращения по тем или иным причинам недоступны либо невозможны, например, в силу установленного режима безопасности.

Данный формат включает в себя:

Подписываемый документ (может храниться отдельно от всех остальных полей).
Подписываемые атрибуты.
Электронную цифровую подпись.
Штамп времени, полученный на значение ЭЦП.
Хэш-коды доказательств подлинности.
Внешний штамп времени, полученный на все вышеперечисленное.
Доказательства подлинности (значения сертификатов и информация об отзыве).