Назначение КриптоПро CSP. Видеонаблюдение Основные направления работы

КриптоПро CSP 5.0 - новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Все преимущества продуктов этих линеек не только сохраняются, но и преумножаются в КриптоПро CSP 5.0: шире список поддерживаемых платформ и алгоритмов, выше быстродействие, удобнее пользовательский интерфейс. Но главное - работа со всеми ключевыми носителями, включая ключи в облаке, теперь единообразна. Для перевода прикладной системы, в которой работал КриптоПро CSP любой из версий, на поддержку ключей в облаке или на новые носители с неизвлекаемыми ключами, не потребуется какая-либо переработка ПО - интерфейс доступа остается единым, и работа с ключом в облаке будет происходить точно таким же образом, как и с классическим ключевым носителем.

Назначение КриптоПро CSP

Формирование и проверка электронной подписи.
Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам , и .
Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые алгоритмы

В КриптоПро CSP 5.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Теперь пользователи имеют возможность использовать привычные носители ключей для хранения секретных ключей RSA и ECDSA.

Поддерживаемые технологии хранения ключей

Облачный токен

В криптопровайдере КриптоПро CSP 5.0 впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft.

Носители с неизвлекаемыми ключами и защищенным обменом сообщениями

В КриптоПро CSP 5.0 добавлена поддержка носителей с неизвлекаемыми ключами, реализующих протокол SESPAKE , позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем. Нарушитель, находящийся в канале между носителем и приложением пользователя, не может ни украсть пароль при аутентификации, ни подменить подписываемые данные. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Компании Актив, ИнфоКрипт, СмартПарк и Gemalto разработали новые защищенные токены, которые поддерживают данный протокол (СмартПарк и Gemalto начиная с версии 5.0 R2).

Носители с неизвлекаемыми ключами

Многие пользователи хотят иметь возможность работать с неизвлекаемыми ключами, но при этом не обновлять токены до уровня ФКН. Специально для них в провайдер добавлена поддержка популярных ключевых носителей Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0

Список производителей и моделей носителей с неизвлекаемыми ключами поддерживаемых КриптоПро CSP 5.0

Компания	Носитель
ISBC	Esmart Token ГОСТ
Актив	Рутокен 2151
	Рутокен 2151 SC
	Рутокен Bluetooth
	Рутокен ПинПад
	Рутокен 2151
	Рутокен ЭЦП
	Рутокен ЭЦП SC
	Рутокен ЭЦП 2.0
	Рутокен ЭЦП 2.0 SC
	Рутокен ЭЦП Flash
Аладдин Р.Д.	JaCarta-2 ГОСТ
Инфокрипт	InfoCrypt Token++ TLS
Инфокрипт	InfoCrypt VPN-Key-TLS

Классические пассивные USB-токены и смарт-карты

Большинство пользователей предпочитает быстрые, дешевые и удобные решения для хранения ключей. Как правило, предпочтение отдаётся токенам и смарт-картам без криптографических сопроцессоров. Как и в предыдущих версиях провайдера, в КриптоПро CSP 5.0 сохранена поддержка всех совместимых носителей производства компаний Актив, Аладдин Р.Д., Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк.

Кроме того, конечно, как и раньше поддерживаются способы хранения ключей в реестре Windows, на жестком диске, на флеш-накопителях на всех платформах.

Список производителей и моделей поддерживаемых КриптоПро CSP 5.0

Список производителей и моделей классических пассивных USB-токенов и смарт-карт поддерживаемых КриптоПро CSP 5.0

Компания	Носитель
Alioth	SCOne Series (v5/v6)
Gemalto	Optelio Contactless Dxx Rx
	Optelio Dxx FXR3 Java
	Optelio G257
	Optelio MPH150
ISBC	Esmart Token
ISBC	Esmart Token ГОСТ
MorphoKST	MorphoKST
NovaCard	Cosmo
Rosan	G&D element V14 / V15
	G&D 3.45 / 4.42 / 4.44 / 4.45 / 4.65 / 4.80
	Kona 2200s / 251 / 151s / 261 / 2320
	Kona2 S2120s / C2304 / D1080
SafeNet	eToken Java Pro JC
	eToken 4100
	eToken 5100
	eToken 5110
	eToken 5105
	eToken 5205
Актив	Рутокен 2151
	Рутокен 2151 SC
	Рутокен Bluetooth
	Рутокен S
	Рутокен КП
	Рутокен Лайт
	Рутокен Лайт SC
	Рутокен ЭЦП 2.0 3000
	Рутокен ЭЦП
	Рутокен ЭЦП SC
	Рутокен ЭЦП 2.0
	Рутокен ЭЦП 2.0 SC
	Рутокен ЭЦП Flash
Аладдин Р.Д.	JaCarta ГОСТ
	JaCarta PKI
	JaCarta PRO
	JaCarta LT
	JaCarta-2 ГОСТ
Инфокрипт	InfoCrypt Token++ lite
Мультисофт	MS_Key исп.8 Ангара
Мультисофт	MS_Key ESMART исп.5
СмартПарк	Магистра
	R301 Форос
	Оскар
	Оскар 2
	Рутокен Магистра

Инструменты КриптоПро

В составе КриптоПро CSP 5.0 появилось кроссплатформенное (Windows/Linux/macOS) графическое приложение - «Инструменты КриптоПро» («CryptoPro Tools»).

Основная идея - предоставить возможность пользователям удобно решать типичные задачи. Все основные функции доступны в простом интерфейсе - при этом мы реализовали и режим для опытных пользователей, открывающий дополнительные возможности.

С помощью Инструментов КриптоПро решаются задачи управления контейнерами, смарт-картами и настройками криптопровайдеров, а также мы добавили возможность создания и проверки электронной подписи PKCS#7.

Поддерживаемое программное обеспечение

КриптоПро CSP позволяет быстро и безопасно использовать российские криптографические алгоритмы в следующих стандартных приложениях:

офисный пакет Microsoft Office ;
почтовый сервер Microsoft Exchange и клиент Microsoft Outlook ;
продукты Adobe Systems Inc. ;
браузеры Яндекс.Браузер, Спутник, Internet Explorer , Edge ;
средство формирования и проверки подписи приложений Microsoft Authenticode ;
веб-серверы Microsoft IIS , nginx , Apache ;
средства удаленных рабочих столов Microsoft Remote Desktop Services ;
Microsoft Active Directory .

Интеграция с платформой КриптоПро

С первого же релиза обеспечивается поддержка и совместимость со всеми нашими продуктами:

КриптоПро УЦ;
Службы УЦ;
КриптоПро ЭЦП;
КриптоПро IPsec;
КриптоПро EFS;
КриптоПро.NET;
КриптоПро Java CSP.
КриптоПро NGate

Операционные системы и аппаратные платформы

Традиционно мы работаем в непревзойдённо широком спектре систем:

Microsoft Windows;
Mac OS;
Linux;
FreeBSD;
Solaris;
Android;
Sailfish OS.

аппаратных платформ:

Intel / AMD;
PowerPC;
MIPS (Байкал);
VLIW (Эльбрус);
Sparc.

и виртуальных сред:

Microsoft Hyper-V
VMWare
Oracle Virtual Box
RHEV.

Поддерживаемых разными версиями КриптоПро CSP.

Для использования КриптоПро CSP c лицензией на рабочее место и сервер.

Интерфейсы для встраивания

Для встраивания в приложения на всех платформах КриптоПро CSP доступен через стандартные интерфейсы для криптографических средств:

Microsoft CryptoAPI;
PKCS#11;
OpenSSL engine;
Java CSP (Java Cryptography Architecture)
Qt SSL.

Производительность на любой вкус

Многолетний опыт разработки позволяет нам охватить все решения от миниатюрных ARM-плат, таких как Raspberry PI, до многопроцессорных серверов на базе Intel Xeon, AMD EPYC и PowerPC, отлично масштабируя производительность.

Регулирующие документы

Полный перечень регулирующих документов

В криптопровайдере используются алгоритмы, протоколы и параметры, определенные в следующих документах российской системы стандартизации:
Р 50.1.113–2016 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования» (также см. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.114–2016 «Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов» (также см. RFC 7836 «Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012»)
Р 50.1.111–2016 «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации»
Р 50.1.115–2016 «Информационная технология. Криптографическая защита информации. Протокол выработки общего ключа с аутентификацией на основе пароля» (также см. RFC 8133 The Security Evaluated Standardized Password-Authenticated Key Exchange (SESPAKE) Protocol«)
Методические рекомендации ТК 26 «Криптографическая защита информации» «Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS)»
Методические рекомендации ТК 26 «Криптографическая защита информации» «Использование алгоритмов ГОСТ 28147-89, ГОСТ Р 34.11 и ГОСТ Р 34.10 в криптографических сообщениях формата CMS»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование ГОСТ 28147-89, ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 в протоколах обмена ключами IKE и ISAKMP»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование ГОСТ 28147-89 при шифровании вложений в протоколах IPsec ESP»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Использование алгоритмов ГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата и списке отзыва сертификатов (CRL) инфраструктуры открытых ключей X.509»
Техническая спецификация ТК 26 «Криптографическая защита информации» «Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012»

Как правило, мысль скачать Криптопро 3.9 R2 для Windows 10 появляется у предпринимателей, с большим документооборотом. Однако, продукт подойдет и для бытовых целей, ведь электронные подписи все больше входят в жизнь обычного человека.

Особенности

Криптопро 3.9 R2 - это многофункциональный криптографический софт. Последняя самая актуальная версия применяется на любых устройствах на Windows 10, в том числе и на планшетах. Сфера применения данной программы очень обширна:

Защита авторства документов;
Обеспечение защищенного документооборота;
Работа с электронными подписям;

Если вы заботитесь о безопасности своего документооборота, то скачать Криптопро 3.9 R2 – будет верным решением. Это отечественная разработка, и хотя она касается очень сложных вопросов в техническом плане, работать с программой очень просто. Конечно, если вы слабо представляете себе, что такое Криптопро, то лучше для начала изучить документацию, а лишь затем приступать к работе.

Установка проходит в несколько этапов, но чтобы не допустить ошибку, скачивайте верную версию – x32/x64 бита. А если у вас компьютер работает без , то даже самая мощная криптозащита документов, не убережет вас от возможного проникновения. Поэтому, советуем установить

Генерация ключей ЭП и ключей согласования
Формирование и проверка электронной подписи
Импорт программно сгенерированных закрытых ключей ЭП – для усиления их защищённости
Обновление инсталляционной базы криптопровайдера "КриптоПро CSP"

Особенности

Главной особенностью (ранее продукт назывался "КриптоПро eToken CSP") является использование технологии функционального ключевого носителя (ФКН).

Функциональный ключевой носитель (ФКН) - архитектура программно-аппаратных продуктов на базе смарт-карт или USB-токенов, реализующая принципиально новый подход к обеспечению безопасного использования ключа на смарт-карте или USB-токене.

Благодаря наличию защищённого канала связи между токеном и криптопровайдером часть криптографических преобразований, включая хранение закрытых ключей и ключей ЭП в неизвлекаемом виде, выносится на смарт-карту или USB-токен.

Кроме аппаратной генерации ключей, их безопасного хранения и формирования ЭП в микропроцессоре ключевого носителя, архитектура ФКН позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи между программной и аппаратной частью CSP.

В "КриптоПро ФКН CSP" версии 3.9 в качестве ключевого носителя выступает специально разработанный токен JaCarta CryptoPro, представленный в форм-факторах смарт-карты и USB-токена.

В состав СКЗИ "КриптоПро ФКН CSP" версии 3.9 входит специально разработанный токен JaCarta CryptoPro с возможностью вычисления ЭП по технологии ФКН компании "КРИПТО-ПРО" и выпускаемый в форм-факторах USB-токена (в корпусе Nano или XL) или смарт-карты.

JaCarta CryptoPro осуществляет безопасное хранение и использование закрытых ключей ЭП, выполняет взаимную аутентификацию CSP и токена, а также строгую двухфакторную аутентификацию пользователя-владельца токена.

Ключевые преимущества JaCarta CryptoPro

Является самым быстрым токеном среди ФКН-устройств (опережает существующие продукты, работающие с ФКН, по скорости формирования электронной подписи почти в 3 раза - на основе Протокола замеров быстродействия ФКН-устройств "КРИПТО-ПРО" от 08.12.2014 г.).
Применён принцип Secure by design – используется защищённый микроконтроллер, сконструированный как безопасный, для целей обеспечения безопасности, имеет встроенную защиту как на аппаратном, так и на программном уровнях от клонирования, взлома и всех других атак, известных на сегодняшний день.
Генерация ключей ЭП, ключей согласования, а также создание ЭП происходит внутри токена JaCarta CryptoPro.
Использует защищённый канал передачи данных с программной частью "КриптоПРО ФКН CSP".

Состав

"КриптоПро ФКН CSP" версии 3.9 состоит из двух ключевых компонент.

1. USB-токен или смарт-карта JaCarta CryptoPro:

является функциональным ключевым носителем (ФКН), в котором аппаратно реализована российская криптография;
позволяет безопасно хранить и использовать закрытые ключи ЭП;
формирует ЭП "под маской" - K(h), что позволяет защитить канал обмена между токеном (смарт-картой) и программным криптопровайдером (CSP);
выполняет взаимную аутентификацию CSP и токена и строгую двухфакторную аутентификацию пользователя - владельца токена.

2. Криптопровайдер (CSP):

является высокоуровневым программным интерфейсом (MS CAPI) для внешних приложений и предоставляет им набор криптографических функций;
из подписи "под маской", полученной от аппаратного токена (смарт-карты) - K(h), "снимает" маску K(s) и формирует "нормальную" подпись, понятную для внешних приложений

Архитектура "КриптоПро ФКН CSP" версии 3.9

Технические характеристики токена JaCarta CryptoPro

Характеристики микроконтроллера	Производитель	INSIDE Secure
	Модель	AT90SC25672RCT
	EEPROM Memoryс	72 Кб
Характеристики операционной системы	Операционная система	Athena Smartcard Solutions OS755
	Международные сертификаты	CC EAL4+
	Поддерживаемые криптоалгоритмы	ГОСТ Р 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-94
Поддерживаемые интерфейсы	USB	Да
Поддерживаемые интерфейсы	Контактный интерфейс (ISO7816-3)	T=1
Сертификаты безопасности	ФСБ России	Сертификат соответствия ФСБ России № СФ/114-2734 Сертификат соответствия ФСБ России № СФ/114-2735
Поддерживаемые ОС	Microsoft Windows Server 2003	(32/64-битные платформы)
	Microsoft Windows Vista	(32/64-битные платформы)
	Microsoft Windows 7	(32/64-битные платформы)
	Microsoft Windows Server 2008	(32/64-битные платформы)
	Microsoft Windows Server 2008 R2	(32/64-битные платформы)
	CentOS 5/6	(32/64-битные платформы)
	Linpus Lite 1.3	(32/64-битные платформы)
	Mandriva Server 5	(32/64-битные платформы)
	Oracle Enterprise Linux 5/6	(32/64-битные платформы)
	Оpen SUSE 12	(32/64-битные платформы)
	Red Hat Enterprise Linux 5/6	(32/64-битные платформы)
	SUSE Linux Enterprise 11	(32/64-битные платформы)
	Ubuntu 8.04/10.04/11.04/11.10/12.04	(32/64-битные платформы)
	ALT Linux 5/6	(32/64-битные платформы)
	Debian 6	(32/64-битные платформы)
	FreeBSD 7/8/9	(32/64-битные платформы)
Время выполнения криптографических операций	Импорт ключа	3.2 op/s (USB-токен), 2.4 op/s (смарт-карта)
Время выполнения криптографических операций	Создание подписи	5.8 op/s (USB-токен), 3.9 op/s (смарт-карта)
Доступные ключевые носители	Смарт-карта	JaCarta CryptoPro
Доступные ключевые носители	USB-токен	JaCarta CryptoPro

Сертификаты безопасности

подтверждающий, что средство криптографической защиты информации (СКЗИ) "КриптоПро ФКН CSP" Версия 3.9 (исполнение 1) соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1, требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в области оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в области оперативной памяти, защита TLS-соединений, реализация функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи": создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.

подтверждающий, что средство криптографической защиты информации (СКЗИ) "КриптоПро ФКН CSP" Версия 3.9 (исполнение 2) соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС2, требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС2, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в области оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в области оперативной памяти, защита TLS-соединений, реализация функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи": создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.

Решение КриптоПро Рутокен CSP - это совместная разработка компаний «КриптоПро» и «Актив», в которой интегрированы возможности криптопровайдера КриптоПро CSP и USB-токенов Рутокен. Важной особенностью технологии ФКН является разделение криптографических мощностей между криптопровайдером КриптоПро CSP и Рутокен КП - специально адаптированной под технологию ФКН моделью криптографического USB-токена, выполненной на базе Рутокен ЭЦП .

Рутокен КП используется в технологии ФКН для генерации ключевых пар, выработки ключей согласования, осуществления электронной подписи и т. п. Выполнение этих операций на борту токена обеспечивает максимально высокую степень сохранности ключевой информации. Рутокен КП используется и поставляется только в составе КриптоПро Рутокен CSP, отдельно этот USB-токен не распространяется.

В новой версии КриптоПро Рутокен CSP, помимо Рутокен КП, есть поддержка стандартной модели Рутокен ЭЦП 2.0 для генерации и надежного хранения ключевых пар и контейнеров КриптоПро CSP. Ключевая информация хранится на Рутокен ЭЦП 2.0 без возможности ее извлечения. Использование Рутокен ЭЦП 2.0 в составе КриптоПро Рутокен CSP дает оптимальную по стоимости и возможностям конфигурацию решения для случаев, когда повышенные требования к уровню защиты каналов связи с ключевым носителем не предъявляются.

Решение КриптоПро Рутокен CSP является преемником СКЗИ КриптоПро CSP и поддерживает все его возможности. Также оно полностью интегрируется в инфраструктуру открытых ключей, базирующуюся на удостоверяющем центре «КриптоПро УЦ».