для чего используется криптопровайдер
Криптопровайдер
Криптопровайдер (Cryptography Service Provider, CSP) — это независимый модуль, позволяющий осуществлять криптографические операции в операционных системах Microsoft, управление которым происходит с помощью функций CryptoAPI. Проще говоря, это посредник между операционной системой, которая может управлять им с помощью стандартных функций CryptoAPI, и исполнителем криптографических операций (это может быть как программа, так и аппаратный комплекс).
Содержание
Архитектура криптопровайдера
Любой криптопровайдер должен экспортировать набор обязательных функций, которые формируют системный программный интерфейс CryptoSPI, при этом каждая из этих функций соответствует некоторой функции CryptoAPI. Также криптопровайдер должен обеспечивать:
Приложения не работают напрямую с криптопровайдером. Вместо этого они вызывают функции CryptoAPI из библиотек Advapi32.dll и Crypt32.dll. Операционная система фильтрует вызовы этих функций и вызывает соответствующие функции CryptoSPI, которые непосредственно работают с криптопровайдером.
Минимальный состав криптопровайдера — одна DLL. Обычно эта библиотека хранится в папке \WINDOWS\system32\. Обязательным является контроль целостности этой DLL.
Кроме стандартных функций CryptoAPI, криптопровайдер обычно поддерживает ряд собственных функций. Если собственные функции не реализованы, то DLL действует, по сути, как промежуточный слой между операционной системой и исполнителем криптографических операций.
Объекты криптопровайдера
Одним из основных объектов является ключевой контейнер. Контейнер имеет свое имя, создаётся (или запрашивается, если уже был создан) функцией CryptAcquireContext(…). В контейнере может существовать не более одной пары ключей подписи, одной пары ключей обмена и одного симметричного ключа. Если поддерживается несколько алгоритмов симметричного шифрования, то симметричных ключей может быть несколько, по одному ключу каждого алгоритма.
Пары ключей и симметричные ключи могут находиться только в контейнере. Только открытый ключ пары может находиться вне контейнера.
Закрытые (private) ключи пар ключей экспортируются только в зашифрованном виде. Некоторые криптопровайдеры принципиально не позволяют экспортировать закрытые ключи, даже в зашифрованном виде. Симметричные ключи при экспорте также обязательно шифруются на открытом ключе получателя или ключе согласования. Для вычисления хеш-функций создаются объекты хеширования. Для создания объектов хеширования создавать контейнер не нужно.
Типы криптопровайдеров
| Тип криптопровайдера | Алгоритмы ключевого обмена | Алгоритмы цифровой подписи | Алгоритмы шифрования | Алгоритмы хеширования |
|---|---|---|---|---|
| PROV_RSA_FULL | RSA | RSA | RC2, RC4 | MD5, SHA |
| PROV_RSA_AES | RSA | RSA | RC2, RC4, AES | MD5, SHA |
| PROV_RSA_SIG | нет | RSA | нет | MD5, SHA |
| PROV_RSA_SCHANNEL | RSA | RSA | RC4, DES, 3DES | MD5, SHA |
| PROV_DSS | нет | DSS | нет | MD5, SHA |
| PROV_DH_SCHANNEL | DH (ephemeral) | DSS | DES, 3DES | MD5, SHA |
| PROV_DH_SCHANNEL | DH (ephemeral) | DSS | DES, 3DES | MD5, SHA |
| PROV_FORTEZZA | KEA | DSS | Skipjack | SHA |
| PROV_MS_EXCHANGE | RSA | RSA | CAST | MD5 |
| PROV_SSL | RSA | RSA | могут быть различными | могут быть различными |
| PROV_GOST_94_DH | ГОСТ Р 34.10-94 | ГОСТ Р 34.10-94 | ГОСТ 28147-89 | ГОСТ Р 34.11-94 |
| PROV_GOST_2001_DH | ГОСТ Р 34.10-2001 | ГОСТ Р 34.10-2001 | ГОСТ 28147-89 | ГОСТ Р 34.11-94 |
Криптопровайдеры Microsoft
Во все операционные системы Microsoft, начиная с Windows 2000 встроен криптопровайдер Microsoft Base Cryptographic Provider, который обладает набором основных криптографических функций. В Microsoft Base Cryptographic Provider длина ключей шифрования не превышает 40 бит. Так как до января 2000 года в США существовал запрет на экспорт программного обеспечения для шифрования с использованием ключей длиной более 40 бит, то в Windows 98 и ранних версиях Windows 2000 существовала поддержка только этого криптопровайдера. Microsoft Base Cryptographic Provider по сути является урезанным вариантом Microsoft Enhanced Cryptographic Provider. Но после отмены запрета на экспорт стало бессмысленно иметь 2 криптопровайдера, поэтому программисты Microsoft ввели еще одно название — Microsoft Strong Cryptographic Provider, который ничем не отличается от Microsoft Enhanced Cryptographic Provider. Этот криптопровайдер является криптопровайдером по умолчанию типа PROV_RSA_FULL в Windows 2000, Windows XP, Windows 2003.
Все криптопровайдеры Microsoft могут быть скачаны с сайта Microsoft.
| Криптопровайдер | Имя криптопровайдера | Тип | Комментарий |
|---|---|---|---|
| Microsoft Base Cryptographic Provider | MS_DEF_PROV | PROV_RSA_FULL | Имеет широкий набор основных криптографических функций. Длина ключей шифрования не превышает 40 бит. |
| Microsoft Strong Cryptographic Provider | MS_STRONG_PROV | PROV_RSA_FULL | Отличается от Microsoft Base Cryptographic Provider поддержкой больших длин ключей. |
| Microsoft Enhanced Cryptographic Provider | MS_ENHANCED_PROV | PROV_RSA_FULL | Ничем не отличается от Microsoft Strong Cryptographic Provider. Является криптопровайдером по умолчанию. |
| Microsoft AES Cryptographic Provider | MS_ENH_RSA_AES_PROV | PROV_RSA_AES | = Microsoft Enhanced Cryptographic Provider с поддержкой AES |
| Microsoft DSS Cryptographic Provider | MS_DEF_DSS_PROV | PROV_DSS | Хеширование, подпись, проверка подписи с поддержкой алгоритма DSS. |
| Microsoft Base DSS and Diffie-Hellman Cryptographic Provider | MS_DEF_DSS_DH_PROV | PROV_DSS_DH | Хеширование, подпись DSS, генерация и обмен ключами Диффи-Хеллмана. Поддерживает генерацию ключей для протоколов SSL3 и TLS1. |
| Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider | MS_ENH_DSS_DH_PROV | PROV_DSS_DH | То же, что и Microsoft Base DSS and Diffie-Hellman Cryptographic Provider с поддержкой больших длин ключей. |
| Microsoft DSS and Diffie-Hellman/Schannel Cryptographic Provider | MS_DEF_DH_SCHANNEL_PROV | PROV_DH_SCHANNEL | Хеширование, подпись DSS, генерация и обмен ключами Диффи-Хеллмана. Поддерживает генерацию ключей для протоколов SSL3 и TLS1. |
| Microsoft RSA/Schannel Cryptographic Provider | MS_DEF_RSA_SCHANNEL_PROV | PROV_RSA_SCHANNEL | Хеширование, подпись, проверка подписи. Используется для аутентификации в протоколах SSL 3.0 and TLS 1.0. |
| Microsoft RSA Signature Cryptographic Provider | MS_DEF_RSA_SIG_PROV | PROV_RSA_SIG | Минимальная функциональность, необходимая для электронной подписи и проверки ЭЦП. |
Криптопровайдеры для ПСКЗИ ШИПКА
В криптопровайдерах для ПСКЗИ ШИПКА операции шифрования, хеширования, подписи, её проверки, генерации криптографических ключей и ключевых пар для иностранных и отечественных криптографических алгоритмов осуществляются аппаратно в ПСКЗИ ШИПКА. Ключевая база так же хранится в самом устройстве, при этом закрытые ключи ключевых пар не являются экспортируемыми и не могут быть переданы из него какому-либо приложению, использующему CryptoAPI.
Криптопровайдеры имеют цифровую подпись Microsoft.
| Криптопровайдер | Имя криптопровайдер | Тип | Комментарий |
|---|---|---|---|
| Shipka Base CSP | ACCSP_NAME | PROV_RSA_FULL | Кроме алгоритмов, описанных для PROV_RSA_FULL, поддерживаются также DES и 3DES. |
| Shipka Base CSP GOST2001 | ACCSP_GOST2001_NAME | PROV_GOST_2001_DH | Реализует российские алгоритмы шифрования аппаратно. |
Симметричные ключи экспортируются только в зашифрованном виде. Шифруется симметричные ключи либо на ключе согласования, либо на открытом ключе получателя.
Как уже говорилось выше, криптопровайдеры реализуются в виде динамически загружаемых библиотек, при этом они имеют цифровую подпись и при работе с криптопровайдером в системных библиотеках проверяется целостность его DLL. Но проверка целостности DLL криптопровайдера осуществляется программно, что дает возможность влиять программным путем на процесс выполнения проверки, а, значит, и на ход алгоритмов. Так как в ПСКЗИ ШИПКА криптографические алгоритмы реализованы аппаратно, то, невозможно внести изменения в его код, то есть повлиять на реализацию какого-либо алгоритма
В том случае, если злоумышленнику удастся сфальсифицировать в ОС жертвы достаточно библиотек, чтобы имитировать работу с аппаратным СЗИ (хотя на самом деле будет исполняться код злоумышленника), то использование аппаратных средств гарантирует, что секретные ключи ключевых пар и сертификаты будут недоступны злоумышленнику, и он не сможет выдавать себя за жертву.
Работа с криптопровайдером
Из нашей статьи вы узнаете:
Применение электронных подписей позволяет обмениваться с партнёрами документами в электронном виде, а также получать различные услуги на государственных порталах и участвовать в торгах на электронных площадках. Однако корректная работа с электронной подписью невозможна без установки специального программного обеспечения — криптопровайдера.
Что такое криптопровайдер
Криптопровайдер (или CSP, от английского Cryptography Service Provider) — это специализированный модуль для операционной системы (ОС). Работа ОС с криптопровайдером необходима для выполнения различных операций по шифрованию данных.
В частности, он требуется для осуществления следующих криптографических функций:
Операционная система Windows управляет криптопровайдерами через специальный интерфейс CryptoAPI.
Шифровальные операции, которые выполняет ОС во взаимодействии с криптопровайдером, необходимы для авторизации, контроля целостности данных и тому подобного. За счёт этого также обеспечиваются конфиденциальность и юридическая значимость электронных документов, которыми обмениваются контрагенты.
Если говорить простыми словами, криптопровайдером называется программа, выполняющая функцию посредника между операционной системой и программой, с которой работает пользователь, подписывающий документ с помощью электронной подписи.
Работа на некоторых сайтах не требует наличия криптопровайдера, поскольку его функции выполняет ПО на сервере ресурса. Для простой электронной подписи CSP не нужно, однако возможности такой ЭП в значительной степени ограничены.
С какими криптографическим ПО можно работать в РФ
Использовать стандартные средства Windows CSP в России нет возможности в связи с тем, что у продуктов Майкрософт нет российской сертификации. Это значит, что их нельзя применять для документооборота с госорганами.
Поэтому в РФ используется ПО сторонних криптосервисов. В число наиболее распространённых входят следующие программы:
Большинство удостоверяющих центров выдаёт сертификаты и ключи электронных подписей, которые сформированы на платформах КриптоПро, а некоторые электронные торговые площадки работают только с продуктами КриптоПро. Более подробно о программном обеспечении КриптоПро CSP и о работе с ним мы рассказывали в одной из наших статей.
Заключение
Одно из основных преимуществ ЭДО — быстрый и удобный обмен электронными документами, юридическую значимость которых обеспечивает электронная подпись. Полноценная и корректная работа с электронной подписью возможна только при наличии установленного криптопровайдера. Без него пользователь не сможет подписать юридически значимый электронный документ.
Что такое криптопровайдер
Электронные подписи (ЭП или ранее – ЭЦП) позволяют существенно упростить обмен документами. С помощью них можно получать различные госуслуги или обмениваться документами с партнерами без использования бумажных оригиналов. Но для корректной работы ЭП требуется установить программу – криптопровайдер. Однако далеко не каждый пользователь имеет представление о данном программном обеспечении.
Что такое криптопровайдер простыми словами?
Слово «криптопровайдер» значит специализированный модуль для операционной системы, который служит для выполнения различных криптографических операций. Управление криптопровайдером происходит через специальный интерфейс.
Замечание. Криптопровайдер часто обозначается сокращенно буквами CSP от английского Cryptography Service Provider.
Простыми словами криптопровайдер – это программное обеспечение, то есть посредник, который позволяет операционной системе выполнять шифровальные функции. Еще проще можно сказать, что это специальная программа для работы с ЭП, обеспечивающая соблюдение стандартов (ГОСТ).
Для работы CPS в Windows компания Microsoft разработала специальный интерфейс – CryptoAPI 2.0.
Для работы на некоторых сайтах не требуется CSP, т. к. его функции выполняются на стороне сервера. Простая ЭП может также работать без CSP, но ее возможности существенно ограничены.
Объекты криптопровайдера
Фактически основным объектом выступает ключевой контейнер. Он имеет собственное имя. Для создания или запроса используется специальная функция CryptAcquireContext(…), реализованная в интерфейсе CryptoAPI 2.0.
Каждый ключевой контейнер может содержать:
Вне контейнера может находиться исключительно открытый ключ. Для вычисления хеш-функций используются специальные объекты хеширования. Для их создания наличие контейнера не требуется.
Криптосервисы для устройств под управлением Windows
Начиная с версии Windows 2000, Microsoft встроила в операционную систему Microsoft Base Cryptographic Provider. Он имел существенное ограничение – длина ключа не больше 40 бит. После отмены ограничений на экспорт из США ПО с ключами шифрования большей длины на смену этому провайдеру пришел Microsoft Strong Cryptographic Provider.
К сожалению, стандартные средства MS Windows CSP использовать в РФ практически невозможно. С помощью них нельзя вести обмен с госорганами и т. д. Эти ограничения вызваны отсутствием сертификации у продуктов Майкрософт.
Наиболее распространены в России следующие сторонние криптосервисы:
Криптопровайдер – необходимая для корректной и полноценной работы с ЭП программа. Без нее воспользоваться основными преимуществами электронного документооборота не получится. Хорошо, что выбор криптопровайдеров довольно широк.
Что такое криптопровайдер и для чего он нужен?
Криптопровайдер (Cryptography Service Provider, CSP) — это специальный независимый модуль, который позволяет осуществлять криптографические операции в операционных системах семейства Microsoft Windows и управление которым происходит по средствам функций криптографического интерфейса (CryptoAPI).
Иными словами, это специализированная программа посредник в операционной системе, которая помогает осуществлять криптографические (шифровальные) операции, работающая по зарубежным или российским криптографическим стандартам (ГОСТ) в операционной системе Windows.
Криптопровайдер Signal-COM CSP это один из распространенных криптопровайдеров в России, он поддерживает российские криптографические алгоритмы и обеспечивает к ним доступ из пользовательских приложений через стандартный криптографический интерфейс компании Microsoft — CryptoAPI 2.0.
Из выше описанного следует, что криптопровайдер (CSP) — необходимое ПО для работы квалифицированной электронной подписи в ОС Windows.
Приобрести криптопровайдер Signal-COM CSP и Квалифицированный сертификат электронной подписи [ЭП/ЭЦП] (для работы на сайтах Госуслуг, государственных ведомств и электронных торговых площадок [ЭТП]) Вы можете в нашем аккредитованном удостоверяющем центре «e-Notary» перейдя по ссылке: Тарифы на приобретение сертификата электронной подписи [ЭП/ЭЦП] и программного обеспечения
i: На некоторых порталах и площадках криптопровайдер (CSP) может не потребоваться пользователю, т.к. его функции реализованы на стороне сервера портала или площадки.
Что такое КриптоПро и зачем это нужно
Из нашей статьи вы узнаете:
КриптоПро — это специальный криптопровайдер, софт, предназначенный для подписи и шифрования. Без применения таких программ, как КриптоПро, использование ЭЦП становится невозможным. Криптопровайдер — модуль, который устанавливается непосредственно на персональный компьютер и предназначен для защиты данных от изменения третьими лицами.
Программа компании КриптоПро позволяет ставить подписи, шифровать и защищать данные. Любому пользователю ЭЦП требуется криптопровайдер.
Преимущества компании КриптоПро
Общество с ограниченной ответственностью «КриптоПро» существует с 2000 года. Основная деятельность ООО — разработка средств криптографической защиты информации (СКЗИ) и электронной цифровой подписи.
Среди главных преимуществ КриптоПро выделяют:
Работа системы КриптоПро высоко оценена экспертами, поэтому разработчикам криптопровайдера было вручено множество наград и сертификатов. Количество достижений расширяется. Заинтересованные пользователи могут посмотреть дополнительную информацию у производителя криптографического софта.
Как работает КриптоПро: функции программы
Первым делом пользователь устанавливает КриптоПро на компьютер, чтобы пользоваться подписью. Программа обращается к сертификату на ПК, флешке, токенах или других носителях, потом завершает работу установкой подписи на документе. Электронная подпись не может корректно функционировать в условиях отсутствия закрытого ключа. Поэтому корректное использование КриптоПро заключается в том, что софт сначала проверяет сертификат, потом подтверждает, и только последняя стадия — шифровка и отправка документа.
Главные функции КриптоПро
Кому нужна программа КриптоПро
Используют КриптоПро все, кому нужен криптографический сертификат для установки электронного реквизита в документ. Не обойтись без этой программы работникам на государственных площадках.
Законодатель определил требования для каждого участника производственного процесса на таких площадках. Обязательно нужен усиленный квалифицированный вариант. Для этого ставят КриптоПро даже в том случае, если предполагается работа всего с одного компьютера. Последние нововведения делают программу нужной в том числе тем, кто использует онлайн-кассы.
Сферы работы с электронным сертификатом со временем будут только увеличиваться.
Можно ли скачать КриптоПро бесплатно
Производитель даёт возможность бесплатно скачать, начать работу и пользоваться программой. Скачать программу можно на официальном сайте производителя СКЗИ КриптоПро CSP. Но у программы есть бесплатный тестовый период, срок действия которого составляет 3 месяца. Запустить последний раз можно через 90 дней после установки софта.
Чтобы работа продолжалась, бесплатная версия не подходит, нужно покупать лицензию. Если планируется работать с одним сертификатом с одного компьютера, потребуется годовая лицензия.
Если пользователь скачал и купил программу для работы с ЭЦП с одного компьютера, софт привязывается к конкретному устройству. Годовая электронная лицензия не подходит, если пользователь хочет использовать большее количество ЭП. Бесплатная программа тоже не подходит. Требуется продлить разрешение на применение нужного количества ЭП на одном компьютере либо выбрать бессрочный вариант.
Существуют браузерные версии в форме плагина. Это бесплатный вариант, называющийся КриптоПро ЭЦП Browser plug-in. Плагин КриптоПро скачали миллионы юзеров. Дополнение эффективно, но действует исключительно в браузере.
Также на официальном сайте КриптоПро можно скачать дополнительные программные продукты для специальных нужд — например, для того, чтобы подписывать электронные документы в формате PDF или Word, работать в системе СМЭВ и т.д.
Официальный сайт содержит актуальные версии программных продуктов КриптоПро, которые поддерживают работу с ГОСТ Р 34.10-2012.
Как подписать документ ЭЦП с помощью КриптоПро 5
Для того чтобы подписать электронный документ, нужны установленные на компьютер СКЗИ Криптопро версии 5.0 и действующий сертификат электронной подписи.
Шаг 1. Найдите в списке установленных программ приложение «Инструменты КриптоПро». Для этого в строке поиска (1) введите название приложения (2) и выберите нужное из выпавшего списка (3).
Шаг 2.В главном окне нажмите на кнопку «Показать расширенные».
Шаг 3. Откроется список дополнительных разделов. В нём выберите «Создание подписи» (1). Справа откроется список сертификатов, в котором нужно выбрать вашу подпись (2). Затем нажмите на кнопку «Выбрать файл для подписи» (3).
Шаг 4. В открывшемся окне проводника выберите файл, который нужно подписать электронной подписью.
Шаг 5. В строке адреса отразится путь к выбранному файлу. Убедитесь, что выбрали правильный сертификат и файл для подписи, и нажмите на кнопку «Подписать».
Шаг 6. Если не возникло ошибок, внизу окна появится надпись «Создание подписи завершилось успехом».
Шаг 7. В папке, где хранится файл для подписи, появится зашифрованный файл с таким же названием, но с расшсайтирением *.P7S.
Выводы
Чтобы получить бесплатную версию программы КриптоПро, достаточно зайти на официальный сайт производителя и скачать пробную версию. Но для бизнеса этот электронный вариант для обработки ЭЦП почти полностью бесполезен, так как пробная версия работает всего 90 дней. Чтобы постоянно работать с КриптоПро, нужна платная версия программы.
Для покупки можно использовать последний представленный на рынке вариант версии программы.
КриптоПро легко устанавливается на компьютер или ноутбук, принцип управления понятен даже человеку без специального образования в сфере криптографической защиты.
Где купить КриптоПро
Приобрести продукцию и актуальную лицензию КриптоПро можно в «Астрал-М». «Астрал-М» является официальным дилером продукции торговой марки КриптоПро. Этот статус даёт право на распространение, внедрение и сопровождение программ КриптоПро с круглосуточной поддержкой пользователей 24/7. Достаточно заполнить форму обратной связи на сайте, вписав своё имя, телефон и адрес электронной почты.