Чем заменить криптопро можно
Программы для электронной подписи
Электронная подпись приобретается у соответствующих криптопровайдеров с использованием специализированного ПО, после чего сохраняется на жестком диске или другом носителе для дальнейшего использования. Рассмотрим несколько самых надежных программных решений для ЭЦП.
КриптоАРМ
КриптоАРМ — одна из самых популярных платформ для ЭЦП в России, которая отлично подходит для подписания котировочных заявок, нотариального заверения документов, представления алкогольных деклараций, подписания межевых актов, договоров, контрактов и других документов. Это лишь основные сферы применения, изложенные на сайте разработчика, на деле их куда больше. Помимо добавления электронной подписи в документ, аудиофайл, видеозапись или другой файл, КриптоАРМ предоставляет возможность шифровки. Обработке подвергаются любые текстовые файлы, а также форматы PDF, JPEG, JPEG и PNG.
Среди дополнительных возможностей КриптоАРМ стоит выделить управление рабочими местами в Инфраструктуре PKI. Модуль администрирования средств криптографической защиты информации позволяет взаимодействовать со стандартами Microsoft CryptoAPI 2.0 и PKCS#11. Рассматриваемый софт разделен на три версии: Старт, Плюс и Терминал. Первая распространяется на бесплатной основе и предназначена для ознакомления с системой, однако она не поддерживает официальные стандарты ЭЦП. Присутствует русскоязычный интерфейс.
ViPNet PKI Client
ViPNet PKI Client — это программный комплекс для работы с электронными цифровыми подписями, который поддерживает все актуальные стандарты и провайдеров ЭЦП, шифрование документов и файлов, а также авторизацию пользователей для доступа к веб-сервисам и возможность формирования TLS-соединения. Включает в себя следующие компоненты: «File Unit» (файлы), «Web Unit» (веб-документы), «CRL Unit» (сертификаты формата CRL), «Certificate Unit» (менеджер сертификатов), «TLS Unit» (организация TLS-соединений) и «ViPNet CSP» (менеджер криптографических процедур).
SignMachineW32
SignMachineW32 — единственное бесплатное решение для электронной подписи в нашем списке, однако для его использования все-таки необходимо приобрести сертификат криптопровайдера КриптоПро CSP или VipNet CSP. Без этого получить ЭЦП будет либо невозможно, либо она не будет иметь юридической силы. Второй провайдер предоставляет свои услуги бесплатно после регистрации, а первый требует приобретения лицензии или наличия пробного периода, предоставляемого на полтора месяца. Конечно, сами создатели КриптоПро и VipNet предлагают пользователям свои приложения для ЭЦП, но они платные.
В SignMachineW32 формируется подпись в форматах CADES-BES, CADES-T и CADES-T. При этом к ней добавляется временной штамп (опционально) на весь документ или только на подпись. Есть пара примечательных дополнительных возможностей: проверка подлинности ЭЦП и указание адреса сервера штампа времени. На официальном сайте разработчика размещено подробное русскоязычное руководство по всем функциям программы.
Крипто Про
Крипто Про считается самым популярным и надежным средством защиты информации в нашей стране. Представляет собой приложение для удобного оформления и использования электронной подписи, а также является лидирующим криптопровайдером, использующим в своей системе одновременно российские и зарубежные алгоритмы криптографии. Как и в случае с VipNet PKI Client, Крипто Про является комплексом компонентов, однако они могут скачиваться и устанавливаться отдельно по мере необходимости. Например, если пользователь планирует применять подпись в PDF-файлах, стоит загрузить Крипто Про PDF.
Поддерживаются следующие стандарты криптографических подписей: Microsoft CryptoAPI, PKCS#11, Qt SSL, OpenSSL engine и Java SCP. Рассматриваемый комплекс проверен и активно используется в Microsoft Office, Microsoft Outlook, любых продуктах от Adobe, браузерах Яндекс, Спутник, Explorer и Edge, а также в веб-серверах и средствах удаленных рабочих столов, подписи приложений от Microsoft. Сам сертификат на использование услуг провайдера можно получить бесплатно на 90 дней, но приложения для ЭЦП требуют покупки лицензии. Все интерфейсы оформлены на русском языке.
Мы рассмотрели несколько актуальных решений для электронной подписи документов. Все они имеют юридическую силу и могут защищать права авторов, если правильно их настроить и получить сертификат.
Помимо этой статьи, на сайте еще 12516 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Криптографические решения. От криптопровайдеров до браузерных плагинов
Производители средств криптографической защиты информации (СКЗИ) предлагают различные механизмы для интеграции криптосредств в информационные системы. Существуют решения, ориентированные на поддержку систем с Web-интерфейсом, мобильных и десктопных приложений, серверных компонентов. СКЗИ интегрируются в приложения Microsoft и в продукты Open Source, обеспечивают поддержку различных прикладных протоколов и форматов электронной подписи.
С учетом растущего количества проектов с применением ЭЦП и появления массовых проектов для физических лиц, разработчикам подобных проектов требуется хорошо ориентироваться в предлагаемых производителями решениях по ЭЦП для того, чтобы сделать систему удобной в эксплуатации и недорогой в плане техподдержки. Таким образом, если еще лет 5 назад главным фактором выбора криптосредства являлось его полное соответствие требованиям регуляторов, то при сегодняшнем разнообразии важными критериями могут выступать охват поддерживаемых платформ, возможность интеграции с браузером, поддержка мобильных пользователей, возможность установки без прав системного администратора и т.п.
Общая схема классификации приведена в таблице:
| Криптопровайдеры | Нативные библиотеки (openssl-style, PKCS#11, NSS, собственные интерфейсы) | Локальные прокси | Браузерные плагины | Облачная подпись | Браузеры с российской криптографией |
| Почтовые клиенты с российской криптографией | Российская криптография в фреймворках, платформах, интерпретаторах | Настольные криптографические приложения | Криптография в BIOS UEFI | Сервис-провайдеры ЭЦП | Эмуляторы доверенной среды |
| Аппаратные средства |
В первой статье рассмотрим решения, начиная с криптопровайдеров по браузерные плагины включительно. В последующих статьях будут рассмотрены остальные средства.
Криптопровайдеры
Де-факто стандартом отрасли является класс криптосредств, известных как криптопровайдеры. Криптопровайдер — это предоставляющая специальный API и специальным образом зарегистрированная в ОС библиотека, которая позволяет расширить список поддерживаемых в ОС криптоалгоритмов.
Следует отметить, что несовершенство предлагаемых MS Windows механизмов расширения вынуждает разработчиков криптопровайдеров дополнительно модифицировать высокоуровневые криптобиблиотеки и приложения MS Windows в процессе их выполнения для того, чтобы «научить» их использовать российские криптоалгоритмы.
Следует понимать, что не все СКЗИ одного вида реализуют полный объем функциональности, приведенный в таблицах. Для уточнения возможностей криптосредств следуют обратиться к производителю.
Нативные библиотеки
OpenSSL-style
Open Source библиотека OpenSSL обладает широкими криптографическими возможностями и удобным механизмом ее расширения другими криптоалгоритмами. OpenSSL является основным криптоядром для широкого спектра приложений Open Source.
После того, как в эту библиотеку компанией Криптоком были добавлены ГОСТы, появились патчи для «гостификации» многих популярных приложения, использующих OpenSSL. На базе OpenSSL некоторые вендоры разработали и сертифицировали СКЗИ, кроме того в ряд продуктов OpenSSL входит «неявным» образом.
PKCS#11
Библиотека PKCS#11 предоставляет универсальный кроссплатформенный программный интерфейс к USB-токенам и смарт-картам.
Для обеспечения быстродействия часть криптопримитивов может быть реализована программно.
В стандарте PKCS#11, начиная с версии 2.30, поддерживаются ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89.
Использование библиотеки PKCS#11 обеспечивает совместимость ПО различных вендоров при работе с токенами. Через PKCS#11 интерфейс умеют работать приложения, написанные на на базе CryptoAPI, NSS, OpenSSL.
Пример совместимости приложений приведен на схеме. Таким образом, возможно использование подходящего приложения в соответствующем месте инфосистемы.
PKCS#11 бывают также без поддержки аппаратных устройств с программной реализацией криптоалгоритмов и хранением объектов в файловой системе.
Примеры – PKCS#11 интегрированный в NSS (Mozilla), проект aToken, библиотека Агава-Про.
У компании Крипто-Про есть библиотека PKCS#11, реализованная на базе MS CryptoAPI:
Существуют PKCS#11-библиотеки для мобильных платоформ. Примером подобной библиотеки служит библиотека для Рутокен ЭЦП Bluetooth, которая позволяет использовать устройство на iOS и Android.
NSS представляет собой криптографическую библиотеку от сообщества Mozilla. NSS используется такими приложениями, как браузер Mozilla Firefox, почтовым клиентом Mozilla Thunderbird.
В данный момент существуют два проекта по «гостификации» NSS:
Библиотеки c собственным интерфейсом
Локальные прокси
Основным принципом действия локального прокси является прием незащищенного соединения от приложения, установка TLS-туннеля с удаленным сервером и передача «прикладного уровня» между приложением и удаленным сервером по этому туннелю.
Некоторые локальные прокси кроме того дополнены механизмом ЭЦП специальным образом промаркированных WEB-форм (Inter-PRO, МагПро КриптоТуннель). Существуют локальные прокси, которые предоставляют для браузера WEB API ЭЦП (систему HTTP-запросов и ответов, аналогичных программному API криптобиблиотеки).
Браузерные плагины
Для того, чтобы из скриптов WEB-страницы вызвать нативную библиотеку большинство браузеров поддерживают специальные расширения — ActiveX для IE и NPAPI-плагин для GH, MF, Opera, Sаfari и др. В данный момент на рынке существует широкий спектр продуктов, относящихся к браузерным плагинам. Архитектурно данные плагины могут быть исполнены по-разному. Некоторые работают на базе CryptoAPI и требуют дополнительной установки криптопровайдера, другие используют в качестве криптоядра PKCS#11-совместимые устройства и не требуют установки дополнительных СКЗИ на рабочее место клиента. Есть универсальные плагины, которые поддерживают как все основные криптопровайдеры, так и широкий спектр аппаратных СКЗИ.
Кроссбраузерные плагины
ActiveX
Компания Microsoft разработала два основных клиентских ActiveX-компонента, которые транслируют функционал CryptoAPI в скрипты, в браузер.
Для генерации ключа и создания PKCS#10-запроса применятся компонент XEnroll/CertEnroll, а для ЭЦП/шифрования и работы с сертификатами компонент CAPICOM.
В следующих статьях будут подробно рассмотрены оставшиеся решения.
Разница между КриптоАРМ и КриптоПро CSP
Из нашей статьи вы узнаете:
Что общего
КриптоПро CSP и КриптоАРМ — это программное обеспечение (ПО) для защиты информации при передачи её в сети посредством преобразования данных, к доступу которых требуется ключ для расшифровки. При работе используются технические, математические, алгоритмические и программные методы шифрования, защиты информации и хранения секретных ключей.
Помимо подписания документов, шифрования файлов, пакетов и архивов данных, программы работают с токенами и смарт-картами, со встроенной криптографией и неизвлекаемыми ключами.
В чём различие
Разница в том, что КриптоПро CSP — это криптопровайдер, а КриптоАРМ — программа для использования этого криптопровайдера.
КриптоПро CSP популярный криптопровайдер, с которым работают электронные торговые и государственные площадки. Программное обеспечение поддерживает все внешние ключевые носители. Без данного установленного криптопровайдера на персональном компьютере, электронная подпись на usb-токенах и смарт-картах будет неприменима.
Не все электронные площадки имеют необходимый интерфейс для работы с электронной подписью. КриптоАРМ используется как дополнительное ПО при выполнении криптографических операций. Чтобы использовать на электронных порталах электронную подпись, на персональный компьютер устанавливают данную программу. Используя криптопровайдер КриптоПро CSP, программа КриптоАРМ шифрует и подписывает документ на рабочем месте. Программа позволяет пользователю размещать или отправлять по электронной почте подписанный документ.
То есть разница в том, что КриптоПро CSP — это криптопровайдер, а КриптоАРМ — программа для использования этого криптопровайдера.
Вывод
Используя КриптоПро CSP совместно с КриптоАРМ, пользователь сможет подписывать документы на любых государственных площадках.
Программа КриптоАРМ использует криптопровайдер КриптоПро CSP для работы с сертифицированными средствами и создания электронной подписи, равнозначной собственноручной. Эти разные программы не работают друг без друга.
Актуальные версии программ можно приобрести в «Астрал-М». Компания является официальным дилером продукции торговых марок «Инфотекс» и «КриптоПро». Заполните форму обратной связи на сайте, и специалисты сервисного центра свяжутся с вами в короткий срок.
Аналоги КриптоПро и работа с ЭЦП за рубежом
В Молдове одна из контор которая выпускает цивровые подписи использует софт под названием MoldSign Desktop Suite http://cdn.cts.md/moldsign/ в основном этот софт используется для подписи/проверки документов.
А для логина во всякие личные кабинеты гос. услуг, используется веб портал который выступает как единный центр аутентификации. В данном случае стороний софт не нужен. Достаточно установить драйвера и иметь поддержку со стороны браузера ( все современне браузеры )
На стороне клиента или сервера? ))
Сотрудник подключается к сайту тендера, при нажатии на кнопку логин его перенаправляют на сайт единого центра аутентификации, он отправляет свой клиентский сертификат, и снова редиректится на сайт тендера.
Сотрудник подключается к сайту тендера, при нажатии на кнопку логин его перенаправляют на сайт единого центра аутентификации, он отправляет свой клиентский сертификат, и снова редиректится на сайт тендера.
До этого момента то все понятно, но вот нужно подписать ему в браузере некий файл или подтвердить ЭЦП некое действие, отсюда бы поподробнее если можно.
но вот нужно подписать ему в браузере некий файл или подтвердить ЭЦП некое действие, отсюда бы поподробнее если можно.
Видел разные решения. В большинстве случаев это было реализовано через ява аплеты которые запускались в браузере, просили подтвердить действие и выбрать нужный сертификат.
А алгоритмы криптографии свои? Сертификаты платные и сколько в деньгах и на сколько действуют?
Сертификаты платные и сколько в деньгах и на сколько действуют?
действуют 1 год. Цена 18€ за сертификат + криптографичекое устройство и 9€ за продление сертификата.
P.s. Это не в России
Это по тому же принципу по которому работают у нас банковские токены типа аладдин? Там тоже не нужны никакие КриптоПро или аналоги, все работает на java через браузер. То есть за рубежом идут в основном по этому пути? Лично мне он тоже кажется наиболее логичным и удобным. Тогда почему у нас все завязывают на всякие СКЗИ типа того же КриптоПро или VipNet, разве апплеты java не удобнее? Если написал чушь извиняюсь, я не разбираюсь в вопросе потому и спрашиваю.
Если написал чушь извиняюсь, я не разбираюсь в вопросе потому и спрашиваю.
Увы. Именено чушь. Ява апплеты не из-за криптопро, а от того, что в стандарте http(s) нет даже намёка на подпись форм и загружаемых файлов.
Ява апплеты не из-за криптопро, а от того, что в стандарте http(s) нет даже намёка на подпись форм и загружаемых файлов.
А кто утверждал что ява апплеты «из-за крипто про»?
у нас все завязывают на всякие СКЗИ типа того же КриптоПро или VipNet, разве апплеты java не удобнее?
А кто утверждал что ява апплеты «из-за крипто про»?
Вы не поняли, я хотел сказать, что это никак не связано.
Вся эта катавасия с подписями прекрасно реализуется безо всяких апплетов, но как тогда Крипто-Про будет деньги то зарабатывать?
Вся эта катавасия с подписями прекрасно реализуется безо всяких апплетов
Тому, что Java апплеты устарели. Не?
Я не знаю. А что по твоему мнению не устарело и актуально сейчас в контексте обсуждаемого вопроса?
Криптография уровня https конечно реализуется самим браузером (ну или некими библиотеками, суть не в этом а в том что из коробки), а вот ЭЦП с возможностью выбора сертификата насколько я знаю без стороннего ПО (расширений/плагинов/java/крипто про и т. д., собственно об этом вопрос) не реализована ни в одном браузере и даже не планируется в обозримом будущем.
расширений/плагинов/java/крипто про и т. д., собственно об этом вопрос
криптопро это российская криптография, а документооборот требует не только tls, что даёт браузер, а еще и документы с ЭЦП
Ты уже не первый раз выдаешь за ответ перефразированный вопрос
Честно говоря, уже особого желания у меня не осталось разжёвывать. Ладно, постараюсь последний раз.
Итак, документоооборот требует не только tls (что собственно очевидно и непонятно зачем ты это упоминаешь) но и.
Один ответ вам уже дан из Молдавии. Криптопровайдер используется встроенный, но это нисколько не отменяет говноскрипты.
Что там применяется в качестве аналога КроиптоПро?
Честно говоря, уже особого желания у меня не осталось разжёвывать
Извини, но мне кажется тебе просто нечего сказать по существу. Вопрос был поставлен конкретно, ответа я от тебя не услышал. Но еще раз спасибо за участие!
Дальше можно было не продолжать. Не хотите знакомиться с реальностью, нечего жаловаться, что когда вас в реальность окунают у вас возникает диссонанс.
java апллеты и расширнения для браузера типа КриптоПро плагина и все остальное
Сколько вам надо сказать, что КриптоПро это не ява и не плагин, чтобы до вас дошло? 10-20? Не стесняйтесь.
Вот эту картинку я искал в гуле ровно секунду
На этой картинке показано как приходится работать с ЭП в принципе, потому можно предсказать, как это сделано в США и где угодно. Выкинте из картинки все упоминания о КриптоПро и вы увидите, что всё остаётся работоспособным. Ибо уж чего-чего, а алгоритмы в OpenSSL уж точно стандартизованы в США.
На этой картинке показано как приходится работать с ЭП в принципе, потому можно предсказать, как это сделано в США и где угодно.
Ну так предскажи. Я прилетаю в США, мне нужна ЭЦП для торгов, и. Кудя мне идти, сколько платить, на каком носителе мне ее изготовят, сколько времени займет, формат сертификата, что скачивать, названия технологий, библиотек, ПО, будет ли это работать в линуксе и куча еще разных тонкостей. Все это может рассказать только человек который хоть немного разбирается в вопросе и про Россию я тебе все это могу рассказать. Что касается тебя то ни хера ты не сможешь предсказать по этой своей картинке из школьного учебника за 5 класс, и ЭЦП для торгов ты ни разу не пользовался, а все «знания» тобой почерпнуты из таких вот картинок. Удачи тебя, специалист по криптографии!
и ЭЦП для торгов ты ни разу не пользовался, а все «знания» тобой почерпнуты из таких вот картинок.
Отвечать на то как реализовано в других странах вовсе не собирался, мой комментарий с самого начала был о некорректности вопроса и о вашем непонимании о чём вы спрашиваете в принципе.
Удачи тебя, специалист по криптографии!
. ясное дело что в стандарт это ни кто не примит (в здравом уме).
заходите вы на страничку (страничка банка или аукциона) которая что-то там хочет подписать (вашим USB-токеном, например).
что именно она хочет подписать — пользователю не ясно. что там покажется пользователю на дисплей — не важно (Javascript что угодно показать может — но что именно НА САМОМ ДЕЛЕ он подписывать будет — это для пользователя остаётся загадкой).
если например какое-то Google-Chrome-расширение в браузере говорит пользователю:
«этот сайт хочет воспольоваться функцианалом для цифровых подписей. разрешаете ему? нажмите ‘ДА’ если доверяете этому сайту»
то только полный дурак будет нажимать «ДА» — так как нет совершенно НИ КАКОГО основания доверять хоть какому web-сайту в этом вопросе (что именно он будет делать через JS — останется загадкой для пользователя.. ды и всегда есть вероятность что сайт взломали хакеры — в таком случае с чего бы доверять ему?).
после того как вы нажмёте «НЕТ» (вместо «ДА») — страничка банка (или аукциона. что там у вас?) — дальше с вами работать НЕ будет.
если на суде будут выяснять какой-то спорный момент — то цифровая подпись (полученная через клиентсвую сторону — по средствам web-браузера) НЕ СМОЖЕТ быть применена в качестве доказательства хоть чего-то.. так как web-браузер делает всё то что ему велит делать JAVSCRIPT — а не то что ему велит делать пользователь.
. поэтому такая цифровая подпись бесполезна (пусть даже если она произдовится через аппаратный USB-токен).. просто потому что такая подпись не доказывает ни чего
просто потому что такая подпись не доказывает ни чего
Категорические ответы обычно ни к чему хорошему не приводят. 🙂
Для этого предусмотрена выгрузка в стандартизированой форме, которой вы доверяете, вы всегда можете выгрузить платёжку в свою собственную программу, скачать с сайта ЦБ или банка описание этого xml, если не доверяете 1С и убедиться, что собираетесь подписать именно это.
А иначе, никакого электронного взаимодействия по вашему получается не возможно 🙂
Для этого предусмотрена выгрузка в стандартизированой форме, которой вы доверяете, вы всегда можете выгрузить платёжку в свою собственную программу, скачать с сайта ЦБ или банка описание этого xml, если не доверяете 1С и убедиться, что собираетесь подписать именно это.
ну да — главное чтобы в web-браузер чтобы не было бы внедрено ни чего (ни каких ЭЦП-расширений!).
то есть — вы предлагаете (если я правильно понял) — скачивать с web-сайта файл xml. подписывать его (именно его.. а не то что нам пытается показать Javascript на дисплей). затем загружать обратно подписанный xml-файл в web-сайт.
СОГЛАЕН! такая схема — бала бы боле-менее практичной. можно даже проприетарный софт использовать для подписей — ведь здесь (гвавное!) мы хотя бы мы видим что именно мы подписываем. [вероятность хакерских атак через вирусы — остаётся — но теперь это *точно* полностью вина клиента.. в отличии от ситуации когда хакеры взламывали web-сайт]
на суде такая подпись хоть что-то могла бы доказывать (ведь человек своими глазами смотрел что он подписывает — но при условии что другим он не давал доступа пользоваться своим ЭЦП-ключом).
основная важная деталь — не разрешать web-браузеру получать доступ (ни под каким предлогом) к твоему ЭЦП-ключу.
вот что может быть:
например если у тебя в практике используется 2-или-3 разных web-сайта которые хотят работать с ЭЦП. в этом случае каждый из таких сайтов может подставить друг друга (подписывать твоим ключём — документы от чужого сайта, вместо того чтобы подписывать документы свои).
в таком случае если хотя бы один из этих 2
3 сайтов получает доступ к ЭЦП-ключу непосредственно через web-брайзер (не важно что остальные сайты предлагают подписывать без web-браузера — надёжным способом) — то такой web-сайт компрометирует всю систему ЭЦП-подписей. делая их безсмысленными.
поэтому не достаточно просто правильно организовать работу ЭЦП-подписи — а важно чтобы ИМЕННО ВСЕ УЧАСТНИКИ имели бы правильно-организованный способ работы с ЭЦП-подписями. так чтобы НЕ имело место быть возможности когда компании подставляют друг друга (подставлять не обязательно умышленно.. кратковременный взлом одной из компаний — подставляет совсем другую надёжную «не взламываему» компанию).
А иначе, никакого электронного взаимодействия по вашему получается не возможно 🙂
ну желание идиотов из правительств сделать всё «интуитивно понятно» для ситуаций когда этой интуитивности быть не может — разумеется не может приводить к чему-то хорошему.
в web-браурах не случайно НЕТ функции работы с ЭЦП-подписями. и «привязывание проволокой» этих возможностей — разумеется не создаёт ни чего хорошего 🙂
то есть — вы предлагаете (если я правильно понял) — скачивать с web-сайта файл xml. подписывать его (именно его.. а не то что нам пытается показать Javascript на дисплей). затем загружать обратно подписанный xml-файл в web-сайт.
КриптоПро это и есть реализация интерфейса CryptoAPI в Windows, грубо говоря она реализует функции encrypt()/decrypt() с конкретным алгоритмом шифрования (в нашем случае ГОСТ).
Если честно лень читать весь бред в этом топике.
Нормальненько так. Узнаю ЛОР. Встать в позу «Один я умный в белом пальто стою красивый» и в конечном итоге поработать КО.