Скзи криптопро csp версии 3.6 и выше. Назначение КриптоПро CSP. Установка сертификатов уполномоченных лиц УЦ
- Генерация ключей ЭП и ключей согласования
- Формирование и проверка электронной подписи
- Импорт программно сгенерированных закрытых ключей ЭП – для усиления их защищённости
- Обновление инсталляционной базы криптопровайдера "КриптоПро CSP"
Особенности
Главной особенностью (ранее продукт назывался "КриптоПро eToken CSP") является использование технологии функционального ключевого носителя (ФКН).
Функциональный ключевой носитель (ФКН) - архитектура программно-аппаратных продуктов на базе смарт-карт или USB-токенов, реализующая принципиально новый подход к обеспечению безопасного использования ключа на смарт-карте или USB-токене.
Благодаря наличию защищённого канала связи между токеном и криптопровайдером часть криптографических преобразований, включая хранение закрытых ключей и ключей ЭП в неизвлекаемом виде, выносится на смарт-карту или USB-токен.
Кроме аппаратной генерации ключей, их безопасного хранения и формирования ЭП в микропроцессоре ключевого носителя, архитектура ФКН позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи между программной и аппаратной частью CSP.
В "КриптоПро ФКН CSP" версии 3.9 в качестве ключевого носителя выступает специально разработанный токен JaCarta CryptoPro, представленный в форм-факторах смарт-карты и USB-токена.
В состав СКЗИ "КриптоПро ФКН CSP" версии 3.9 входит специально разработанный токен JaCarta CryptoPro с возможностью вычисления ЭП по технологии ФКН компании "КРИПТО-ПРО" и выпускаемый в форм-факторах USB-токена (в корпусе Nano или XL) или смарт-карты.
 |  |
JaCarta CryptoPro осуществляет безопасное хранение и использование закрытых ключей ЭП, выполняет взаимную аутентификацию CSP и токена, а также строгую двухфакторную аутентификацию пользователя-владельца токена.
Ключевые преимущества JaCarta CryptoPro
- Является самым быстрым токеном среди ФКН-устройств (опережает существующие продукты, работающие с ФКН, по скорости формирования электронной подписи почти в 3 раза - на основе Протокола замеров быстродействия ФКН-устройств "КРИПТО-ПРО" от 08.12.2014 г.).
- Применён принцип Secure by design – используется защищённый микроконтроллер, сконструированный как безопасный, для целей обеспечения безопасности, имеет встроенную защиту как на аппаратном, так и на программном уровнях от клонирования, взлома и всех других атак, известных на сегодняшний день.
- Генерация ключей ЭП, ключей согласования, а также создание ЭП происходит внутри токена JaCarta CryptoPro.
- Использует защищённый канал передачи данных с программной частью "КриптоПРО ФКН CSP".
Состав
"КриптоПро ФКН CSP" версии 3.9 состоит из двух ключевых компонент.
1. USB-токен или смарт-карта JaCarta CryptoPro:
- является функциональным ключевым носителем (ФКН), в котором аппаратно реализована российская криптография;
- позволяет безопасно хранить и использовать закрытые ключи ЭП;
- формирует ЭП "под маской" - K(h), что позволяет защитить канал обмена между токеном (смарт-картой) и программным криптопровайдером (CSP);
- выполняет взаимную аутентификацию CSP и токена и строгую двухфакторную аутентификацию пользователя - владельца токена.
2. Криптопровайдер (CSP):
- является высокоуровневым программным интерфейсом (MS CAPI) для внешних приложений и предоставляет им набор криптографических функций;
- из подписи "под маской", полученной от аппаратного токена (смарт-карты) - K(h), "снимает" маску K(s) и формирует "нормальную" подпись, понятную для внешних приложений
Архитектура "КриптоПро ФКН CSP" версии 3.9
Технические характеристики токена JaCarta CryptoPro
| Характеристики микроконтроллера | Производитель | INSIDE Secure |
| Модель | AT90SC25672RCT | |
| EEPROM Memoryс | 72 Кб | |
| Характеристики операционной системы | Операционная система | Athena Smartcard Solutions OS755 |
| Международные сертификаты | CC EAL4+ | |
| Поддерживаемые криптоалгоритмы | ГОСТ Р 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-94 | |
| Поддерживаемые интерфейсы | USB | Да |
| Контактный интерфейс (ISO7816-3) | T=1 | |
| Сертификаты безопасности | ФСБ России | Сертификат соответствия ФСБ России № СФ/114-2734 Сертификат соответствия ФСБ России № СФ/114-2735 |
| Поддерживаемые ОС | Microsoft Windows Server 2003 | (32/64-битные платформы) |
| Microsoft Windows Vista | (32/64-битные платформы) | |
| Microsoft Windows 7 | (32/64-битные платформы) | |
| Microsoft Windows Server 2008 | (32/64-битные платформы) | |
| Microsoft Windows Server 2008 R2 | (32/64-битные платформы) | |
| CentOS 5/6 | (32/64-битные платформы) | |
| Linpus Lite 1.3 | (32/64-битные платформы) | |
| Mandriva Server 5 | (32/64-битные платформы) | |
| Oracle Enterprise Linux 5/6 | (32/64-битные платформы) | |
| Оpen SUSE 12 | (32/64-битные платформы) | |
| Red Hat Enterprise Linux 5/6 | (32/64-битные платформы) | |
| SUSE Linux Enterprise 11 | (32/64-битные платформы) | |
| Ubuntu 8.04/10.04/11.04/11.10/12.04 | (32/64-битные платформы) | |
| ALT Linux 5/6 | (32/64-битные платформы) | |
| Debian 6 | (32/64-битные платформы) | |
| FreeBSD 7/8/9 | (32/64-битные платформы) | |
| Время выполнения криптографических операций | Импорт ключа | 3.2 op/s (USB-токен), 2.4 op/s (смарт-карта) |
| Создание подписи | 5.8 op/s (USB-токен), 3.9 op/s (смарт-карта) | |
| Доступные ключевые носители | Смарт-карта | JaCarta CryptoPro |
| USB-токен | JaCarta CryptoPro |
Сертификаты безопасности
подтверждающий, что средство криптографической защиты информации (СКЗИ) "КриптоПро ФКН CSP" Версия 3.9 (исполнение 1) соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1, требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в области оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в области оперативной памяти, защита TLS-соединений, реализация функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи": создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.
подтверждающий, что средство криптографической защиты информации (СКЗИ) "КриптоПро ФКН CSP" Версия 3.9 (исполнение 2) соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС2, требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС2, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в области оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в области оперативной памяти, защита TLS-соединений, реализация функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи": создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.
Установка КриптоПро CSP 3.0 +
eToken «RTE» версии 3.66 / RuToken «rtDrivers» +
сертификаты уполномоченных лиц
Удостоверяющего Центра ХМАО-Югры
Данное руководство проверено на русскоязычной операционной системе (далее ОС) Windows XP (32-бит). Для получения дополнительной информации по установке и настройке продуктов «КриптоПро CSP» и дистрибутивов драйверов для ключевых носителей eТокеn и RuToken, обращайтесь в соответствующие разделы официальных сайтов компаний-разработчиков "КРИПТО-ПРО", "" и "РУТОКЕН".
Перед выполнением инструкции, узнайте разрядность Вашей ОС (32 или 64-бит), а также обратите внимание на следующие рекомендации:
· перед установкой ПО, все ранее установленные версии должны быть удалены. Если старые версии не удалены, то новые версии не будут установлены. Для этого используйте пункты основного меню Windows: "Пуск" ⇒ "Настройка" ⇒ "Панель управления" ⇒ "Установка и удаление программ" ;
· для использования «КриптоПро CSP» версии 3.0 совместно с ключевыми носителями eToken и RuToken обязательны к установке соответствующие мод, 7 и 8 инструкции).
ПРИМЕЧАНИЕ!
Средство криптографической защиты информации (далее СКЗИ) «КриптоПро CSP » версии 3.0 НЕ ПРЕДНАЗНАЧЕНО для работы со следующими ОС: Windows 98/ ME , Windows NT 4, Windows Vista (64-бит), Windows 7 (64-бит).
Дистрибутив драйвера eToken « RTE» версии 3.66 ПРЕДНАЗНАЧЕН для ОС: Windows 95 OSR 2.1, Windows 98 и выше, Windows ME, Windows NT 4.0 SP6, Windows 2000 SP4 и выше, Windows XP(32-бит) и выше, Windows Server 2бит) и выше, Windows Vista (32-бит) и выше. Поддерживаемые типы носителей: eToken R2, eToken Pro 16k, eToken Pro 32k, eToken Pro 32k v4.2 (он же с надписью ФСТЭК и гербом РФ). Для всех моделей USB-ключей и смарт-карт eToken, КРОМЕ eToken PRO (JAVA) и eToken GT.
Дистрибутив драйвера RuToken «rtDrivers» ПРЕДНАЗНАЧЕН для ОС: Windows 7 (32/64-бит), Windows Server 2/64-бит), Windows Vista (32/64-бит) и выше, Windows Server 2/64-бит) и выше, Windows XP (32/64-бит) и выше, Windows 2000 и выше.
· eToken « RTE» версии 3.66 + модуль поддержки считывателей eToken, установленные на ОС Windows XP (32-бит).
· СКЗИ «КриптоПро CSP» версии 3.0 + драйверы для RuToken «rtDrivers» (32-бит) + модуль поддержки считывателей RuToken (32-бит), установленные на ОС Windows XP (32-бит).
1. Список необходимого ПО.. 3
2. Установка СКЗИ «КриптоПро CSP» 3.0. 3
3. Установка драйвера для носителей eТокеn. 8
4. Настройка считывателя eToken в СКЗИ «КриптоПро CSP» 3.0. 11
5. Настройка носителя eToken в СКЗИ «КриптоПро CSP» 3.0. 19
6. Установка драйвера для носителей RuТокеn. 27
7. Установка модуля поддержки носителей RuToken для СКЗИ «КриптоПро CSP» 3.0. 29
8. Настройка считывателя RuToken в СКЗИ «КриптоПро CSP» 3.0. 31
9. Установка сертификатов уполномоченных лиц УЦ.. 38
10. Установка сертификата с ключевого носителя в хранилище "Личное". 42
1. Список необходимого ПО
1) СКЗИ «КриптоПро CSP» версии 3.0 – http://ca. *****/files/csp-sp3-kc1-rus. exe.
2) Дистрибутив драйвера для работы с ключевыми носителями eToken (синий) – http://ca. *****/files/rte_3.66.zip.
3) Модуль поддержки ключевых носителей eToken –
http://ca. *****/files/reader. zip.
4) Дистрибутив драйвера для работы с ключевыми носителями RuToken (красный) –
http://ca. *****/files/rtDrivers. exe. zip.
5) Модуль поддержки ключевых носителей RuToken –
http://ca. *****/files/rtSup_CryptoPro. exe. zip.
6) Сертификат уполномоченного лица 1 – http://ca. *****/files/certnew3.p7b.
Сертификат уполномоченного лица 2 – http://ca. *****/files/certnew4.p7b.
Сертификат уполномоченного лица 3 – http://ca. *****/files/cacer2.cer.
Сертификаты одним архивом – http://ca. *****/files/Certs. rar.
2. Установка СКЗИ «КриптоПро CSP» 3.0
1) Скачайте и запустите файл дистрибутива СКЗИ «КриптоПро CSP» версии 3.0 – csp - sp 3- kc 1- rus . exe "Далее" .
2) В окне "Лицензионное соглашение" выберите пункт "Я принимаю условия лицензионного соглашения" и нажмите кнопку "Далее" .
3) В окне "Сведения о пользователе" заполните поля "Пользователь" , "Организация" , введите "Серийный номер" (выдается на бумажном носителе – Лицензия на «КриптоПро CSP») и нажмите кнопку "Далее" .
4) В окне "Вид установки" выберите пункт "Обычная" и нажмите кнопку "Далее" .
5) В следующем окне нажмите кнопку "Установить" . Начнется процесс установки «КриптоПро CSP» версии 3.0.
6) Дождитесь окончания установки. При успешной установке появится окно с
надписью " Программа InstallShield Wizard завершена " . Нажмите кнопку " Готово " .
Да " и перезагрузите компьютер перед выполнением следующих действий.
Установка СКЗИ « КриптоПРО CSP » версии 3.0 завершена.
3. Установка драйвера для носителей eТокеn
ПРИМЕЧАНИЕ!
ОТСОЕДИНИТЕ ключевые носители eToken от USB -портов.
rte_3.66.zip ; откройте, распакуйте его и запустите файл дистрибутива «RTE» версии 3.66 – RTE _3.66. msi . После этого запустится мастер установки. В появившемся окне нажмите кнопку " Next " ("Далее") .
2) В окне " End - User License Agreement " ("Лицензионное соглашение") выберите пункт " I accept the license agreement " ("Я принимаю условия лицензионного соглашения") и нажмите кнопку " Next " ("Далее") .
3) В появившемся окне нажмите кнопку " Next " ("Далее") для начала процесса установки драйвера «RTE» версии 3.66.
4) Дождитесь окончания установки. При успешной установке появится окно с
надписью " eToken Run Environment 3.66 has been successfully installed " ("Программа установки драйвера eToken 3.66 успешна завершена") . Нажмите кнопку " Finish " (" Готово ") .
Установка дистрибутива драйвера « RTE » версии 3.66 для ключевых носителей eToken завершена.
4. Настройка считывателя eToken в СКЗИ «КриптоПро CSP» 3.0
1) Нажмите "Пуск" , выберите пункт "Панель управления . В окне "Панель управления" найдите и запустите утилиту "КриптоПро CSP" . В открывшемся окне "Свойства КриптоПро CSP" выберите вкладку "Оборудование" и в поле "Считыватели закрытых ключей" нажмите кнопку "Настроить считыватели" .
2) Появится окно, в котором будут перечислены считыватели доступные в данный момент. Для добавления eToken нажмите кнопку "Добавить" .
"Далее" .
4) В следующем окне нажмите "Установить с диска" .
"Далее" .
6) В открывшемся окне "Установка с диска"
· пункт " Сервер КриптоПро " (вариант 1) . В этом случае « КриптоПро CSP 3.0»
· пункт "Указать размещение" (вариант 2) нужно выбирать в случае отсутствия или плохого соединения с сетью Интернет, предварительно загрузив утилиту «Модули поддержки считывателей для КриптоПро CSP 3.0» с веб-сайта Удостоверяющего Центра ХМАО-Югры (далее УЦ) – http://ca. *****/files/reader. zip. После чего, используя клавишу "Обзор" reader .
"Далее" . Рекомендовано использовать вариант 1 поиска ПО.
Вариант 1
Вариант 2
« AKS ifdh 0» и нажмите "Далее" .
"Далее" .
"Готово" .
« AKS ifdh X» "Доступные считыватели"
Настройка считывателя eToken в СКЗИ
5. Настройка носителя eToken в СКЗИ «КриптоПро CSP» 3.0
1) Нажмите "Пуск" , выберите пункт "Панель управления . В окне "Панель управления" найдите и запустите утилиту "КриптоПро CSP" . В открывшемся окне "Свойства КриптоПро CSP" выберите вкладку "Оборудование" и в поле "Ключевые носители" нажмите кнопку "Настроить носители" .
2) В появившемся окне "Управление ключевыми носителями" нажмите кнопку "Добавить" .
3) Запустится мастер установки ключевого носителя. Необходимо продолжить выполнение мастера, нажав кнопку "Далее" .
4) В следующем окне нажмите кнопку "Установить с диска" .
5) Запустится мастер поиска и установки библиотеки поддержки. Необходимо продолжить выполнение мастера, нажав кнопку "Далее" .
6) В открывшемся окне "Установка с диска" необходимо выбрать метод поиска нужного ПО:
· пункт " Сервер КриптоПро " (вариант 1) . В этом случае « КриптоПро CSP 3.0» начнет загрузку ПО в режиме реального времени посредством подключения к сети Интернет.
· пункт "Указать размещение" (вариант 2) нужно выбирать в случае отсутствия или плохого соединения с сетью Интернет, предварительно загрузив утилиту «Модули поддержки считывателей для КриптоПро CSP 3.0» с веб-сайта УЦ – http://ca. *****/files/reader. zip. После чего, используя клавишу "Обзор" , указать место, где располагается разархивированная папка скачанного модуля поддержки считывателей – reader .
Выберите подходящий для Вас способ и нажмите кнопку "Далее" . Рекомендовано использовать вариант 1 поиска ПО.
8) Произойдет установка выбранного установщика. По окончании установки необходимо нажать клавишу "Готово" .
9) В появившемся окне выберите тип носителя в соответствии с моделью, указанной на корпусе имеющегося у Вас носителя. Нажмите "Далее" .
10) Необходимо подтвердить выбор ключевого носителя (при этом имя считывателя рекомендуется не менять), нажав клавишу "Далее" .
11) В окне "Настройка параметров использования eToken" нажмите клавишу "Далее" .
12) Это приведет к завершению мастера установки ключевого носителя. Нажмите "Готово" .
Настройка носителя eToken в СКЗИ
«КриптоПро CSP 3.0» завершена.
6. Установка драйвера для носителей RuТокеn
ПРИМЕЧАНИЕ!
Перед началом установки драйверов ОТСОЕДИНИТЕ ключевые носители RuToken от USB -портов.
1) Скачайте архив с дистрибутивом драйвера – rtDrivers. exe. zip ; откройте, распакуйте его и запустите файл дистрибутива «rtDrivers. exe. zip» – rtDrivers. x86.v.2.86.00.0460.exe . После этого запустится мастер установки. В появившемся окне нажмите кнопку "Далее" .
2) В окне "Программа готова к установке Драйверов Рутокен" нажмите кнопку "Установить"
3) Дождитесь окончания установки. При успешной установке появится окно с
надписью " Драйверы Рутокен установлены успешно! " . Нажмите кнопку "Готово" .
Далее".
2) В окне "Программа готова к установке Модулей поддержки Rutoken для CryptoPro CSP " нажмите кнопку "Установить" для начала процесса установки.
3)Дождитесь окончания установки. При успешной установке появится окно с
надписью " Модули поддержки Rutoken для CryptoPro CSP установлены успешно! " . Нажмите кнопку "Готово" .
Установка дистрибутива модуля поддержки « rt4CryptoPro » для ключевых носителей RuToken завершена.
8. Настройка считывателя RuToken в СКЗИ «КриптоПро CSP» 3.0
1) Нажмите "Пуск" , выберите пункт "Панель управления . В окне "Панель управления" найдите и запустите утилиту "КриптоПро CSP" . В открывшемся окне "Свойства КриптоПро CSP" выберите вкладку "Оборудование" и в поле "Считыватели закрытых ключей" нажмите кнопку "Настроить считыватели" .
2) Появится окно, в котором будут перечислены считыватели доступные в данный момент. Для добавления RuToken нажмите кнопку "Добавить" .
3) Запустится мастер установки считывателя. Необходимо продолжить выполнение мастера, нажав кнопку "Далее" .
4) В следующем окне нажмите "Установить с диска" .
5) Запустится мастер поиска и установки библиотеки поддержки. Необходимо продолжить выполнение мастера, нажав кнопку "Далее" .
6) В открывшемся окне "Установка с диска" необходимо выбрать пункт " Сервер КриптоПро " . В этом случае « КриптоПро CSP 3.0» начнет загрузку ПО в режиме реального времени посредством подключения к сети Интернет. Нажмите кнопку "Далее" .
9) После этого появится окно, в котором показан порядок выбора соответствующего считывателя. Выберите считыватель « Aktiv *****Token 0» и нажмите "Далее" .
10) Необходимо подтвердить выбор считывателя (при этом имя считывателя рекомендуется не менять), нажав клавишу "Далее" .
11) Необходимо подтвердить завершение работы мастера установки считывателя, нажав клавишу "Готово" .
12) После завершения работы мастера соответствующий считыватель появится списке. Для добавления в список установленных считывателей всех носителей « Aktiv *****Token X» (где X–номер носителя) выполните пункты 1–4, затем в окне "Доступные считыватели" выберите следующий носитель и следуйте пунктам 9–11.
Настройка считывателя RuToken в СКЗИ «КриптоПро CSP 3.0» завершена.
9. Установка сертификатов уполномоченных лиц УЦ
ПРИМЕЧАНИЕ!
Необходимо произвести установку каждого скачанного сертификата.
1) Один раз щелкните правой кнопкой мыши по скачанному файлу-сертификату и выберите пункт "Установить сертификат" .
2) Установка сертификата происходит с помощью мастера импорта сертификатов. Нажмите клавишу "Далее" .
3) В появившемся окне выберите пункт "Поместить все сертификаты в следующее хранилище" , нажмите клавишу "Обзор…" .
4) Выберите хранилище под названием "Доверенные корневые центры сертификации" . Нажмите "ОК" .
5) Появится окно с выбранным местом расположения сертификата. Нажмите "Далее" .
6) В окне завершения мастера импорта сертификатов нажмите "Готово" .
7) В появившемся окне предупреждения системы безопасности нажмите кнопку "Да" .
8) В завершении мастер импорта сообщит Вам об успешном выполнении импорта сертификата. Нажмите " OK " .
Установка сертификата уполномоченного лица завершена.
10. Установка сертификата с ключевого носителя в хранилище "Личное".
1) Подключите ключевой носитель, на котором находится электронная подпись.
2) Нажмите "Пуск" и выберите пункт "Панель управления" . Найдите и запустите утилиту "КриптоПро CSP " . В открывшемся окне "Свойства КриптоПро CSP" выберите вкладку "Сервис" . Нажмите кнопку "Просмотреть сертификаты в контейнере..." .
Сертификаты в контейнере закрытого ключа" . Нажмите кнопку "Обзор... " .
3) В появившемся окне выберите нужный считыватель и нажмите " OK " .
4) Может появиться окно ввода pin-кода для выбранного контейнера, в которое необходимо ввести секретный пароль, выданный на бумажном носителе вместе с ключевой фразой при получении электронной подписи. После ввода соответствующего пароля нажмите
10) Выберите хранилище под названием "Личное" . Нажмите "ОК" .
11) Появится окно с выбранным местом расположения сертификата. Нажмите "Далее" .
12) В окне завершения мастера импорта сертификатов нажмите "Готово" .
13) В завершении мастер импорта сообщит Вам об успешном выполнении импорта сертификата. Нажмите " OK " .
Установка сертификата с электронного носителя
в хранилище "Личное" завершена.
Как правило, мысль скачать Криптопро 3.9 R2 для Windows 10 появляется у предпринимателей, с большим документооборотом. Однако, продукт подойдет и для бытовых целей, ведь электронные подписи все больше входят в жизнь обычного человека.
Особенности
Криптопро 3.9 R2 - это многофункциональный криптографический софт. Последняя самая актуальная версия применяется на любых устройствах на Windows 10, в том числе и на планшетах. Сфера применения данной программы очень обширна:- Защита авторства документов;
- Обеспечение защищенного документооборота;
- Работа с электронными подписям;
Установка проходит в несколько этапов, но чтобы не допустить ошибку, скачивайте верную версию – x32/x64 бита. А если у вас компьютер работает без , то даже самая мощная криптозащита документов, не убережет вас от возможного проникновения. Поэтому, советуем установить