Az információk kriptográfiai védelme. Osztályok használata orosz kriptoalgoritmusokhoz Lehetséges változások a telepítési folyamat során

A GOST 28147-89, GOST R 34.10-2001 és GOST R 34.11-94 kriptoalgoritmusok megvalósításait a CryptoPro által kifejlesztett és licenc alapján terjesztett CryptoPro.NET SDK könyvtár tartalmazza, amelynek használatához a CryptoPro CSP telepítése szükséges. A CryptoPro.NET SDK C# alkalmazásokban való használatához csatlakoztatnia kell a CryptoPro.Sharpei.Base.dll könyvtárat a projekthez (a MicrosoftVisualStudioProject|AddReference| Tallózás fül parancsával), és hozzá kell adnia a CryptoPro.Sharpei névterekhez Alkalmazás:

CryptoPro.Sharpei használatával;

A CryptoPro.NET SDK könyvtár osztályainak használatára vonatkozó dokumentáció a Sharpei.chm szabadon terjesztett súgófájlban található.

A GOST 28147-89 szimmetrikus blokk titkosítási algoritmus megvalósítását a Gost28147CryptoServiceProvider osztály tartalmazza, amely a Gost28147 absztrakt osztály örököse, amely viszont az FCLSihmmmetricAlgorthmmetric standard absztrakt osztály örököse.

A Gost28147CryptoServiceProvider osztály egyik jellemzője, hogy amikor egy alkalmazás megpróbálja használni az ehhez az osztályhoz tartozó objektumok Key (session key) tulajdonságát, mindig egy CryptographicException jelenik meg. Ezért a munkamenetkulcs jelmondatból való származtatásához és egy véletlenszerű munkamenetkulcs exportálásához/importálásához más módszereket kell használnia, mint amikor más, szimmetrikus titkosítási algoritmusokat implementáló osztályokkal dolgozik.

A munkamenet kulcsának a jelmondatból való származtatásához használja például a Gost28147CryptoServiceProvider osztály ByDeriveBytes metódusát (a jelszót a PassFrase1 nevű űrlapelem tartalmazza, és a randBytes tömb 8 bájt hosszú véletlenszerű keveréket tartalmaz):

gost28147CryptoServiceProvider gostCSP = új

bájt randBytes = új bájt;

RNGCryptoServiceProvider rand = new RNGCryptoServiceProvider();

rand GetBytes(randBytes);

byte pwd = Kódolás.Unicode.GetBytes(PassFrase1.Text);

bájt buf=új bájt;

pwd.CopyTo(buf,0);

randBytes.CopyTo(buf, pwd.Length);

gostCSP.ByDeriveBytes(buf);

Ha véletlenszerű szennyeződést használnak a kulcsnak a jelmondatból való származtatása során, akkor azt a titkosított adatokkal együtt kell tárolni a szinkronizálási üzenettel együtt (inicializálási vektor).

Véletlenszerű munkamenetkulcs titkosított adatok fogadójával való cseréjéhez a GostKeyExchangeFormatter (munkamenetkulcs-exportálás), a GostKeyExchangeDeformatter (munkamenetkulcs-importálás) és a Gost3410CryptoServiceProvider (a munkamenetkulcs-cserében használt aszimmetrikus titkosítási algoritmus) osztályokat használják.

A Gost3410CryptoServiceProvider osztály, amely a GOST Z 34.10-2001 EDS algoritmus megvalósítását tartalmazza, a Gost3410 absztrakt osztály örököse, amely viszont az FCLAsymmetric Algorithm könyvtár standard absztrakt osztályának örököse.

Munkamenetkulcs exportálásához használja a GostKeyExchangeFormatter osztály CreateKeyExchangeData metódusát, importálásához pedig a GostKeyExchangeDeformatter osztály DecryptKeyExchangeData metódusát.

Ha egy alkalmazásban Gost3410CryptoServiceProvider osztályba tartozó objektumokat használ, ne feledje, hogy a CryptoPro CSP kriptográfiai szolgáltató a felhasználók privát kulcsait különféle adathordozókon tárolhatja. Egy adott adathordozó (például a Windows rendszerleíró adatbázis) kiválasztása a CryptoProCSP telepítőprogrammal lehetséges. A beállítások ablak Hardver lapján válassza ki a privát kulcs olvasóit. Az olvasó hozzáadódik az olvasó telepítővarázslójával folytatott párbeszédben.

Amikor aszimmetrikus kulcspárt hoz létre egy tárolóban a kiválasztott adathordozón, a felhasználónak meg kell indítania a véletlenszám-generálási folyamatot a billentyűk lenyomásával vagy az egérmutató mozgatásával a véletlenszám-generátor ablaka fölé. A kulcspár-generálási folyamat befejezése után be kell állítania és meg kell erősítenie a jelszót a felhasználó privát kulcsának eléréséhez. Most ezt a jelszót kell megadni abban az esetben, ha az alkalmazásnak a privát kulcsot kell használnia a munkamenetkulcs importálásához vagy az EDS kiszámításához.

Vegyünk egy példát a munkamenetkulcs exportálására és importálására a Gost28147CryptoServiceProvider osztály használatakor (a szinkronizálási üzenet értékét külön kell tárolni). A CspParameters osztályobjektum a példában a kulcsok tárolójának megadására szolgál a beállításjegyzékből, amikor a CryptoPro CSP kriptográfiai szolgáltatóval dolgozik, amelynek típusa 75:

Gost28147CryptoServiceProvider gostEnc = új

Gost28147CryptoServiceProvider();

CspParameters csp = new CspParameters();

csp.KeyContainerName = "Registry";

csp.ProviderType = 75;

Gost3410CryptoServiceProvider gostExch = új

Gost3410CryptoServiceProvider(csp);

GostKeyExchangeFormatter keyEnc = új

GostKeyExchangeFormatter(gostExch);

byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);

IV. bájt = gostEnc.IV;

GostKeyExchangeDeformatter keyDec = új

GostKeyExchangeDeformatter(gostExch);

gostEnc = (Gost28147CryptoServiceProvider)keyDec.

DecryptKeyExchangeData(sessionKey);

gostEnc.IV = IV;

A GOST 34.11-94 hash algoritmus megvalósítását a Gost3411 absztrakt osztály képviseli, amely az FCLHashAlgorithm könyvtár absztrakt standard osztályának utódja, utódja pedig a Gost3411CryptoServiceProvider osztály.

A Gost3411HMAC osztályok (az absztrakt szabványos HMAC osztály örököse) és a Gost28147ImitCryptoServiceProvider (az absztrakt Gost28147Imit osztály örököse, amely viszont a KeyedithmHashAl absztrakt szabvány osztály örököse).

a Microsoft kriptográfiai szolgáltatók követelményeinek megfelelően fejlesztették ki, és lehetővé teszi új, biztonságos alkalmazások létrehozását a leggazdagabb és legtöbb időt tesztelt eszközök segítségével. Ezenkívül a CryptoPro Sharpei lehetővé teszi a szabvány használatát szoftver, mint például az XPSViewer és Microsoft iroda Forms Server 2007 digitális aláírások aláírásához és ellenőrzéséhez orosz kriptográfiai algoritmusok használatával.

A Microsoft Office Forms Server 2007 konfigurálása digitális aláírás használatára a webes űrlapokon.

Az alábbi utasítások leírják, hogyan konfigurálható a Microsoft Office Forms Server 2007 úgy, hogy képes legyen aláírni az űrlapokat a CryptoPro CSP használatával.

Figyelem! Az utasítás végrehajtása után az aláírás más kriptográfiai szolgáltatókkal (például az RSA algoritmust megvalósítókkal) nem lehetséges.

A szerveren:

  1. Telepítse a CryptoPro-t CSP verziók 3.6. Ha a "Regisztráció" olvasó nem került hozzáadásra a telepítési folyamat során, akkor telepítenie kell.
  2. Telepítse a CryptoPro Sharpei 1.0.3497.2 vagy újabb verzióját.
  3. Hozzon létre privátot EDS kulcs nevű nyilvántartóban FormsServerKey a helyi géphez, például a következővel parancs sor:
    csptest -keyset -newkeyset -machine
    -tároló "\\.\Registry\FormsServerKey"
  4. Hozzon létre egy rendszerleíró kulcsot HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
  5. Adjon hozzá egy paramétert DWORD AlgType 1 , adjon hozzá egy karakterlánc-paramétert Tartály a fenti kulcshoz értékkel \\.\Registry\FormsServerKey.
  6. Telepítse az ActiveX-klienst a DSIGCTRL.cab webhelyről (további részletek az utasításokban).
  7. Ellenőrizze a hozzáférési jogokat (teljes vezérlés) annak a felhasználónak a HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey rendszerleíró kulcsához, amely alatt a SharePoint alkalmazáscsoport elindul (általában hálózati szolgáltatás, helyi rendszer...)
  8. Ellenőrizze az ügyféltanúsítványokat kibocsátó gyökértanúsítványok jelenlétét a Megbízható listában gyökérközpontok tanúsítás" (Trusted Root Certification Authorities) helyi számítógép(helyi gép).
  9. Ellenőrizze a helyi számítógép (LocalMachine) Köztes hitelesítésszolgáltatók tárolójában a 6. ponttól származó legfrissebb gyökértanúsítványokhoz tartozó CRL-ek elérhetőségét vagy a CDP-n keresztüli elérését.
  10. Indítsa újra a szervert

Az ügyfélen:

  1. Telepítse a CryptoPro CSP 3.6-os verzióját.
  2. Ha az ügyfél korábban nem írt alá űrlapokat, nincs szükség további teendőkre.

Ezt a DSigCtrl.dll fájl jelenléte alapján állapíthatja meg a \WINDOWS\Downloaded könyvtárban Program fájlok. Ha ez a fájl hiányzik, akkor az űrlapokat korábban nem írták alá. Ha az ügyfél korábban alá volt írva, akkor lépjen a \WINDOWS\Downloaded Program Files könyvtárba, és futtassa a regsvr32 /u DSigCtrl.dll fájlt. Ezenkívül el kell távolítania a DSigCtrl.* fájlokat a \WINDOWS\Downloaded Program Files könyvtárból.

Lehetséges változások a telepítési folyamat során.

A Forms Server ideiglenes aláíró kulcsot használ. Ezt a kulcsot használjuk a szerveren minden alkalommal, amikor aláírási műveletet hajtanak végre a kliensen, ezért ajánlott el nem idegeníthető adathordozón - a registry-ben - tárolni. Ha a kulcs neve FormsServerKey már a telepítés előtt használt, bármilyen más név használható. A termék újratelepítésekor használhatja a régi kulcsot.

Telepítéskor csak egy utolsó újraindításra korlátozhatja magát.

A CryptoPro CSP és a CryptoPro Sharpei előre telepítve nem indítható újra, hanem az iisreset parancsra korlátozódhat.

Visszacsatolás:

Az EDS Microsoft Office Forms Server 2007-ben való használatával kapcsolatos kérdéseket a fórum szakasz tárgyalja.

A kriptográfiai információvédelem eszközei

  • CryptoPro CSP- orvosság kriptográfiai védelem információk (titkosítás/dekódolás, aláírás-ellenőrzés, hash) az operációs rendszer kernel szintjén. A kriptodriver az alábbi használatra készült speciális alkalmazások(IP protokoll kódolók, fájlrendszer)
  • CryptoPro JCP– az orosz kriptográfiai szabványokat megvalósító JCA (Java Cryptography Architecture) specifikációnak megfelelően kifejlesztett kriptográfiai információvédelmi eszköz
  • CryptoPro Sharpei– lehetővé teszi a CryptoPro CSP kriptográfiai információvédelmi eszköz használatát Microsoft platform.NET Framework. A szoftvertermék interfészkészletet valósít meg a kriptográfiai műveletek eléréséhez.Net Cryptographic Provider
  • CryptoPro IPSec– olyan protokollkészlet, amely biztosítja az IP IP protokollon keresztül továbbított adatok védelmét. A szoftvertermék lehetővé teszi az IP-csomagok hitelesítését és/vagy titkosítását
  • CryptoPro HSM– CryptoPro CSP-vel kompatibilis hardver és szoftver kriptográfiai modul (hardver biztonsági modul), amely titkosítási szolgáltatást nyújt a vállalati hálózat felhasználóinak
  • Atlix HSM– a CryptoPro CSP-vel kompatibilis hardveres kriptográfiai modul (hardveres biztonsági modul). Az Atlix HSM-et úgy tervezték, hogy biztosítsa biztonságos tárolásés használja privát kulcs a tanúsító központ felhatalmazott személye

Információk titkosítási védelmének eszközei intelligens kártyákkal és USB-kulcsokkal

  • Mester CSP- kriptográfiai információvédelmi eszköz, amely lehetővé teszi a felhasználó titkos kulcsának védelmét új szintre emelni, és a titkos kulcsok érvényességét akár 3 évre növelni
  • CryptoPro Rutoken CSP- hardver-szoftver CIPF, amely egyesíti az orosz CryptoPro kriptográfiai szolgáltató és a Rutoken EDS azonosító képességeit
  • CryptoPro eToken CSP- kriptográfiai információvédelmi eszköz, amely lehetővé teszi, hogy a felhasználó titkos kulcsának védelmét még tovább fokozza magas szintés 3 évre növeli a titkos kulcsok érvényességi idejét

Nyilvános kulcsú infrastruktúra

  • "CryptoPro CA" tanúsítási központ– Szervezeti és műszaki intézkedések végrehajtására tervezett számítógép, amely eszközöket és előírásokat biztosít a hitelesítési központ felhasználóinak, mint szervezetnek, nyilvános kulcsú tanúsítványainak használatához.
  • CryptoPro TSP- időbélyeg-szerver megszervezésére és az időbélyegekkel végzett munka funkcionalitásának különféle alkalmazásokba történő beágyazására tervezett termékcsalád
  • CryptoPro OCSP- egy olyan termékcsalád, amely egy OCSP-szerver megszervezésére és a tanúsítványok állapotának OCSP protokollon keresztüli ellenőrzésére szolgáló funkciók beágyazására szolgál különféle alkalmazásokban
  • AWP konfliktushelyzetek elemzéséhez- PC, amely a CryptoPro CA szoftver része, és az EDS tartalommal való megfelelőségének ellenőrzésére szolgál. elektronikus dokumentumés a résztvevő definíciók automatizált rendszer formációját végző banki elszámolások
  • CryptoPro visszavonási szolgáltató– a nyilvános kulcsú tanúsítványok állapotának valós idejű ellenőrzésére tervezett termék az OCSP protokollon keresztül a Windows operációs rendszerben
  • Atlix CA tanúsító központ
  • CryptoPro EDS – továbbfejlesztett digitális aláírás, amely lehetővé teszi az EDS használatával kapcsolatos nehézségek megoldását. A CryptoPro EDS biztosítja a résztvevők számára elektronikus dokumentumkezelés az aláírás időpontjának megállapításához és az aláírás nyilvános kulcsú tanúsítványának aláíráskor fennálló állapotához kapcsolódó bizonyítékbázis

Az illetéktelen hozzáférés elleni védelem a CryptoPro CSP használatával

  • CryptoPro TLS– CryptoPro TLS hálózati hitelesítést támogató modul, amely a CryptoPro CSP CIPF része, amely orosz nyelven implementálja a Transport Layer Security protokollt (TLS v. 1.0, RFC 2246) kriptográfiai szabványok
  • CryptoPro Winlogon– a termék Windows operációs rendszerre készült, megvalósítja a Kerberos V5 protokoll (RFC 4120) kezdeti felhasználói hitelesítését a CryptoPro CSP 3.0 tanúsítvány és kulcshordozó (okoskártya, USB token) segítségével
  • CryptoPro EAP-TLS– egy kiterjesztett protokoll a kétirányú kriptográfiai hitelesítéshez a távoli felhasználók és a RADIUS szerver között (Remote Authentication Dial-In User Service)
  • Secure Pack Rus 1.0, Secure Pack Rus 2.0- szervizcsomag a operációs rendszer Microsoft Windows XP és Microsoft Windows Server 2003
  • CryptoPro EFS– védőszer bizalmas információ PC-n tárolva

Azonosító rendszerek

  • idm– rendszerek, amelyek során számos feladatot automatizálnak életciklus azonosító adatok. A személyzeti osztály biztonsági osztálya és az informatikai rendszergazdák közötti interakció biztosítása, a szükséges szoftvereszközök biztosítása

Programok és segédprogramok

  • CryptoARM (Crypto Three)- tanúsítványokkal és szolgáltatókkal való együttműködésre, adatok titkosítására vagy visszafejtésére, elektronikus létrehozására vagy ellenőrzésére tervezett szoftver digitális aláírás(EDS) nyilvános kulcsú tanúsítványok használatával
  • cryptcp parancssori alkalmazásszoftver, amely egy parancssori alkalmazás tanúsítványokkal való munkavégzéshez, adatok titkosításához és visszafejtéséhez, adatok nyilvános kulcsú tanúsítványokkal történő kivonatoláshoz, elektronikus digitális aláírás (EDS) létrehozásához és ellenőrzéséhez.
  • EDS processzor– szoftvertermék egy tanúsított CIPF eszköz CryptoPro CSP biztonságos elektronikus dokumentumkezelő rendszerbe való implementálásához, a CIPF CryptoPro CSP kriptográfiai funkcióihoz való hozzáférés egységesítésére
  • CryptoPro PDF– EDS létrehozására és ellenőrzésére szolgáló modul elektronikus digitális aláírás létrehozásához és ellenőrzéséhez Adobe Reader, Adobe Acrobat 7-es és újabb verziókban
  • CryptoPro Office aláírás- szoftvertermék, amely lehetővé teszi az elektronikus digitális aláírás (EDS) létrehozását és ellenőrzését a GOST R 34.10-2001 algoritmus szerint Word dokumentumokés Excel a Microsoft Office 2007-ből és a Microsoft Office 2010-ből


Betöltés...
Top