A GOST 28147-89, GOST R 34.10-2001 és GOST R 34.11-94 kriptoalgoritmusok megvalósításait a CryptoPro által kifejlesztett és licenc alapján terjesztett CryptoPro.NET SDK könyvtár tartalmazza, amelynek használatához a CryptoPro CSP telepítése szükséges. A CryptoPro.NET SDK C# alkalmazásokban való használatához csatlakoztatnia kell a CryptoPro.Sharpei.Base.dll könyvtárat a projekthez (a MicrosoftVisualStudioProject|AddReference| Tallózás fül parancsával), és hozzá kell adnia a CryptoPro.Sharpei névterekhez Alkalmazás:
CryptoPro.Sharpei használatával;
A CryptoPro.NET SDK könyvtár osztályainak használatára vonatkozó dokumentáció a Sharpei.chm szabadon terjesztett súgófájlban található.
A GOST 28147-89 szimmetrikus blokk titkosítási algoritmus megvalósítását a Gost28147CryptoServiceProvider osztály tartalmazza, amely a Gost28147 absztrakt osztály örököse, amely viszont az FCLSihmmmetricAlgorthmmetric standard absztrakt osztály örököse.
A Gost28147CryptoServiceProvider osztály egyik jellemzője, hogy amikor egy alkalmazás megpróbálja használni az ehhez az osztályhoz tartozó objektumok Key (session key) tulajdonságát, mindig egy CryptographicException jelenik meg. Ezért a munkamenetkulcs jelmondatból való származtatásához és egy véletlenszerű munkamenetkulcs exportálásához/importálásához más módszereket kell használnia, mint amikor más, szimmetrikus titkosítási algoritmusokat implementáló osztályokkal dolgozik.
A munkamenet kulcsának a jelmondatból való származtatásához használja például a Gost28147CryptoServiceProvider osztály ByDeriveBytes metódusát (a jelszót a PassFrase1 nevű űrlapelem tartalmazza, és a randBytes tömb 8 bájt hosszú véletlenszerű keveréket tartalmaz):
gost28147CryptoServiceProvider gostCSP = új
bájt randBytes = új bájt;
RNGCryptoServiceProvider rand = new RNGCryptoServiceProvider();
rand GetBytes(randBytes);
byte pwd = Kódolás.Unicode.GetBytes(PassFrase1.Text);
bájt buf=új bájt;
pwd.CopyTo(buf,0);
randBytes.CopyTo(buf, pwd.Length);
gostCSP.ByDeriveBytes(buf);
Ha véletlenszerű szennyeződést használnak a kulcsnak a jelmondatból való származtatása során, akkor azt a titkosított adatokkal együtt kell tárolni a szinkronizálási üzenettel együtt (inicializálási vektor).
Véletlenszerű munkamenetkulcs titkosított adatok fogadójával való cseréjéhez a GostKeyExchangeFormatter (munkamenetkulcs-exportálás), a GostKeyExchangeDeformatter (munkamenetkulcs-importálás) és a Gost3410CryptoServiceProvider (a munkamenetkulcs-cserében használt aszimmetrikus titkosítási algoritmus) osztályokat használják.
A Gost3410CryptoServiceProvider osztály, amely a GOST Z 34.10-2001 EDS algoritmus megvalósítását tartalmazza, a Gost3410 absztrakt osztály örököse, amely viszont az FCLAsymmetric Algorithm könyvtár standard absztrakt osztályának örököse.
Munkamenetkulcs exportálásához használja a GostKeyExchangeFormatter osztály CreateKeyExchangeData metódusát, importálásához pedig a GostKeyExchangeDeformatter osztály DecryptKeyExchangeData metódusát.
Ha egy alkalmazásban Gost3410CryptoServiceProvider osztályba tartozó objektumokat használ, ne feledje, hogy a CryptoPro CSP kriptográfiai szolgáltató a felhasználók privát kulcsait különféle adathordozókon tárolhatja. Egy adott adathordozó (például a Windows rendszerleíró adatbázis) kiválasztása a CryptoProCSP telepítőprogrammal lehetséges. A beállítások ablak Hardver lapján válassza ki a privát kulcs olvasóit. Az olvasó hozzáadódik az olvasó telepítővarázslójával folytatott párbeszédben.
Amikor aszimmetrikus kulcspárt hoz létre egy tárolóban a kiválasztott adathordozón, a felhasználónak meg kell indítania a véletlenszám-generálási folyamatot a billentyűk lenyomásával vagy az egérmutató mozgatásával a véletlenszám-generátor ablaka fölé. A kulcspár-generálási folyamat befejezése után be kell állítania és meg kell erősítenie a jelszót a felhasználó privát kulcsának eléréséhez. Most ezt a jelszót kell megadni abban az esetben, ha az alkalmazásnak a privát kulcsot kell használnia a munkamenetkulcs importálásához vagy az EDS kiszámításához.
Vegyünk egy példát a munkamenetkulcs exportálására és importálására a Gost28147CryptoServiceProvider osztály használatakor (a szinkronizálási üzenet értékét külön kell tárolni). A CspParameters osztályobjektum a példában a kulcsok tárolójának megadására szolgál a beállításjegyzékből, amikor a CryptoPro CSP kriptográfiai szolgáltatóval dolgozik, amelynek típusa 75:
Gost28147CryptoServiceProvider gostEnc = új
Gost28147CryptoServiceProvider();
CspParameters csp = new CspParameters();
csp.KeyContainerName = "Registry";
csp.ProviderType = 75;
Gost3410CryptoServiceProvider gostExch = új
Gost3410CryptoServiceProvider(csp);
GostKeyExchangeFormatter keyEnc = új
GostKeyExchangeFormatter(gostExch);
byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);
IV. bájt = gostEnc.IV;
GostKeyExchangeDeformatter keyDec = új
GostKeyExchangeDeformatter(gostExch);
gostEnc = (Gost28147CryptoServiceProvider)keyDec.
DecryptKeyExchangeData(sessionKey);
gostEnc.IV = IV;
A GOST 34.11-94 hash algoritmus megvalósítását a Gost3411 absztrakt osztály képviseli, amely az FCLHashAlgorithm könyvtár absztrakt standard osztályának utódja, utódja pedig a Gost3411CryptoServiceProvider osztály.
A Gost3411HMAC osztályok (az absztrakt szabványos HMAC osztály örököse) és a Gost28147ImitCryptoServiceProvider (az absztrakt Gost28147Imit osztály örököse, amely viszont a KeyedithmHashAl absztrakt szabvány osztály örököse).
a Microsoft kriptográfiai szolgáltatók követelményeinek megfelelően fejlesztették ki, és lehetővé teszi új, biztonságos alkalmazások létrehozását a leggazdagabb és legtöbb időt tesztelt eszközök segítségével. Ezenkívül a CryptoPro Sharpei lehetővé teszi a szabvány használatát szoftver, mint például az XPSViewer és Microsoft iroda Forms Server 2007 digitális aláírások aláírásához és ellenőrzéséhez orosz kriptográfiai algoritmusok használatával.
A Microsoft Office Forms Server 2007 konfigurálása digitális aláírás használatára a webes űrlapokon.
Az alábbi utasítások leírják, hogyan konfigurálható a Microsoft Office Forms Server 2007 úgy, hogy képes legyen aláírni az űrlapokat a CryptoPro CSP használatával.
Figyelem! Az utasítás végrehajtása után az aláírás más kriptográfiai szolgáltatókkal (például az RSA algoritmust megvalósítókkal) nem lehetséges.
A szerveren:
- Telepítse a CryptoPro-t CSP verziók 3.6. Ha a "Regisztráció" olvasó nem került hozzáadásra a telepítési folyamat során, akkor telepítenie kell.
- Telepítse a CryptoPro Sharpei 1.0.3497.2 vagy újabb verzióját.
- Hozzon létre privátot EDS kulcs nevű nyilvántartóban FormsServerKey a helyi géphez, például a következővel parancs sor:
csptest -keyset -newkeyset -machine
-tároló "\\.\Registry\FormsServerKey" - Hozzon létre egy rendszerleíró kulcsot HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
- Adjon hozzá egy paramétert DWORD AlgType 1 , adjon hozzá egy karakterlánc-paramétert Tartály a fenti kulcshoz értékkel \\.\Registry\FormsServerKey.
- Telepítse az ActiveX-klienst a DSIGCTRL.cab webhelyről (további részletek az utasításokban).
- Ellenőrizze a hozzáférési jogokat (teljes vezérlés) annak a felhasználónak a HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey rendszerleíró kulcsához, amely alatt a SharePoint alkalmazáscsoport elindul (általában hálózati szolgáltatás, helyi rendszer...)
- Ellenőrizze az ügyféltanúsítványokat kibocsátó gyökértanúsítványok jelenlétét a Megbízható listában gyökérközpontok tanúsítás" (Trusted Root Certification Authorities) helyi számítógép(helyi gép).
- Ellenőrizze a helyi számítógép (LocalMachine) Köztes hitelesítésszolgáltatók tárolójában a 6. ponttól származó legfrissebb gyökértanúsítványokhoz tartozó CRL-ek elérhetőségét vagy a CDP-n keresztüli elérését.
- Indítsa újra a szervert
Az ügyfélen:
- Telepítse a CryptoPro CSP 3.6-os verzióját.
- Ha az ügyfél korábban nem írt alá űrlapokat, nincs szükség további teendőkre.
Ezt a DSigCtrl.dll fájl jelenléte alapján állapíthatja meg a \WINDOWS\Downloaded könyvtárban Program fájlok. Ha ez a fájl hiányzik, akkor az űrlapokat korábban nem írták alá. Ha az ügyfél korábban alá volt írva, akkor lépjen a \WINDOWS\Downloaded Program Files könyvtárba, és futtassa a regsvr32 /u DSigCtrl.dll fájlt. Ezenkívül el kell távolítania a DSigCtrl.* fájlokat a \WINDOWS\Downloaded Program Files könyvtárból.
Lehetséges változások a telepítési folyamat során.
A Forms Server ideiglenes aláíró kulcsot használ. Ezt a kulcsot használjuk a szerveren minden alkalommal, amikor aláírási műveletet hajtanak végre a kliensen, ezért ajánlott el nem idegeníthető adathordozón - a registry-ben - tárolni. Ha a kulcs neve FormsServerKey már a telepítés előtt használt, bármilyen más név használható. A termék újratelepítésekor használhatja a régi kulcsot.
Telepítéskor csak egy utolsó újraindításra korlátozhatja magát.
A CryptoPro CSP és a CryptoPro Sharpei előre telepítve nem indítható újra, hanem az iisreset parancsra korlátozódhat.
Visszacsatolás:
Az EDS Microsoft Office Forms Server 2007-ben való használatával kapcsolatos kérdéseket a fórum szakasz tárgyalja.
A kriptográfiai információvédelem eszközei
- CryptoPro CSP- orvosság kriptográfiai védelem információk (titkosítás/dekódolás, aláírás-ellenőrzés, hash) az operációs rendszer kernel szintjén. A kriptodriver az alábbi használatra készült speciális alkalmazások(IP protokoll kódolók, fájlrendszer)
- CryptoPro JCP– az orosz kriptográfiai szabványokat megvalósító JCA (Java Cryptography Architecture) specifikációnak megfelelően kifejlesztett kriptográfiai információvédelmi eszköz
- CryptoPro Sharpei– lehetővé teszi a CryptoPro CSP kriptográfiai információvédelmi eszköz használatát Microsoft platform.NET Framework. A szoftvertermék interfészkészletet valósít meg a kriptográfiai műveletek eléréséhez.Net Cryptographic Provider
- CryptoPro IPSec– olyan protokollkészlet, amely biztosítja az IP IP protokollon keresztül továbbított adatok védelmét. A szoftvertermék lehetővé teszi az IP-csomagok hitelesítését és/vagy titkosítását
- CryptoPro HSM– CryptoPro CSP-vel kompatibilis hardver és szoftver kriptográfiai modul (hardver biztonsági modul), amely titkosítási szolgáltatást nyújt a vállalati hálózat felhasználóinak
- Atlix HSM– a CryptoPro CSP-vel kompatibilis hardveres kriptográfiai modul (hardveres biztonsági modul). Az Atlix HSM-et úgy tervezték, hogy biztosítsa biztonságos tárolásés használja privát kulcs a tanúsító központ felhatalmazott személye
Információk titkosítási védelmének eszközei intelligens kártyákkal és USB-kulcsokkal
- Mester CSP- kriptográfiai információvédelmi eszköz, amely lehetővé teszi a felhasználó titkos kulcsának védelmét új szintre emelni, és a titkos kulcsok érvényességét akár 3 évre növelni
- CryptoPro Rutoken CSP- hardver-szoftver CIPF, amely egyesíti az orosz CryptoPro kriptográfiai szolgáltató és a Rutoken EDS azonosító képességeit
- CryptoPro eToken CSP- kriptográfiai információvédelmi eszköz, amely lehetővé teszi, hogy a felhasználó titkos kulcsának védelmét még tovább fokozza magas szintés 3 évre növeli a titkos kulcsok érvényességi idejét
Nyilvános kulcsú infrastruktúra
- "CryptoPro CA" tanúsítási központ– Szervezeti és műszaki intézkedések végrehajtására tervezett számítógép, amely eszközöket és előírásokat biztosít a hitelesítési központ felhasználóinak, mint szervezetnek, nyilvános kulcsú tanúsítványainak használatához.
- CryptoPro TSP- időbélyeg-szerver megszervezésére és az időbélyegekkel végzett munka funkcionalitásának különféle alkalmazásokba történő beágyazására tervezett termékcsalád
- CryptoPro OCSP- egy olyan termékcsalád, amely egy OCSP-szerver megszervezésére és a tanúsítványok állapotának OCSP protokollon keresztüli ellenőrzésére szolgáló funkciók beágyazására szolgál különféle alkalmazásokban
- AWP konfliktushelyzetek elemzéséhez- PC, amely a CryptoPro CA szoftver része, és az EDS tartalommal való megfelelőségének ellenőrzésére szolgál. elektronikus dokumentumés a résztvevő definíciók automatizált rendszer formációját végző banki elszámolások
- CryptoPro visszavonási szolgáltató– a nyilvános kulcsú tanúsítványok állapotának valós idejű ellenőrzésére tervezett termék az OCSP protokollon keresztül a Windows operációs rendszerben
- Atlix CA tanúsító központ
- CryptoPro EDS – továbbfejlesztett digitális aláírás, amely lehetővé teszi az EDS használatával kapcsolatos nehézségek megoldását. A CryptoPro EDS biztosítja a résztvevők számára elektronikus dokumentumkezelés az aláírás időpontjának megállapításához és az aláírás nyilvános kulcsú tanúsítványának aláíráskor fennálló állapotához kapcsolódó bizonyítékbázis
Az illetéktelen hozzáférés elleni védelem a CryptoPro CSP használatával
- CryptoPro TLS– CryptoPro TLS hálózati hitelesítést támogató modul, amely a CryptoPro CSP CIPF része, amely orosz nyelven implementálja a Transport Layer Security protokollt (TLS v. 1.0, RFC 2246) kriptográfiai szabványok
- CryptoPro Winlogon– a termék Windows operációs rendszerre készült, megvalósítja a Kerberos V5 protokoll (RFC 4120) kezdeti felhasználói hitelesítését a CryptoPro CSP 3.0 tanúsítvány és kulcshordozó (okoskártya, USB token) segítségével
- CryptoPro EAP-TLS– egy kiterjesztett protokoll a kétirányú kriptográfiai hitelesítéshez a távoli felhasználók és a RADIUS szerver között (Remote Authentication Dial-In User Service)
- Secure Pack Rus 1.0, Secure Pack Rus 2.0- szervizcsomag a operációs rendszer Microsoft Windows XP és Microsoft Windows Server 2003
- CryptoPro EFS– védőszer bizalmas információ PC-n tárolva
Azonosító rendszerek
- idm– rendszerek, amelyek során számos feladatot automatizálnak életciklus azonosító adatok. A személyzeti osztály biztonsági osztálya és az informatikai rendszergazdák közötti interakció biztosítása, a szükséges szoftvereszközök biztosítása
Programok és segédprogramok
- CryptoARM (Crypto Three)- tanúsítványokkal és szolgáltatókkal való együttműködésre, adatok titkosítására vagy visszafejtésére, elektronikus létrehozására vagy ellenőrzésére tervezett szoftver digitális aláírás(EDS) nyilvános kulcsú tanúsítványok használatával
- cryptcp parancssori alkalmazás – szoftver, amely egy parancssori alkalmazás tanúsítványokkal való munkavégzéshez, adatok titkosításához és visszafejtéséhez, adatok nyilvános kulcsú tanúsítványokkal történő kivonatoláshoz, elektronikus digitális aláírás (EDS) létrehozásához és ellenőrzéséhez.
- EDS processzor– szoftvertermék egy tanúsított CIPF eszköz CryptoPro CSP biztonságos elektronikus dokumentumkezelő rendszerbe való implementálásához, a CIPF CryptoPro CSP kriptográfiai funkcióihoz való hozzáférés egységesítésére
- CryptoPro PDF– EDS létrehozására és ellenőrzésére szolgáló modul elektronikus digitális aláírás létrehozásához és ellenőrzéséhez Adobe Reader, Adobe Acrobat 7-es és újabb verziókban
- CryptoPro Office aláírás- szoftvertermék, amely lehetővé teszi az elektronikus digitális aláírás (EDS) létrehozását és ellenőrzését a GOST R 34.10-2001 algoritmus szerint Word dokumentumokés Excel a Microsoft Office 2007-ből és a Microsoft Office 2010-ből