Perlindungan informasi kriptografi. Menggunakan kelas untuk cryptoalgorithms Rusia Kemungkinan perubahan selama proses instalasi

Implementasi cryptoalgorithms GOST 28147-89, GOST R 34.10-2001 dan GOST R 34.11-94 terkandung dalam pustaka CryptoPro.NET SDK yang dikembangkan oleh CryptoPro dan didistribusikan di bawah lisensi, yang memerlukan instalasi CryptoPro CSP untuk penggunaannya. Untuk menggunakan CryptoPro.NET SDK di aplikasi C#, Anda perlu menghubungkan pustaka CryptoPro.Sharpei.Base.dll ke proyek (menggunakan perintah menuMicrosoftVisualStudioProject|AddReference|Browse tab) dan menambahkannya ke ruang nama CryptoPro.Sharpei yang digunakan di aplikasi:

menggunakan CryptoPro.Sharpei;

Dokumentasi tentang penggunaan kelas perpustakaan CryptoPro.NET SDK terletak di file bantuan Sharpei.chm yang didistribusikan secara bebas.

Implementasi algoritma cipher blok simetris GOST 28147-89 terkandung dalam kelas Gost28147CryptoServiceProvider, yang merupakan pewaris kelas abstrak Gost28147, yang, pada gilirannya, merupakan pewaris kelas abstrak standar perpustakaan FCLSymmetricAlgorithm.

Fitur kelas Gost28147CryptoServiceProvider adalah ketika aplikasi mencoba menggunakan properti Kunci (kunci sesi) dari objek kelas ini, CryptographicException selalu dilontarkan. Oleh karena itu, untuk memperoleh kunci sesi dari frasa sandi dan mengekspor/mengimpor kunci sesi acak, Anda harus menggunakan metode yang berbeda dari saat bekerja dengan kelas lain dengan penerapan algoritme enkripsi simetris.

Untuk mendapatkan kunci sesi dari frasa sandi, gunakan metode ByDeriveBytes dari kelas Gost28147CryptoServiceProvider, misalnya (frasa sandi terkandung dalam elemen formulir bernama PassFrase1, dan larik randBytes berisi campuran acak sepanjang 8 byte):

gost28147CryptoServiceProvider gostCSP = baru

byte randBytes = byte baru;

RNGCryptoServiceProvider rand = new RNGCryptoServiceProvider();

rand GetBytes(randBytes);

byte pwd = Encoding.Unicode.GetBytes(PassFrase1.Text);

byte buf=byte baru;

pwd.CopyTo(buf,0);

randBytes.CopyTo(buf, pwd.Length);

gostCSP.ByDeriveBytes(buf);

Jika ketidakmurnian acak digunakan saat menurunkan kunci dari frasa sandi, itu harus disimpan dengan data terenkripsi bersama dengan pesan sinkronisasi (vektor inisialisasi).

Untuk menukar kunci sesi acak dengan penerima data terenkripsi, kelas GostKeyExchangeFormatter (ekspor kunci sesi), GostKeyExchangeDeformatter (impor kunci sesi), dan Gost3410CryptoServiceProvider (algoritme enkripsi asimetris yang digunakan dalam pertukaran kunci sesi) digunakan.

Kelas Gost3410CryptoServiceProvider, yang berisi penerapan algoritme EDS GOST Z 34.10-2001, adalah pewaris kelas abstrak Gost3410, yang, pada gilirannya, merupakan pewaris kelas abstrak standar perpustakaan FCLAsymmetricAlgorithm.

Untuk mengekspor kunci sesi, gunakan metode CreateKeyExchangeData dari kelas GostKeyExchangeFormatter, dan untuk mengimpornya, gunakan metode DecryptKeyExchangeData dari kelas GostKeyExchangeDeformatter.

Saat menggunakan objek kelas Gost3410CryptoServiceProvider dalam aplikasi, perlu diingat bahwa penyedia kriptografi CryptoPro CSP dapat menyimpan kunci pribadi pengguna di berbagai media. Pilihan media tertentu (misalnya, registri sistem Windows) dimungkinkan dengan menggunakan program penyiapan CryptoProCSP. Pada tab Perangkat Keras di jendela pengaturan, pilih pembaca kunci pribadi. Pembaca ditambahkan dalam dialog dengan panduan penginstalan pembaca.

Saat membuat sepasang kunci asimetris dalam wadah pada media yang dipilih, pengguna akan diminta untuk memulai proses pembuatan angka acak dengan menekan tombol atau menggerakkan penunjuk tetikus ke jendela pembuat angka acak. Setelah proses pembuatan pasangan kunci selesai, Anda perlu mengatur dan mengonfirmasi kata sandi untuk mengakses kunci pribadi pengguna. Sekarang kata sandi ini perlu dimasukkan jika aplikasi perlu menggunakan kunci pribadi untuk mengimpor kunci sesi atau menghitung EDS.

Mari pertimbangkan contoh mengekspor dan mengimpor kunci sesi saat menggunakan kelas Gost28147CryptoServiceProvider (nilai pesan sinkronisasi harus disimpan secara terpisah). Objek kelas CspParameters digunakan dalam contoh untuk menentukan wadah kunci dari registri saat bekerja dengan penyedia kriptografi CryptoPro CSP, yang memiliki tipe 75:

Gost28147CryptoServiceProvider gostEnc = baru

Gost28147CryptoServiceProvider();

CspParameters csp = new CspParameters();

csp.KeyContainerName = "Registri";

csp.ProviderType = 75;

Gost3410CryptoServiceProvider gostExch = baru

Gost3410CryptoServiceProvider(csp);

GostKeyExchangeFormatter keyEnc = baru

GostKeyExchangeFormatter(gostExch);

byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);

byte IV = gostEnc.IV;

GostKeyExchangeDeformatter keyDec = baru

GostKeyExchangeDeformatter(gostExch);

gostEnc = (Gost28147CryptoServiceProvider)keyDec.

DecryptKeyExchangeData(sessionKey);

gostEnc.IV = IV;

Implementasi algoritma hashing GOST 34.11-94 diwakili oleh kelas abstrak Gost3411, yang merupakan penerus kelas standar abstrak perpustakaan FCLHashAlgorithm, dan penggantinya adalah kelas Gost3411CryptoServiceProvider.

Kelas Gost3411HMAC (pewaris kelas HMAC standar abstrak) dan Gost28147ImitCryptoServiceProvider (pewaris kelas Gost28147Imit abstrak, yang, pada gilirannya, merupakan pewaris kelas standar abstrak KeyedHashAlgorithm).

dikembangkan sesuai dengan persyaratan Microsoft untuk penyedia Kriptografi dan memungkinkan Anda membuat aplikasi baru yang aman menggunakan alat paling kaya dan teruji waktu. Selain itu, CryptoPro Sharpei memungkinkan Anda menggunakan standar perangkat lunak, seperti XPSViewer dan kantor Microsoft Forms Server 2007 untuk menandatangani dan memverifikasi tanda tangan digital menggunakan algoritme kriptografi Rusia.

Mengonfigurasi Microsoft Office Forms Server 2007 untuk menggunakan tanda tangan digital di formulir web.

Petunjuk di bawah ini menjelaskan cara mengonfigurasi Microsoft Office Forms Server 2007 agar dapat menandatangani formulir menggunakan CryptoPro CSP.

Perhatian! Setelah menjalankan instruksi ini, penandatanganan menggunakan penyedia kriptografi lain (misalnya, yang mengimplementasikan algoritme RSA) tidak akan dapat dilakukan.

Di server:

  1. Instal CryptoPro Versi CSP 3.6. Jika pembaca "Daftar" tidak ditambahkan selama proses penginstalan, Anda harus menginstalnya.
  2. Instal CryptoPro Sharpei versi 1.0.3497.2 atau lebih tinggi.
  3. Buat pribadi kunci EDS dalam registri bernama FormsServerKey untuk mesin lokal, misalnya dengan yang berikut ini garis komando:
    csptest -keyset -newkeyset -mesin
    -wadah "\\.\Registry\FormsServerKey"
  4. Buat kunci registri HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
  5. Tambahkan parameter Jenis Alg DWORD 1 , tambahkan parameter string Wadah ke kunci di atas dengan nilai \\.\Registry\FormsServerKey.
  6. Instal ActiveX klien dari DSIGCTRL.cab (lebih detail dalam petunjuk).
  7. Periksa hak akses (Kontrol Penuh) ke kunci registri HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey pengguna tempat Grup Aplikasi SharePoint diluncurkan (Biasanya Layanan Jaringan, Sistem Lokal...)
  8. Periksa keberadaan root certificate yang telah mengeluarkan client certificate di Trusted pusat akar sertifikasi" (Otoritas Sertifikasi Akar Tepercaya) komputer lokal(mesin lokal).
  9. Periksa ketersediaan CRL terbaru untuk sertifikat root dari poin 6 di toko Otoritas Sertifikasi Menengah komputer lokal (LocalMachine) atau kemampuan untuk mengaksesnya melalui CDP.
  10. Mulai ulang server

Pada klien:

  1. Instal CryptoPro CSP versi 3.6.
  2. Jika klien belum pernah menandatangani formulir, tidak diperlukan tindakan lebih lanjut.

Anda dapat menentukan ini dengan adanya file DSigCtrl.dll di direktori \WINDOWS\Downloaded File program. Jika file ini hilang, maka formulir tersebut tidak ditandatangani sebelumnya. Jika klien telah ditandatangani sebelumnya, maka Anda harus pergi ke direktori \WINDOWS\Downloaded Program Files dan menjalankan regsvr32 /u DSigCtrl.dll. Anda juga perlu menghapus file DSigCtrl.* dari direktori \WINDOWS\Downloaded Program Files.

Kemungkinan perubahan selama proses instalasi.

Forms Server menggunakan kunci penandatanganan sementara. Kunci ini digunakan di server setiap kali operasi tanda tangan dilakukan pada klien, jadi disarankan untuk menyimpannya di media yang tidak dapat diasingkan - di registri. Jika kuncinya bernama FormsServerKey sudah digunakan sebelum instalasi, nama lain dapat digunakan. Saat menginstal ulang produk, Anda dapat menggunakan kunci lama.

Saat memasang, Anda dapat membatasi diri hanya pada satu reboot terakhir.

Dengan CryptoPro CSP dan CryptoPro Sharpei pra-instal, Anda tidak dapat melakukan reboot, tetapi batasi diri Anda dengan perintah iisreset.

Masukan:

Pertanyaan tentang penggunaan EDS di Microsoft Office Forms Server 2007 dibahas di bagian forum.

Sarana perlindungan informasi kriptografi

  • CryptoProCSP- obat perlindungan kriptografi informasi (enkripsi/dekripsi, verifikasi tanda tangan, hashing) pada tingkat kernel sistem operasi. Cryptodriver dimaksudkan untuk digunakan di aplikasi khusus(Encoder protokol IP, berkas sistem)
  • KriptoPro JCP– sarana perlindungan informasi kriptografi yang dikembangkan sesuai dengan spesifikasi JCA (Java Cryptography Architecture), yang menerapkan standar kriptografi Rusia
  • CryptoPro Sharpei– memungkinkan Anda untuk menggunakan alat perlindungan informasi kriptografi CryptoPro CSP di platform Microsoft.kerangka bersih. Produk perangkat lunak mengimplementasikan serangkaian antarmuka untuk mengakses operasi kriptografi. Penyedia Kriptografi Net
  • CryptoPro IPSec– seperangkat protokol yang memastikan perlindungan data yang dikirimkan melalui IP protokol Internet. Produk perangkat lunak memungkinkan otentikasi dan/atau enkripsi paket IP
  • KriptoPro HSM– modul kriptografi perangkat keras dan perangkat lunak (modul keamanan perangkat keras), kompatibel dengan CryptoPro CSP, menyediakan layanan kriptografi untuk pengguna jaringan korporat
  • Atlix HSM– modul kriptografi perangkat keras (modul keamanan perangkat keras) kompatibel dengan CryptoPro CSP. Atlix HSM dirancang untuk menyediakan penyimpanan yang aman dan gunakan kunci pribadi orang yang berwenang dari pusat sertifikasi

Sarana perlindungan informasi kriptografi dengan kartu pintar dan kunci USB

  • CSP Guru– sarana perlindungan informasi kriptografi yang memungkinkan Anda membawa perlindungan kunci rahasia pengguna ke tingkat yang baru dan meningkatkan validitas kunci rahasia hingga 3 tahun
  • CryptoPro Rutoken CSP- CIPF perangkat keras-perangkat lunak yang menggabungkan kemampuan penyedia crypto Rusia CryptoPro dan pengenal EDS Rutoken
  • CryptoPro eToken CSP- sarana perlindungan informasi kriptografi yang memungkinkan Anda untuk meningkatkan perlindungan kunci rahasia pengguna level tinggi dan menambah masa berlaku kunci rahasia hingga 3 tahun

Infrastruktur Kunci Publik

  • Pusat Sertifikasi "CryptoPro CA"– PC yang dirancang untuk melakukan langkah-langkah organisasi dan teknis untuk menyediakan sarana dan spesifikasi untuk menggunakan sertifikat kunci publik pengguna Pusat Sertifikasi sebagai sebuah organisasi
  • KriptoPro TSP- lini produk yang dirancang untuk mengatur server stempel waktu dan untuk menyematkan fungsionalitas bekerja dengan stempel waktu di berbagai aplikasi
  • KriptoPro OCSP- lini produk yang dirancang untuk mengatur server OCSP dan menyematkan fungsi pemeriksaan status sertifikat melalui protokol OCSP di berbagai aplikasi
  • AWP untuk analisis situasi konflik- PC, yang merupakan bagian dari perangkat lunak CryptoPro CA dan dirancang untuk memverifikasi kepatuhan EDS dengan konten dokumen elektronik dan definisi peserta sistem otomatis penyelesaian bank yang melakukan pembentukannya
  • Penyedia Pencabutan CryptoPro– produk yang dirancang untuk menyematkan verifikasi real-time status sertifikat kunci publik melalui protokol OCSP di OS Windows
  • Pusat sertifikasi Atlix CA
  • KriptoPro EDS – tanda tangan digital yang ditingkatkan yang memungkinkan pemecahan kesulitan yang terkait dengan penggunaan EDS. CryptoPro EDS menyediakan peserta pengelolaan dokumen elektronik dasar bukti yang terkait dengan pembentukan momen tanda tangan dan status sertifikat kunci publik dari tanda tangan pada saat tanda tangan

Perlindungan terhadap akses tidak sah menggunakan CryptoPro CSP

  • KriptoPro TLS– Modul dukungan otentikasi jaringan CryptoPro TLS, yang merupakan bagian dari CryptoPro CSP CIPF, yang mengimplementasikan protokol Transport Layer Security (TLS v. 1.0, RFC 2246) menggunakan bahasa Rusia standar kriptografi
  • CryptoPro Winlogon– produk dirancang untuk sistem operasi Windows, mengimplementasikan otentikasi pengguna awal dari protokol Kerberos V5 (RFC 4120) menggunakan sertifikat CryptoPro CSP 3.0 dan pembawa kunci (kartu pintar, token USB)
  • CryptoPro EAP-TLS– protokol tambahan untuk autentikasi kriptografi dua arah antara pengguna jarak jauh dan server RADIUS (Layanan Pengguna Dial-In Otentikasi Jarak Jauh)
  • Paket Aman Rus 1.0, Paket Aman Rus 2.0- paket layanan untuk sistem operasi Microsoft Windows XP dan Microsoft Server Windows 2003
  • CryptoPro EFS– produk perlindungan informasi rahasia saat disimpan di PC

Sistem identifikasi

  • idm– sistem untuk mengotomatiskan banyak tugas yang terjadi selama lingkaran kehidupan data identifikasi. Berikan interaksi antara departemen keamanan departemen personalia dan administrator TI, berikan mereka alat perangkat lunak yang diperlukan

Program dan utilitas

  • CryptoARM (Crypto Tiga)- perangkat lunak yang dirancang untuk bekerja dengan sertifikat dan penyedia, mengenkripsi atau mendekripsi data, membuat atau memverifikasi elektronik tanda tangan digital(EDS) menggunakan sertifikat kunci publik
  • aplikasi baris perintah cryptcpperangkat lunak, yang merupakan aplikasi baris perintah untuk bekerja dengan sertifikat, mengenkripsi dan mendekripsi data, hashing data menggunakan sertifikat kunci publik, membuat dan memverifikasi tanda tangan digital elektronik (EDS)
  • prosesor EDS– produk perangkat lunak untuk penerapan alat CIPF CryptoPro CSP bersertifikat ke dalam sistem manajemen dokumen elektronik yang aman, untuk menyatukan akses ke fungsi kriptografi dari CIPF CryptoPro CSP
  • CryptoPro PDF– modul untuk membuat dan memverifikasi EDS untuk membuat dan memverifikasi tanda tangan digital elektronik di Adobe Reader, Adobe Acrobat versi 7 dan lebih tinggi
  • Tanda Tangan Kantor CryptoPro- produk perangkat lunak untuk memberikan kemungkinan membuat dan memverifikasi tanda tangan digital elektronik (EDS) sesuai dengan algoritme GOST R 34.10-2001 Dokumen kata dan Excel dari Microsoft Office 2007 dan Microsoft Office 2010


Memuat...
Atas