Protecția criptografică a informațiilor. Utilizarea claselor pentru algoritmi criptografici ruși Mijloace de protecție a informațiilor criptografice

Implementările criptoalgoritmilor GOST 28147-89, GOST R 34.10-2001 și GOST R 34.11-94 sunt conținute în biblioteca CryptoPro.NET SDK dezvoltată de CryptoPro și distribuită sub licență, care necesită instalarea unui criptofurnizor pentru utilizarea sa CSP CryptoPro. Pentru a utiliza SDK-ul CryptoPro.NET în aplicațiile C#, trebuie să conectați biblioteca CryptoPro.Sharpei.Base.dll la proiect (folosind comanda de meniuMicrosoftVisualStudioProject|AddReference| fila Browse) și să o adăugați la spațiile de nume CryptoPro.Sharpei utilizate în aplicatie:

folosind CryptoPro.Sharpei;

Documentația privind utilizarea claselor bibliotecii CryptoPro.NET SDK se află în fișierul de ajutor distribuit gratuit Sharpei.chm.

Implementarea algoritmului de cifru bloc simetric GOST 28147-89 este conținută în clasa Gost28147CryptoServiceProvider, care este un moștenitor al clasei abstracte Gost28147, care, la rândul său, este un moștenitor al clasei abstracte standard a bibliotecii FCLSymmetricAlgorithm.

O caracteristică a clasei Gost28147CryptoServiceProvider este că atunci când o aplicație încearcă să folosească proprietatea Key (cheie de sesiune) a obiectelor acestei clase, este întotdeauna aruncată o CryptographicException. Prin urmare, pentru a deriva o cheie de sesiune dintr-o frază de acces și pentru a exporta/importa o cheie de sesiune aleatorie, ar trebui să utilizați metode diferite decât atunci când lucrați cu alte clase cu implementări de algoritmi de criptare simetrică.

Pentru a deriva cheia de sesiune din fraza de acces, utilizați metoda ByDeriveBytes a clasei Gost28147CryptoServiceProvider, de exemplu (fraza de acces este conținută în elementul de formular numit PassFrase1, iar matricea randBytes conține un amestec aleatoriu de 8 octeți):

gost28147CryptoServiceProvider gostCSP = nou

octet randBytes = octet nou;

RNGCryptoServiceProvider rand = nou RNGCryptoServiceProvider();

rand GetBytes(randBytes);

byte pwd = Encoding.Unicode.GetBytes(PassFrase1.Text);

octet buf=octet nou;

pwd.CopyTo(buf,0);

randBytes.CopyTo(buf, pwd.Length);

gostCSP.ByDeriveBytes(buf);

Dacă se folosește o impuritate aleatorie la derivarea cheii din fraza de acces, aceasta ar trebui să fie stocată împreună cu datele criptate împreună cu mesajul de sincronizare (vector de inițializare).

Pentru a schimba o cheie aleatorie de sesiune cu un destinatar de date criptate, sunt utilizate clasele GostKeyExchangeFormatter (export cheie de sesiune), GostKeyExchangeDeformatter (import cheie de sesiune) și Gost3410CryptoServiceProvider (algoritm de criptare asimetric utilizat în schimbul de chei de sesiune).

Clasa Gost3410CryptoServiceProvider, care conține implementarea algoritmului GOST Z 34.10-2001 EDS, este un moștenitor al clasei abstracte Gost3410, care, la rândul său, este un moștenitor al clasei abstracte standard a bibliotecii FCLAsymmetricAlgorithm.

Pentru a exporta o cheie de sesiune, utilizați metoda CreateKeyExchangeData a clasei GostKeyExchangeFormatter, iar pentru a o importa, utilizați metoda DecryptKeyExchangeData a clasei GostKeyExchangeDeformatter.

Când utilizați obiecte din clasa Gost3410CryptoServiceProvider într-o aplicație, trebuie avut în vedere faptul că furnizorul criptografic CryptoPro CSP poate stoca cheile private ale utilizatorilor pe diverse medii. Alegerea unui mediu specific (de exemplu, registrul de sistem Windows) este posibilă folosind programul de configurare CryptoProCSP. În fila Hardware a ferestrei de setări, selectați cititoarele de chei private. Cititorul este adăugat într-un dialog cu asistentul de instalare a cititorului.

Când creează o pereche de chei asimetrice într-un container pe suportul media selectat, utilizatorului i se va cere să inițieze procesul de generare a numerelor aleatoare apăsând taste sau deplasând cursorul mouse-ului peste fereastra generatorului de numere aleatorii. După finalizarea procesului de generare a perechii de chei, va trebui să setați și să confirmați o parolă pentru a accesa cheia privată a utilizatorului. Acum, această parolă va trebui introdusă în cazul în care aplicația trebuie să fie utilizată cheie privată pentru a importa o cheie de sesiune sau pentru a calcula un EDS.

Să luăm în considerare un exemplu de export și import a unei chei de sesiune atunci când se utilizează clasa Gost28147CryptoServiceProvider (valoarea mesajului de sincronizare trebuie să fie stocată separat). Obiectul de clasă CspParameters este folosit în exemplu pentru a specifica containerul de chei din registru atunci când lucrați cu furnizorul criptografic CryptoPro CSP, care are tipul 75:

Gost28147CryptoServiceProvider gostEnc = nou

Gost28147CryptoServiceProvider();

CspParameters csp = new CspParameters();

csp.KeyContainerName = "Registru";

csp.ProviderType = 75;

Gost3410CryptoServiceProvider gostExch = nou

Gost3410CryptoServiceProvider(csp);

GostKeyExchangeFormatter keyEnc = nou

GostKeyExchangeFormatter(gostExch);

byte sessionKey = keyEnc.CreateKeyExchangeData(gostEnc);

octet IV = gostEnc.IV;

GostKeyExchangeDeformatter keyDec = nou

GostKeyExchangeDeformatter(gostExch);

gostEnc = (Gost28147CryptoServiceProvider)keyDec.

DecryptKeyExchangeData(sessionKey);

gostEnc.IV = IV;

Implementarea algoritmului de hashing GOST 34.11-94 este reprezentată de clasa abstractă Gost3411, care este succesorul clasei standard abstracte a bibliotecii FCLHashAlgorithm, iar succesorul acesteia este clasa Gost3411CryptoServiceProvider.

Clasele Gost3411HMAC (un moștenitor al clasei HMAC standard abstracte) și Gost28147ImitCryptoServiceProvider (moștenitorul clasei abstracte Gost28147Imit, care, la rândul său, este un moștenitor al clasei standard abstracte KeyedHashAlgorithm).

Mijloace de protecție a informațiilor criptografice

  • CSP CryptoPro- remediu protecţie criptografică informații (criptare/decriptare, verificare semnătură, hashing) la nivelul nucleului sistemului de operare. Criptodriverul este destinat utilizării în aplicatii speciale(coduri de protocol IP, Sistemul de fișiere)
  • CryptoPro JCP– un mijloc de protecție a informațiilor criptografice dezvoltat în conformitate cu specificația JCA (Java Cryptography Architecture), care implementează standardele criptografice rusești
  • CryptoPro Sharpei– vă permite să utilizați instrumentul de protecție a informațiilor criptografice CryptoPro CSP activat Platforma Microsoft.cadru net. Produsul software implementează un set de interfețe pentru accesarea operațiunilor criptografice.Net Cryptographic Provider
  • CryptoPro IPSec– un set de protocoale care asigură protecția datelor transmise prin protocolul Internet IP. Produsul software permite autentificarea și/sau criptarea pachetelor IP
  • CryptoPro HSM– modul criptografic hardware și software (modul de securitate hardware), compatibil cu CryptoPro CSP, oferind servicii criptografice utilizatorilor rețelei corporative
  • Atlix HSM– modul criptografic hardware (modul de securitate hardware) compatibil cu CryptoPro CSP. Atlix HSM este conceput pentru a oferi depozitare în siguranțăși utilizarea cheii private a persoanei autorizate a centrului de certificare

Mijloace de protecție criptografică a informațiilor cu smart carduri și chei USB

  • Master CSP– un mijloc de protecție a informațiilor criptografice care vă permite să duceți protecția cheii secrete a utilizatorului la un nou nivel și să creșteți valabilitatea cheilor secrete până la 3 ani
  • CryptoPro Rutoken CSP- un hardware-software CIPF care combină capacitățile furnizorului rus de criptomonede CryptoPro și identificatorul Rutoken EDS
  • CSP CryptoPro eToken- un mijloc de protecție a informațiilor criptografice care vă permite să aduceți protecția cheii secrete a utilizatorului la mai mult nivel inaltși crește perioada de valabilitate a cheilor secrete până la 3 ani

Infrastructură de cheie publică

  • Centrul de certificare „CryptoPro CA”– Un PC conceput pentru a efectua măsuri organizatorice și tehnice pentru a furniza mijloacele și specificațiile pentru utilizarea certificatelor cu cheie publică ale utilizatorilor Centrului de Certificare ca organizație
  • CryptoPro TSP- o linie de produse concepute pentru a organiza un server de marcare temporală și pentru a încorpora funcționalitatea de lucru cu marcaje temporale în diverse aplicații
  • CryptoPro OCSP- o linie de produse concepute pentru a organiza un server OCSP și pentru a încorpora funcționalitatea de verificare a stării certificatelor prin protocolul OCSP în diverse aplicații
  • AWP pentru analiza situațiilor conflictuale- PC, care face parte din software-ul CryptoPro CA și este conceput pentru a verifica conformitatea EDS cu conținutul document electronicși definițiile participanților sistem automatizat decontări bancare care au efectuat formarea acesteia
  • Furnizor de revocare CryptoPro– un produs conceput pentru încorporarea verificării în timp real a stării certificatelor de cheie publică prin protocolul OCSP în sistemul de operare Windows
  • Centrul de certificare Atlix CA
  • CryptoPro EDS – o semnătură digitală îmbunătățită care permite rezolvarea dificultăților asociate cu utilizarea EDS. CryptoPro EDS oferă participanților managementul documentelor electronice baza de dovezi asociată cu stabilirea momentului semnării și a statutului certificatului de cheie publică a semnăturii la momentul semnării

Protecție împotriva accesului neautorizat folosind CryptoPro CSP

  • CryptoPro TLS– Modulul de suport pentru autentificarea rețelei CryptoPro TLS, care face parte din CryptoPro CSP CIPF, care implementează protocolul Transport Layer Security (TLS v. 1.0, RFC 2246) folosind limba rusă standarde criptografice
  • CryptoPro Winlogon– produsul este proiectat pentru sistemul de operare Windows, implementează autentificarea inițială a utilizatorului a protocolului Kerberos V5 (RFC 4120) folosind certificatul CryptoPro CSP 3.0 și purtător de chei (smart card, token USB)
  • CryptoPro EAP-TLS– un protocol extins pentru autentificarea criptografică bidirecțională între utilizatorii de la distanță și un server RADIUS (Serviciul utilizatorului prin apelare la autentificare la distanță)
  • Secure Pack Rus 1.0, Secure Pack Rus 2.0- pachet de service pt sisteme de operare Microsoft Windows XP și Microsoft Windows Server 2003
  • CryptoPro EFS– produs de protecție informații confidențiale atunci când sunt stocate pe un PC

Sisteme de identificare

  • idm– sisteme de automatizare a numeroase sarcini care au loc în timpul ciclu de viață datele de identificare. Asigurarea interacțiunii între departamentul de securitate al departamentului de personal și administratorii IT, furnizarea acestora cu instrumentele software necesare

Programe și utilitare

  • CryptoARM (Crypto Three)software, conceput pentru a lucra cu certificate și furnizori, pentru a cripta sau decripta date, pentru a crea sau a verifica electronic semnatura digitala(EDS) folosind certificate de cheie publică
  • Aplicație Linie de comanda cryptcpsoftware, care este o aplicație de linie de comandă pentru lucrul cu certificate, criptarea și decriptarea datelor, hashingul datelor folosind certificate cu cheie publică, crearea și verificarea unei semnături digitale electronice (EDS)
  • procesor EDS– un produs software pentru implementarea unui instrument certificat CIPF CryptoPro CSP într-un sistem electronic de gestionare a documentelor securizat, pentru a unifica accesul la funcțiile criptografice ale CIPF CryptoPro CSP
  • CryptoPro PDF– un modul pentru crearea și verificarea unui EDS pentru generarea și verificarea unei semnături digitale electronice în Adobe Reader, Adobe Acrobat versiunea 7 și superioară
  • Semnătura CryptoPro Office- un produs software pentru a oferi posibilitatea creării și verificării unei semnături digitale electronice (EDS) conform algoritmului GOST R 34.10-2001 Documente Wordși Excel din compoziție Microsoft Office 2007 și Microsoft Office 2010

dezvoltat în conformitate cu cerințele Microsoft pentru furnizorii de criptografii și vă permite să creați aplicații noi, sigure folosind cele mai bogate și mai testate instrumente. În plus, CryptoPro Sharpei vă permite să utilizați software standard precum XPSViewer și Microsoft Office Forms Server 2007 pentru a semna și a verifica semnăturile digitale folosind algoritmi criptografici ruși.

Configurarea Microsoft Office Forms Server 2007 pentru a utiliza semnătura digitală în formularele web.

Instrucțiunile de mai jos descriu cum să configurați Microsoft Office Forms Server 2007 pentru a putea semna formulare folosind CSP CryptoPro.

Atenţie! După executarea acestei instrucțiuni, semnarea folosind alți furnizori criptografici (de exemplu, cei care implementează algoritmul RSA) nu va fi posibilă.

Pe server:

  1. Instalați CryptoPro versiuni CSP 3.6. Dacă cititorul „Înregistrare” nu a fost adăugat în timpul procesului de instalare, trebuie să îl instalați.
  2. Instalați CryptoPro Sharpei versiunea 1.0.3497.2 sau o versiune ulterioară.
  3. Creați un privat cheie EDSîn registrul numit FormsServerKey pentru mașina locală, de exemplu folosind următoarea linie de comandă:
    csptest -keyset -newkeyset -machine
    -container „\\.\Registry\FormsServerKey”
  4. Creați o cheie de registry HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server
  5. Adăugați un parametru DWORD AlgType 1 , adăugați un parametru șir Container la cheia de mai sus cu valoare \\.\Registry\FormsServerKey.
  6. Instalați clientul ActiveX de pe DSIGCTRL.cab (mai multe detalii în instrucțiuni).
  7. Verificați drepturile de acces (control total) la cheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey a utilizatorului sub care este lansat Grupul de aplicații SharePoint (De obicei, serviciu de rețea, sistem local...)
  8. Verificați prezența certificatelor rădăcină care au emis certificate client în Trusted centrii radiculari certificare" (Autorități de certificare rădăcină de încredere) calculator local(mașină locală).
  9. Verificați disponibilitatea CRL-urilor actualizate pentru certificatele rădăcină de la punctul 6 din magazinul Autorităților de certificare intermediare al computerului local (LocalMachine) sau posibilitatea de a le accesa prin CDP.
  10. Reporniți serverul

Pe client:

  1. Instalați CryptoPro CSP versiunea 3.6.
  2. Dacă clientul nu a semnat anterior formulare, nu este necesară nicio acțiune suplimentară.

Puteți determina acest lucru prin prezența fișierului DSigCtrl.dll în directorul \WINDOWS\Downloaded Fișiere de program. Dacă acest fișier lipsește, atunci formularele nu au fost semnate anterior. Dacă clientul a fost semnat anterior, atunci trebuie să mergeți la directorul \WINDOWS\Downloaded Program Files și să rulați regsvr32 /u DSigCtrl.dll. De asemenea, trebuie să eliminați fișierele DSigCtrl.* din directorul \WINDOWS\Downloaded Program Files.

Modificări posibile în timpul procesului de instalare.

Forms Server utilizează o cheie de semnare temporară. Această cheie este utilizată pe server de fiecare dată când se efectuează o operațiune de semnătură pe client, de aceea este recomandat să o stocați pe un mediu nealienabil - în registru. Dacă cheia este numită FormsServerKey folosit deja înainte de instalare, poate fi folosit orice alt nume. Când reinstalați produsul, puteți utiliza cheia veche.

Când instalați, vă puteți limita la o ultimă repornire.

Cu CryptoPro CSP și CryptoPro Sharpei preinstalate, nu puteți reporni, ci vă limitați la comanda iisreset.

Părere:

Întrebările despre utilizarea EDS în Microsoft Office Forms Server 2007 sunt discutate în secțiunea de forum.



Se încarcă...
Top