Главная » Linux

Криптопро совместимость с windows

Содержание
  1. Криптопро совместимость с windows
  2. Назначение
  3. Основные характеристики
  4. Поддерживаемые платформы
  5. Совместимые серверы
  6. Загрузка
  7. КриптоПро CSP и ViPNet CSP на одном компьютере
  8. КриптоПро 5.0 и ViPnet 4.2
  9. ViPNet CSP и КриптоПро CSP на одном компьютере
  10. Совместимость ViPNet CSP и КриптоПро CSP
  11. Одновременное использование Криптопро CSP и ViPNet CSP

Криптопро совместимость с windows

КриптоПро Winlogon предназначен для ОС семейства Microsoft Windows и реализует первоначальную аутентификацию пользователя протокола Kerberos V5 (RFC 4120) по сертификату и ключевому носителю (смарт-карта, USB-токен) с использованием сертифицированного СКЗИ «КриптоПро CSP» версии 3.0 и выше.

Открытые ключи и ЭЦП по ГОСТ Р 34.10 используются для аутентификации и авторизации пользователя домена Windows в соответствии с RFC 4490.

Сертификаты пользователей и контроллеров домена могут либо выпускаться и управляться с помощью сертифицированного КриптоПро УЦ, либо находиться под управлением домена Windows.

Назначение

КриптоПро Winlogon предназначен для:

  • Первоначальной аутентификацию пользователей домена Windows (сферы Kerberos) по ключевому носителю (смарт-карта, USB-токен) на основе сертификатов открытых ключей X.509;
  • Аутентификации контроллеров домена при сетевых взаимодействиях;
  • Обеспечения конфиденциальности и имитозащиты терминальных сессий (Microsoft Remote Desktop Protocol (RDP), Citrix ICA).

Основные характеристики

Первоначальная аутентификация производится с использованием алгоритмов ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-94/2012.

Удостоверяющие Центры (УЦ) необходимые для создания и управление сертификатами пользователей и контроллеров домена:

  • КриптоПро УЦ;
  • УЦ совместимые с RFC 4491;
  • Microsoft Enterprise Certificate Authority (CA) входящий в состав Windows Server 2000/2003/2008/2008R2/2012/2016.

КриптоПро Winlogon получает информацию о статусе сертификатов от:

  • CDP (CRL Distribuition Point) по протоколам HTTP, LDAP и др.;
  • AIA (Authority Information Access) по протоколу OCSP c использованием КриптоПро Revocation Provider.

Поддерживаемые платформы

КриптоПро Winlogon сервер (KDC, Remote Desktop Server, Citrix) функционирует в следующих операционных системах (ОС):

  • Windows 2000 Server;
  • Windows Server 2003;
  • Windows Server 2008;
  • Windows Server 2008 R2;
  • Windows Server 2012;
  • Windows Server 2016.

КриптоПро Winlogon клиент (вход в домен) функционирует в следующих ОС:

  • Windows 2000 (Professional/Server);
  • Windows XP;
  • Windows Server 2003;
  • Windows Vista;
  • Windows Server 2008;
  • Windows 7;
  • Windows Server 2008 R2;
  • Windows 8;
  • Windows 10;
  • Windows Server 2012;
  • Windows Server 2016.

Защищённый доступ к серверу терминалов поддерживается из следующих ОС:

  • Windows 2000 (Professional/Server);
  • Windows XP;
  • Windows Server 2003;
  • Windows Vista;
  • Windows Server 2008;
  • Windows 7;
  • Windows Server 2008 R2;
  • Windows 8;
  • Windows Server 2012;
  • Windows Server 2016.

Совместимые серверы

Результат аутентификации может быть использован на любом сервере, который предназначен для взаимодействия с доменом Windows или со сферой Kerberos V5. Методы настройки для некоторых прикладных серверов описаны по нижеследующим ссылкам.

Загрузка

При использовании КриптоПро CSP 3.6 и выше отдельная установка продукта КриптоПро Winlogon не требуется.

Для использовании КриптоПро Winlogon c КриптоПро CSP 3.0 необходимо скачать и установить дистрибутив по одной из приведенных ниже ссылок:

Срок использования пробной версии КриптоПро Winlogon ограничен 30 днями с момента установки. Для дальнейшей эксплуатации необходимо получить лицензию на использование продукта в ООО «КРИПТО-ПРО» или у официального дилера.

КриптоПро CSP и ViPNet CSP на одном компьютере

Для работы с персональной электронно-цифровой подписью (далее – ЭЦП, ЭП или ЦП) потребуется установка и настройка специализированного программного приложения – криптопровадейра. Это автономный софт-модуль, предусмотренный для выполнения криптоопераций в операционных системах (далее – ОС) и вызова криптофункций из разных сторонних программ. В ОС Microsoft (далее – MS) Windows криптопровайдеры управляются посредством интерфейса CryptoAPI (подробнее читайте в последнем разделе этой публикации).

Самыми популярными и «продвинутыми» российскими криптопровайдерами заслуженно считаются КриптоПро CSP и ViPNet CSP, но можно ли «держать» их на одном компьютере?

Читайте также:  Windows приложение главное окно диалога

Первый является флагманом на рынке информационной безопасности. «Глянцевый», востребованный и очень популярный продукт, сопровождаемый широчайшим рядом программных дополнений. Работая в комплексе с базовым криптомодулем, они способны превратить вашу машину в суперзащищенную рабочую станцию.

ViPNet CSP – это пока бесплатный альтернативный криптопровайдер, чья популярность постепенно набирает обороты. В каком-то смысле, соревнование двух софт-«шифровальщиков» напоминает соперничество семейств ОС MS Windows и Unix.

Можно ли «подружить» самых знаменитых российских криптопровайдеров? Читайте об этом в нашей публикации.

КриптоПро 5.0 и ViPnet 4.2

Недавно вышла новая, сертифицированная ФСБ РФ, версия отечественного приложения ViPNet CSP 4.2. Сперва о ней и поговорим.

ViPNet 4.2 – это средство криптографической защиты информации (далее – СКЗИ), которое в связке с другими продуктами разработчика ИнфоТеКС, например, ViPNet CryptoFile, представляет собой цельный стек для обработки электронно-цифровой подписи. И, самое главное, совершенно бесплатное.

Что «умеет» этот криптопровайдер? Генерировать ключи ЦП, формировать и верифицировать цифровую подпись по актуальным алгоритмам, разработанным отечественными надзорными органами безопасности. В частности, речь идет о последнем ГОСТ Р 34.10-2012.

Криптомодуль выполняет следующие задачи:

  • хеширует сведения;
  • кодирует информацию;
  • обеспечивает ее имитозащиту.

Приложение обеспечивает классы информационной защищенности (далее – КЗ):

  • базовая вариация исполнения: КЗ КС1;
  • вариация 2 – ViPNet 4.2 функционирует в тандеме с аппаратно-программным модулем доверенной загрузки (АПМДЗ): КЗ КС2;
  • вариация 3 – криптопровайдер применяется вместе с АПМЗД и ViPNet SysLocler: КЗ КС3. Этот класс защищенности обеспечивается посредством формирования обособленной софт-среды.

Упомянутая версия криптомодуля прекрасно показывает себя в следующих сферах применения:

  • информационные системы оборота цифровой документации, значимого с юридической точки зрения;
  • дистанционное представление бухотчетности в фискальные госорганы;
  • удаленное взаимодействие с интернет-сервисами посредством защищенных протоколов передачи данных;
  • дополнение сторонних приложений криптофункциями.

Также криптомодуль «умеет»:

  • поддерживать обширный аппаратный ряд внешних накопителей (токенов), предназначенных для генерации и хранения ключей и сертификатов ЭП и использующих протокол PKCS#11;
  • экспортировать/импортировать софт-средства ЦП в формат #PKCS12;
  • поддерживать вызов криптофункций CSP другими программами через API PKCS#11 и MS CryptoAPI/CNG.

Криптопровайдер прошел сертификацию ФСБ РФ на соответствие Приказу №796, полностью соответствует 63-ФЗ. Он внесен в нотификацию, согласно которой любое лицо, пересекающее рубежи Таможенного союза, вправе транспортировать это программное обеспечение (далее – ПО) без каких-либо дополнительных разрешительно-сопроводительных бумаг.

Примечание. Разумеется, ИнфоТеКС – разработчик ПО – оставил за собой право на внесение в поставляемую комплектацию приложения любых редакций без извещения заказчика об этих действиях. Изменения не могут ухудшать свойств ПО.

Теперь поговорим детальнее о КриптоПро CSP 5.0.

Это инновационное поколение криптомодуля. Все достоинства предыдущих продуктов этой линейки приумножены, а недостатки – учтены и устранены. ПО воспринимает практически все ключевые носители, включая облачные. Традиционный интерфейс сохранен.

Криптопровайдер предназначен для выполнения следующих задач:

  • создание и проверка ЭП;
  • обеспечение гарантий конфиденциальности сведений;
  • контроль целостности данных путем их кодирования и формирования имитозащиты;
  • организация аутентичных, конфиденциальных и защищенных пользовательских соединений по протоколам TLS/IPsec;
  • обеспечение целостности прикладного и системного ПО путем предотвращения и/или отслеживания несанкционированных редакций и/или нарушений доверенного функционирования.

КриптоПро CSP версии 5.0 поддерживает больший набор алгоритмов в сравнении с ViPNet 4.2 – это и инструкции отечественных ГОСТ, и зарубежные криптостандарты.

В криптопровайдере реализована опция вызова криптофункций из сторонних программ через ставшие классическими интерфейсы MS CryptoProAPI / PKCS#11 / Open SSL engine / Java CSP / Qt SSL.

Настоящая опциональная новинка – это кроссплатформенный графический модуль «CryptoPro Tool». «Инструменты КриптоПро» – приложение, адаптированное для трех ОС: MS Windows, Linux и macOS. Пользователь сможет в привычном режиме заниматься решением текущих задач:

  • управлением контейнерами, ключевыми носителями и настройками криптомодулей;
  • генерацией и верификацией ЭЦП по стандарту PKCS#7.
Читайте также:  Для чего нужна windows hello

Доступ к необходимому функциональному набору опций реализован в очень простом интерфейсе. Для продвинутых пользователей предусмотрен специальный режим, открывающий расширенные возможности. ПО по-прежнему остается платным – с прайс-листом можно ознакомиться здесь.

1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.

ViPNet CSP и КриптоПро CSP на одном компьютере

Большинство удостоверяющих центров (далее – УЦ) выдает и будет выдавать софт-средства ЭЦП, сформированные с использованием продукции компании КриптоПро. У разработчика сильная программа дистрибуции. Центры сертификации заинтересованы в распространении связанного с их услугами платного продукта и получают за это материальное вознаграждение.

ViPNet CSP – бесплатное приложение. Его продвижением и реализацией самостоятельно занимается компания разработчиков-энтузиастов. Тем не менее, для генерации и верификации ЦП на основе ключей и сертификатов, созданных посредством своего более востребованного УЦ аналога, оно вполне подходит.

Многие пользователи успели полюбить и предпочитают использовать именно криптомодуль ViPNet CSP, но для для работы с некоторыми электронно-торговыми площадками могут потребоваться продукты КриптоПро – в этом случае, возможно, придется инсталлировать обе программы на один компьютер.

Реализовать вышеописанную конфигурации вполне возможно, если четко выполнить ряд инструкций. Под них мы выделили следующий раздел публикации. Прежде ознакомим вас с простыми правилами – лайфхаками, которые потенциально смогут помочь вашим криптопровайдерам «подружиться» и сосуществовать без конфликтов друг с другом и ОС:

  1. Обязательно уточните наименование и версию криптопровайдера, используемого УЦ, который будет изготавливать и выдавать вам софт-средства ЭЦП. Это поможет определиться с выбором основного ПО.
  2. Ключевые контейнеры КриптоПро CSP и ViPNet СSP имеют разные форматы. В некотором роде, применяемое вами ПО должно быть «совместимо» с УЦ.
  3. Как с юридической, так и с технической точки зрения, заниматься обработкой ЭЦП можно только посредством сертифицированных программных приложений.

Примечание. Согласно пользовательским отзывам, компания «Тензор» выдает программные средства ЦП, полностью совместимые с бесплатным криптоприложением VIPNet CSP 4.2.

Совместимость ViPNet CSP и КриптоПро CSP

Последовательность действий при отладке функционирования криптомодулей будет напрямую зависеть от того, какое ПО вы инсталлировали первым.

Предупреждение! Старайтесь четко следовать инструкциям. Импровизации могут привести к дестабилизации работы вашей ОС. Все манипуляции должны выполняться согласно нижеприведенным рекомендациям.

На рабочей машине предустановлен ViPNet. Алгоритм действий при инсталляции КриптоПро CSP будет следующим:

  1. Откроется мастер установки. Задайте ее тип: «Выборочная».
  2. Кликайте «Далее».
  3. Появится окошко со списком компонент, идущих в дополнение к ПО. Найдите иконку с изображением накопителя – она расположена слева от пункта «Расширенная совместимость с продуктами Microsoft». Если рядом с ним вы обнаружите «крестик», щелкните по нему и смените статус на вышеуказанный.

Через некоторое время установка приложения завершится. Перезагрузите рабочую машину. После совершения вышеописанных действий основным СКЗИ останется ViPNet CSP. Если вы пожелаете инсталлировать его на ПК с предустановленным КриптоПро CSP, последний придется отключать. Как это сделать?

Правильно настраиваем совместимость с ViPNet CSP – отключаем КриптоПро CSP:

  1. В основном меню ОС Windows жмите «Пуск» и выбирайте из открывшегося списка субкаталог «Панель управления–>Программы и компоненты».
  2. Найдите и выделите нужное приложение.
  3. Щелкните «Изменить».
  4. Откроется окошко мастера установки. Прочтите приветствие и кликайте «Далее».
  5. Теперь ищите иконку с крестиком. Выберите ее, чтобы удалить компоненту «Совместимость с продуктами Microsoft».
Читайте также:  Установка новых служб windows

  1. Осуществите перезагрузку рабочей машины.

Вернуть КриптоПро CSP статус основного криптопровайдера, чтобы продолжить его применение в привычном режиме, просто. Активируйте «Совместимость с продуктами Microsoft» – в настройках мастера инсталляции следует установить слева от компоненты иконку с обозначением накопителя. После этого требуется отключить ViPNet CSP:

  • запустить программу;
  • дождаться появления приветственного окошка и перейти к настройкам;
  • выбрать пункт «Дополнительно» в вертикальном меню, расположенном слева экрана;
  • снять флажок с опции «Поддержка работы ViPNet CSP через MS Crypto API» – она находится в блоке «Дополнительные параметры».

Чтобы вернуть приложению «руль», деактивируйте компоненту совместимости КриптоПро CSP. После этих действий обязательно перезагрузите ПК. Слева от опции «Поддержка работы ViPNet CSP через MS Crypto API» установите флажок.

Последние манипуляции – ревизия сетевого интернет-соединения:

  1. Введите в адресную строку веб-обозревателя путь к любому сайту. Выполняйте эти действия с помощью MS Internet Explorer.
  2. Страница загрузилась – ваша конфигурация готова к работе.

Если вы видите системное браузерное сообщение о сбое «Не удалось отобразить страницу», следуйте инструкции:

  1. Переходите к основному меню ОС Windows: «Пуск–>Выполнить».
  2. Набирайте в адресной строке regedit, чтобы попасть в реестр ОС.
  3. Следуйте по этому пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig и щелкайте по субкаталогу.
  4. Найдите поле «Security Packages»: значение «sspp» замените параметром «schannel».

Чтобы редактировать файлы реестра ОС, пользователь, который выполняет эту операцию, должен обладать соответствующими правами. Если их недостаточно для выполнения вышеуказанной инструкции, следуйте алгоритму:

  1. Правой клавишей мышки щелкайте по субкаталогу, указанному в п. 3.
  2. Найдите в открывшемся ниспадающем списке пункт «Разрешения» и жмите на него.
  3. Задайте группу «Администраторы».
  4. Установите флажок возле расширения «Полный доступ».
  5. Щелкните «Ok».

Чтобы получить доступ к операции изменения прав, если она недоступна:

  1. Жмите «Дополнительно».
  2. Щелкайте пункт «Изменить».
  3. Вводите адрес вашей действующей электронной почты – он должен быть связан с учетной записью в MS. В качестве альтернативы можно указать имя «учетки» в ОС.
  4. Кликайте «Ok».
  5. Отметьте флажком действие «Заменить владельца подконтейнеров и объектов».
  6. Снова щелкайте «Ok».

Не забудьте поставить галку возле разрешения «Полный доступ».

Одновременное использование Криптопро CSP и ViPNet CSP

Возможно ли? Нет. Сертифицированные версии криптоприложений в тандеме функционировать не будут. Одновременное использование ПО КриптоПро CSP и ViPNet CSP может серьезно навредить даже операционной системе. Причина в нюансах использования MS CryptoAPI каждым из криптомодулей.

API – аббревиатура, которая расшифровывается как Application Programming Interface. MS CryptoAPI – один из интерфейсов прикладного программирования ОС Windows. Именно он – «поставщик» сервисов шифрования для ОС и инсталлированных программ, функционирующих под ее контролем.

Функциональный набор опций включает и те, которые «разрешают» программным модулям кодировать информацию и различными способами визировать ЭП документацию, защищать персональные ключи. Они не требуют выполнения криптоопераций, но выступают посредниками между ПО и CSP – Cryptographic Service Provider (англ. поставщик сервиса шифрования).

Оба криптомодуля, рассматриваемых в этой статье, являются СКЗИ, выполняют приблизительно одинаковые операции и служат для решения схожих задач. Причем, если основная функция КриптоПро CSP всех версий, включая 4.0 и моложе – кодирование данных, то в ViPNet CSP 4.2 она является дополнением, которое можно отключить в настройках. На функциональности ПО это не сказывается – его можно будет продолжать использовать как почтового или VPN-клиента.

Конфликт стартует при попытке критопровайдеров заменять друг друга. Функционируя одновременно, оба вызовутся генерировать ЭЦП на базе выбранного вами ключа, стоит вам только попытаться визировать цифровой подписью какой-нибудь документ. Если один из них «не знает» заданного вами сертификата или ключа, случится сбой.

Оцените статью
© 2024 Советы по настройке компьютера