При э ксплуатац ии СКЗИ «КриптоПро CSP». версия 4.0 долж ны соблюдаться следующ ие сроки использования КриптоПро CSP. Правила пользования. административные шаблоны (ADM)».


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
127 018, Москва, Сущевский Вал, д.18

Телефон: (495) 9954820

Факс: (495) 995 4820

http://www.CryptoPro.ru


E
-
mail:
[email protected]














С
редство

Криптографической

З
ащиты


КриптоПро CSP

Версия 4.0 КС
2


2
-
Base

Правила пользования


88
-
0
1

9
5

01

Листов
57
























2016

г.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


2


Содержание

1. Аннотация

................................
................................
................................
................................
...................
4

2. Назначение СКЗИ. Условия эксплуатации

................................
................................
................................
..
5

3. Порядок распространения СКЗИ

................................
................................
................................
.................
7

4. Основные технические данные и характеристики

................................
................................
......................
8

4.1. СКЗИ функционирует
в следующих программно
-
аппаратных средах:

................................
...........................
8

4.
2. Ключевая система и ключевые носители
................................
................................
................................
.
9

4.2.1.Ключевой носитель

................................
................................
................................
................................
9

4.2.2.Размеры и сроки действия ключей

................................
................................
................................
......
10

4.2.3.Хранение ключевых носителей
................................
................................
................................
............
11

4.2.4.Уничтожение ключей на ключевых носителях
................................
................................
.....................
12

5. Состав СКЗИ
................................
................................
................................
................................
..............
14

5.1. Состав подсистемы СФК
................................
................................
................................
.........................
14

6. Обеспечение контроля целостности

................................
................................
................................
.........
16

6.1. Контроль целостности ПО СКЗИ КриптоПро CSP
................................
................................
....................
16

7. Требования по встраиванию и использованию ПО СКЗИ
................................
................................
..........
17

8. Требования по защите от НСД

................................
................................
................................
..................
18

8.1. Общие требования по организации работы по защите от НСД

................................
..............................
18

8.2. Требования по разме
щению технических средств с установленным СКЗИ
................................
............
18

8.3. Требования по установке СКЗИ, общесистемного и специального ПО на ПЭВМ
................................
....
19

8.4. Меры по обеспечению защиты от НСД
................................
................................
................................
...
20

8.5. Действия при компрометации ключей

................................
................................
................................
...
23

8.6. Требования по подключению СКЗИ для раб
оты по общедоступным каналам передачи данных

...........
23

8.7. Требования по использованию в СКЗИ программно
-
аппаратных средств защиты от НСД

....................
24

8.7.1.Электронный замок «Соболь»
................................
................................
................................
..............
24

9. Установка дистрибутивов ПО СКЗИ
................................
................................
................................
...........
26

10. Нештатные ситуации при эксплуатации СКЗИ

................................
................................
........................
27

11. Встраивание СКЗИ

................................
................................
................................
................................
..
29

12. Использование программных интерфейсов

................................
................................
............................
31

Приложение 1.Контроль целостности программного обеспечения

................................
...............................
32

Приложение 2.Перечень вызовов, использование которых при разработке систем на основе СКЗИ
«КриптоПро CSP» возможно без допол
нительных тематических исследований:
................................
..........
35

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


3


Литература
................................
................................
................................
................................
....................
56

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


4


1.

Аннотация

Данный документ содержит правила пользования средства криптографической защиты
информации (СКЗИ)

«
КриптоПро CSP
»

верси
я

4
.
0
, его состав, назначение,
ключевую систему,

требования
по защите

от НСД.

Документ предназначен для администраторов информационной безопасности учреждений,
осуществляющих установку, обслуживание контроль за соблюдением требований
к эксплуатации средств
СКЗИ, а также администраторам Серверов, сетевых ресурсов предприятия и других работников службы
информационной безопасности, осуществляющим настройку рабочих мест для работы со средствами
СКЗИ.

Инструкции администраторам безопасности

и пользователям различных автоматизированных
систем, использующих СКЗИ
«
КриптоПро CSP
»

версия 4.0
должны разрабатываться с учетом требований
настоящих Правил.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


5


2.


Назначение
СКЗИ. Условия эксплуатации

СКЗИ
«КриптоПро CSP»

версия 4.0
предназначено для защиты
открытой информации в
информационных системах общего пользования (вычисление и проверка ЭП) и защиты конфиденциальной
информации, не содержащей сведений, составляющих государственную тайну, в корпоративных
информационных системах (шифрование и расшифровани
е информации, вычисление и проверка
имитовставки, вычисление значения хэш
-
функции, вычисление и проверка ЭП).

При эксплуатации СКЗИ
«КриптоПро CSP» версия 4.0

должны выполняться следующие
требования:



Средствами СКЗИ не допускается обрабатывать информацию,
содержащую сведения,
сост
авляющие государственную тайну.



Допускается использование СКЗИ для криптографической защиты персональных данных.



Ключевая информация является конфиденциальной.



Срок действия ключа проверки ЭП


не более 15 лет после окончания срока

действия
соответствующего ключа ЭП.



Внешняя гамма, используемая для инициализации состояния программного ДСЧ, является
конфиденциальной.



СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ
России. В случае их отсутствия ре
комендуется по возможности использовать существующие антивирусные
средства защиты. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в
автоматизированных системах.



Размещение СКЗИ в помещениях, предназначенных для ведения переговор
ов, в ходе которых
обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется
установленным порядком.



ПЭВМ, на которых используется СКЗИ, должны быть допущены для обработки конфиденциальной
информации по действующим в Росс
ийской Федерации требованиям по защите информации от утечки по

техническим каналам, в том числе, по каналу связи (например, СТР
-
К), с учетом модели угроз в
информационной системе заказчика, которым должно противостоять СКЗИ.



Инсталляция СКЗИ на рабочих мес
тах должна производиться только с дистрибутива, полученного
по доверенному каналу.



Встраивание СКЗИ в другие средства возможно только с использованием функций, указанных в
Приложении 2. В случае использования

прочих вызовов
функций программных интерфейсов
(уровней
встраивания) СКЗИ
необходимо производить разработку отдельного СКЗИ в соответствии с действующей
нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля
2012 г. № 313 и Положением о разработке, производстве
, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ
-
2005)).



При эксплуатации СКЗИ должны использоваться только сертификаты открытых ключей,
выпущенные доверенным органом сертификации. В качестве такого орга
на
должен выступать
сертифицированный ФСБ России

Удостоверяющий центр (УЦ), выпускающий сертификаты и
ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


6


поддерживающий списки отозванных сертификатов в соответствии с Регламентом УЦ, а также служба
корпоративной системы, обеспечивающая доверенные справочники

сертификатов открытых ключей с
поддержкой актуальности включаемых в справочники сертификатов.

Порядок организации и обеспечение безопасности хранения, обработки и передачи по каналам
связи с использованием средств криптографической защиты информации сведе
ний, составляющих
конфиденциальную информацию, осуществляется в соответствии с документами «Инструкция об
организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с
использованием средств криптографической защиты информации с
ограниченным доступом, не
содержащей сведений, составляющих государственную тайну» (Приказ ФАПСИ № 152 от 13 июня 2001
года), «Положение о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации» (Прик
аз ФСБ России № 66 от 9 февраля 2005 года) и
другими руководящими документами по обеспечению безопасности информации.

СКЗИ «КриптоПро
CSP
» версии 4.0 можно эксплуатировать со следующими программными
продуктами без проведения дополнительных тематических исс
ледований и/или оценки влияния:



приложения, входящие в состав ОС;



MS Outlook (Office 2003, Office 2007, Office 2010, Office 2013);



сервер
IIS
;

Следующие программные компоненты СКЗИ «КриптоПро
CSP
»

версии

4.0 можно использовать без
проведения дополнительных

тематических исследований:



приложение командной строки для подписи и шифрования файлов cryptcp;



приложение командной строки для работы с сертификатами certmgr;



приложение для создания TLS
-
туннеля stunnel.

Использование СКЗИ «КриптоПро CSP» версии 4.0 с вы
ключенным режимом усиленного контроля
использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00088
-
01
91 02. Руководство администратора безопасности. Windows, ЖТЯИ.00088
-
01 91 03. Руководство
администратора безопасности. Li
nux, ЖТЯИ.0008
8
-
01 91 04. Руководство администратора безопасности.
FreeBSD, ЖТЯИ.0008
8
-
01 91 05. Руководство администратора безопасности. Solaris, ЖТЯИ.00088
-
01 91 06.
Руководство администратора безопасности. AIX.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


7


3.

Порядок распространения СКЗИ

Установочные
модули СКЗИ «КриптоПро CSP» v 4.0 и комплект эксплуатационной документации к
нему могут поставляться пользователю Уполномоченной организацией двумя способами:

1. На носителе (CD, DVD
-

диски);

2. Посредством загрузки через Интернет.

Для получения возможнос
ти загрузки установочных модулей СКЗИ «КриптоПро CSP» v 4.0 и
комплекта эксплуатационной документации пользователь направляет свои учетные данные
Уполномоченной организации. Учетные данные могут быть направлены посредством заполнения
специализированной рег
истрационной формы на сайте Уполномоченной организации.

После получения Уполномоченной организацией учетных данных пользователю предоставляется
доступ на страницу загрузки установочных модулей СКЗИ «КриптоПро CSP» v 4.0 и комплекта
эксплуатационной докумен
тации. При загрузке пользователем установочных модулей СКЗИ «КриптоПро
CSP» v 4.0 и комплекта эксплуатационной документации Уполномоченной организацией присваивается
учетный номер, идентифицирующий экземпляр СКЗИ «КриптоПро CSP» v 4.0, предоставленный
поль
зователю.

На странице загрузки вместе с дистрибутивом и документацией размещается отделенная
электронная подпись (исключение: дистрибутивы на ОС
дополнительно
Windows содержат в себе
значение подписи в формате Microsoft Authenticode), для проверки которой
необходимо использовать
утилиту cpverify, полученную доверенным образом и содержащую ключ проверки данной электронной
подписи.

Установка СКЗИ «КриптоПро CSP» v 4.0 на рабочее место пользователя может быть осуществлена
только в случае подтверждения целостно
сти полученных установочных модулей СКЗИ «КриптоПро CSP» v
4.0 и эксплуатационной документации.




1.
Средство контроля целостности (cpverify.exe) первоначально должно быть получено
пользователем на физическом носителе в офисе компании ООО «КРИПТО
-
ПРО», ли
бо у
официального дилера. Такая утилита считается полученной доверенным образом.
Далее полученной доверенным образом признается очередная версия утилиты,
полученная любым образом, например, скаченная с сайта www.cryptopro.ru, при
условии, что она была пров
ерена другим экземпляром утилиты, полученным ранее
доверенным образом, и проверка была успешной.

2.
Ключ проверки ЭП, а также информация о нем (дата создания, алгоритм хэш
-
функции, идентификатор алгоритма подписи) записываются в исходный код утилиты
на эта
пе сборки.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


8


4.

Основные технические данные и характеристики

4.1.

СКЗИ функционирует
в следующих программно
-
аппаратных средах:

Windows

Включает программно
-
аппаратные среды:

Windows 7/8/8.1/Server 2003/2008 (x86, x64);

Windows Server 2008 R2/2012/2012 R2 (x64).

LSB

Linux

Включает

дистрибутивы

Linux,
удовлетворяющие

стандарту

Linux Standard Base ISO/IEC
23360
версии

LSB 4.
х
:

CentOS
4/5/6/7

(x86, x64
, POWER,
ARM);

ТД ОС АИС ФССП России (
GosLinux
) (
x
86,
x
64);

Red OS

(x86, x64)
;

Fedora 19/20 (x86, x64, ARM);

Mandriva En
terprise Server 5, Business Server 1 (x86, x64, ARM);

Oracle Linux
4/
5/6/7 (x86, x64);

ОpenSUSE 13.2
, Leap 42

(x86, x64, ARM);

SUSE Linux Enterprise
Server 11SP4/12, Desktop 12

(x86, x64
, POWER
, ARM);

Red Hat Enterprise Linux 4/5/6/7 (x86, x64
, POWER
, ARM)
;

Синтез
-
ОС
.PC

(x86, x64
, POWER
, ARM);

Ubuntu 10.04/12.04/12.10/13.04/14.04/14.10 (x86, x64
, POWER
, ARM);

Linux Mint 13/14/15/16/17 (x86, x64);

Debian
7/8

(x86, х64
, POWER
, ARM);

Astra Linux Special Edition

(x86
-
64
).

Unix

Включает программно
-
аппаратные сре
ды:

ALT Linux
7 (x86, x64, ARM);

ROSA 2011, Enterprise Desktop X.1 (Marathon), Enterprise Linux Server (x86, x64);

РОСА

ХРОМ
/
КОБАЛЬТ
/
НИКЕЛЬ

(
x
86,
x
64);

FreeBSD
9, pfSense 2.x (x86, x64);

AIX 5/6/7 (
POWER
);

Solaris

Включает

программно
-
аппаратные

среды
:

Sola
ris 10 (sparc, x86, x64);

Solaris 11 (sparc, x64).




ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


9


4.2.

К
лючевая система и ключевые носители

СКЗИ «КриптоПро CSP» v 4.0 является системой с открытым распределением ключей на основе
асимметричной криптографии с использованием закрытого ключа на одной стороне
и соответствующего
ему открытого ключа информационного взаимодействия на другой стороне.

Пользователь включается в систему и исключается из неё установленным Удостоверяющим
центром порядком.

Пользователь, обладающий правом подписи и/или шифрования данных,
вырабатывает на своем
рабочем месте или получает у администратора безопасности (в зависимости от принятой политики
безопасности) личные закрытый ключ (ключ ЭП) и открытый ключ (ключ проверки ЭП). На основе
каждого открытого ключа (ключа проверки ЭП) Удосто
веряющим Центром формируется сертификат
открытого ключа (сертификат ключа проверки ЭП).

4.2.1.

Ключевой носитель

В качестве к
лючевых носителей используются:




ГМД 3,5’’, USB диски
;



Смарткарты GEMALTO (GemSim1, GemSim2, Optelio, OptelioCL, OptelioCL2, Native)
;



eTok
en, Jacarta
;



USB
-
токены Рутокен ЭЦП (Flash, Bluetooth), Рутокен Lite
Rutoken S
;



Смарткарты Рутокен Lite SC, Рутокен ЭЦП SC
;



Рутокен S
;



Novacard
;



Смарткарты РИК (ОСКАР 1, ОСКАР 2, Магистра, TRUST, TRUSTS, TRUSTD)
;



Смарткарта УЭК
;



Смарткарта MS_KEY K
;



ESMART

Token
;



Смарткарты Athena IDProtect, MorphoKST, Cha cardOS, Cha JCOP;



Смарткарты Алиот INPASPOT Series, SCOne Series
;



Раздел HDD ПЭВМ (в Windows
-

реестр)
;



Идентификаторы Touch
-
Memory DS1995, DS1996
.


Использование ключевых носителей в зависимости от прогр
аммно
-
аппаратной платформы
отражено в ЖТЯИ.000
88
-
01 30 01. СКЗИ «КриптоПро
CSP

4.0». Формуляр, п. 3.8.





1.
Хранение закрытых ключей на HDD ПЭВМ и USB дисках (в реестре ОС Windows, в разделе
HDD при работе под управлением других ОС) допускается только при

условии распространения
на HDD, USB диск или на ПЭВМ с HDD требований по обращению с ключевыми носителями
(п.6.7 ЖТЯИ.00087
-
01 91 01. Руководство администратора безопасности общая часть).

2.
Все вышеперечисленные носители используютсядолжны использоваться
только в качестве
пассивного хранилища ключевой информации без использования криптографических
механизмов, реализованных на смарт
-
карте/токене.

3.
Использование носителей других типов
-

только по согласованию с ФСБ России.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


10



4.2.2.

Размеры и с
роки действия ключей


Длины ключей электронной подписи:


ключ электронной подписи

256 или 512 бит;

ключ проверки электронной подписи

512 или 1024 бит.

Длины ключей, используемых при шифровании:


закрытый ключ

256 бит или 512 бит;

открытый ключ

512 бит или 1024 бита;

си
мметричный ключ

256 бит.


При эксплуатации СКЗИ «КриптоПро
CSP
».
версия

4.0 должны соблюдаться следующие сроки
использования пользовательских закрытых ключей и сертификатов:


максимальный срок действия закрытого ключа ЭП
-
256 (ключа ЭП)
-

1 год 3 месяца;

м
аксимальный срок действия закрытого ключа ЭП
-
512 (ключа ЭП)
-

1 год 3 месяца;

максимальный срок действия открытого ключа ЭП
-
256 (ключа проверки ЭП)
-

15 лет;

максимальный срок действия открытого ключа ЭП
-
512 (ключа проверки ЭП)
-

15 лет;

максимальный срок
действия закрытых и открытых ключей обмена


1 год 3 месяца.


При формировании закрытого ключа в контейнер записывается дата истечения срока действия
этого ключа, по истечении которого в зависимости от настроек групповой политики возможны различные
вариант
ы использования этого ключа.

Значение «0»
групповой политики
не накладывает никаких ограничений на использование ключа;

Значение «1»
групповой политики
запрещает формирование ЭП и шифрование в контексте этого
ключа (возможно расшифрованные ранее зашифрова
нных сообщений);

Значение «2»
групповой политики
запрещает любые действия с закрытым ключом.


Срок действия ключа берется из (в порядке уменьшения приоритета):

1.

Расширения контейнера ключа;

2.

Р
асширения сертификата ключа;

3.

Даты создания ключа + 1 год 3 месяца.


Для операционных систем группы
Windows

выставить необходимое значение групповой политики
можно в Редакторе локальной групповой политики (Выполнить
-

gpedit
.
msc
), в разделе «Классические
ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


11


административные шаблоны (
ADM
)». Для ключей алгоритма ГОСТ

Р

34.10
-
2001 необходимо изменить
значение ключа реестра

HKEY
_
LOCAL
_
MACHINE
\
SOFTWARE
\
Policies
\
Crypto
-
Pro
\
CSP
\
ControlKeyTimeValidity
2001.

Выставление значения «0» для ключей алгоритма ГОСТ

Р

34.10
-
2001 не допускается.

Для ключей алгоритма ГОСТ

Р

34.10
-
2012 как для
коротких (256 бит), так и для длинных (512

бит)
необходимо изменить значение ключа реестра

HKEY_LOCAL_MACHINE
\
SOFTWARE
\
Policies
\
Crypto
-
Pro
\
CSP
\
ControlKeyTimeValidity
20
12
.

Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты
cpconfig

с помощью
команды

cpconfig
-
policy
-
set ControlKeyTimeValidity
2001(2012)

-
value
значение

.


4.2.3.

Хранение ключевых носителей

При хранении ключей необходимо обеспечить невозможность доступа к ключевым носителям не
допущенных к ним лиц. Пользователь несет персональную от
ветственность за хранение личных ключевых
носителей.

Запрещается оставлять без контроля вычислительные средства с установленным СКЗИ после ввода
ключевой информации.

В случае централизованного хранения ключевых носителей в организации, эксплуатирующей
СКЗИ
, администратор безопасности (если он имеется) несет персональную ответственность за хранение
личных ключевых носителей пользователей.

При хранении ключей в реестре Windows и на HDD ПЭВМ требования по хранению личных
ключевых носителей распространяются на
ПЭВМ (HDD ПЭВМ) (в том числе и после удаления ключей из
реестра, из HDD).

В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ
организационно
-
техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с
ключами
.

Пользователь, имеющий действующий сертификат и соответствующий ему ключ ЭП, в любой
момент времени (но не позднее недели) до окончания срока действия действующего закрытого ключа,
может произвести формирование нового ключа ЭП.

Формирование нового ключа Э
П, запроса на сертификат, передача запроса в ЦР и получение
сертификата производится согласно последовательности, описанной в разделе
8.5

«Формирование
ключей пользователя».

Ключевые носители с ключом ЭП, срок действия которого истек, уничтожаются путем
пе
реформатирования (очистки), о чем делается запись в «Журнале пользователя сети».

К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь,
следующие:



Потеря ключевых носителей.



Потеря ключевых носителей с их последующим обнаруж
ением.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


12




Увольнение сотрудников, имевших доступ к ключевой информации.



Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.



Возникновение подозрений на утечку информации или ее искажение в системе
конфиденциальной связи.



Нарушение печати на сейфе с ключевыми носителями.

Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том
числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность
того, что, данный факт

произошел в результате несанкционированных действий злоумышленника)

Различаются два вида компрометации закрытого ключа:
явная

и
неявная
. Первые четыре
события трактуются как явная компрометация ключей. Следу
ющие три
требуют специального
рассмотрения в каж
дом конкретном случае.

При компрометации ключа у пользователя он должен немедленно прекратить связь по сети с
другими пользователями.

Пользователь (или администратор безопасности организации) должен немедленно известить ЦР
(УЦ) о компрометации ключей польз
ователя.

Информация о компрометации может передаваться в УЦ по телефону с сообщением заранее
условленного пароля, зарегистрированного в «Карточке оповещения о компрометации».

После компрометации ключей пользователь формирует новый закрытый ключ и запрос на

сертификат. Так как пользователь не может использовать скомпрометированный ключ для формирования
ЭП и передачи запроса в защищенном виде по сети, запрос на сертификат вместе с бланками
доставляется лично пользователем (администратором безопасности) в Цент
р Регистрации.

При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту.

СКЗИ может функционировать и хранить ключевую информацию в двух режимах:



в памяти приложения;



в «Службе хранения ключей», реализованной в виде системного сервиса.

Ключ
и находятся в кэше до завершения приложения или до выключения компьютера (остановки
службы), что позволяет использовать закрытый ключ даже после закрытия криптографического
контекста.

Функционирование и хранение ключей СКЗИ «КриптоПро CSP». v 4.0 в «Службе

хранения
ключей» обеспечивает дополнительную защиту ключевой информации от других приложений,
выполняющихся на ПЭВМ, но может незначительно замедлить производительность системы.

В случае необходимости проведения ремонтных и регламентных работ аппаратной ч
асти
СКЗИ/СФК необходимо обеспечить невозможность доступа нарушителя к ключевой информации,
содержащейся в аппаратной части СКЗИ/СФК. Конкретный перечень мер должен быть определен исходя
из условий эксплуатации СКЗИ.

4.2.4.

Уничтожение ключей на ключевых носителя
х

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


13


Ключи на ключевых носителях (включая Touch Memory и смарт
-
карты), срок действия которых
истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего
ключевые носители могут использоваться для записи на них новой ключевой

информации.

Об уничтожении ключей делается соответствующая запись в «Журнале пользователя сети» (см.
Ведение журналов п.8.11).

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


14


5.

С
остав СКЗИ

Исполнение
2
-
Base класса защиты КС
2

выполнено в следующем составе:



криптосервис;



криптодрайвер;



модуль сетевой аутен
тификации (КриптоПро TLS);



модуль обработки сертификатов и CMS протокола;



утилита выработки внешней гаммы;



утилита командной строки для шифрования файлов;



утилита командной строки для работы с сертификатами;



модуль аутентификации пользователя в домене Wind
ows;



пакет разработчика для использования протоколов IPsec (IPsec SDK);



пакет разработчика для встраивания СКЗИ (CSP SDK);



модуль поддержки интерфейса Mozilla NSS;



сервисные

модули

(cpverify, wipefile, stunnel);



библиотека, обеспечивающая подключение и фун
кционирование ключевых носителей
(RDK)



и функционирует в группах программно
-
аппаратных сред п.
4
.


СКЗИ
«КриптоПро CSP»
v

4.0

функционирует на одном из двух уровней:




уровень приложения;



уровень ядра ОС.


В состав
СКЗИ
«КриптоПро CSP»
v

4.0

входят:




Библиот
еки dll, сервисы, драйверы
«
КриптоПро CSP
»
.



Модуль сетевой аутентификации
«
КриптоПро TLS
»
.



Модуль
«
КриптоПро Winlogon
»
.



Криптографический интерфейс
«
КриптоПро CSP
»
.



Программный датчик случайных чисел (ПДСЧ) с инсталляцией от физического ДСЧ
(ФДСЧ) встраив
аемого программно
-
аппаратного
комплекса (ПАК) защиты от НСД
, внешней
гаммы.



Контроль целостности программного обеспечения.



Система инженерно
-
криптографической защиты.



Система защиты от НСД (используется опционально).



5.1.

Состав
подсистемы
СФК

Приложение (Пр
икладное программное обеспечение, использующее СКЗИ).

Интерфейс SSPI (подмножество интерфейса криптографических протоколов Secure Support
Provider Interface (SSPI, CryptoAPI v. 2.0) для реализации протокола сетевой аутентификации TLS v. 1.0
(под управление
м ОС Windows).

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


15


Модули настройки ОС Windows для обеспечения функционирования СКЗИ.

Интерфейс CryptoAPI 2.0.

Средства Crypt32(Win32,64) для обеспечения работы с сертификатами с использованием
интерфейса CryptoAPI 2.0 через криптографический интерфейс «Крипто
Про CSP» под управлением ОС
Windows.

Средства CapiLite
-

для обеспечения работы с сертификатами с использованием интерфейса
CryptoAPI 2.0 через криптографический интерфейс «КриптоПро CSP» под управлением ОС семейства UNIX
(Linux , FreeBSD, Solaris, AIX).

Криптографический интерфейс «КриптоПро CSP».

Штатные интерфейсы ключевых носителей.

ASN.1
-

система кодирования/декодирования данных в форматах ASN.1.


Состав модулей СКЗИ и подсистемы программной СФК для соответствующих программно
-
аппаратных сред конкрети
зируется в дополнениях ЖТЯИ.000
88
-
01 91 02, ЖТЯИ.000
88
-
01 91 03,
ЖТЯИ.000
88
-
01 91 04, ЖТЯИ.000
88
-
01 91 05, ЖТЯИ.000
88
-
01 91 06
к настоящему документу.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


16


6.

Обеспечение контроля целостности

6.1.

Контроль целостности ПО СКЗИ
КриптоПро CSP

Контроль целостности дистриб
утива обеспечивается при помощи утилиты cpverify.exe,

полученной
доверенным способом в соответствии с Приложением 1.

СКЗИ
КриптоПро CSP

позволяет осуществлять динамический контроль целостности ПО.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


17


7.

Требования по встраиванию и использованию ПО СКЗИ

В
страиван
ие СКЗИ
в защищаемые информационные системы должно
производить
ся в

соответствии
с Положением ПКЗ
-
2005
. В
страивание
должны проводить
организации, имеющие лицензию на право
проведения таких работ.

При создании
защищенной информационной системы должны быть оп
ределены модель возможных
угроз и политика ее безопасности. В зависимости от политики безопасности определяется необходимый
набор криптографических функций и организационно
-
технических мер, реализуемых в создаваемой
системе.

Защита от закладок, вирусов, мо
дификации системного и прикладного ПО должна быть обеспечена
использованием, средств антивирусной защиты и организационных мероприятий.


Правила встраивания и использования СКЗИ

При встраивании СКЗИ
КриптоПро CSP

в прикладное программное обеспечение или и
спользовании
его в составе стандартного прикладного ПО должны выполняться следующие требования:

1.

При использовании открытого ключа или ключа проверки ЭП должны быть обеспечены его
авторизация, достоверность, целостность и идентичность

с помощью процедур Удо
стоверяющего центра.

2.

При использовании сертификатов открытых ключей и ключей проверки ЭП, заверенных
подписью доверенной стороны, должна быть обеспечена безопасная доставка и хранение сертификата
ключа доверенной стороны, с использованием которого проверяю
тся остальные сертификаты ключей
проверки ЭП пользователей.

3.

Криптографическое средство, с помощью которого производится заверение ключей проверки
ЭП, открытых ключей или справочников открытых ключей, должно быть сертифицировано по классу,
соответствующему
принятой политике безопасности.

4.

Для отзыва (вывода из действия) открытых ключей и ключей проверки ЭП должны
использоваться средства, позволяющие произвести авторизацию отзывающего лица (в этих целях может
быть использован список отозванных сертификатов, за
веренный ЭП доверенной стороны).

5.

При вызове
п
риложением функции СКЗИ в прикладном программном обеспечении должна быть
предусмотрена проверка кода завершения вызываемой функции.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


18


8.

Требования по защите от НСД

8.1.

Общие требования по организации работ
ы

п
о

защите о
т
НСД

Защита аппаратного и программного обеспечения от НСД при установке и использовании СКЗИ
является составной частью общей задачи обеспечения безопасности информации в системе, в состав
которой входит СКЗИ.

Наряду с применением средств защиты от НСД нео
бходимо выполнение приведенных ниже
организационно
-
техни
ческих и административных мер
по обеспечению правильного функционирования
средств обработки и передачи информации, а также установление соответствующих правил для
обслуживающего персонала, допущенного

к работе с конфиденциальной информацией.

Защита информации от НСД должна обеспечиваться на всех технологических этапах обработки
информации и во всех режимах функционирования, в том числе при проведении ремонтных и
регламентных работ.

Защита информации от

НСД должна предусматривать контроль эффективности средств защиты от
НСД. Этот контроль должен периодически выполняться администратором безопасности на основе
требований документации на средства защиты от НСД.

В организации, эксплуатирующей СКЗИ, должен бы
ть назначен администратор безопасности, на
которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих
инструкций для пользователей, а также контроль за соблюдением требований по безопасности.

Администратор безопасности н
е должен иметь возможност
и

доступа к
конфиденциальной информации пользователей.

Правом доступа к рабочим местам с установленными СКЗИ должны обладать только определенные
для эксплуатации лица, прошедшие соответствующую подготовку. Администратор безопасност
и должен
ознакомить каждого пользователя, применяющего СКЗИ, с документацией на СКЗИ, а также с другими
нормативными документами, созданными на её основе.


8.2.

Требования
по размещению технических средств с установленным СКЗИ

При размещении технических средств

с установленным СКЗИ:




Должны быть приняты меры по исключению несанкционированного доступа в помещения, в
которых размещены технические средства с установленным СКЗИ, посторонних лиц, по роду своей
деятельности не являющихся персоналом, допущенным к работ
е в этих помещениях. В случае
необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль
за их действиями и обеспечена невозможность негативных действий с их стороны на СКЗИ, технические
средства, на которых эксплуатиру
ется СКЗИ и защищаемую информацию.



Должны быть приняты меры, исключающие несанкционированное вскрытие корпусов и средств,
входящих в состав СКЗИ.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


19





Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях
должны обеспечивать исполн
ителям работ, сохранность доверенных им конфиденциальных документов и
сведений, включая ключевую информацию.



Размещение
СКЗИ
«КриптоПро
CSP
» версия 4.0

в помещениях, в которых осуществляется
обработка информации, содержащей сведения, составляющие государст
венную тайну, осуществляется
установленным порядком.



СКЗИ
«КриптоПро CSP» версия 4.0 вводиться в эксплуатацию и выводится из эксплуатации в
соотв
етствии с документацией на СКЗИ.


8.3.

Требования по установке СКЗИ, общесистемного и специального ПО на ПЭВМ

1.

ПЭВМ,
на которых используется
СКЗИ, должны быть допущены для обработки
конфиденциальной
информации по действующим в Российской Федерации требованиям по защите
информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР
-
К), с учетом
м
одели угроз в информационной системе заказчика, которым должно противостоять
СКЗИ
«КриптоПро
CSP» версия 4.0
.

2.

Инсталляция
СКЗИ
«КриптоПро CSP» версия 4.0

на рабочих местах должна производиться
только с
дистрибутива, полученного по доверенному каналу.

3.

К уст
ановке общесистемного и специального программного обеспечения, а также
СКЗИ
«КриптоПро CSP» версия 4.0
, допускаются лица, прошедшие соответствующую подготовку и изучившие
документацию на соответствующее ПО и на СКЗИ.

4.

При установке программного обеспечения
СКЗИ
«КриптоПро CSP» версия 4.0

следует:

5.

На технических средствах, предназначенных для работы с СКЗИ, использовать только
лицензионное программное обеспечение фирм
-

изготовителей.

6.

При установке ПО СКЗИ на ПЭВМ должен быть обеспечен контроль целостности и
достоверность
дистрибутива СКЗИ и совместно поставляемых с СКЗИ компонент СФК.

7.

На ПЭВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства
отладки приложений нужны для технологических потребностей организации, то их использование до
лжно
быть санкционировано администратором безопасности. При этом должны быть реализованы меры,
исключающие возможность использования этих средств для редактирования кода и памяти СКЗИ и
приложений, использующих СКЗИ, а также для просмотра кода и памяти СКЗ
И и приложений,
использующих СКЗИ, в процессе обработки СКЗИ защищаемой информации и/или при загруженной
ключевой информации.



Предусмотреть меры, исключающие возможность несанкционированного не обнаруживаемого
изменения аппаратной части технических средств
, на которых установлены СКЗИ (например, путем
опечатывания системного блока и разъемов ПЭВМ).



После завершения процесса установки должны быть выполнены действия, необходимые для
осуществления периодического контроля целостности установленного ПО СКЗИ, а т
акже его окружения в
соответствии с документацией.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


20




Программное обеспечение, устанавливаемое на ПЭВМ с СКЗИ не должно содержать
возможностей, позволяющих:



модифицировать содержимое произвольных областей памяти;



модифицировать собственный код и код других по
дпрограмм;



м
одифицировать память, выделенную для других подпрограмм;



передавать управление в область собственных данных и данных других подпрограмм;



несанкционированно модифицировать файлы, содержащие исполняемые коды при их
хранении на жестком диске;



повы
шать предоставленные привилегии;



модифицировать настройки ОС;



использовать недокументированные фирмой
-
разработчиком функции ОС.


8.4.

Меры по обеспечению защиты от НСД

При использовании СКЗИ дол
жны выполняться следующие меры
по защите информации от НСД:



н
еобход
имо разработать и применить политику назначения и смены паролей (для входа в ОС,
BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими
правилами:



длина пароля должна быть не менее
8

символов;



в числе символов пар
оля обязательно должны присутствовать буквы в верхнем и нижнем
регистрах, цифры и специальные символы (@, #, $, , *, % и т.п .);



пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.
д.), а также общепринятые сокращени
я (USER, ADMIN, ALEX и т. д.);



при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4
-
x
позициях;



личный пароль пользователь не имеет права сообщать никому;



периодичность смены пароля определяется принятой политикой безопасности,

но не должна
превышать 6 месяцев.



у
казанная политика обязательна для всех учетных записей, зарегистрированных в ОС.



с
редствами BIOS должна быть исключена возможность работы на ПЭВМ с СКЗИ, если во время её
начальной загрузки не проходят встроенные тесты.



администратор безопасности (если он имеется) несет персональную ответственность за хранение
личных ключевых носителей пользователей.


ЗАПРЕЩАЕТСЯ:



оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ

(в том
числе смарт
-
карты)
, по
сле ввода ключевой информации либо иной конфиденциальной информации;



вносить какие
-
либо изменения в программное обеспечение СКЗИ;

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


21




осуществлять несанкционированное администратором безопасности копирование ключевых
носителей;



разглашать содержимое носителей
ключевой информации или передавать сами носители лицам,
к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т.п. иные средства
отображения информации;



использовать ключевые носители в режимах, не предусмотренных функционированием СКЗИ;



записывать на ключевые носители постороннюю информацию;


Администратор безопасности должен сконфигурировать операционную систему, в среде которой
планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в
соответствии со след
ующими требованиями:



не использовать нестандартные, измененные или отладочные версии ОС.



исключить возможность загрузки и использования ОС, отличной от предусмотренной штатной
работой.



исключить возможность удаленного управления, администрирования и модифи
кации ОС и её
настроек.



на ПЭВМ должна быть установлена только одна операционная система.



правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.



все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы
и т.п.).



режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень.



всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально
возможные для нормальной работы права.



необходимо предусмотреть меры, ма
ксимально ограничивающие доступ к следующим ресурсам
системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой
части):



системный реестр;



файлы и каталоги;



временные файлы;



журналы системы;



файлы подкачки;



кэшируемая информ
ация (пароли и т.п.);



отладочная информация.


Кроме того, необходимо организовать стирание (по окончании сеанса работы СКЗИ) временных
файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это не
выполнимо, то на жесткий дис
к должны распространяться требования, предъявляемые к ключевым
носителям.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


22





должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками ОС,
повышать предоставленные привилегии.




необходимо регулярно устанавливать пакеты обновления бе
зопасности ОС (Service Packs, Hot fix
и т.п.), обн
овлять антивирусные базы, а так
же исследовать информационные ресурсы по вопросам
компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного
воздействия на ОС.




в случае по
дключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных,
необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (например,
JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без

проведения
соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых
из сети.




при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью
исключения возможности несанкционированного доступа к с
истемным ресурсам используемых
операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к
компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные мет
оды и
средства защиты (например,

установка меж
сетевых экранов, организация VPN сетей и т.п.). При этом
предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по
сертификации.




организовать и использовать систему аудита, организовать регулярный анализ результатов
ауд
ита.




организовать и использовать комплекс мероприятий антивирусной защиты.




должно быть запрещено использование СКЗИ для защиты речевой информации.




должна быть запрещена работа СКЗИ при включ
енных в ПЭВМ штатных средствах
выхода в
радиоканал.



Использоват
ь ключи свыше срока, указанного в настоящих правилах.



о
существлять несанкционированное копирование ключевых носителей.



р
азглашать содержимое носителей ключевой информации или передавать сами носители лицам,
к ним не допущенным, выводить ключевую информацию

на дисплей и принтер (за исключением случаев,
предусмотренных данными правилами).



в
ставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным
режимом использования ключевого носителя.



п
одключать к ПЭВМ дополнительные устройст
ва и соединители, не предусмотренные штатной
комплектацией.



р
аботать на компьютере, если во время его начальной загрузки не проходит встроенный тест
ОЗУ, предусмотренный в ПЭВМ.



в
носить какие
-
либо изменения в программное обеспечение СКЗИ.



и
зменять настройк
и, установленные программой установки СКЗИ или администратором.



и
спользовать синхропосылки, вырабатываемые не средствами СКЗИ.



о
брабатывать на ПЭВМ, оснащенной СКЗИ, информацию, содержащую государственную тайну.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


23




и
спользовать бывшие в работе ключевые носите
ли для записи новой информации без
предварительного уничтожения на них ключевой информации средствами СКЗИ КриптоПро CSP.



о
существлять несанкционированное вскрытие системных блоков ПЭВМ.



п
риносить и использовать в помещении, где размещены средства СКЗИ, ра
диотелефоны и другую
радиопередающую аппаратуру (требование носит рекомендательный характер).

Рекомендуется аппаратуру, на которой устанавливается СКЗИ, проверить на отсутствие
аппаратных закладок.


8.5.

Действия при компрометации ключей

В случае компрометации

ключей по факту компрометации должно быть проведено служебное
расследование. Скомпрометированные ключи выводятся из действия.

Выведенные из действия скомпрометированные ключевые носители после провед
е
ния служебного
расследования уничтожаются, о чем делает
ся запись в
«
Журнале пользователя сети
»
.

Скомпрометированные ключи подлежат замене.

Подробные действия при компрометации ключей описаны в п. 6.8 документа
«
ЖТЯИ.000
88
-
01

9
1

0
1
. Руководство

администратора безопасности. Общая часть.
»


8.6.

Требования по подключе
нию СКЗИ для работы по общедоступным каналам
передачи данных

1.

Порядок подключения СКЗИ к каналам связи должен быть определен эксплуатирующей
организацией. Лицом, ответственным за безопасность работы СКЗИ по общедоступным каналам, как
правило, должен быть а
дминистратор безопасности.

2.

При подключении СКЗИ к общедоступным каналам передачи данных должна быть обеспечена
безопасность защищенной связи. При этом должны быть определены:



Порядок подключения СКЗИ к каналам.



Л
ицо, ответственное за безопасность работы
по общедоступным каналам.



Разработан типовой регламент защищенной связи, включающий:



политику безопасности защищенной связи.



допустимый состав прикладных программных средств, для которого должно быть исследовано
и обосновано отсутствие негативного влияния
на СКЗИ по каналу передачи данных.



перечень допустимых сетевых протоколов.



защиту сетевых соединений (перечень допустимых сетевых экранов).



система и средства антивирусной защиты.


3.

Перечень стандартных средств ОС, может включаться администратором в типо
вой регламент
без проведения дополнительных исследований по оценке их влияния на СКЗИ. При этом должны
выполняться:



своевременное обновление

программных средств, включенных в состав регламента.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


24




контроль среды функционирования СКЗИ.



определение и контроль
за использованием сетевых протоколов.



соблюдение правил пользования СКЗИ и средой функционирования СКЗИ.

4.

Должен быть обеспечен организационно
-
технический контроль запросов на установление
соединения абонентов по протоколу
TLS

с использованием эфемерных клю
чей,
исключающих

возможность использования абонентом не своих атрибутов соединения (такие, как
Client
_
Id

и т.п.).

5.

При использовании СКЗИ с другими стандартными программными средствами, возможность
подключения СКЗИ к общедоступным каналам передачи данных до
лжна быть определена только после
проведения дополнительных исследований с оценкой невозможности негативного влияния нарушителя на
функционирование СКЗИ, использующего возможности общедоступных каналов.

6.

При установке параметров, позволяющих создавать соед
инения, отличные от криптографически
защищенных, в соответствии с настоящими правилами (
TLS

на основе сертификатов ключей ГОСТ Р 34.10
-
2001), должны быть приняты меры, исключающие утечку требующей защиты информации с защищаемого
объекта информации. Проверк
а достаточности принятых мер защиты проводится при аттестации объекта
информатизации с СКЗИ по требованиям информационной безопасности.


8.7.

Требования по использованию в СКЗИ программно
-
аппаратных средств защиты от
НСД

В качестве программно
-
аппаратных средств

защиты от НСД в СКЗИ мо
жет

использоваться
сертифицированн
ый

электронный замок «Соболь».


8.7.1.

Электронный замок
«
Соболь
»

Система
Электронный замок

предназначена для организации защиты компьютера от входа
посторонних пользователей. Под посторонними пользователя
ми понимаются все лица, не
зарегистрированные в системе
Электронный замок

как пользователи данного компьютера.

Э
лектронный замок
«
Соболь
»

используется на платформах



Windows (
платформа

IA32);



Linux (
платформа

IA32);



FreeBSD

7/8/9/10

(платформа
IA
32);



S
olaris
10
/
1
1

(
платформа

IA32).


Электронный замок
«
Соболь
»

обеспечивает:



регистрацию пользователей компьютера и назначение им персональных идентификаторов и
паролей на вход в систему;



запрос персонального идентификатора и пароля пользователя при загрузке к
омпьютера;



возможность блокирования входа в систему зарегистрированного пользователя;



ведение системного журнала, в котором производится регистрация событий, имеющих отношение
к безопасности системы;

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


25




контроль целостности файлов на жестком диске (только в О
С Windows);



контроль целостности физ
ических секторов жесткого диска

(только в ОС Windows);



аппаратную защиту от несанкционированной загрузки операционной системы с гибкого диска и
CD
-
ROM диска.

Установка и настройка электронного замка на АРМ пользователя д
олжна производиться в
соответствии с эксплуатационной документацией. Перед эксплуатацией электронного замка в составе АРМ
пользователя необходимо ознакомиться с комплектом документации (в соответствии с паспортом
УВАЛ.00300
-
04 ПС
/

КБДЖ.468243.067 ТУ
) на да
нный комплекс и принять рекомендуемые в документации
защитные организационные меры.

Настройка электронного замка на требуемую конфигурацию выполняется администратором
безопасности. Настройка должна исключать возможность вмешательства пользователя в процесс
ы
загрузки операционной системы и прикладного ПО и проверки целостности программной среды.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


26


9.

Установка дистрибутивов ПО СКЗИ

Установка ПО
«КриптоПро
CSP
» версия 4.0
в зависимости от используемой платформы
производится в соответствии с дополнениями ЖТЯИ.
000
8
8
-
01

9
1

02
, ЖТЯИ.
000
88
-
01

9
1 0
3
, ЖТЯИ.
000
88
-
01

9
1

0
4
,
ЖТЯИ.
000
88
-
01

9
1

0
5,
ЖТЯИ.
000
88
-
01

9
1

0
6
,
к документу ЖТЯИ.
000
88
-
01

9
1

0
1
.
КриптоПро
CSP
. Руководство администрат
ора безопасности. Общая часть
»
.

Уста
новка дистрибутива
КриптоПро CSP

должна производиться пользователем, имеющим права
администратора.

Перед установкой необходимо осуществить контроль целостности
установочных модулей
дистрибутива

при помощи утилиты
cpverify
.
exe
,

входящей в состав дистрибутив
а СКЗИ
КриптоПро CSP
.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


27


10.

Нештатные ситуации при эксплуатации СКЗИ

Ниже приведен основной перечень нештатных ситуаций и соответствующие действия персонала
при их возникновении.

Таблица 1

-

Действия персонала в нештатных ситуациях


п/п

Нештатная ситуация

Дейст
вия персонала

1.


Эвакуация, угроза
нападения, взрыва и
т.п., стихийные
бедствия, аварии общего
характера в Центре
управления ключевой
системой.

Остановить все ЭВМ.

Персонал, имеющий доступ к ключам, обязан сдать все имеющиеся у
него в наличии ключевые носит
ели администратору безопасности.

Администратор безопасности упаковывает все ключевые носители,
регистрационные карточки сертификатов открытых ключей
пользователей, сертификаты ключей проверки ЭП пользователей в
опечатываемый контейнер, который выносит в бе
зопасное помещение
или здание. Опечатанный контейнер должен находиться под охраной
до окончания действия нештатной ситуации и восстановления
нормальной работы аппаратных и программных средств СКЗИ.

Администратор безопасности оповещает по телефонным каналам

общего пользования всех пользователей о приостановке работы
системы.

В случае наступления события, повлекшего за собой долговременный
выход из строя аппаратных средств СКЗИ, администратор
безопасности уничтожает всю ключевую информацию с носителей,
находя
щихся в контейнере.

2.


Компрометация одного
из личных ключевых
носителей.

Порядок действий при компрометации ключей описан в разделе
9.5

«
Действия при компрометации ключей
»
.

3.


Выход из строя первого
личного ключевого
носителя.


Необходимо сообщить по телефо
ну в УЦ о факте вых
ода из строя
личного ключевого
носителя и обеспечить его доставку в УЦ для
выяснения причин выхода из строя. Для работы используется второй
личный ключевой носитель.

4.


Выход из строя второго
личного ключевого
носителя (при условии,
что первый тоже вышел
из строя).

Пользователь, у которого вышли из строя оба личных ключевых
носителя, является в УЦ для повторной регистрации (без изменения
данных регистрации).

5.


Отказы и сб
ои в работе
аппаратной части АРМ со
встроенной СКЗИ.

При отказах и сбоях в работе аппаратной части АРМ со встроенной
СКЗИ необходимо остановить работу, по возможности локализовать
неисправность и в дальнейшем произвести ремонт в установленном
порядке и, пр
и необходимости, переустановку СКЗИ.

6.


Отказы и сбои в работе
средств защиты от НСД.

При отказах и сбоях в работе средств защиты от НСД, администратор
безопасности, должен восстановить работоспособность средств НСД.
При необходимости переустановить програм
мно
-
аппаратные средства
НСД.


7.


Утеря личного ключевого
носителя.

Утеря личного ключевого носителя приводит к компрометации
хранящегося в нем ключа.

Порядок действий при компрометации ключей описан в разделе
9.5
«
Действия при компрометации ключей
»
.

8.


Отказ
ы и сбои в работе
программных средств
При отказах и сбоях в работе прог
раммных средств, вследствие не
выявленных ранее ошибок в программном обеспечении, необходимо
ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


28



п/п

Нештатная ситуация

Дейст
вия персонала

вследствие не
выявленных ранее
ошибок в программном
обеспечении.

остановить работу, локализо
вать по возможности причину отказов и
сбоев и вызвать разработчика данного ПО или его представителя для
устранения причин, вызывающих отказы и сбои.

9.


Отказы в работе
программных средств
вследствие случайного
или умышленного их
повреждения.

При отказах в р
аботе программных средств, вследствие случайного
или умышленного их повреждения, лицо, ответственное за
безопасность функционирования программных и аппаратных средств,
обязано произвести служебное расследование по данному факту с
целью установления причины

отказа и восстановления правильной
работы программных средств в установленном порядке.

10.


Отказы в работе
программных средств
вследствие ошибок
оператора.

При отказах в работе программных средств, вследствие ошибок
оператора, оператор сообщает о данном фак
те лицу, ответственному
за безопасность функционирования программных и аппаратных
средств. Ответственный за безопасность функционирования
программных и аппаратных средств дает соответствующие указания
обслуживающему персоналу по восстановлению правильной р
аботы
программных средств в установленном порядке.


Все нештатные ситуации должны отражатьс
я в
«
Журнале пользователя сети
»
.

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


29


11.

Встраивание
СКЗИ

При встраивании
СКЗИ

«
КриптоПро CSP
»

в прикладные системы необходимо проводить
о
ценк
у

влияния аппаратных, программ
но
-
аппаратных и программных средств сети (системы) конфиденциальной
связи, совместно с к
о
торыми предполагается штатное функционирование
СКЗИ
, на выполнение
предъявленных к
СКЗИ

требований
в следующих случ
а
ях:

1)

если информация конфиденциального характера под
лежит защите в соответствии с
законодательством Российской Федерации;

2)

при организации криптографической защиты информации конфиденциального характера в
федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской
Федерации
(далее
-

государственные органы);

3)

при организации криптографической защиты информации конфиденциального характера в
организациях независимо от их организационно
-
правовой формы и формы собственности при выполнении
ими заказов на поставку товаров, выполнение

работ или оказание услуг для государственных нужд (далее
-

организации, выполняющие государственные заказы);

4)

если обязательность защиты информации конфиденциального характера возлагается
законодательством Российской Федерации на лиц, имеющих доступ к этой

информации или наделенных
полномочиями по распоряжению сведениями, содержащимися в данной информации;

5)

при обрабатывании информации конфиденциального характера, обладателем которой являются
государственные органы или организации, выполняющие государственны
е заказы, в случае принятия ими
мер по охране ее конфиденциальности путем использования средств криптографической защиты;

6)

при обрабатывании информации конфиденциального характера в государственных органах и в
организациях, выполняющих государственные заказ
ы, обладатель которой принимает меры к охране ее
конфиденциальности путем установления необходимости криптографической защиты данной информации.

Указанную проверку необходимо проводить по ТЗ,
согласованному с 8 Центром ФСБ России
.

Для исключения возможност
и влияния аппаратных компонентов СФК на функционирование СКЗИ
должны быть выполнены следующие требов
а
ния:



в ПО BIOS ПЭВМ должны быть определены установки, искл
ю
чающие возможность загрузки
операционной системы, отличной от установленной на ж
е
стком диске.



вх
од в
BIOS

ПЭВМ должен быть защищен паролем с длиной не менее 6 си
м
волов;



средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его
начальной загрузки не проходят встрое
н
ные тесты;



должно быть проведено опечатывание системного блок
а с уст
а
новленным СКЗИ, исключающее
возможность бесконтрольного изменения аппаратной части рабочей станции и подключения внешних
устройств.



установка СКЗИ производится только лицами, имеющими допуск к работам (в соответствии с
нормами по безопасности, прин
ятыми в о
р
ганизации);



подключаемое к ПЭВМ оборудование не должно создавать угроз безопасности ОС и СКЗИ,
установле
н
ных на ПЭВМ;

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


30




ПЭВМ, на которой устанавливается СКЗИ, должна выполнять процедуры самоконтроля основных
аппаратных компонентов после каждого сбр
оса системы включая момент п
о
явления питания;



к эксплуатации СКЗИ допускаются лица, прошедшие соответс
т
вующую подготовку и изучившие
эксплуатационную документ
а
цию на СКЗИ.



В условиях
:

-

если информация, обрабатываемая ПАК, подлежит защите в соответствии с
за
конодательством Российской Федер
а
ции;

-

при организации криптографической защиты информации в федеральных органах
исполнительной власти и в органах испо
л
нительной власти субъектов Российской
Федерации;

-

при организации криптографической защиты обрабатыва
е
мой
ПАК информации, в
организациях независимо от их организационно
-
правовой формы и формы собственности
при выполнении ими заказов на поставку товаров, выпо
л
нение работ или оказание услуг
для государственных нужд;

для ограничения возможности влияния аппаратных

компонентов СВТ на функционирование СКЗИ
необходимо проведение исследований на соо
т
ветствие ПО
BIOS

СВТ, на которых установлено СКЗИ
«
Временным мет
о
дическим рекомендациям к проведению исследований программного обеспечения
BIOS

по док
у
ментированным возможн
остям
»
.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


31


12.

Использование программных интерфейсов

Разработка программного обеспечения на основе СКЗИ
«
КриптоПро CSP
»

может производиться без
создания новых СКЗИ в случае использования вызовов из перечня
Приложен
ия

2
.

В случае использования прочих вызовов необ
ходимо производить разработку отдельного СКЗИ в
соответствии с действующей нормативной базой (в частности, с Постановлением Правительства
Российской Федерации от 16 апреля 2012 г. №313 и Положением о разработке, производстве, реализации
и эксплуатации шифр
овальных (криптографических) средств защиты и
нформации (Положение ПКЗ
-
2005)).

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


32


Приложение 1.
Контроль целостности программного обеспечения


Модуль cpverify.exe позволяет осуществлять контроль целостности установленного
программного обеспечения. Контроль цело
стности файлов осуществляется при загрузке файла
на исполнение (и периодически во время выполнения) или при ручном запуске программы
контроля целостности (см. опцию

rv ниже).

При помощи перечисленных ниже опций модуль cpverify.exe может быть использован д
ля
следующих контрольных целей:

cpverify

-
mk

filename

[
-
alg

algid
] [
-
inverted
_
halfbytes


inv
�]


вычисление значения
хэш
-
функции для файла с именем
filename

с помощью алгоритма
algid
. Поле
algid

может
принимать значения
GR3411, GR3411_2012_256
и

GR3411_2012
_512

(по умолчанию
используется
GR3411
)
.
[
-
inverted
_
halfbytes


inv
�]

указывается, если полубайты в
hashvalue

перевернуты (по умолчанию для
GR3411

inv

принимается равным «1», для алгоритмов
GR3411_2012_256
и

GR3411_2012_512

«0»).

cpverify

filename

[
-
alg

alg
id
] [
hashvalue
] [
-
inverted
_
halfbytes


inv
�]


проверка
целостности файла с именем
filename
, используя алгоритм
algid

и хэш
-
значение
hashvalue
.
Поле
algid

может принимать значения
GR3411, GR3411_2012_256
и

GR3411_2012_512

(по
умолчанию используется
GR3411
).

Если
hashvalue

не указан, то хэш
-
значение берется из
файла
filename
.
hsh
.
[
-
inverted
_
halfbytes


inv
�]

указывается, если полубайты в
hashvalue

перевернуты (по умолчанию для
GR3411

inv

принимается равным «1», для алгоритмов
GR3411_2012_256
и

GR3411_2012_512

«0»).

cpverify

-
rm

[
-
alg

algid
] [
catname
]

-

вычисление значения хэш
-
функции для каждого из
файлов, содержащихся в каталоге
catname

в разделе реестра (если
catname

не указан, то
будут пересчитаны все хэш
-
значения в разделе реестра)
. Текущее значение хэш
-
фун
кций при
этом заменяется на вновь посчитанное.

Поле
algid

может принимать значения
GR3411,
GR3411_2012_256
и

GR3411_2012_512

(по умолчанию используется
GR3411
).

cpverify


rv

[
catname
]
-

проверка целостности файлов из каталога
catname

в разделе
реестра (есл
и
catname

не указан, то будут
проверены

все
файлы

в разделе
реестра
).

cpverify

-
xm

in
_
file

out
_
file

[
-
alg

algid
] [
xmlcatname
]
-

вычисление значения хэш
-
функции
для файлов, перечисленных в
xml
-
файле с именем
in
_
file

в каталоге
xmlcatname

(если
xmlcatname

не
указан, то хэш
-
значения будут посчитаны для всех фалов, перечисленных в
xml
-
файле с именем
in
_
file
)
, и запись полученных значений в
xml
-
файл с именем
out
_
file
.
Текущее значение хэш
-
функций при этом заменяется на вновь посчитанное.

Поле
algid

может
принимат
ь значения
GR3411, GR3411_2012_256
и

GR3411_2012_512

(по умолчанию
используется
GR3411
).

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


33


cpverify


xv

in
_
file

[
xmlcatname
]
-

проверка целостности файлов
,

перечисленных в
xml
-
файле с именем
in
_
file

в

каталог
е

xmlcatname

(если
xmlcatname

не указан, то провер
ка
будет выполнена для всех фалов, перечисленных в
xml
-
файле с именем
in
_
file
).

cpverify


r
2
x

out
_
file

-

формирование
xml
-
файла с именем
out
_
file
, содержащего список

файлов, находящихся в разделе реестра под контролем целостности, и хэш
-
значения этих
файло
в.

cpverify


x
2
r

in
_
file

-

установ
ка

под контрол
ь целостности файлов
, перечисленных в
xml
-
файле с именем
in
_
file
.

Список контролируемых модулей зависит от исполнения и может быть получен при
помощи команды
cpverify


r
2
x

in
_
file
.

Для того, чтобы поставить п
од контроль целостности установленное программное
обеспечение, нужно выполнить следующую последовательность действий:

1.

Создать xml
-
файл, содержащий список устанавливаемых под контроль целостности
файлов. Данный xml
-
файл должен

иметь следующую структуру:


?
xml version="1.0" encoding="UTF
-
8" standalone="no"?�

CProIntegrityቬP-1;r42;&#xo-7I;6n1;t-6;~-1;g8r;Bi4;t-6;y-9;退

catalogቬ&#x-93a;&#x-13t;&#x-67a;&#x-13l;Co-;g80;

entry name="
calc.exe
�"

PathĦP;&#x-11a;&#x-13t;&#x-67h;᠀
C:
\
WINDOWS
\
system32
\
calc.exe
/PathĦ/;&#x-7P-;Ě-;t-;gh-;堀

Algidቪ&#x-7l4;g8i;н-;栀00008021/AlgidI/-;z-7;&#xl-33;&#xg8i-;̽-;栀

/entryĦ/;&#x-7e-;n1;t-6;r42;&#xy-22;

entry name="
verifier.exe
�"

PathĦP;&#x-11a;&#x-13t;&#x-67h;᠀
C:
\
WINDOWS
\
system32
\
verifier.exe
/PathI/-;P-1;-1;t-6;h-5;耀

Alg
id�00008021/AlgidI/-;z-7;&#xl-33;&#xg8i-;̽-;栀

/entryĦ/;&#x-7e-;n1;t-6;r42;&#xy-22;

/catalogĦ/;&#x-7c-;ऺ-;t-;ٺ-;l4;o-7;&#xg800;

/CProIntegrityĦ/;&#x-7C6;&#xP-11;&#xr42o;&#x-7I3;n18;&#xt-67;-18;&#xg8r4;i43;&#xt-67;&#xy-99;


Значение поля
Algid

должно равняться
00008021
.


2.

Запустить модуль cpverify

xm in_file out_file TestControl, указав в качестве параметра
in_file имя созданного xml
-
файла. Результатом работы модуля б
удет являться xml
-
файл с
именем out_file, содержащий вычисленные значения хэш
-
функции для перечисленных в in_file
файлов и имеющий следующую структуру:


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


34


?xml version="1.0" encoding="UTF
-
8" standalone="no"?�

CProIntegrityቬP-1;r42;&#xo-7I;6n1;t-6;~-1;g8r;Bi4;t-6;y-9;退

catalogቬ&#x-93a;&#x-13t;&#x-67a;&#x-13l;Co-;g80;

entry name="
calc.exe
"


PathĦP;&#x-11a;&#x-13t;&#x-67h;᠀
C:
\
WINDOWS
\
system32
\
calc.exe
/PathĦ/;&#x-7P-;Ě-;t-;gh-;堀

Algidቪ&#x-7l4;g8i;н-;栀00008021/AlgidI/-;z-7;&#xl-33;&#xg8i-;̽-;栀

TagĦT;&#x-75a;&#x-13g;耀679837307CDC7AA1E4BDBB75194A24D42C782079AF08E2D362D7624A90D604C7/
Tag�

/entryĦ/;&#x-7e-;n1;t-6;r42;&#xy-22;

entry name="
verifier.exe
�"

PathĦP;&#x-11a;&#x-13t;&#x-67h;᠀
C:
\
WINDOWS
\
system32
\
verifier.exe
/PathI/-;P-1;-1;t-6;h-5;耀

Algidቪ&#x-7l4;g8i;н-;栀00008021/AlgidI/-;z-7;&#xl-33;&#xg8i-;̽-;栀

TagĦT;&#x-75a;&#x-13g;耀
9DF987B89A323BEBC3C29BAC0AED42A4F5BD651892AAE79F1EC1D05288D06B9C/
Tag�

/entryĦ/;&#x-7e-;n1;t-6;r42;&#xy-22;

/catalogĦ/;&#x-7c-;ऺ-;t-;ٺ-;l4;o-7;&#xg800;

/CProIntegrityĦ/;&#x-7C6;&#xP-11;&#xr42o;&#x-7I3;n18;&#xt-67;-18;&#xg8r4;i43;&#xt-67;&#xy-99;


Значение

поля

Algid
должно

равняться

00008021.


3.

Установить под контроль целостности файлы, для которых было вычислено значение
хэш
-
функции, использ
уя модуль cpverify

x2r in_file TestControl, где параметром in_file является
xml
-
файл, полученный в результате вычисления значения хэш
-
функции в пункте 2.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


35


Приложение 2.Перечень
вызовов, использование которых
при

разработке
систем

на
основе СКЗИ
«
КриптоПро

CSP
»

возможно без
дополнительных
тематических
исследований:


Функция

Описание

Ограничения на использование
функции

Функции инициализации и настройки провайдера

CryptAcquireContext

Функция CryptAcquireContext
используется для создания
дескриптора
криптопровайдера с именем
ключевого контейнера,
определённым параметром
pszContainer


CryptReleaseContext

Функция
CryptReleaseContext

используется для удаления
дескриптора
криптопровайдера, созданного
CryptAcquireContext
.


CryptContextAddRef

Управляет счетчиком
дескрипторов созданного
CryptAcquireContext
.


CryptEnumProviders

Перечисление установленных
криптопровайдеров


CryptEnumProviderTypes

Перечисление установленных
типов криптопровайдеров


CryptGetDefaultProvider

Получение контекста
провайдера, установленного в
системе по умолчанию


CryptGetProvParam

Функция
CryptGetProvParam

получает параметры
криптопровайдера.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


36


CryptSetProv
Param

Функция
CryptSetProvParam

устанавливает параметры
криптопровайдера.


FreeCryptProvFromCertEx

Функция используется для
удаления дескриптора
криптопровайдера, созданного
CryptAcquireContext

или через
CNG.


CryptInstallDefaultContext
,
CryptSetProvider
,
CryptSetProviderEx
,
CryptUninstallDefaultContext

Функции управления
контекстом провайдера по
умолчанию


Функции генерации и обмена ключами, создание конфигурирование и удаление ключей

CryptGenKey

Функция
CryptGenKey

генерирует случайные
криптографические ключи или
ключевую пару
(закрытый/открытый ключи).


CryptDestroyKey

Функция
CryptDestroyKey

удаляет ключ, передаваемый

через параметр hKey. После
удаления ключ (дескриптор
ключа) не может
использоваться.


CryptExportKey

Функция
CryptExportKey

используется для экспорта
криптографических ключей из
ключевого контейнера
кри
птопровайдера, сохраняя
их в защищённом виде.

Разрешено
экспорт
ировать только

открыт
ые

ключ
и

(PUBLICKEYBLOB).

CryptGenRandom

Функция
CryptGenRandom

заполняет буфер случайными
байтами.


CryptGetKeyParam

Функция
CryptGetKeyParam


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


37


возвращает параметры ключа.

CryptGetUserKey

Функция
CryptGetUserKey

возвращает дескриптор одной
из долговременных ключевых
па
р в ключевом контейнере.


CryptImportKey

Функция
CryptImportKey

используется для импорта
криптографического ключа из
ключевого блоба в контейнер
криптопровайдера.

Разрешено импортировать только

открыты
е

ключ
и

(PUBLICKEYBLOB).

CryptSetKeyParam

Функция
CryptSetKeyParam

устанавливает параметры
ключа.

Разрешено использование только
со следующими символьными
аргументами: KP_CERTIFICATE,
KP_CIPHEROID, KP_DHOI
D,
KP_HASHOID.

Функции обработки криптографических сообщений

CryptSignMessage

Функция CryptSignMessage
создает хэш определенного
содержания, подписывает хэш
и затем производит
закодирование и текста
исходного сообщения, и
подписанного хэша


CryptVerifyM
essage
Signature

Функция
CryptVerifyMessageSignature
проверяет электронно
-
цифровую подпись
подписанного сообщения.


CryptVerifyDetached
MessageSignat
ure

Функция
CryptVerifyDetachedMessageSig
nature проверяет подписанное
сообщение, содержащее
отсоединенную (d
etached)
подпись или подписи


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


38


CryptDecodeMessage

Функция декодирует,
расшифровывает и проверяет
сообщение


CryptDecryptAndVerifyMessageSign
ature

Функция декодирует

и
проверяет сообщение


CryptEncryptMessage

Функция CryptEncryptMessage
зашифровывает и производит
закодирование сообщения
.
Аутентичность сообщения не
обесп
ечивается.


CryptDecryptMessage

Функция CryptDecryptMessage
производит раскодирование и
расшифрование сообщения.

Проверка аутентичности
сообщения не производится.

Примечание
: Не допускается
автоматический анализ
результата работы функции,
направленный на
проверку
корректности сообщения.


CryptGetMessageCertificates

Функция возвращает
хранилище сертификатов и
списки аннулированных
сертификатов из сообщения


CryptGetMessageSignerCount

Функция возвращает
количество подписавших
сообщение


CryptHashMessage

Функция создает
хэшированное сообщение


CryptSignAndEncryptMessage

Функция создает подписанное
и зашифрованное сообщение


CryptSignMessageWithKey

Функция создает подписанное
сообщение


CryptVerifyD
etachedMessageHash

Функция проверяет

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


39


открепленный хэш

CryptVerifyMessageHash

Функция проверяет
хэшированное сообщение


CryptVerifyMessageSignatureWithK
ey

Функция проверяет
подписанное сообщение


CryptMsgCalculate
EncodedLength

Функция
CryptMsgCalculateEncodedLengt
h вычисляет максимальное
количество байтов,
необходимо
е для
закодированного
криптографического
сообщения, заданного типом
сообщения, параметрами
кодирования и общей длиной
информации, которая должна
быть закодирована.


CryptMsgOpenTo
Encode

Функция
CryptMsgOpenTo
Encode
открывает криптографическое
сообщение дл
я закодирования
и возвращает дескриптор
открытого сообщения.


CryptMsgOpenTo
-
Decode

Функция
CryptMsgOpenToDecode
открывает криптографическое
сообщение для
раскодирования и возвращает
дескриптор открытого
сообщения.


CryptMsgUpdate

Функция CryptMsgUpdate
пополняет текст
криптографического
сообщения.


CryptMsgGetParam

Функция CryptMsgGetParam

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


40


получает параметр сообщения
после того, как
криптографическое сообщение
было раскодировано или
закодировано.

CryptMsgControl

Функция CryptMsgControl
выполняет контр
ольное
действие.


CryptMsgClose

Функция CryptMsgClose
закрывает дескриптор
криптографичекого
сообщения.


CryptMsgDuplicate

Функция CryptMsgDuplicate
дублирует дескриптор
криптографического
сообщения путем увеличения
счетчика ссылок


Функции работы с алг
оритмами хэширования

CryptCreateHash

Функция
CryptCreateHash

инициализирует дескриптор
нового объекта функции
хэширования потока данных.

Разрешено использование только
со следующими символьными
аргумен
тами: CALG_GR3411,
CALG_GR3411_HMAC,
CALG_SHAREDKEY_HASH.

CryptDestroyHash

Функция
CryptDestroyHash

удаляет объект функции
хэширования.


CryptDuplicateHash

Функция
CryptDuplicateHash

создаёт точную копию объекта
функции хэширования,
включая все его переменные,
определяющие внутреннее
состояние объекта функции
хэширования.


CryptGetHashParam

Функция
CryptGetHashParam


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


41


возвращает параметры
объекта функции хэширования
и значение функции
хэширования.

CryptHashData

Функция
CryptHashData

передаёт данные указанному
объекту функции
хэширования.


CryptSetHashParam

Функция
CryptSetHashParam

устанавливает параметры
объекта хэширования.

Разрешено

использование

только
с
символьными аргументами

HP_HASHSIZE,
HP_OID/
KP_HASHOID, HP_OPEN
.

CryptSignHash

Функция
CryptSignHash

возвращает значение
электронной цифровой
подписи от значения функции
хэширования.

Разрешено использование только
с ключевыми контейнерами,
полученными ранее с помощью
вызова
CertGetCe
rtificateContextProperty
из сертификата, проверенного с
помощью функции
CertVerifyCertificateChainPolicy

CryptVerifySignature

Функция
CryptVerifySignature

осуществляет проверку
цифровой подписи.

Разреш
ено использование только
с дескрипторами ключей,
полученных ранее с помощью
вызова CryptImportPublicKeyInfo
(CryptImportPublicKeyInfoEx) из
сертификата, проверенного с
помощью функции
CertVerifyCertificateChainPolicy

Функции работы с сертификатами, списка
ми аннулированных сертификатов, хранилищем
сертификатов

Списки аннулированных сертификатов

CertAddCRLContext
ToStore

Функция
CertAddCRLContextToStore
добавляет контекст СОС в
хранилище сертификатов.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


42


CertAddCRLLinkToStore

Функция создает ссылку на
список аннулированных
сертификатов в другом
хранилище


CertAddEncodedCRL
ToStore

Функция
CertAddEncodedCRLToStore
создает контекст СОС из
закодированного СОС и
добавля
ет его в хранилище
сертификатов. Функция
создает копию контекста СОС
перед добавлением его в
хранилище.


CertEnumCRLsInStore

Функция
CertEnumCRLsInStore
получает первый или
следующий СОС в
хранилище. Эта функция
используется в цикле для
того, чтобы послед
овательно
получить все СОС в
хранилище.


CertFreeCRLContext

Функция CertFreeCRLContext
освобождает контекст СОС,
уменьшая счетчик ссылок на
единицу. Когда счетчик
ссылок обнуляется, функция
CertFreeCRLContext
освобождает память,
выделенную под контекст
СО
С.


CertCreateCRLContext

Функция
CertCreateCRLContext создает
контекст СОС из
закодированного СОС.
Созданный контекст не

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


43


помещается в хранилище
сертификатов. В созданном
контексте функция
размещает копию
закодированного СОС.

CertDeleteCRLFromStore

Функция удаляет список
аннулированных
сертификатов из хранилища


CertDuplicateCRL
Context

Функция
CertDuplicateCRLContext
дублирует контекст CОС,
увеличивая счетчик с
сылок
на CОС на единицу.


CertFindCRLInStore

Функция CertFindCRLInStore
находит первый или
следующий контекст COC в
хранилище сертификатов,
который соответствует
критерию поиска,
определяемому параметром
dwFindType и связанным с
ним pvFindPara. Эта функци
я
может быть использована в
цикле для того, чтобы найти
все COC в хранилище
сертификатов,
удовлетворяющие заданному
критерию поиска.


CertDeleteCertificate
FromStore

Функция
CertDeleteCertificateFromStore
удаляет определенный
контекст COC из хранилища
серт
ификатов.


CertFindCertificateInCRL

Функция осуществляет поиск
заданного сертификата в
списке аннулированных

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


44


сертификатов

CertGetCRLFromStore

Функция
CertGetC
RLFromStore
получает первый или
следующий контекст СОС для
определенного издателя
сертификата из хранилища
сертификатов. Эта функция
также осуществляет
возможную проверку СОС.


CertSerializeCRLStoreElement

Функция сериализации
списка аннулированных
сертификатов со своими
свойствами


Расширенные свойства сертификата списка
отозванных (СОС)

сертификатов и CTL

CertGetCRLContext
Property

Функция
CertGetCRLContextPro
perty
получает расширенные
свойства определенного
контекста СОС.


CertSetCRLContext
Property

Функция
CertSetCRLContextProperty
устанавливает расширенные
свойства определенного
контекста СОС.


CertGetCertificate
ContextProperty

Функция
CertGetCertificateCon
textPropert
y получает информацию,
содержащуюся в расширенных
свойствах контекста
сертификата.


CertEnumCertificate
ContextProperti
es

Функция
CertEnumCertificateContextProp
erties позволяет перечислить
информацию, содержащуюся в

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


45


расширенных свойствах
контекс
та сертификата.

CertSetCertificate
ContextProperty

Функция
CertSetCertificateContextPropert
y устанавливает расширенные
свойства для определенного
контекста сертификата.


CertEnumCRLContextProperties

Перечисление расширенных
свойств списка
аннулированных сертификатов


CertEnumCTLContextProperties

Перечисление расширенн
ых
свойств CTL


CertGetCTLContextProperty

Получение расширенного
свойства CTL


CertSetCTLContextProperty

Установка расширенных
свойств CTL


CertAddCTLContextToStore

Функция
CertAddCTLContextToStore
добавляет контекст CTL в
хранилище сертификатов


CertCreateCTLContext

Функция CertCreateCTLContext
создает контекст
зако
дированного CTL.
Созданный контекст не
помещается в хранилище
сертификатов. Функция делает
копию CTL в созданном
контексте.


CertDuplicateCTLContext

Функция
CertDuplicateCTLContext
дублирует контекст CTL,
увеличивая счетчик ссылок на
CTL на единицу.


Cer
tFreeCTLContext

Функция CertFreeCTLContext

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


46


освобождает контекст CTL,
уменьшая счетчик ссылок на
единицу. Когда счетчик ссылок
обнуляется, функция
CertFreeCTLContext
освобождает память,
выделенную под контекст CTL.

Функции работы с сертификатами

CertAddC
ertificate
ContextToStore

Функция
CertAddCertificateContextToStor
e добавляет контекст
сертификата в хранилище
сертификатов.


CertAddCertificateLinkToStore

Добавл
яет ссылку на
сертификат в другом
хранилище


CertAddEncoded
CertificateToStore

Функция
CertAddEncodedCertificateToSto
re создает контекст
сертификата из
закодированного сертификата
и добавляет его в хранилище
сертификатов. Созданный
контекст не содержит ник
аких
расширенных свойств.


CertEnumCertificates
InStore

Функция
CertEnumCertificatesInStore
получает первый или
следующий сертификат в
хранилище сертификатов. Эта
функция используется в цикле
для того, чтобы
последовательно получить все
сертификаты в храни
лище
сертификатов.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


47


CertFreeCertificate
Context

Функция
CertFreeCertificateContext
освобождает контекст
сертификата, уменьшая
счетчик ссылок на единицу.


CertCreateCertificateContext

Функция
CertCreateCertificateContext
создает контекст сертификата
из зак
одированного
сертификата. Созданный
контекст не помещается в
хранилище сертификатов. В
созданном контексте функция
размещает коп
ию
закодированного сертификата.


CertDuplicat
e
CertificateContext

Функция
CertDuplicateCertificateContext
дублирует контекст
сер
тификата, увеличивая
счетчик ссылок на единицу.


CertFindCertificate
InStore

Функция
CertFindCertificateInStore
находит первый или
следующий контекст
сертификата в хранилище
сертификатов, который
соответствует критерию
поиска, определяемому
параметром dwFi
ndType и
связанным с ним pvFindPara.


CertDeleteCertificate
FromStore

Функция
CertDeleteCertificateFromStore
удаляет определенный
контекст сертификата из
хранилища сертификатов.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


48


CertGetSubject
CertificateFromStor
e

Функция
CertGetSubjectCertificateFromSt
or
e получает контекст
сертификата из хранилища
сертификатов, однозначно
определяемый его издателем и
серийным номером


CertGetIssuerCertificateFromStore

Поиск сер
тификатов издателей
заданного сертификата


CertGetSubjectCertificateFromStor
e

Поиск сертификата по
серийному номеру и издателю


CertGetValidUsages

Поиск пересечения KeyUsage
для массива сертификатов


CertSerializeCertificateS
toreElemen
е

Сериализация элемента
хранилища


CertComparePublicKeyInfo

Функция
CertComparePublicKeyInfo
сравнивает два открытых
ключа и определяет, являются
ли они идентичными


CertFindExtension

Функция CertFindExtension
находит расширение в массиве
и во
звращает указатель на
него.


CertGetPublicKeyLength

Фукнция
CertGetPublicKeyLength
возвращает длину ключа в
битах.


CertGetIntendedKeyUsage

Функция
CertGetIntendedKeyUsage
получает назначение ключа из
сертификата.


CertCompareCertificateName

Функция
Cer
tCompareCertificateName

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


49


сравнивает два сертификата и
определяет, являются ли они
идентичными.

OCSP

CertAddRefServerOcspResponse

Увеличение счетчика ссылок
на
OCSP ответ


CertAddRefServerOcspResponseCo
ntext

Увеличение счетчика ссылок
на контекст OCSP ответа


CertCloseServerOcspResponse

Закрытие дескриптора OCSP
ответа


CertGetServerOcspResponseContex
t

Получение контекста OCSP
отве
та


CertOpenServerOcspResponse

Открытие дескриптора OCSP
ответа для заданной цепочки
сертификатов


Оконные функции

CertSelectCertificate

Отображение диалога выбора
сертификата по заданным
критериям


CryptUIDlgCertMgr

Отобра
жение диалога
управления сертификатами


CryptUIDlgSelectCertificate

Отображение диалога выбора
сертификата


CryptUIDlgSelectCertificateFromSto
re

Отображение диалога выбора
сертификата из хранилища


CryptUIDlgViewCertificate

Отображение диалога со
свойствами сертификата


CryptUIDlgViewContext

Отображение сертификата,
списка аннулированных
сертификатов или CTL


CryptUIDlgViewSignerInfo

Отображение диалога с
информацией о подписавшем


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


50


CertSelection
GetSerializedBlob

Сериализация сертификата из
структуры, используемой для
отображения


GetFriendlyNameOfCert

Преобразование имени
сертификата к
«
читаемому
»

вид
у


Функции проверки цепочек

CertVerifyCertificate
ChainPolicy

Функция
CertVerifyCertificateChainPolicy
проверяет цепочку
сертификатов на
достоверность, включая
соответствие критерию
истинности.


CertGetCertificateChain

Функция
CertGetCertificateChain стр
оит
цепочку сертификатов,
начиная с последнего
сертификата, в обратном
направлении до доверенного
корневого сер
тификата, если
это возможно.


CertFreeCertificate
Chain

Функция
CertFreeCertificateChain
освобождает цепочку
сертификатов путем
уменьшения счетчи
ка ссылок.
Если счетчик ссылок равен
нулю, то память, выделенная
под цепочку, освобождается.


CertCreateCertificate
ChainEngine

Функция
CertCreateCertificateChainEngin
e создает контекст
HCERTCHAINENGINE, который
позволяет изменять параметры

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


51


механизма постр
оения цепочки
сертификатов. Позволяет
ограничивать множество
доверенных сертификатов.

CertFreeCertificate
-
ChainEngine

Функция
CertFreeCertificateChainEngine
освобождает контекст
HCERTCHAINENGINE.


CertCreateCTLEntryFromCertificate
ContextProperties

Создание CTL на основе свойст
атрибутов контекста
сертификата


CertDupl
icateCertificateChain

Дублирование контекста
цепочки.


CertFindChainInStore

Функция построения цепочки
по заданным критериям из
хранилища


CertFreeCertificateChainList

Функция освобождения
массива цепочек


CertIsValidCRLForC
ertificate

Функция проверки наличия
сертификата в списке
аннулированных сертификатов


CertSetCertificateContextProperties
FromCTLEntry

Установка свойств в конте
кст
сертификата на основе CTL


Расширенные свойства сертификата (EKU)

CertGetEnhancedKey
Usage

Функция
CertGetEnhancedKeyUsage
получает информацию о
расширенном использовании
ключа из соответствующего
расширения или из
расширенных свойств
сертификата. Рас
ширенное
использование ключа служит
признаком правомерного

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


52


использования сертификата.

CryptAcquireCertificatePrivateKey

Функция
CryptAcquireCertificatePrivateKe
y получает дескриптор
HCRYPTPROV и параметр
dwKeySpec для определенного
контекста сертификата.


Функции работы с идентификаторами

CryptFindOIDInfo

Функция CryptFindOIDInfo
получает первую
предопределенную или
зарегистрированную структуру
CRYPT_OID_INFO,
согласованную с
определенным типом ключа и с
ключом.


CryptEnumOIDInfo

Перечисление
зарегистрированных
идентификаторов и получение
информации для них


Функции работы с хранилищем

CertOpenStore

Функция CertOpenStore
открывает хранилище
сертификатов, исп
ользуя
заданный тип провайдера.


CertDuplicateStore

Функция CertDuplicateStore
дублирует дескриптор
хранилища, увеличивая
счетчик ссылок на хранилища
на единицу.


CertOpenSystemStore

Функция CertOpenSystemStore
используется для открытия
наиболее часто ис
пользуемых
хранилищ сертификатов.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


53


CertCloseStore

Функция CertCloseStore
закрывает дескриптор
хранилища сертификатов и
уменьшает счетчик ссылок на
хранилища на единицу.


CertAddStoreToCollection

Добавление хранилища в
коллекцию


CertControlStore

Установка нотификации при
различиях в закешированном
хранилище и физическ
ом
хранилище


Функции, используемые для работы с открытыми данными и объектами

CryptImportPublicKey
InfoEx2

Функция
CryptImportPublicKeyInfoEx2
импортирует информацию об
открытом ключе в CNG и
возвращает дескриптор
открытого ключа.


CryptImportPublicKey
I
nfoEx

Функция
CryptImportPublicKeyInfoEx
импортирует информацию об
открытом ключе в CSP и
возвращает дескриптор
открытого ключа.


CryptImportPublicKey
Info

Функция
CryptImportPublicKeyInfo
преобразовывает и
импортирует информацию об
открытом ключе в провай
дер и
возвращает дескриптор
открытого ключа.


CryptExportPublicKey
InfoEx

Функция
CryptExportPublicKeyInfoEx
экспортирует информацию об
открытом ключе, связанную с

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


54


соответствующим секретным
ключом провайдера.

CryptExportPublicKey
Info

Функция
CryptExportP
ublicKeyInfo
экспортирует информацию об
открытом ключе,
ассоциированную с
соответствующим секретным
ключом провайдера.


CertCompareCertificate

Функция
CertCompareCertificate
сравнивает два сертификата
для того, чтобы определить,
являются ли они идентичным
и.


CertCompareInteger
Blob

Функция
CertCompareIntegerBlob
сравнивает два целочисленных
блоба для определения того,
представляют ли они собой два
равных числа.


CryptExportPublicKeyInfoFromBCry
ptKeyHandle

Экспортирует информацию об
открытом ключе,
ассоциированную с
соответствующим секретным
ключом провайдера.


Функции кодирования/декодирования

CryptDecodeObject

Функция CryptDecodeObject
используются для
декодир
ования сертификатов,
списков аннулированных
сертификатов (СОС) и
запросов на сертификаты.


CryptDecodeObjectEx

Функция CryptDecodeObjectEx
используются для
декодирования сертификатов,

ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


55


списков аннулированных
сертификатов и запросов на
сертификаты

CryptEn
codeObject

Функция CryptEncodeObject
используются для кодирования
сертификатов, списк
ов
аннулированных сертификатов
и запросов на сертификаты.


CryptEncodeObjectEx

Функция CryptEncodeObjectEx
используются для кодирования
сертификатов, списков
аннулированн
ых сертификатов
и запросов на сертификаты.


Получение объектов из удаленных источников

CryptRetrieveObject
ByUrlA

Функция
CryptRetrieveObjectByUrlA
получает объект
инфраструктуры открытых
ключей по заданному URL.


CryptRetrieveObject
ByUrlW

Функция CryptR
etrieveObject
-
ByUrlW является unicode
версией функции
CryptRetrieveObjectByUrlA
.



ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


56


Литература

1.

ГОСТ 28147
-
89. Государственный

стандарт Российской Федерации. Системы обработки информации.
Защита криптографическая. Алгоритм криптографического преобр
а
зования.

2.

ГОСТ Р 34.10
-
94. Государственный стандарт Российской Федерации. Информационная технология.
Криптографическая защита информац
ии. Процедуры в
ы
работки и проверки электронной цифровой
подписи на базе асимметричного криптографического алгоритма.

3.

ГОСТ Р 34.10
-
2001. Государственный стандарт Российской Федерации. Информационная технология.
Криптографическая защита информации. Процессы
формирования и проверки электронной цифровой
подписи.

4.

ГОСТ Р 34.11
-
94. Государственный стандарт Российской Федерации. Информационная технология.
Криптографическая защита информации. Функция хэширов
а
ния.

5.

ГОСТ Р 34.10
-
12
Информационная технология. Криптограф
ическая защита информации. Процессы
формирования и проверки электронной цифровой подписи
.

6.

ГОСТ Р 34.11
-
12
Информационная технология. Криптографическая защита информации. Функция
хэшировани
я.

7.

ЖТЯИ.000
88
-
01

30 01
.
КриптоПро CSP
. Формуляр.

8.

ЖТЯИ.000
88
-
01

90 01
.
КриптоПро CSP
. Описание реализации.

9.

ЖТЯИ.000
88
-
01

9
1

0
1
.
КриптоПро CSP
. Руководство Администратора безопасности.

Общая часть.

10.

ЖТЯИ.000
88
-
01

9
1 02
.
КриптоПро CSP
. Руководство Администратора безопасности. Использование
СКЗИ под управлением ОС Windows .

11.

ЖТЯ
И.000
88
-
01

9
1

0
3
.
КриптоПро CSP
. Руководство Администратора безопасности. Использование
СКЗИ под управлением ОС
Linux
.

12.

ЖТЯИ.000
88
-
01

9
1

04
.
КриптоПро CSP
. Руководство Администратора безопасности. Использование
СКЗИ под управлением ОС
FreeBSD
.

13.

ЖТЯИ.000
88
-
01

9
2

0
1
.
КриптоПро CSP
. Инструкция по использованию.

Windows.

14.

ЖТЯИ.000
88
-
01

9
4

0
1
.
КриптоПро CSP
. АРМ выработки внешней гаммы.

15.

ЖТЯИ.000
88
-
01

96 01
.
КриптоПро CSP
. Руководство
программиста
.

16.


[
X.680
-
X.699
]. OSI NETWORKING AND SYSTEM ASPECTS. Abs
tract Syntax Notation One (ASN.1)

17.

[X.509]
. ITU
-
T Recommendation X.509 (1997 E): Information Technology
-

Open Systems Interconnection


The Directory: Authentication Framework, June 1997.

18.

[PKIX]
. RFC 2459. Housley, W. Ford, W. P
olk, D. Solo,
«
Internet X.509 Public Key Infr
a
structure Certificate
and CRL Profile
»
, January 1999.

19.

Положение о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ
-
2005).

20.

Приказ ФАПС
И от 13.06.2001г. №152
«
Об инструкции об организации и обеспечении безопасности
хранения, обработки и передачи по каналам связи с использованием средств криптографической
защиты информации с ограниченным доступом, не содержащей сведений, составляющих
госуд
арственную тайну
»
.


ЖТЯИ.
000
88
-
01

9
5

0
1
.
КриптоПро

CSP
.
Правила пользования


57



Лист регистрации изменений


Номера листов (страниц)

Всего листов

(страниц) в
докум.



документа

Входящий

№ сопроводи
-

тельного
докум.
и дата

Подп.

Дата

изм.

измененных

замененных

новых

аннулиро
-
ванных





























































































































































































































































Приложенные файлы

  • pdf 7727080
    Размер файла: 1 013 kB Загрузок: 0

Добавить комментарий