TLSvipnetкрипто-про

ГОСТ TLS (часть 4): Скачивание СКЗИ. Практика

Как скачать ViPNet CSP и КриптоПро CSP. В продолжении прошлых заметок по ГОСТ TLS:

  1. ГОСТ TLS в массы
  2. ГОСТ TLS (часть 2): как подключиться
  3. ГОСТ TLS (часть 3): Скачивание СКЗИ. Теория

Ранее на примерах ViPNet CSP и КриптоПро CSP рассмотрены варианты их распространения, указанные в Правилах Пользования. Оба продукта можно скачать через интернет с последующей проверкой целостности с помощью ГОСТ.
Сегодня рассмотрим, как происходит скачивание, учет и проверка целостности СКЗИ на практике.

ViPNet CSP

Для скачивания ViPNet CSP на сайте ИнфоТеКС нужно выбрать продукт и заполнить форму с указанием персональной информации, в том числе адреса электронной почты, на которую придет письмо со ссылкой. В этот момент происходит первый этап учета СКЗИ – формируется серийный номер, соответствующий введенным данным.

Скачать ViPNet CSP 4.2

Проверять целостность предлагается по ГОСТу, что верно и логично. Но где же взять необходимый для этого софт? Если у пользователя припасен ФИКС, то радоваться рано, он поддерживает только ГОСТ Р 34.11-94, а нужен ГОСТ Р 34.11-2012. Попробуем рекомендацию ИнфоТеКС — ViPNet HashCalc, который тоже можно скачать с сайта вендора.

Скачать ViPNet HashCalc

Для ViPNet HashCalc проверка целостности происходит уже по MD5, аналогичная ситуация при скачивании бета-версии CSP (кстати, именно её предлагается скачать для просмотра сайта ИнфоТеКС в режиме ГОСТ TLS):

Скачать ViPNet CSP 4.5

После скачивания и установки ViPNet CSP нужно зарегистрировать – получить и ввести код регистрации, соответствующий ранее полученному серийному номеру. На это даётся 14 дней, без регистрации запрещена обработка информации, подлежащей обязательной защите в соответствии с законодательством. Пройти регистрацию можно прямо в интерфейсе программы. Если планируется несколько различных инсталляций, например, на разные рабочие станции, то также в интерфейсе программы можно запросить дополнительные серийные номера и далее коды регистрации.

Вот как это описано в Правилах Пользования:

ViPNet CSP. Правила Пользования
3.1 Порядок распространения и учета СКЗИ ViPNet CSP
<…>
Для обеспечения контроля целостности должны быть приняты меры по проверке контрольной суммы полученного дистрибутива согласно п. 4.1.

Время тестовой эксплуатации без регистрации продукта ограничивается 14 сутками. Во время тестовой эксплуатации запрещена обработка информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации.

Поэкземплярный учет СКЗИ ViPNet CSP осуществляется производителем – ОАО «ИнфоТеКС» в процессе регистрации ПО.
В случае распространения СКЗИ ViPNet CSP через сеть связи общего пользования с сайта http://infotecs.ru/ организация поэкземплярного учета зависит от того, каким образом предоставлена информация о пользователе СКЗИ:
1. Серийный номер для регистрации СКЗИ ViPNet CSP выделяется при получении непосредственно от пользователя учетных данных, обеспечивающих его идентификацию. Информация о результатах регистрации на сайте http://infotecs.ru/ дублируется письмом на электронную почту пользователя. Используя полученный серийный номер, пользователь активирует процедуру регистрации экземпляра СКЗИ ViPNet CSP и обращается в ОАО «ИнфоТеКС» за кодом регистрации. При выделении кода регистрации экземпляру СКЗИ ViPNet CSP присваивается учетный номер в соответствии с версией и присвоенным данному продукту учетным индексом.
2. Серийный номер для регистрации СКЗИ ViPNet CSP выделяется при получении учетных данных пользователя из информационной системы дистрибьютера и идентификатора дистрибьютора (производителя прикладного ПО), позволяющих однозначно идентифицировать пользователя. Процедура загрузки, получения кода регистрации и непосредственно регистрация экземпляра СКЗИ ViPNet CSP осуществляются автоматически.

В случае распространения СКЗИ ViPNet CSP через сеть связи общего пользования с сайта дистрибьютера информация для регистрации СКЗИ ViPNet CSP поступает производителю в виде двух идентификаторов: дистрибьютора и пользователя в информационной системе дистрибьютера, позволяющих однозначно идентифицировать пользователя. Процедура загрузки, получения кода регистрации и непосредственно регистрация экземпляра СКЗИ ViPNet CSP осуществляются автоматически.
В случае распространения СКЗИ ViPNet CSP через сеть связи общего пользования по запросу пользователя ему может быть предоставлен формуляр изделия в электронном виде с указанием серийного номера продукта, контрольной суммы дистрибутива и присвоенного регистрационного номера СКЗИ ViPNet CSP.
<…>
4.1 Контроль целостности компьютера и ПО
<…>
Проверка целостности дистрибутива СКЗИ ViPNet CSP осуществляется перед установкой СКЗИ ViPNet CSP путем сравнения контрольной суммы. Подсчет контрольной суммы выполняется утилитой ViPNet HashCalc, входящей в комплект поставки СКЗИ ViPNet CSP.
Контрольная сумма дистрибутива СКЗИ ViPNet CSP представляет собой хэш содержимого дистрибутива, вычисленный по алгоритму ГОСТ Р 34.11-2012 и может быть вычислена с использованием независимых средств других производителей.
Значение контрольной суммы для сравнения пользователь может получить из различных независимых источников, в том числе доверенным способом.

Учет СКЗИ подробно описан в Правилах Пользования ViPNet CSP. В этой части теория совпадает с практикой.

Проверка целостности ожидаемо должна проводиться по ГОСТ Р 34.11, а фактически — такая возможность есть довольно редко. Многоходовочка с ViPNet HashCalc, целостность которого проверяется по MD5, выглядит скорее как компромиссное техническое решение.

КриптоПро CSP

В Крипто-Про подход немного другой. Первый шаг – регистрация в личном кабинете с вводом учетных данных, после авторизации – скачивание различных продуктов с привязкой к этой учетке. Скачать можно как сертифицированные версии, так и беты, находящиеся на сертификации.
Каждому скачанному экземпляру присваивается учетный номер, в личном кабинете можно посмотреть историю своих загрузок. Регистрация как для ViPNet CSP не требуется.
Механизмы проверки – ГОСТ или MD5.

Скачать КриптоПро CSP

В Правилах Пользования в качестве инструмента проверки указана cpverify, которая поддерживает ГОСТ и не поддерживает MD5. Кроме того, явно указано, что утилита должна быть получена «доверенным образом», хотя она свободно скачивается с сайта без проверки хэш суммы.

КриптоПро CSP. Правила Пользования
Для получения возможности загрузки установочных модулей СКЗИ «КриптоПро CSP» версии 5 КС1 и комплекта эксплуатационной документации пользователь направляет свои учетные данные Уполномоченной организации. Учетные данные могут быть направлены посредством заполнения специализированной регистрационной формы на сайте Уполномоченной организации.

После получения Уполномоченной организацией учетных данных пользователю предоставляется доступ на страницу загрузки установочных модулей СКЗИ «КриптоПро CSP» версии 5 КС1 и комплекта эксплуатационной документации. При загрузке пользователем установочных модулей СКЗИ «КриптоПро CSP» версии 5 КС1 и комплекта эксплуатационной документации Уполномоченной организацией присваивается учетный номер, идентифицирующий экземпляр СКЗИ «КриптоПро CSP» версии 5 КС1, предоставленный пользователю.

На странице загрузки вместе с дистрибутивом и документацией размещается отделенная электронная подпись, для проверки которой необходимо использовать утилиту cpverify, полученную доверенным образом и содержащую ключ проверки данной электронной подписи.
Установка СКЗИ «КриптоПро CSP» версии 5 КС1 на рабочее место пользователя может быть осуществлена только в случае подтверждения целостности полученных установочных модулей СКЗИ «КриптоПро CSP» версии 5 КС1 и эксплуатационной документации.

Учет СКЗИ для КриптоПро CSP реализован удобнее для пользователей – не нужно совершать дополнительных действий для регистрации. Практика совпадает с теорией.

Проверка целостности должна проводиться по ГОСТу с помощью cpverify, которая зачастую скачивается с сайта без проверки целостности в принципе. Хэш MD5 присутствует как бы на всякий случай 🙂

Резюме

Как видим – процесс скачивания СКЗИ относительно несложный для пользователей.
Учет СКЗИ при скачивании обеспечивается самими разработчиками — пользователю нужно лишь заполнить соответствующие формы на сайте. Корректность заполненных данных производителем, судя по всему, не проверяется.
Проверка же целостности дистрибутива СКЗИ в соответствии с Правилами Пользования должна осуществляться пользователями с помощью ГОСТ 34.11. Для этого разработчики предлагают соответствующие инструменты, хотя на практике легитимно использовать их весьма проблематично.

2 комментария для “ГОСТ TLS (часть 4): Скачивание СКЗИ. Практика

  • По скачиванию — вроде да, вопрос решен. НО:
    1) примеры только для CSP. Ещё хотелось бы тех же условий для остальных VPN-клиентов остальных производителей
    2) как на счет соблюдения остальных требований серт. СКЗИ пользователями? Их вообще удастся выполнить?
    — что делать с формулярами?
    — как вообще получить полный комплект эксплуатационной документации? У того же инфотекса для пользователей доступно не все.
    — как пользователям учитывать скачанные ими СКЗИ?
    — что делать при обновлении? ставить несертифицированную или ждать сертификации? Как получить подтверждение от производителя? заключения по результатам испытаний обычно нельзя скачать
    — ограничения по ОС. ограничения по браузерам. другие невыполнимые требования из документации на СКЗИ
    — несвоевременные продления сертификатов производителями

    Ответ
    • 1) Да, тут только про CSP в контексте пилота по ГОСТ TLS. Постепенно надо добраться и до остальных СКЗИ.

      2) Все сложно 🙂
      2.1 Формуляры. Изучаю вопрос, у Инфотекса скачивается pdf с рег.номером и датой, без ЭП.
      2.2 Документация. В этой части как раз ситуация более-менее понятная. У Инфотекса — скачивается пользовательский пакет документов + отдельно формуляр, по поводу Правил Пользования пока не выяснил. У Крипто-Про — все есть в ЛК
      2.3 Учет. По идее пользователям надо вести учет, будет журнал из одного листа, что в нем указать — отдельная дискуссия, куча нюансов.
      2.4 Обновления. Несертифицированные обновления — на свой страх и риск. Официально — ждать.
      2.5 Это отдельная боль, в заметке ГОСТ TLS часть 2 сделал табличку ОС-браузер
      2.6 Страдать =(

      Ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *