ГОСТ TLS (часть 5): можно ли не платить за CSP?
Можно ли реализовать ГОСТ бесплатно для пользователя?
В продолжении прошлых заметок про ГОСТ TLS:
- ГОСТ TLS в массы
- ГОСТ TLS (часть 2): как подключиться
- ГОСТ TLS (часть 3): Скачивание СКЗИ. Теория
- ГОСТ TLS (часть 4): Скачивание СКЗИ. Практика
Традиционно, на примере двух популярных производителей: Крипто-Про и ИнфоТеКС, рассмотрим вопрос оплаты за право использования СКЗИ.
КриптоПро CSP
Согласно положениям лицензионного соглашения, криптопровайдером Крипто-Про CSP можно пользоваться 3 месяца с момента установки, не вводя лицензию, но с ограничениями (см. п.6 лицензионного соглашения):
6. Пользователь имеет право использовать Изделие в некоммерческих целях и с целью ознакомления с Изделием и проверкой его работоспособности и функциональных характеристик в течение трех месяцев с момента установки Изделия в память ЭВМ.
Это касается и сертифицированной, и несертифицированной версий. Далее:
- для двухсторонней аутентификации нужно приобрести лицензию, чтобы при необходимости иметь возможность сформировать новый пользовательский сертификат,
- для односторонней (наш случай) – ничего приобретать не требуется, пользуемся бесплатно (см. п.8):
8. Пользователь имеет право использовать Изделие в течение срока действия исключительных прав ООО «КРИПТО-ПРО» на Изделие без активации Изделия путем ввода ключа установки Изделия (серийного номера лицензии) только в следующих случаях:
— проверка электронной подписи;
— вычисление значения функции хеширования;
— использования протокола TLS при односторонней аутентификации (проверка подлинности сервера).
На сайте вендора заявлена поддержка Internet Explorer (IE), Edge, Яндекс.Браузер, Спутник и Chromium-gost.
ИнфоТеКС
ИнфоТеКС исповедует другой подход – приобретения лицензии не требуется в принципе ни для односторонней, ни для двухсторонней аутентификации. Отсутствие оплаты — это хорошо, но есть нюансы.
Нужно не забыть про регистрацию, на которую пользователю даётся 14 дней. Для одного пользователя — это не проблема, а если речь идет о массовой установке — удобнее получить коды регистрации у вендора. И, скорее всего, это будет не бесплатно.
Второй момент — по умолчанию ViPNet CSP поддерживается только в Internet Explorer, а для работы с остальными браузерами требуется ViPNet PKI Client, который уже не бесплатный в отличии от ViPNet CSP. Говорят, что есть энтузиасты, которые используют ViPNet CSP в Chromium-gost без ViPNet PKI Client. Получить подтверждение вендора об этом я не смог (скрин и вебинар), поэтому для ViPNet CSP считаю бесплатным вариант только с IE.
Важно не путать ветерана IE c Edge, который работает на движке Chromium. Сейчас актуальна 11 версия IE и от неё MS постепенно отказывается:
17 августа 2021 года ряд сервисов Microsoft прекратит поддержку браузера Internet Explorer 11, сообщает портал The Next Web. В их число войдут Outlook, OneDrive, Office 365 и некоторые другие.
В массовом сегменте IE встречается крайне редко, тем не менее он используется во многих государственных информационных системах, которые специально адаптированы под IE.
ГОСТ бесплатно нельзя купить
Где поставить запятую в заголовке? Зависит от многих факторов:
- Если веб-ресурс заточен под IE, то проще всего установить бесплатный ViPNet CSP,
- Для односторонней аутентификации в массовом сегменте подойдет Крипто-Про CSP c поддержкой различных браузеров,
- Двухсторонняя аутентификация в Крипто-Про CSP — платная,
- Поддержка различных браузеров в ViPNet CSP — платная.