ViPNet CSP 4.2 – отечественный программный модуль, успешно прошедший сертификацию в уполномоченном государственном органе – ФСБ РФ. Он признан средством криптографической защиты информации (далее – СКЗИ).
Криптопровайдер «умеет» генерировать ключи электронной подписи (далее – ЭП, ЭЦП или ЦП), формировать и верифицировать ЭЦП по отечественным алгоритмам ГОСТ Р 34.10-2001/2012. Информация хешируется по ГОСТ Р 34.11-94/2012, кодирование и имитозащита сведений осуществляется по ГОСТ 28147-89.
Криптопровайдер реализован в трех модификациях. Первая (базовая) – самая простая, обеспечивает класс защиты (далее – КЗ) КС1. Вторая применяется в тандеме с сертифицированным аппаратно-программным модулем доверенной загрузки (далее – АПМДЗ), чтобы обеспечить КЗ КС2. Третью следует применять одновременно с АПМДЗ и программным обеспечением (далее – ПО) ViPNet SysLocker – так пользователям обеспечивается КЗ КС3. Комплекс из трех приложений фактически создает и контролирует замкнутую программную среду.
Функциональный набор опций криптопровайдера предусматривает несколько сценариев применения. В его области входят удаленное взаимодействие с информационными системами (далее – ИС), в которых ведется работа с юридически значимыми элементами (цифровыми бумагами) защищенного электронного документооборота (далее – ЭДО), веб-порталами надзорных госорганов, например, для представления электронной бухотчетности, и добавление криптофункций к стороннему ПО различного назначения.
В статье поговорим о том, как обновить ViPNet СSP 4.0 до версии 4.2.
ViPNet CSP 4.0
Это первая версия в линейке 4.х. Руководство пользователя ПО содержит полное описание продукта. Модуль обеспечивает вызов криптофункций из приложений Microsoft (далее – MS) и других программ, поддерживающих CryptoAPI 2.0 – высокоуровневый интерфейс для работы с ЭП.
Что «умеет» программа:
- генерировать ключи ЭЦП по ГОСТ Р 34.10-2001/2012;
- создавать и верифицировать ЭП по ГОСТ Р 34.10-2001/2012;
- хешировать информацию по ГОСТ 28147-89;
- генерировать рандомные и псевдорандомные числа и сессионные ключи кодирования информационных пакетов;
- распознавать и формировать сессионные ключи в процессе передачи информационных пакетов, используя протоколы SSL/TSL;
- поддерживать ключевые носители eToken, Snipka и Рутокен и другие.
Примечание. Корпорация Microsoft на официальном уровне признала совместимость VipNet CSP 4.0 с ОС Windows 7.
Системные требования:
- Intel Core 2 Duo или аналог – х86-совместимый, как минимум, двухядерный процессор;
- оперативная память объемом от 512 MB;
- свободное место на винчестере – от 100 MB;
- ОС Windows XP 32-bit / Vista 32/64-bit / 7 32/64-bit / 8 32/64-bit;
- ОС Windows Server 2003 32-bit / 2008 32/64-bit / 2008 R2 64-bit / 2012 64-bit;
- Internet Explorer (далее – IE) версии 6.0 и моложе;
- MS Office 2003 / 2007 / 2010 / 2013.
Комплектация:
- дистрибутив setup.exe;
- инструкция по эксплуатации;
- три руководства разработчика по работе с криптографическими интерфейсами ViPNet CSP / CNG / PKCS#11 VT.
В сравнении с версиями ряда 3.х функциональность 4.0 была значительно расширена:
- разработчик добился соответствия криптопровайдера последним стандартам хеширования и работы (ГОСТ см. выше);
- налажена совместимость с новыми ОС;
- появилась поддержка интерфейса CNG (Cryptography API: Next Generation), пришедшего на смену CryptoAPI, стандарта PKS#11 и новых веб-обозревателей;
- ключевые контейнеры, помещенные в каталог профиля пользователя или папку на локальном ПК, отображаются отдельно;
- добавлен переключатель – фильтр ключевых контейнеров;
- появилась поддержка смарт-карты Magistra;
- новая версия криптопровайдера поддерживает протоколы TLS/SSL в веб-обозревателях Google Chrome и Яндекс.Браузер;
- добавлен механизм контроля целостности файлов – в соответствующем разделе настраиваются параметры создания замкнутой программной среды.
Обновилась программа формирования запроса на сертификат для ключей, сгенерированных посредством различных СКЗИ:
- поле «Криптопровайдер» заменено на список;
- появилась возможность выбора алгоритма хеширования;
- в функцию «Шаблон сертификата» добавлена опция «WEB Server» – с ее помощью можно сформировать запрос на сертификат для инсталляции на веб-сервере IIS;
- реализована работа с флагами «Экспортируемый» и «Системный» – вы можете пометить с их помощью создаваемый сертификат.
На сайте разработчика опубликовано предупреждение:
- ПО создавалось специально для работы с 32-разрядной операционной системой (далее – ОС) Windows XP;
- версия 4.0 не сертифицирована;
- она не предназначалась для применения в ИС юридически значимого ЭДО.
Примечание. Infotecs, разработчик криптомодуля, настоятельно рекомендует переходить на версию 4.2.
В предыдущем разделе статьи мы уже приводили описание последней версии криптомодуля. Теперь поговорим о системных требованиях:
- Intel Core 2 Duo или аналог – х86-совместимый, как минимум, двухъядерный процессор;
- оперативная память объемом не менее 512 MB;
- свободное место на винчестере от 100 MB;
- ОС Windows Vista 32/64-bit / 7 32/64-bit / 8 32/64-bit / 8.1 32/64-bit / 10 32/64-bit;
- ОС Windows Server 2003 32-bit / 2008 32/64-bit / 2008 R2 64-bit / 2012 64-bit / 2012 R2 64-bit;
- IE 8.0 или новее;
- MS Office 2007 / 2010 / 2013.
Примечание. В ОС Windows 10 не поддерживается организация защищенных подключений по протоколам TSL/SSL в веб-обозревателе MS Edge. При инсталляции последней версии криптомодуля соответствующая компонента отключена по умолчанию.
Комплектация – дистрибутив и документация в формате .PDF:
- инструкция по эксплуатации;
- памятка «Быстрый старт»;
- перечень лицензионных соглашений на компоненты, выполненные сторонними разработчиками;
- три руководства разработчика по работе с интерфейсами ViPNet CSP / CNG / PKCS#11 VT;
инструкция по эксплуатации ViPNet Syslocker для администраторов.
Преимущества ViPNet 4.2:
- поддерживает внешние ключевые носители, отвечающие за создание и хранение программных средств ЦП и поддерживающие PKCS#11 (специализированный интерфейс) – эта опция упрощает интеграцию подключаемых к ПК накопителей с криптомодулем;
- «умеет» экспортировать/импортировать ключи в #PKCS12 (специализированный формат) – эта опция обеспечивает повышение совместимости ключевых форматов с ПО сторонних разработчиков;
- поддерживает вызов криптофункций из других программ через протоколы API PKCS#11, MS CryptoAPI и MS CNG;
- имеет определенное множество функций API – это дает возможность различному клиентскому ПО лимитировать объемы тестов сертификационного характера: проводится строго анализ влияния (опция введена для полного соответствия требованиям ФСБ РФ).
Теперь перейдем к самому главному моменту – наличию сертификации в Федеральной службе безопасности России. Версии ряда 4.2.х полностью отвечают требованиям как 63-ФЗ, так и упомянутого надзорного госоргана. Речь идет об утвержденных Приказом ФСБ России №796 от 27.12.2011 директивах, разработанных для КЗ КС1 / 2 / 3, средств ЭЦП и шифровальных.
На веб-портале Евразийской экономической комиссии (ЕЭК) опубликована карточка товара. Согласно документу, владелец данного программного продукта, которым может являться любое физическое лицо, ИП или ЮЛ, вправе перемещать его через границу Таможенного союза (далее – ТС) без представления и/или оформления какой бы то ни было разрешительной документации.
Надзорные учреждения перешли на новый ГОСТ. Пользователи старых версий криптопровайдера могут столкнуться с проблемами при взаимодействии с ИС и веб-порталами госорганов. Чтобы их избежать, строго рекомендуется обновить версию криптомодуля до самой свежей.
ViPNet CSP 4.0: как скачать криптомодуль с официального сайта разработчика
Если вы все же хотите попробовать ViPNet CSP 4.0, вы можете скачать его с официального сайта разработчика. В главном меню выберите раздел «Продукты и услуги». Откроется темно-синее субменю с ниспадающим перечнем программных решений. В верхней строке выберите подраздел «Клиентские компоненты».
Прокрутите страницу вниз и найдите иконку с изображением пазла и замочной скважины, подписанную «ViPNet CSP». Кликните по ней, прокрутите страницу до самого низа и нажмите кнопку «Загрузить». Внимательно прочтите описание продукта.
Переходите к таблице «Полнофункциональная версия». Выберите самый нижний (третий в списке) дистрибутив, датированный 26.02.2014. Нажмите на активную ссылку в левой ячейке таблицы. Вы будете перенаправлены на страницу авторизации.
Следуя интерактивным подсказкам, выполните следующие действия:
- Поставьте галку слева от пункта «Я согласен с условиями EULA».
- Введите подлинные Ф. И. О.
- Укажите адрес действующей электронной почты.
- Жмите красную кнопку «Отправить заявку».
Проверьте почту – разработчик пришлет вам серийный номер, необходимый, чтобы пользоваться продуктом, и ссылку для скачивания дистрибутива.
Как скачать ViPNet CSP 4.2 и обновить версию 4.0
Чтобы скачать последнюю версию криптомодуля, последовательно повторите действия, описанные в предыдущем разделе статьи, но из таблицы «Полнофункциональная версия» выбирайте ViPNet CSP не 4.0, а 4.2. Обновить криптомодуль старой версии можно двумя способами. Рассмотрим их по очереди.
Способ №1:
- Запустите дистрибутив свежей версии криптопровайдера.
- Начнется подготовка к инсталляции – дождитесь ее завершения.
- Откроется окошко «Обновление». Жмите кнопку «Начать обновление».
- Поставьте галку возле пункта «Автоматически перезагрузить компьютер после завершения».
- Дождитесь окончания апдейта криптомодуля.
Способ №2:
- Создайте точку восстановления операционной системы.
- Удалите ViPNet CSP 4.0, используя соответствующую функцию вашей ОС. Пункт «Удалить пользовательские данные» не должен быть отмечен галкой.
- Совершите перезагрузку рабочей машины.
- Инсталлируйте свежую версию криптопровайдера.
- Перезагрузите ПК.
Предупреждение! Разработчик настоятельно рекомендует перед обновлением удалять любую несертифицированную версию криптомодуля. Сделать это необходимо, чтобы избежать неработоспособности TLS/SSL-соединений.
Проблема с ViPNet CSP 4.0 022034 и ее решение
После удаления ViPNet CSP 4.0 022034 и попытки обновить криптомодуль в ОС Windows 8.1 64-bit пользователи зафиксировали проблему.
Операционная система выдает сообщение «Не удалось установить ViPNet CSP», а процесс инсталляции даже не запускается.
В логах ОС Windows 8.1 было обнаружено три информационных блока
Решение следующее: удалите каталог C:\ProgramData\InfoTeCS\ViPNet CSP.
Что такое ViPNet CSP и совместим ли он с Криптопро CSP?
В этом разделе ответим на один из самых часто задаваемых вопросов пользователей.
ViPNet CSP – это криптопровайдер, и вы сможете инсталлировать его и СКЗИ КриптоПро CSP на одну рабочую машину: такую комбинацию удастся «подружить», если знать, что делать.
Предупреждение! Использовать одновременно оба криптопровайдера нельзя. Перед запуском и началом работы одного следует отключить другой.
Алгоритм операций при отладке совместимости зависит от того, какой криптомодуль устанавливается (или установлен) первым.
Предупреждение! Учитывайте: малейшая небрежность при совершении описанных ниже манипуляций может вызывать сбои в функционировании вашей ОС.
Если вы инсталлируете КриптоПро CSP на рабочую машину с предустановленным ViPNet CSP, выполните следующие действия:
- В мастере установки приложения укажите тип инсталляции «Выборочная».
- Щелкните «Далее».
- Откроется перечень дополнительных компонент. Слева от наименования «Расширенная совместимость с продуктами Microsoft» находится иконка с накопителем. Если это не так, нажмите на крестик и выберите нужное обозначение статуса.
- Кликните «Далее».
- Дождитесь окончания установки ПО.
- Перезагрузите рабочую машину.
- Основным СКЗИ по умолчанию останется ViPNet CSP.
Если вы инсталлируете упомянутый криптомодуль на рабочую машину с предустановленным КриптоПро CSP, отключите последний. Установку первого можно производить только после этого.
Как отключить неосновной СКЗИ? Как правило, электронная документация визируется ЭЦП с помощью основного криптомодуля. Некоторые контрагенты, ЭТП и государственные учреждения могут потребовать применения другого. Для корректной работы ОС, инсталлированной на ваш ПК, потребуется отключение неосновного криптопровайдера.
Отключаем КриптоПро CSP:
- Переходим в главном меню ОС к перечню «Пуск/Панель управления/Программы и компоненты».
- Выбираем необходимый криптомодуль.
- Кликаем «Изменить».
- Откроется мастер установки.
- Жмем «Далее».
- Выбираем иконку с крестиком и удаляем компоненту «Совместимость с продуктами Microsoft».
- Перезагружаем рабочую машину.
Примечание. Сделать КриптоПро CSP основным криптопровайдером и продолжить использовать его не сложно – нужно активировать компоненту «Совместимости с продуктами Microsoft». Выберите в настройках мастера установки иконку с изображением накопителя и выключите ViPNet CSP:
- Запустите криптомодуль.
- Откроется окно приветствия и основных настроек.
- В вертикальном меню, расположенном слева, выберите опцию «Дополнительно».
- В области «Дополнительные параметры» уберите галку слева от пункта «Поддержка работы ViPNet CSP через MS Crypto API».
Чтобы снова сделать ViPNet CSP основным криптопровайдером, отключите компоненту совместимости КриптоПро CSP. Перезагрузите рабочую машину и поставьте галку слева от пункта «Поддержка работы ViPNet CSP через MS Crypto API».
После проделанных манипуляций следует проверить интернет-соединение:
- Попробуйте открыть любой произвольный сайт через веб-обозреватель MS IE.
- Если страница открылась, все прошло успешно и система готова к работе.
При появлении ошибки «Не удалось отобразить страницу», выполните следующие действия:
- В главном меню ОС Windows нажмите «Пуск–>Выполнить».
- Введите в поисковое поле regedit.
- Найдите в реестре ОС запись, к которой ведет следующий путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig и раскройте ее.
- В поле «Security Packages» вместо параметра «sspp» укажите значение «schannel».
Если прав для коррекции сведений реестра недостаточно, воспользуйтесь инструкцией:
- Кликните правой клавишей мышки на указанный выше субкаталог реестра и в ниспадающем перечне щелкните по опции «Разрешения».
- Отметьте группу «Администраторы».
- Поставьте галку возле параметра «Полный доступ».
- Жмите «Ok».
Если изменения прав недоступны:
- Кликайте по опции «Дополнительно».
- Жмите «Изменить».
- Укажите e-mail, привязанный к вашей «учетке» в ИС Microsoft или имя локальной «учетки».
- Щелкайте «Ok».
- Поставьте галку возле пункта «Заменить владельца подконтейнеров и объектов».
- Жмите «Ok».
- Отметьте птичкой параметр «Полный доступ».
Как подписывать документы ЭЦП с помощью криптопровайдера ViPNet CSP 4.2, подробно изложено в руководстве пользователя.