КриптоПро Ключ

Программный комплекс КриптоПро Ключ версии 1.0 позволяет выполнять операции по созданию электронной подписи (ЭП), управлению сертификатами, а также иные криптографические операции с использованием ключей, хранимых защищенным образом в мобильном приложении (мобильная подпись [1]), в гибридном (распределённом) виде, на рабочем месте пользователя (КриптоПро Ключ Lite) или на внешнем носителе. Для выполнения криптографических операций на серверных компонентах используется ПАКМ КриптоПро HSM [2].

Что нового

ПК КриптоПро Ключ представляет новый взгляд на технологии мобильной подписи в сравнении со своим предшественником — КриптоПро DSS 2.0 [5]. Криптографические протоколы, реализованные в КриптоПро Ключ, обеспечивают защиту ключей подписи даже в случае компрометации мобильного устройства. Ключи подписи не появляются в открытом виде на устройствах пользователей ни в один момент времени, все операции с ними производятся распределённым образом.

КриптоПро Ключ поддерживает традиционные способы работы с ключами пользователей в соответствии с тем, как это было реализовано в КриптоПро DSS 2.0 [5], что позволяет при необходимости обеспечить бесшовную миграцию на новый продукт и новые программные интерфейсы (API) - как серверный, так и API для разработки мобильных приложений (КриптоПро Ключ SDK).

Для использования КриптоПро Ключ на мобильных устройствах доступны готовые мобильные приложения КриптоПро Ключ и КриптоКлюч, а также SDK для разработки мобильных приложений.

Ключевые возможности

• создание подписи документов любого формата;
• возможность создания усиленной квалифицированной электронной подписи (требуется установка соответствующих клиентских компонентов, перечисленных в эксплуатационной документации [3]);
• возможность перехода с КриптоПро DSS 2.0 [5];
• поддержка работы с ключами пользователей на мобильном устройстве (в том числе в распределённом режиме);
• возможность работы с ключами пользователей на внешнем носителе (NFC-токене, при наличии мобильного устройства с поддержкой NFC);
• возможность работы с локальными ключами пользователей (режим КриптоПро Ключ Lite);
• возможность использования стандартного интерфейса CryptoAPI с помощью дополнительного модуля КриптоПро Cloud CSP на базе КриптоПро CSP версии 5.0 [6] для обеспечения совместимости с традиционными приложениями;
• возможность применения различных схем аутентификации пользователя, включая возможность интеграции со сторонними центрами идентификации по протоколу OAuth 2.0 (в т.ч. с корпоративным доменом на базе MS AD и OpenLDAP).

Поддерживаемые форматы электронной подписи

• Подпись формата CMS
• Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1)
• Подпись XML-документов (XMLDSig)
• Необработанная электронная подпись ГОСТ Р 34.10-2012
• Подпись PDF-документов

Требования к окружению

КриптоПро Ключ предоставляет пользователям интерактивный веб-интерфейс для создания ЭП и управления ключами подписи и сертификатами. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.

При встраивании КриптоПро Ключ в системы возможна работа через мобильное приложение, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро Ключ.

Серверные компоненты КриптоПро Ключ работают в среде ОС Astra Linux SE и СУБД PostgreSQL.

Аутентификация в КриптоПро Ключ

В КриптоПро Ключ доступны следующие способы аутентификации пользователей:

• по логину и паролю с защитой канала при помощи протокола TLS;
• по сертификату с защитой канала при помощи протокола TLS (возможно использование USB-токенов и смарт-карт);
• аутентификация по логину и паролю с подтверждением в мобильном приложении на базе КриптоПро Ключ SDK (криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 [7]);
• подтверждение операций в мобильном приложении на базе КриптоПро Ключ SDK;
• вспомогательная аутентификация при помощи одноразовых паролей (OTP), доставляемых в SMS-сообщениях или по электронной почте.

Полезные ссылки

Загрузить ПК "КриптоПро Ключ" [3]
ПАКМ КриптоПро HSM [2]

Обучающие курсы от УЦ "Информзащита":

• Т215 Порядок развертывания и применения ПАК "КриптоПро Ключ" 1.0. на платформе Astra Linux. [8]
• Т534 Порядок развертывания, применения и мониторинга инфраструктуры для облачной (дистанционной) усовершенствованной электронной подписи на основе ПАК "КриптоПро Ключ" и технологий КриптоПро. [9]