КриптоПро CSP 5.0 и извлекаемые ключевые носители
Опубликовано Наталья Мовчан on 2021-06-08 13:30
|
|
Данная статья содержит общую информацию о поддерживаемых КриптоПро CSP 5.0 ключевых носителях и связанном с ними функционале. КриптоПро CSP 5.0 поддерживает три класса извлекаемых ключевых носителей (токенов и смарт-карт):1) Пассивные - хранят ключ подписи под паролем. Для формирования подписи ключ зачитывается в оперативную память CSP. Большинство активных токенов для целей совместимости с предыдущими версиями CSP можно использовать в нескольких режимах. Идентификатором режима является префикс уникального номера "апплета". Например, при перечислении считывателей функцией CryptGetProvParam(PP_ENUMREADERS) токен Рутокен ЭЦП 2.0 3000 будет отображен как три носителя: rutoken_fkc_XXXXXXX - ФКН с защитой канала;
КриптоПро CSP 5.0 поддерживает функциональность, которая позволяет ограничивать допустимые для использования режимы работы.Для этого используется функция CryptSetProvParam(PP_CARRIER_TYPES). Пример использования:
Допустимые значения enabled_types (можно комбинировать через побитовое ИЛИ): ENABLE_CARRIER_TYPE_CSP - разрешить использование носителей обычных пассивных криптоконтейнеров (CSP 3.6 - CSP 4.0); Допустимые значения enabled_operations (можно комбинировать через побитовое ИЛИ): DISABLE_EVERY_CARRIER_OPERATION - запрещены любые операции с неуказанными в enabled_types носителями;
КриптоПро CSP 5.0 R2 дополнительно поддерживает функциональность, которая позволяет ограничить допустимые для использования конкретные режимы работы конкретных носителей.Для этого используется функция CryptSetProvParam(PP_UNIQUE_FILTER). Она принимает аргументом регулярное выражение, которое накладывается на уникальный номер "апплета". Например, если стоит задача "разрешить только Рутокен Лайт и Рутокен ЭЦП 2.0, но на Рутокен ЭЦП 2.0 создавать только в активном режиме", вызов будет выглядеть так:
Аналогичное условие для JaCarta LT и JaCarta-2 ГОСТ: ".*(JACARTA_Crypt|JACARTA_LT).*" Выражение, по которому можно использовать все носители кроме указанных выше:
Кроме фильтрации по уникальным номерам КриптоПро CSP 5.0 поддерживает возможность установки поддерживаемых типов носителей.Например, разрешить работу только со смарт-картами. Для этого используется функция CryptSetProvParam(PP_MEDIA_TYPE), которая принимается в качестве аргумента тип, носители которого будут разрешены в данном процессе.
Начиная с версии КриптоПро CSP 5.0 R2 11998 для работы с носителями Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ и ESmart Токен ГОСТ используются библиотеки PKCS#11.Работа через них является аналогом режимов rutoken_crypt/jacarta_crypt/esmart_hw(ФКН без защиты канала), но идентификаты режимов получили префикс "pkcs11_".
О способах генерации неизвлекаемых ключей на активных токенах и обычных ключей на пассивных токенах с помощью КриптоПро ЭЦП Browser plug-in можно почитать в статье.
| |
|