Vipnet coordinator hw 4

2020

В связи с увеличением количества заявок с просьбой предоставить лицензии на ПО для организации удаленного защищенного доступа и непростой ситуацией с развитием коронавирусной инфекции компания «ИнфоТеКС» 6 окитября 2020 года объявила о своей готовности предоставить лицензии на ряд своих продуктов безвозмездно. В том числе на:

• ViPNet Client — программный комплекс, предназначенный для защиты рабочих мест корпоративных пользователей.
• ViPNet Connect — приложение для защищенного общения корпоративных пользователей.
• ViPNet IDS HS — систему обнаружения вторжений, осуществляющую мониторинг и обработку событий внутри хоста.
• ViPNet SafeBoot — сертифицированный высокотехнологичный программный модуль доверенной загрузки уровня UEFI BIOS.

Все заинтересованные организации могут получить лицензии на данное ПО сроком на 6 месяцев.

Полученные лицензии можно будет использовать для реализации удаленного защищенного доступа, а также для дополнительного сегментирования локальных сетей, например с целью защиты систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний.

Массовый переход компаний на удаленный режим работы, вызванный ограничительными мерами во время весенне-летнего периода изоляции, показал важность корректного подключения личных устройств сотрудников с помощью домашних сетей к корпоративным ресурсам организаций.

Компания «ИнфоТеКС» настоятельно рекомендует организовывать доступ с использованием средств VPN. Наиболее быстрый и безопасный вариант — использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к корпоративным рабочим станциям или терминальным серверам.

Совместимость ViPNet Client версий 4.5 c линейкой продуктов «Рутокен»

30 июля 2020 года компания «Актив-софт» сообщила, что линейки продуктов Рутокен: Рутокен Lite (+micro), Рутокен S
(+micro), Рутокен ЭЦП 2.0 (+micro), смарт-карта Рутокен ЭЦП SC были протестированы на
совместимость в том числе и с программным комплексом ViPNet Client (версий 4.5 для Windows), предназначенным для
защиты рабочих мест корпоративных пользователей. Подробнее .

Предоставление лицензии на безвозмездной основе на фоне эпидемии коронавируса

19 марта 2020 года ИнфоТеКС сообщил, что предоставит на безвозмездной основе лицензии на свое ПО для организации защищенного удаленного доступа.

На март 2020 года ИнфоТеКС получает и отрабатывает множество запросов на предоставление лицензий на ПО ViPNet Client с целью организации удаленного защищенного доступа.

С целью оперативного разрешения всех вопросов и принимая во внимание непростую ситуацию с развитием коронавирусной инфекции компания объявила о готовности предоставить необходимое число лицензий на ПО ViPNet Client, ViPNet Connect, ViPNet IDS HS и ViPNet SafeBoot для расширения защищенных сетей ViPNet всем российским заинтересованным организациям на безвозмездной основе сроком на 6 мес. Указанные лицензии можно использовать по своему усмотрению не только для реализации удаленного защищенного доступа, но и для дополнительного сегментирования своих локальных сетей, например, с целью защиты ваших систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний между своими подразделениями без необходимости очно собирать десятки сотрудников в одном помещении

Для удобства мы предлагаем воспользоваться шаблоном обращения за лицензиями на клиентское ПО, которое необходимо оформить на фирменном бланке и отправить на адрес: soft@infotecs.ru.

Также компания внимание на необходимость аккуратной реализации удаленного доступа с использованием домашних сетей, компьютеров и личных мобильных устройств. Не рекомендовано подключать их к корпоративным ресурсам сетей напрямую, даже с использованием средств VPN

Это чревато неумышленным созданием дыр в контуре безопасности сетей из-за неконтролируемого содержания указанных домашних ресурсов: вирусы, malware и пр. Наиболее быстрый и безопасный вариант в таком случае – это использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к рабочему столу ваших корпоративных рабочих станций или терминальных серверов.

2011: СКЗИ ViPNet CSP версии 3.2

Компания «Инфотекс» объявила в марте 2011 года о том, что по результатам сертификационных испытаний криптопровайдер ViPNet CSP (разработка «Инфотекс») получил положительное заключение ФСБ России, подтверждающее соответствие продукта требованиям, предъявляемым ФСБ к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классам КС1 и КС2.

В соответствии с заключением, СКЗИ ViPNet CSP версии 3.2 предназначено для реализации функций шифрования, имитозащиты, электронной цифровой подписи и вычисления хэш-функции для пользовательских данных, генерации случайных последовательностей и выработки криптографических ключей подписи и шифрования, а также сетевой аутентификации и защиты данных с использованием протокола TLS (SSL), говорится в сообщении «Инфотекс».

Криптопровайдер ViPNet CSP реализует криптографические алгоритмы, соответствующие требованиям ГОСТ 28147-89, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94. Использовать ViPNet CSP можно как в информационных системах общего пользования, так и в государственных и корпоративных информационных системах, отметили в компании. Криптопровайдер встраивается в прикладное программное обеспечение, отвечающее за хранение и обработку персональных данных, конфиденциальной, служебной, коммерческой и другой информации. В то же время, ViPNet CSP как средство электронной цифровой подписи позволяет обеспечить юридическую силу электронных документов.

По информации «Инфотекс», криптопровайдер разработан в соответствии с технологией Microsoft Cryptographic Service Provider. Его применение в программах пакета Microsoft Office обеспечивает подпись и шифрование данных. ViPNet CSP версии 3.2. был протестирован корпорацией Microsoft на производительность, надежность и безопасность. В результате была подтверждена его совместимость с 32-разрядной и 64-разрядной версиями операционной системы Windows 7, сообщили в компании. Кроме того, ViPNеt CSP совместим с сертифицированными криптопровайдерами других российских производителей.

СКЗИ ViPNet CSP версии 3.2 предназначено для реализации функций шифрования, имитозащиты, электронной подписи и вычисления хэш-функции для пользовательских данных, генерации случайных последовательностей и выработки криптографических ключей подписи и шифрования, а также сетевой аутентификации и защиты данных с использованием протокола TLS. Для хранения ключевой информации криптопровайдер поддерживает широкий спектр ключевых носителей, включая носители с неизвлекаемыми ключами электронной подписи, например, eToken ГОСТ и ruToken ЭЦП, что обеспечивает строгую двухфакторную аутентификацию пользователей, гарантируя высокий уровень безопасности. Во всех случаях применения ViPNet CSP обеспечивает вычисление и проверку квалифицированной электронной подписи в соответствии с требованиями федерального закона №63-ФЗ «Об электронной подписи».

Использовать ViPNet CSP можно как в информационных системах общего пользования, так и в государственных и корпоративных информационных системах, например в системах электронных торгов, системах электронного юридически значимого документооборота, защищенных веб-сервисах, в системах сдачи отчетности в электронном виде, при предоставлении государственных и муниципальных электронных услуг, в системах дистанционного банковского обслуживания и многих других.

Продукт уже давно используется компанией «Калуга Астрал». «Использование ViPNet CSP в наших продуктах для сдачи отчетности и проектах внутрикорпоративного обмена данными позволило значительно повысить доступность предоставления услуг конечным пользователям, — утверждает руководитель проекта «Астрал Отчет» Сергей Финогин. — Выбранная `Инфотексом` политика распространения позволяет любому физическому и юридическому лицу бесплатно получить СКЗИ, сертифицированное ФСБ».

Лицензии на криптопровайдер ViPNet CSP предоставляются бесплатно.

Проверка[править]

$ cryptofile verify --in=file.sig --out=file
File to verify: file.sig
Output data file: file
Block size in bytes: 1024
Progress:


CMS SignedData v1

    * Signer 0

        Issuer: БУ ВО "ЦИТ"
        Subject: БУ ВО ЦИТ тестовая
        Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e 
        Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d 
        Not before: 23-10-2018 19:11:00
        Not after: 23-10-2019 19:11:00
        Fingerprint (SHA1 hash): 48 10 53 5c 95 ec df 0f 58 14 d6 b3 64 44 b9 16 fc 3f 23 2b 

        Signature: CAdES-BES with signing time, SignerInfo v1

        Signing time: 04-04-2019 16:19:37 (local)

        Hash algorithm: 1.2.643.2.2.9

        Hash encryption algorithm: 1.2.643.2.2.19

        Signature is valid
        
        Certificate status: revocation status unknown, offline revocation check, partial chain (0x1010040)

        Certification path (building time 13.6710 ms)
        {
            Issuer: БУ ВО "ЦИТ"
            Subject: БУ ВО ЦИТ тестовая
            Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e 
            Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d 
            Not before: 23-10-2018 19:11:00
            Not after: 23-10-2019 19:11:00
            Fingerprint (SHA1 hash): 48 10 53 5c 95 ec df 0f 58 14 d6 b3 64 44 b9 16 fc 3f 23 2b 
            ---
            Certificate status: revocation status unknown, offline revocation check (0x1000040)
        }

SUCCESSED (571.0904 ms)

ViPNet CSP[править]

Сведения о продуктах и решениях ViPNet, распространенные вопросы и другая полезная
информация собраны на сайте ОАО «ИнфоТеКС»:

Внимание! Совет: не пытайтесь использовать Рутокены S под Linux и с ViPNet CSP. Хорошо работают Рутокены ЭЦП и Рутокены Lite.

Установкаправить

Выдержка из руководства пользователя:

Установка пакетов ViPNet CSP Linux
Пакеты из состава ПО ViPNet CSP Linux следует устанавливать в следующем порядке:

1. itcs-licensing
2. itcs-entropy-gost itcs-known-path
3. itcs-winapi
4. itcs-csp-gost
5. Остальные пакеты — в любом порядке, при необходимости.

Пути к исполняемым файламправить

Для того, чтобы не вводить полный путь к исполняемым файлам ViPNet CSP, выполните в терминале:

 export PATH=/opt/itcs/bin:$PATH

Просмотр лицензииправить

$ license status --product csp_linux
Product ID: csp_linux
Version:    4
S-code:     0x00000011
State:      Valid,Trial (14 days left)

Контейнерыправить

Контейнеры пользователя находятся в ~/.itcs/vipnet-csp/containers/.

Просмотр контейнеров:

$ csp-gost print_containers
Printing available containers (for user):

  0. /home/user/.itcs/vipnet-csp/containers/le-b324dba8-7f71-45ad-b9f6-021ea2e9c924
  1. /home/user/.itcs/vipnet-csp/containers/12345678

SUCCESSED

Сертификатыправить

Добавить сертификат удостоверяющего центра в хранилище CA из контейнера:

$ certmgr add_certificate --store CA --container le-b324dba8-7f71-45ad-b9f6-021ea2e9c924

Добавить сертификат пользователя в хранилище My из контейнера:

$ certmgr add_certificate --store My --container 12345678

Просмотреть свои сертификаты:

$ certmgr print_certificates --store My | sed '/Fingerprint/ s/ //g'

Enumerating certificates. Location=CurrentUser, store=My.

Index: 0
Issuer: БУ ВО "ЦИТ"
Subject: БУ ВО ЦИТ тестовая
Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e 
Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d 
Not before: 23-10-2018 19:11:00
Not after: 23-10-2019 19:11:00
Fingerprint(SHA1hash):4810535c95ecdf0f5814d6b36444b916fc3f232b


Enumeration completed. 1 certificate(s) found.

Обратите внимание, мы убрали пробелы для отпечатка ключа (он нам пригодится для подписи).

В свежих версиях появилась графическая утилита certmgr-gui, упрощающая описанные выше операции с сертификатами.

Установка сертификата в системное хранилище с помощью утилиты, имеющей командный интерфейс (cli)

Установка

Чтобы установить сертификат в системное хранилище с помощью утилиты с командным интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr со следующими параметрами:

./certmgr add_certificate —location=<хранилище> —store=My —file=<путь ксертификату> —container=<путь к контейнеру>

где:

• <хранилище> — хранилище сертификатов, задайте одно из следующих значений:
  • CurrentUser — если вы хотите установить сертификат в хранилище сертификатов пользователя (является значением по умолчанию);
  • LocalMachine — если вы хотите установить сертификат в хранилище сертификатов компьютера .

Пример запуска утилиты certmgr с параметрами:

./certmgr add_certificate —location=CurrentUser —store=My —file=/home/astrauser/cert1 —container=/home/astrauser/.itcs/vipnet-csp/containers/cont1

В результате сертификат будет установлен в выбранное хранилище. Если вы указали путь к соответствующему контейнеру ключей, между сертификатом и контейнером ключей будет установлена связь. Это позволит внешним приложениям, работающим с сертификатом, обращаться к соответствующему контейнеру ключей и выполнять с помощью него криптографические операции.

Просмотр свойств сертификатов

Если вы хотите просмотреть свойства сертификата, следует воспользоваться командой:

./certmgr print_certificates —location =<хранилище> —store=<раздел хранилища>

Отобразится список сертификатов, установленных в заданном разделе хранилища. Каждому сертификату присваивается порядковый номер (параметр Index). Используйте его при следующем запуске утилиты с новыми параметрами:

./certmgr print_certificate —location =<хранилище> —store=<раздел хранилища> —index=<порядковый номер сертификата>

Пример запуска утилиты для просмотра свойств сертификата:

./certmgr print_certificates —location=CurrentUser —store=My./certmgr print_certificate —location=CurrentUser —store=My —index=4

Пример запуска утилиты для просмотра свойств списка CRL:

./certmgr print_crls —location=CurrentUser —store=My ./certmgr print_crl —location=CurrentUser —store=My —index=2

Выполнение криптографических операций с файлами

С помощью тестовой утилиты cryptofile вы можете зашифровывать и расшифровывать файлы,подписывать файлы электронной подписью и проверять электронную подпись. Примеры команд для выполнения таких операций приведены ниже.

Пример подписания файла test.doc (для задания закрытого ключа используется имя издателя и серийный номер соответствующего ему сертификата):

/opt/itcs/bin/cryptofile sign —in=/home/user1/test.doc —out=/home/user1/test.doc.sig —nodetach —DER —issuer_serial=»CRYPTO-CA|4ee987f40000000009fd»

Пример защитного преобразования файла test.doc:

/opt/itcs/bin/cryptofile encrypt —in=/home/user1/test.doc —out=/home/user1/test.doc.enc —issuer_serial=»CRYPTO-CA|4ee987f40000000009fd»

Пример проверки электронной подписи файла test.doc.sig:

/opt/itcs/bin/cryptofile verify —in=/home/user1/test.doc.sig —out=/home/user1/test.doc

Пример расшифрования файла test.doc.enc:

/opt/itcs/bin/cryptofile decrypt —in=/home/user1/test.doc.enc —out=/home/user1/test.doc

Установка VipNetCSP 4.4

Токены типа Рутокен S и Рутокен Lite  исключены из поддержки с версии ViPNet CSP 4.2.11.

Скачайте архив и распакуйте его содержимое в корне домашней папки пользователя. Предоставьте права на запуск файла в папке scripts:

chmod 777 /home/<имя_пользователя>/scripts/vipnetcsp_pkg_manager.sh

На запрос пароля введите пароль локального администратора.

Запустите скрипт установки с следующими командами:

./vipnetcsp_pkg_manager.sh install --package rpm --platform <архитектура_процессора> --profile <конфигурация_приложения> --dist /home/<имя_пользователя>/rpm/

Архитектура процессора:

• x86_64 — для 64 или 32 битной версии РЕД ОС.
• i686 — для версии РЕД ОС на архитектуре i686.

Конфигурация приложения:

• vipnet_csp — для установки приложения без графического интерфейса.
• vipnet_csp_gui — для установки приложения с графическим интерфейсом.
• all — то же, что и предыдущий параметр.

Чтобы посмотреть информацию об архитектуре процессора, наберите:

uname -p

Или просто запустите скрипт установки с указанным путем до каталога с устанавливаемыми пакетами. Все остальные параметры определятся автоматический.

./vipnetcsp_pkg_manager.sh install --dist /home/<имя_пользователя>/rpm/

После установки, все исполняемые файлы приложения будут находится по пути /opt/itcs/bin/

Для установки примеров использования функций в Vipnet CSP и заголовочных файлов, зайдите в /home/<имя_пользователя>/rpm и установите пакет itcs-csp-dev-4.4.0.732-1.noarch.rpm. Это можно сделать двойным щелчком по пакету, после чего откроется окно yumex (в РЕД ОС версии 7.2 и младше) или dnfdragora (в РЕД ОС версии 7.3 и старше), куда нужно ввести пароль привилегированного пользователя или администратора.

Или можно воспользоваться консолью и установить пакет с помощью команды:

для РЕД ОС версии 7.1 или 7.2:

yum localinstall itcs-csp-dev-4.4.0.732-1.noarch.rpm

для РЕД ОС версии 7.3 и старше:

dnf localinstall itcs-csp-dev-4.4.0.732-1.noarch.rpm

Примеры использования будут хранится по пути /opt/itcs/share/samples, а заголовочные файлы /opt/itcs/include/

Для удаления приложения замените параметр install в установочном скрипте на uninstall.

./vipnetcsp_pkg_manager.sh uinstall

Для подробного разбора функций и примера использования приложения, просмотрите официальную документацию по продукту на сайте .