私には夢があります...実際、将来的には、クライアントバンクや暗号プロを使用する他のソフトウェア用の多数のWindows + IEがなくてもできるようになるという夢があります。 たとえば、VLSI ++。 くそー、いつかそうなることを願っています。
具体的な夢。 そして今、その実装にはすべての前提条件があります。
このトピックでは、ブラウザーで適格なデジタル署名を非常に便利にできるCrypto-Proソリューションに少し焦点を当てます。
また、Cryptocom( www.cryptocom.ru )の1つのオリジナルソリューションについても説明します。これにより、事前設定やシステム管理者の権限なしで、実質的に任意のコンピューター/ブラウザーを使用して、適格なデジタル署名を使用してインターネット経由で文書に署名できます(「インターネットから取引を行う必要がある-トルコのホテルのカフェ」)。
Crypto Proプラグイン
Crypto-Proスペシャリストは、クロスプラットフォームブラウザープラグインを作成しました 。 ユーザーがEDS Webページに入ると、サーバーはブラウザに応じてどのプラグインが必要かを判断し、プラグインインストールプログラムが起動します。 このプログラムは、システム管理者権限のインストールを必要としません。 すべてが非常に便利で、Mozilla FireFoxにとらわれることなくドキュメントに署名できます。
短所:
- プラグインが機能するためには、まずCryptoPro CSPをインストールし、キーキャリアのRutokenを使用するように構成する必要があります(これは準備ができていない人にとっては必ずしも簡単ではありません)
- IEのプラグインは同じActiveXであるため、ブラウザのセキュリティ設定をいじる必要があります
最初の問題は滑らかにすることができます。 Crypto-ProにはCSPオプションがあり、ワンクリックインストーラーであるCryptoPro Rootoken CSPソフトウェアおよびハードウェア暗号通貨保護システムです。 この製品は、CryptoPro CSPとRutoken EDSに基づいて作成されました。USBトークンとソフトウェアパーツをペアにするすべての瞬間は、製品アーキテクチャのレベルで既に解決されています。 したがって、CIPFのインストールと構成の複雑さは大幅に軽減され、秘密鍵の処理はハードウェアレベルで行われるため、セキュリティの全体的なレベルが向上します。
いずれにせよ、CryptoPro Rootoken CSPバンドル+クロスブラウザプラグインは、大規模プロジェクトのテクニカルサポートサービスをより簡単にするという点で大きな前進です。
暗号トンネル
CryptocomはMagPro Crypto Tunnel製品をリリースしました 。 特に、認証されたTLSゲストWeb接続を保護し、証明書でサイトで認証し、資格のある署名を使用してWebフォーム経由で送信するときにテキストメッセージまたはファイルに署名するために、いくつかのことを行うことができます。
暗号トンネルは、オープンソースのsTunnelアプリケーションに基づいています。 ポート転送の原理で機能します。 起動時に、暗号トンネルはlocalhostの任意のポートのリッスンを開始します。 同時に、リモートホスト:ポートが構成に登録され、接続が転送されます。 しかし、彼はそれらを転送するだけでなく、以前にリモートホストとのTLS接続を確立しました。 このTLS接続を介してデータが送信されます。
Crypto Tunnelを開始して、127.0.0.1:8080に「リッスン」するように指示し、ブラウザで127.0.0.1:8080に移動すると、Crypto Tunnelは、設定で指定されたリモートホストとのTLS接続を確立し、HTTPリクエストの送信を開始しますブラウザから、およびWebサーバーからのHTTP応答。 開発者は、目的のURL(どこかからhttp://127.0.0.1:8080/)へのユーザーのデフォルトブラウザーの自動起動を組み込んでいることに注意してください。
コメント付きの設定の例:
# verify=2 # client=yes # CAFile=..\crypto\ca.crt # engine=gost # sslVersion=TLSv1 # taskbar taskbar=yes # DEBUG=7 [https] # accept = 127.0.0.1:80 # connect = ca.cryptocom.ru:443 # ciphers = GOST2001-GOST89-GOST89 TIMEOUTclose = 0 # cert=..\crypto\client.crt # key=..\crypto\client.key # cert_sign=..\crypto\client.crt # key_sign=..\crypto\client.key sign_only_new=no # html-, sign_inputs=ID797C1C735EEB4926925375E1D6907834 # html-, , sign_files=IDCBB806E365FB4FBA9490AB20303971F4
TLSを使用すると、すべてが明確になることを願っています。デジタル署名に移りましょう。
すべてのアプリケーションレベルのトラフィック(HTTP)は暗号トンネルを通過するため、トラフィックの一部は特別な方法でマークできます。 暗号化トンネルは、マークされた部分を確認し、POST要求から引き出し、urlエンコードからデコードし、(ユーザーに最初に確認した後)署名し、署名されたメッセージ/ファイル(または別の署名)をPOST要求に慎重に囲み、さらにサーバーに送信します。 主な微妙さが考慮されています-ファイルを転送するとき、POSTリクエストはマルチパートの形で形成されます。
Crypto Tunnelが送信されたWebフォームのどのフィールドに署名する必要があるかを理解するために、パラメータsign_inputsおよびsign_filesが設定で設定されます。 ユーザーデータを入力するためのWebフォームを設計するとき、サイト開発者はそれに応じて署名されるフィールドに名前を付ける必要があります。
Crypto Tunnelソリューションの主な機能は、インストールなしで、すべてのブラウザーで、ブラウザーのセキュリティポリシーの複雑な構成なしで機能することです。 暗号トンネルを設置できます
フラッシュドライブとそこから実行します。
興味のある方は、 デモサイトでソリューションをご覧ください。
ルートキン暗号トンネル
キーを確実に保護するには、暗号トンネルをRutoken EDS Flashと組み合わせて使用する必要があります 。 この場合、キーはRutokenの保護されたメモリに格納され、暗号化トンネル自体はフラッシュメモリに格納され、そこから起動されます。 Rutoken EDS Flashは標準のCCIDドライバーを使用するため、最新のOS(Windows VistaおよびMac OS X 10.7以降)にソフトウェアをインストールする必要はなく、Rootoken EDS Flashサポートモジュールは暗号トンネルに既に含まれています。