СКЗИ «ЛИРССЛ-CSP». Программный модуль LIRSSL
Программный модуль LIRSSL входит в состав сертифицированного многофункционального СКЗИ «ЛИРССЛ-CSP».
В качестве криптоядра в программном модуле LIRSSL используется базовая криптографическая библиотека LCC.
Программный интерфейс ПМ LIRSSL полностью совместим с API OpenSSL.
ПМ LIRSSL является кросс-платформенным и
функционирует под управлением операционных систем MS Windows, Sun Solaris,
Linux, FreeBSD, IBM AIX, HP HP/UX , QNX , OS X, на мобильных платформах Android и iOS и др.
ПМ LIRSSL включает в свой состав библиотеки lircrypto, lirssl и утилиту lirssl.
ПМ LIRSSL портирован также на платформу Google Native Client.
Криптографические процедуры защиты информации обеспечивают:
- шифрование данных по ГОСТ 28147-89, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015 («Кузнечик», «Магма»);
- контроль целостности данных посредством вычисления имитовставки по ГОСТ 28147-89, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015;
- вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012;
- вычисление и проверку электронной подписи (ЭП) в соответствии с ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012.
Программный модуль LIRSSL обеспечивает поддержку международных криптографических стандартов: PKCS#7, PKCS#8, PKCS#10, PKCS#11, PKCS#12, X509v3, SSL v.3, TLS v.1.
Основные функции ПМ LIRSSL:
- выработка ключевой информации;
- генерация и работа с сертификатами (X509v3) ключей проверки электронной подписи соответствующих «Требованиям к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795;
- вычисление хэш-функции сообщений;
- вычисление имитовставки сообщений;
- шифрование данных в режимах простой замены, гаммирования, гаммирования с обратной связью и в режиме сцепления блоков;
- поддержка протоколов SSL v3 и TLS v1 (TLS-1.0, TLS-1.1, TLS-1.2);
- поддержка протокола OCSP.
На базе программного модуля LIRSSL разработана библиотека LirCryptoWrapper с высокоуровневым интерфейсом, которая позволяет удобно работать с личными сертификатами, хранящимися в устройствах PKCS#11 и хранилищах MS Windows. Данная библиотека позволяет подписывать, шифровать, проверять подписи, расшифровывать документы и многое другое независимо от места хранения личных сертификатов. Именно эта библиотека является ядром плагина LCSignPlugin, приложений «SignMaker-A» для платформы Android и «SignMaker-I» для платформы iOS:
)
Как уже отмечалось, в состав пакета «СКЗИ «LirSSL» входит утилита командной строки lirssl и динамические библиотеки.
Утилита командной строки lirssl позволяет просматривать квалифицированные сертификаты ключа проверки электронной подписи и запросы на сертификат.
lirssl.exe x509 -in d:\lsoft-ca.pem -noout -text
)
lirssl.exe req -in d:\req.p10 -noout -text
)
СКЗИ «ЛИРССЛ-CSP» используется в качестве криптографического ядра в следующих продуктах:
- ПК «SignMaker», реализующий графический интерфейс СКЗИ «ЛИРССЛ-CSP» и обеспечивающий формирование ЭП (как “классической”, так и усовершенствованной) по ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012 для выбранного файла одним или несколькими лицами (сертификатами);
- ПМ ЛИССИ-CSP, реализующий поддержку интерфейса MS CSP для платформы MS Windows;
- ПАК «ЛИССИ-УЦ» (исполнение 1 и исполнение 2), предназначенные для реализации функций удостоверяющего центра в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;
- ПМ LIRTUNNEL, предназначенный для организации защищенных (шифрованных) туннелей с использованием российских криптографических алгоритмов (ГОСТ 28147-89, ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012);
- ПМ LIRVPN, предназначенного для построения VPN на основе протоколов SSLv3/TLSv1 с использованием российских криптографических алгоритмов;
- токены семейства «LS11», реализующий поддержку интерфейса PKCS#11 v.2.40;
- модуль LirModSSL, реализующий поддержку HTTPS (протоколы TLS-1.0, TLS-1.1, TLS-1.2) на базе российской криптографии в HTTP-сервере Apache;
- модуль php-lirssl, реализующий поддержку российской криптографии в скриптовом языке PHP, применяемом для разработки веб-приложений;
- программный модуль «Fox-SNC», реализующий поддержку протокола Secure Network Communications (SNC) и обеспечивающий защиту от несанкционированного доступа (НСД) путем аутентификации пользователей на сертификатах ЭЦП и защиту сетевого трафика в продуктах компании SAP, функционирующих на базе Web Application Server, по протоколу SNC с использованием российских криптографических алгоритмов;
- модуль «Fox-SSF», реализующий поддержку протокола Secure Store and Forward (SSF) в продуктах компании SAP AG и обеспечивающий криптографическую защиту электронных документов за счет использования механизмов ЭП для подписи документов и хранения документов в зашифрованном виде с использованием российских криптоалгоритмов;
- криптоплагин, реализующий поддержку протокола NPAPI и ActiveX для браузеров Google Chrome, Opera, Apple Safari, Microsoft Internet Explorer, Mozilla Firefox, SeaMonkey;
- утилита экспорта/резервного копирования личных сертификатов с закрытым ключом из криптопровайдера Microsoft CSP с российской криптографией;
- другие.
Разработанная на основе LIRSSL библиотека LirCryptoWrapper позволяет подключать программные, программно-аппаратные и аппаратные токены с интерфейсом PKCS#11 реализующие российские криптографические алгоритмы, такие как eToken ГОСТ, Рутокен ЭЦП, СКЗИ «MS_KEY K» и другие.
