Обеспечение поддержки российских криптографических алгоритмов для защиты доступа к веб-сайтам

Протокол TLS обеспечивает аутентифицированный защищенный канал между клиентом и сервером, гарантирующий целостность и конфиденциальность передаваемых данных. Используемый для этого набор криптографических алгоритмов (криптонабор) стороны согласуют в начале сессии.

Современные требования обязывают разработчиков сайтов поддерживать российские криптографические стандарты (ГОСТ). Для этого в России разработаны криптонаборы протокола TLS, признанные IETF и IANA, пройдя экспертизу ведущих российских и мировых специалистов, — TLS с ГОСТ. Его внедрение позволяет обеспечить надёжную защиту сетевого взаимодействия и устойчивость функционирования информационных систем. При этом важно, чтобы использование TLS с ГОСТ не препятствовало доступу к сайту через браузеры, работающие только с иностранными криптоалгоритмами.

Технически эта задача решается настройкой сервера, предоставляющей возможность выбора взаимодействия по сертификату ГОСТ или RSA/ECDSA в зависимости от наличия поддержки ГОСТ на клиентской стороне. В момент установки защищенного соединения сервер автоматически определит, какие криптографические алгоритмы поддерживает браузер пользователя. Если браузер совместим с ГОСТ, соединение будет установлено по ГОСТ-стандартам. Для остальных браузеров соединение будет работать по RSA/ECDSA. Весь процесс происходит автоматически и не требует от пользователя дополнительных действий.

Существуют готовые решения, позволяющие без дополнительной сертификации и разработки программного кода интегрировать поддержку ГОСТ TLS в существующую инфраструктуру и решить поставленную задачу доступности в различных браузерах как с российскими, так и с зарубежными криптонаборами.

Программные решения

1. Популярные веб-серверы с открытым исходным кодом Nginx и Apache способны обеспечивать защищенное TLS-соединение, включая поддержку российских криптоалгоритмов ГОСТ.
   • Настройка работы Nginx/Apache с использованием СКЗИ КриптоПро CSP:
     Интеграция с СКЗИ КриптоПро CSP реализуется следующим образом:
     • в Nginx — использованием исполняемого файла cpnginx из состава СКЗИ. Инструкция по установке и настройке Nginx с поддержкой ГОСТ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/440/0/nginx-gost-binary-packages;
     • в Apache — использованием бинарного модуля mod_ssl из состава СКЗИ. Инструкция по установке и настройке Apache с поддержкой ГОСТ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/365/0/apache2-s-podderzhkojj-shifrovnija-po-gost-n-redos-73.
   • Настройка работы Nginx/Apache c использованием СКЗИ ViPNet OSSL
     Интеграция с СКЗИ ViPNet OSSL осуществляется следующим образом:
     • Установка дополнительного программного обеспечения или модификация исходных кодов Nginx не требуется. Настройка работы Nginx с использованием СКЗИ ViPNet OSSL описана в документе «ViPNet OSSL. Руководство администратора», раздел «Развёртывание HTTP-сервера NGINX» (см. комплект СКЗИ ViPNet OSSL);
     • В исходные коды Apache HTTP Server необходимо внести набор изменений, описание и порядок настройки которых содержатся в документе «ViPNet OSSL. Руководство администратора», раздел «Развертывание HTTP-сервера Apache HTTP Server (httpd)» (см. комплект СКЗИ ViPNet OSSL).
2. Настройка работы Microsoft Internet Information Services (IIS).
   Веб-сервер IIS можно настроить на использование двух сертификатов (ГОСТ и RSA/ECDSA) на одном IP-адресе и порте, что обеспечит подключение клиентов независимо от наличия в их браузере поддержки ГОСТ TLS.
   • Настройка работы Microsoft Internet Information Services (IIS) с использованием СКЗИ КриптоПро CSP:
     Подробная инструкция: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/340/0/nstrojjk-iis-n-odnovremennoe-ispolzovnie-sertifiktov-gost-i-rsa-pri-ispolzovnii-svojjstv-shadow.
   • Настройка работы Microsoft Internet Information Services (IIS) с использованием СКЗИ ViPNet CSP:
     Настройка описана в комплекте документов СКЗИ ViPNet CSP (документ «ViPNet CSP 4.4. Руководство пользователя», раздел «Организация защищённого TLS-соединения»).

Программно-аппаратные решения

1. Использование самостоятельного TLS-шлюза КриптоПро NGate (в виде аппаратной или виртуальной платформы)
   КриптоПро NGate — это готовый универсальный высокопроизводительный TLS-шлюз удаленного доступа и VPN с поддержкой российских и иностранных криптоалгоритмов, обеспечивающий защищённый доступ пользователей к внутренним и публичным веб-ресурсам с использованием браузера с возможностью предварительного тестирования на площадке заказчиком и проведения внедрения вендором или его партнерами.
2. Использование TLS-шлюза ViPNet TLS Gateway (в виде аппаратной платформы либо виртуального исполнения)
   ViPNet TLS Gateway — это высокопроизводительный TLS-криптошлюз, использующий российские и иностранные криптоалгоритмы. Это готовое решение для обеспечения аутентификации пользователей и организации защищенных соединений по протоколу TLS при работе с внутренними корпоративными ресурсами, веб-ресурсами внешних организаций и государственных органов.
3. Использование TLS-шлюза «Континент TLS-сервер». Версия 2 (в виде аппаратной платформы либо программного исполнения)
   «Континент TLS-сервер. Версия 2» — это высокопроизводительный TLS-криптошлюз, использующий российские и иностранные криптоалгоритмы. Это готовое решение для обеспечения аутентификации пользователей и организации защищенных соединений по протоколу TLS при работе с внутренними корпоративными ресурсами, включая вариант их организации в виде портала.

Во всех этих решениях предусмотрена возможность комфортных условий для пользователей при работе с сервисами по TLS c ГОСТ, включающая в себя как готовые клиентские решения для стационарных и мобильных устройств, так и решения для разработки собственных мобильных приложений.

Решения для клиентов

В общем случае необходимо, чтобы клиент со своей стороны, так же, как и сервер, поддерживал работу по TLS с ГОСТ. В зависимости от используемой платформы на стороне клиента и производителя СКЗИ возможны варианты:

КриптоПро

• Использование СКЗИ КриптоПро CSP совместно с одним из поддерживаемых браузеров, таких как Яндекс Браузер или Chromium-Gost для десктопных платформ;
• Использование мобильного приложения КриптоПро Fox для работы на Android-устройствах;
• Использование СКЗИ КриптоПро CSP совместно со встроенным браузером в операционной системе Аврора;
• Встраивание поддержки отечественных криптоалгоритмов в существующее мобильное приложение при помощи СКЗИ КриптоПро CSP для операционных систем iOS, Android и Аврора.

ИнфоТеКС

• Использование СКЗИ ViPNet PKI Client для десктопных платформ на базе Windows или Linux с произвольным браузером;
• Использование СКЗИ ViPNet PKI Client для мобильных устройств с ОС Android или ОС Аврора;
• Использование СКЗИ ViPNet CSP под управлением ОС Windows с браузерами IE или Edge (в режиме IE);
• Встраивание поддержки отечественных криптоалгоритмов с использованием ViPNet OSSL под десктопные и мобильные операционные системы.

Код Безопасности

• Использование СКЗИ Континент TLS-клиент Версия 2 для десктопных платформ на базе Windows;
• Использование СКЗИ ZTN Client для мобильных устройств на базе операционных систем Аврора, Android, iOS, а также для десктопных платформ на базе ОС Windows и Linux, включая встраиваемые варианты.

В случае появления дополнительных вопросов для консультаций предлагаем воспользоваться формой ниже.