Добрый день! Вопрос весьма популярный, поэтому отвечу существенно более широко, чем того требует Ваш вопрос.
Наиболее актуальная согласованная с ФСБ России процедура описана в Руководстве администратора безопасности на CSP 3.9 (документацию можно скачать с нашего сайта). Приведу несколько выдержек из нее.
Цитата:
Установочные модули СКЗИ «КриптоПро CSP» и комплект эксплуатационной документации к нему могут поставляться пользователю Уполномоченной организацией двумя способами:
1. На носителе (CD, DVD - диски);
2. Посредством загрузки через Интернет.
Таким образом, распространие через Интернет является допустимым способом. Теперь о нюансах процедуры.
Цитата:Пользователь, загрузив установочные модули СКЗИ «КриптоПро CSP» и эксплуатационную, документацию должен убедиться в целостности полученных данных. Это пользователь должен сделать с использованием утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP», либо иным другим сертифицированным ФСБ России шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
...
Средство контроля целостности (cpverify.exe или иное сертифицированное средство) должно быть получено на дистрибутивном носителе доверенным образом или через канал связи, защищенный сертифицированными ФСБ России криптографическими средствами. При этом допускается использование утилиты cpverify.exe из состава СКЗИ «КриптоПро CSP» версий 2.0, 3.0, 3.6 при условии, что они были получены на дистрибутивном носителе, а не загружены через общедоступные каналы связи.
То есть, проверять целостность Вы обязаны с помощью утилиты, которая сама была получена Вами доверенным образом (например, с диском с предыдущей версией CSP, из множества перечисленных). Это нужно ровно для того, чтобы Вы могли доверять процедуре вычисления контрольных сумм.
Самый тонкий момент, тем не менее, состоит в порядке получения самих хэшей актуальной версии.
Цитата:Получение значений контрольных сумм данных, скачанных с сайта, не гарантирует аутентичность значений. Рекомендуется получать значения контрольных сумм дистрибутива по доверенному каналу (в офисе ООО «КРИПТО-ПРО», у официальных дилеров, у разработчиков прикладного ПО, использующего функции СКЗИ).
Данный метод не гарантирует защиту дистрибутива от подмены. В случае получения дистрибутива СКЗИ уровня защиты КС1 использовать данный метод не рекомендуется. Для уровней защиты КС2, КС3 скачивание дистрибутива с сайта запрещено.
Эта фраза означает, что, строго говоря, сами значения хэшей могут быть подменены нарушителем в канале, а значит, именно их (и, по сути, только их) Вам необходимо получать по доверенному каналу перед скачиванием той или иной версии дистрибутива. Разумеется, это неудобно.
Фактически адекватным, но, увы, противоречащим документации методом будет получение контрольных значений в рамках https-соединения. В документации данный метод не описан будет по той причине, что опираться на зарубежный TLS регулятор не может (и имеет на это все основания – взгляните на серию статей в нашем блоге, посвященную уязвимостям TLS с зарубежными алгоритмами).
Мы понимаем, что эта ситуация неудобная для пользователей, поэтому мы разработали и начали внедрять (в рамках cpverify.exe) систему подписи нашего кода, основанную на российских криптографических алгоритмах. Мы рассчитываем согласовать ее с регулятором для CSP 4.0, чтобы навсегда сделать соответствующую документации процедуру скачивания дистрибутива с нашего сайта прозрачной и удобной.
После внедрения данной системы ситуация будет следующая. Корнем доверия при проверке подлинности скачанного дистрибутива является утилита cpverify.exe, полученная пользователем (единожды) доверенным образом. Использование утилиты cpverify.exe с расширенным функционалом по проверке электронной подписи кода позволяет, имея в наличии только открытые каналы связи, обеспечить получение программного обеспечения доверенным образом при его скачивании с сайта
www.cryptopro.ru. Дистрибутив программного обеспечения доступен к скачиванию с сайта ООО «КРИПТО-ПРО», соединение с которым устанавливается по открытому каналу. Вместе с дистрибутивом пользователь должен скачать с сайта строку с отделяемой электронной подписью (исключение: дистрибутивы на ОС Windows значение подписи в формате Microsoft Authenticode содержат в себе). Для проверки электронной подписи должна использоваться cpverify.exe, полученная доверенным образом, и содержащая ключ проверки данной электронной подписи. Подписи Microsoft Authenticode встроены в файл дистрибутива, отделенная подпись по ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012 в виде байтовой строки (а также дата в формате ДД.ММ.ГГГГ) выкладывается на сайт
www.cryptopro.ru наряду с дистрибутивом.
Отредактировано пользователем 30 января 2015 г. 12:15:53(UTC)
| Причина: Не указана
