Это универсальный программный комплекс, разработанный компанией ИнфоТеКС.
✓Простой и удобный.
✓Зарегистрирован в Реестре российского ПО.
✓Предназначен для решения основных задач пользователя при работе с сервисами, использующими:
заверение документов электронной подписью;
шифрование файлов;
аутентификацию пользователей для доступа к веб-сервисам;
построение защищенных TLS-соединений.
Компоненты в составе ViPNet PKI Client
File Unit
Компонент для работы с файлами
Web Unit
Компонент для работы с данными, передаваемыми браузерами
CRL Unit
Компонент для обеспечения актуальности требуемых для работы c сертификатами CRL
Certificate Unit
Компонент для управления жизненным циклом сертификатов, менеджер сертификатов
TLS Unit
Компонент для обеспечения организации TLS-соединений со стороны клиента для защищенного доступа к порталам
ViPNet CSP
Провайдер криптографических функций
С помощью ViPNet PKI Client вы можете:
Создать запрос на сертификат и получить в удостоверяющем центре сертификат, чтобы использовать его для защищенного обмена данными.
Подтверждать свою личность и проверять личность других пользователей, от которых вы получаете файлы, с использованием электронной подписи (далее — ЭП) в соответствии с федеральным законом № 63-ФЗ «Об электронной подписи».
Защищать файлы, которые вы отправляете другим пользователям, с помощью шифрования.
Автоматически получать актуальные списки аннулированных сертификатов (CRL) из точек распространения.
Работать с облачным сервисом ЭП на базе ПАК ViPNet PKI Service.
Подключаться к сайтам, использующим TLS ГОСТ.
Устанавливать защищенные TLS-соединения c односторонней и двусторонней аутентификацией по алгоритмам ГОСТ с туннелируемыми ViPNet TLS Gateway ресурсами, использующими протоколы RDP, HTTP, SMTP, POP3, IMAP, WebDAV и SQL.
Кому необходима установка ViPNet PKI Client
Коммерческим организациям, нуждающимся в шифровании данных
Государственным учреждениям
Субъектам КИИ
Другим организациям, владеющим защищаемой информацией
Преимущества программного комплекса ViPNet PKI Client
Поддержка основных сценариев работы в PKI в рамках одного продукта
Кроссбраузерность: для использования сервисов ЭП и шифрования, а также доступа к веб-ресурсам по протоколу TLS ГОСТ пользователь может выбрать любой браузер
Автоматическое обновление списков аннулированных сертификатов (CRL) для проверки ЭП и сертификатов ключей проверки ЭП
Туннелирование TCP-трафика по протоколу TLS
Поддержка мобильных операционных систем (Android и iOS)
Сценарии использования ViPNet PKI Client
Получение сертификата
Получение и установка CRL
Подписание документа
Шифрование файла
Использование ЭП в веб-приложениях
Подключение к веб-ресурсу по TLS
Подключение к туннелируемым ресурсам
Получение сертификата
В ViPNet PKI Client создайте запрос на сертификат. При создании запроса на сертификат формируются:
ключ ЭП — помещается в контейнер ключей на диске компьютера или внешнем устройстве;
ключ проверки ЭП — помещается в файл запроса на сертификат.
Передайте созданный запрос в УЦ доверенным способом.
Администратор УЦ издаст по запросу сертификат.
Получите в УЦ свой сертификат, корневой сертификат издателя и CRL.
Установите полученные сертификаты и CRL в хранилище.
Рис. 1 Передача запроса и получение сертификата.
Получение и установка CRL
В ViPNet PKI Client укажите URL точек распространения CRL и расписание их опроса.
ViPNet PKI Client будет по расписанию опрашивать указанные точки на предмет новых CRL.
При обнаружении новых CRL ViPNet PKI Client загрузит их на ваш компьютер.
ViPNet PKI Client установит загруженные CRL в хранилище.
Рис.2 Обновление CRL.
Подписание документа
Допустим, вам нужно отправить руководителю отчет в электронном виде, и по правилам вашей компании отчет должен быть заверен ЭП.
Чтобы подписать отчет с помощью ViPNet PKI Client:
Убедитесь, что у вас есть сертификат и соответствующий ему ключ ЭП. Если у вас нет сертификата, обратитесь в УЦ вашей компании
В File Unit используйте функцию подписания: выберите файл отчета и сертификат, с помощью которого вы хотите его подписать. В результате File Unit создаст файл *.sig, который в зависимости от выбранного типа подписи будет содержать исходный файл отчета и ЭП или только ЭП.
Отправьте файл *.sig руководителю (например, по электронной почте). Если при подписании вы использовали открепленную подпись, вместе с файлом *.sig отправьте исходный файл отчета.
Руководитель с помощью File Unit и вашего сертификата проверит ЭП полученного отчета
Рис.3 Подписание документа с помощью File Unit.
Шифрование файла
Допустим, вам нужно отправить по электронной почте документ, содержащий конфиденциальную информацию.
Чтобы защитить документ от посторонних лиц, зашифруйте его с помощью ViPNet PKI Client:
Попросите получателя документа прислать вам его сертификат (например, по электронной почте).
Если издатели сертификата получателя и сертификата, который вы будете использовать для зашифрования, отличаются, запросите в УЦ получателя сертификат издателя и CRL и установите их в хранилище.
В File Unit используйте функцию шифрования: выберите файл документа для зашифрования и сертификат получателя. В результате File Unit создаст файл *.enc, содержащий данные исходного документа в зашифрованном виде.
Отправьте файл *.enc получателю (например, по электронной почте).
Получатель расшифрует полученный файл с помощью своего ключа ЭП.
Рис. 4 Шифрование документа с помощью File Unit.
Использование ЭП в веб-приложениях
При получении некоторых электронных услуг (например, на портале государственных услуг или в интернет-банке) для защиты данных может требоваться использование ЭП или других криптографических функций.
Если веб-приложение, которое вы используете, совместимо с ViPNet PKI Client, для работы с ним используйте Web Unit:
В веб-приложении сформируйте заявление на получение услуги.
Если у вас еще нет сертификата, в Web Unit создайте запрос на сертификат.
Получите сертификат и установите его в хранилище.
Отправьте заявление. При этом потребуется подписать его ЭП, выбрав сертификат.
После подписания заявление будет отправлено
Рис.5 Использование ЭП в веб-приложениях.
Подключение к веб-ресурсу по TLS
Для подключения к некоторым веб-ресурсам (например, порталу государственных услуг или электронным торговым площадкам) требуется установить защищенное соединение по протоколу TLS, поддерживающему российские алгоритмы ГОСТ. По умолчанию браузеры не поддерживают алгоритмы ГОСТ для TLS-соединений. Чтобы решить эту проблему, используйте TLS Unit:
Пользователь с помощью браузера обращается к веб-ресурсу. Если TLS Unit работает, он выполняет функцию локального прокси-сервера, все соединения с веб-ресурсами проходят через него и в соответствии с его настройками. Если TLS Unit выключен, для работы прокси-сервера используются настройки по умолчанию.
Веб-ресурс и TLS Unit согласовывают параметры соединения: протоколы, алгоритмы шифрования данных.
Если для установления TLS-соединения не требуется поддержка алгоритмов ГОСТ или требуется установить соединение не по протоколу TLS, используются стандартные средства браузера.
Если для установления TLS-соединения требуется поддержка алгоритмов ГОСТ Р 34.10-2012, ГОСТ 28147-89, ГОСТ Р 34.12-2015 «Магма» или «Кузнечик», используется TLS Unit:
TLS Unit проверяет цепочку сертификатов сервера.
Если для доступа к веб-ресурсу требуется аутентификация пользователя, TLS Unit предлагает пользователю выбрать сертификат из списка доступных. После успешной проверки сертификатов устанавливается соединение.
Рис.6 Установка TLS-соединения.
Подключение к туннелируемым ресурсам
При предоставлении удаленного доступа к корпоративным ресурсам (например, рабочему месту, файловому или почтовому серверу) может возникнуть необходимость в защищенном соединении между клиентом и сервером при передаче данных через Интернет. Если в вашей корпоративной сети для разграничения доступа к ресурсам используется ViPNet TLS Gateway версии не ниже 1.3, вы можете настроить туннелирование ресурсов, использующих протоколы RDP, HTTP, SMTP, POP3, IMAP, WebDAV и протоколы взаимодействия с базами данных (например, MSSQL, PostgreSQL, MySQL).
Tunnel Unit позволяет устанавливать TLS-соединения c односторонней и двусторонней аутентификацией по алгоритмам ГОСТ с этими ресурсами. Благодаря этому вы сможете получить защищенный доступ к нужным ресурсам и работать с ними.
Для установления TLS-соединения с туннелируемыми ресурсами должно быть выполнено следующее:
На ПАК ViPNet TLS Gateway добавлены и настроены туннелируемые ресурсы.
На компьютере пользователя установлены сертификаты УЦ из цепочки доверия транспортных сертификатов ViPNet TLS Gateway.
Соединение устанавливается следующим образом:
В ViPNet PKI Client пользователь добавляет туннелируемый ресурс.
С помощью соответствующего приложения пользователь подключается к туннелируемому ресурсу.
Рис.7 Установка соединения с туннелируемыми ресурсами.
Сертификация в ФСБ России
Получены сертификаты ФСБ России о соответствии ViPNet PKI Client требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, и Требованиям к средствам электронной подписи по классам:
ViPNet PKI Client — универсальное программное обеспечение, предназначенное для решения основных задач пользователя при работе с сервисами, использующими:
Заверение документов электронной подписью;
Шифрование файлов;
Аутентификацию пользователей для доступа к веб-сервисам;
