Использование российских криптографических алгоритмов в продуктах сообщества Mozilla

Валерий Блажнов, Владимир Кобылянский, Александр Тараканов

Продукты, разрабатываемые сообществом Mozilla, завоевывают все большее признание. Браузер Firefox уже сравнялся по популярности с Internet Explorer, многие пользователи выбирают почтовый клиент Thunderbird. Широкому распространению этих продуктов способствует их бесплатность, кроссплатформенность, функциональность, не уступающая конкурентам, и, конечно, открытость исходного кода.

Вместе с тем одним из сдерживающих моментов их продвижения - особенно в органах государственной и исполнительной власти - является отсутствие возможности использования российской криптографии в этих продуктах (в частности, в протоколах HTTPS, SSL v3/TLS v1), а также возможности применения ЭЦП и шифрования в почтовом клиенте.

Новые возможности

Продукты семейства Mozilla ориентированы на использование в качестве криптографических провайдеров программных и/или аппаратных токенов, поддерживающих стандарт PKCS#11 (Cryptoki). PKCS#11 является стандартом, разработанным RSA Laboratories, для взаимодействия программ с криптографическими токенами, смарт-картами и другими аналогичными устройствами с помощью унифицированного программного интерфейса.

В настоящее время Техническим комитетом по стандартизации "Криптографическая защита информации" (ТК 26) (ООО "ЛИССИ" является участником этого комитета) выпущено дополнение к стандарту PKCS#11 - "Расширение PKCS#11 для использования российских криптографических алгоритмов".

Базируясь на этом документе, ООО "ЛИССИ" создало СКЗИ LirCryptoki. СКЗИ LirCryptoki, разработанное в соответствие с техническим заданием (ТЗ), согласованным с ФСБ России, содержит программный токен с поддержкой стандарта PKCS#11 и дополнения к нему - "Расширение PKCS#11 для использования российских криптографических алгоритмов". В состав СКЗИ LirCryptoki входит также библиотека LirNSS, дополняющая библиотеку NSS (Network Security Services) российской криптографией для стандартов PKCS#5, PKCS#7, PKCS#8, PKCS#12, S/MIME, X509 и т.д. и протоколов SSL v.3, TLS v.1.

Подключение СКЗИ LirCryptoki как модуля и устройства защиты (см. рис. 1) позволяет реализовать поддержку российских криптографических алгоритмов в продуктах семейства Mozilla.

Теперь с помощью браузера Mozilla Firefox можно генерировать запросы на сертификаты через Web-интерфейс удостоверяющих центров (УЦ), поддерживающих работу с запросами в формате SPKAC (например, "ЛИССИ-УЦ" - см. рис. 2).

При этом ключевая пара генерируется с помощью программного токена СКЗИ LirCryptoki на рабочем месте пользователя (рис. 3), а на УЦ отправляется только подписанный запрос на сертификат.

После того как УЦ выдал сертификат, пользователь с помощью того же Web-интерфейса может установить сертификат в хранилище сертификатов Mozilla (рис. 4)

Когда сертификат установлен, пользователь вправе использовать его для выполнения различных криптографических операций. Например, для шифрования (дешифрования) и подписи (проверки подписи) электронных писем в почтовом клиенте Mozilla Thunderbird (рис. 5-8).

При этом пользователи клиента Thunderbird, естественно, могут обмениваться подписанными/шифрованными письмами с пользователями MS Outlook и The Bat.

Для транспортировки личных сертификатов между хранилищами, поддерживаемыми LISSI-CSP (MS Windows), и хранилищами СКЗИ LirCryptoki в LirCryptoki предусмотрена функция импорта/экспорта сертификатов и ключей в формате PKCS#12.

В настоящее время ООО "ЛИССИ" завершает работы по реализации поддержки протокола HTTPS на базе протоколов SSL v3/TLS v1 с российской криптографией, а также по созданию CSP для MS Windows на базе СКЗИ LirCryptoki.

Особо следует отметить работы по интеграции аппаратных токенов (eToken, ruToken, "Шипка" и т.д.) с СКЗИ LirCryptoki.

И в заключение. СКЗИ LirCryptoki, так же как и СКЗИ "LirSSL", является кроссплатформенным решением. СКЗИ LirCryptoki функционирует под управлением различных операционных систем (MS Windows XP/2000/2003/Vista/7, Linux, FreeBSD и т.д.) на широком спектре аппаратных платформ.