КриптоПро TSP
КриптоПро TSP — это программный компонент, входящий в состав экосистемы российской компании «КриптоПро», предназначенный для реализации протокола Time Stamp Protocol (TSP) в соответствии с международным стандартом RFC 3161. КриптоПро TSP обеспечивает создание, проверку и управление метками времени (time stamps), которые подтверждают существование электронного документа или данных в определённый момент времени. Компонент используется в системах электронного документооборота, юридически значимого обмена данными и для обеспечения долговременного хранения электронных подписей (long-term validation).
История и развитие
Протокол TSP был разработан в конце 1990-х годов как часть инфраструктуры открытых ключей (PKI). В России необходимость в реализации данного протокола возникла с развитием электронного документооборота и принятием Федерального закона «Об электронной подписи» (№ 63-ФЗ), который требует подтверждения времени подписания документа. Компания «КриптоПро», основанная в 2000 году и являющаяся одним из ведущих разработчиков средств криптографической защиты информации (СКЗИ) в России, включила поддержку TSP в свой флагманский продукт — КриптоПро CSP. Отдельный компонент КриптоПро TSP был выделен в самостоятельный модуль для гибкой настройки и развёртывания служб меток времени (Time Stamping Authority, TSA) на стороне сервера.
Первые версии КриптоПро TSP появились в середине 2000-х годов. С тех пор компонент регулярно обновляется, поддерживая новые версии стандартов и российских криптографических алгоритмов (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). На 2025 год актуальной является версия, совместимая с операционными системами Windows и Linux, а также с аппаратными модулями безопасности (HSM).
Архитектура и принцип работы
КриптоПро TSP реализует архитектуру «клиент-сервер». Компонент состоит из двух основных частей:
- Серверная часть (TSA-сервер): Принимает запросы на создание меток времени, формирует ответы и подписывает их собственным ключом. Серверная часть может быть развёрнута как отдельное приложение или встроена в существующую PKI-инфраструктуру. Она использует криптографические функции, предоставляемые КриптоПро CSP или аппаратными модулями.
- Клиентская часть (TSA-клиент): Встраивается в приложения (например, в офисные пакеты, системы электронного документооборота, почтовые клиенты) и отправляет запросы на TSA-сервер. Клиентская часть может быть реализована через API (CryptoAPI, Microsoft CNG, собственный интерфейс КриптоПро).
Процесс создания метки времени:
- Клиент вычисляет хеш-значение (дайджест) документа.
- Клиент отправляет на TSA-сервер запрос, содержащий этот хеш и идентификатор алгоритма хеширования.
- TSA-сервер проверяет запрос, добавляет к нему текущее точное время (полученное от доверенного источника времени, например, от сервера NTP или GPS-приёмника) и подписывает полученную структуру (токен метки времени) своим закрытым ключом.
- Клиент получает ответ — токен метки времени, который впоследствии может быть проверен любым участником обмена, имеющим доступ к сертификату TSA-сервера.
Функциональные возможности
КриптоПро TSP предоставляет следующий набор функций:
- Создание меток времени: Поддержка протокола TSP (RFC 3161) в полном объёме.
- Проверка меток времени: Верификация подписи TSA-сервера, целостности токена и соответствия времени.
- Поддержка российских криптографических алгоритмов: ГОСТ Р 34.10-2012 (256 и 512 бит) и ГОСТ Р 34.11-2012 («Стрибог»).
- Интеграция с PKI: Работа с сертификатами открытых ключей, выпущенными удостоверяющими центрами (УЦ), в том числе аккредитованными Минцифры России.
- Долговременное хранение (Long-term validation): Возможность создания архивных меток времени, которые подтверждают действительность электронной подписи после истечения срока действия сертификата подписанта.
- Поддержка различных форматов запросов и ответов: ASN.1, DER, Base64.
- Логирование и аудит: Фиксация всех операций по созданию и проверке меток времени для обеспечения неотказуемости.
- Управление ключами TSA: Генерация, хранение и ротация ключей подписи TSA-сервера.
Применение
КриптоПро TSP находит применение в следующих областях:
- Юридически значимый электронный документооборот (ЭДО): Подтверждение времени подписания договоров, счетов, актов и других документов.
- Электронные торги и госзакупки: Фиксация времени подачи заявок участниками.
- Судебная практика: Предоставление доказательств существования документа на определённую дату.
- Банковская сфера: Подтверждение времени транзакций, формирования отчётов.
- Интеллектуальная собственность: Доказательство авторства и даты создания произведения.
- Архивное хранение: Обеспечение долговременной проверяемости электронных подписей (например, для хранения кадровых документов).
Совместимость и интеграция
КриптоПро TSP совместим с:
- Операционными системами: Windows (7/10/11, Server 2008/2012/2016/2019/2022), Linux (Red Hat, CentOS, Ubuntu, Astra Linux, Alt Linux и другие сертифицированные дистрибутивы).
- Криптографическими провайдерами: КриптоПро CSP, аппаратные модули безопасности (HSM), поддерживающие российские алгоритмы.
- Средствами разработки: API для C++, .NET, Java, а также через COM-интерфейсы.
- Системами ЭДО: 1С-Документооборот, Directum, TESSA, СБИС, Диадок и другие.
- Удостоверяющими центрами: Интеграция с УЦ, выпускающими сертификаты для TSA-серверов.
Лицензирование и распространение
КриптоПро TSP распространяется по коммерческой лицензии. Стоимость зависит от количества подписываемых меток времени, производительности сервера и условий поддержки. Для тестирования доступна ознакомительная версия с ограниченным сроком действия или количеством запросов. Компонент поставляется в составе пакета КриптоПро CSP (начиная с версии 4.0) или как отдельный продукт КриптоПро TSP Server.
Критика и ограничения
Основные замечания к КриптоПро TSP связаны с его привязкой к российской криптографии и экосистеме «КриптоПро»:
- Зависимость от КриптоПро CSP: Для работы TSA-сервера требуется установка СКЗИ «КриптоПро CSP», что увеличивает стоимость внедрения и сложность администрирования.
- Ограниченная совместимость с международными системами: Использование алгоритмов ГОСТ затрудняет интеграцию с зарубежными PKI-решениями, не поддерживающими российские стандарты.
- Требования к доверенному времени: Для корректной работы TSA-сервер должен быть синхронизирован с точным источником времени, что может потребовать дополнительного оборудования (GPS-приёмники, серверы NTP с защитой от спуфинга).
- Производительность: При большом количестве запросов (сотни тысяч в секунду) требуется мощное аппаратное обеспечение и оптимизация конфигурации.
- Отсутствие поддержки некоторых международных стандартов: Например, протокол TSP в версии RFC 3161 не поддерживает некоторые расширения, появившиеся в более поздних черновиках IETF.
Альтернативы
На российском рынке существуют альтернативные решения для создания служб меток времени:
- VipNet TSA (ИнфоТеКС): Реализация TSP в составе продуктов семейства VipNet.
- Signal-COM TSA (Сигнал-КОМ): Специализированное решение для создания TSA-серверов.
- Open-source реализации (например, OpenSSL с поддержкой TSP): Могут использоваться для тестирования, но не сертифицированы для работы с юридически значимыми документами в России.
Выбор конкретного решения зависит от требований к производительности, совместимости с существующей инфраструктурой и необходимости сертификации ФСТЭК или ФСБ России.
Источники
- RFC 3161 — Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- Документация к продукту «КриптоПро TSP» на официальном сайте АО «КриптоПро».
- Методические рекомендации Минцифры России по применению электронной подписи.
- Стандарты ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →