Открыть сервис

КриптоПро TSP

КриптоПро TSP — это программный компонент, входящий в состав экосистемы российской компании «КриптоПро», предназначенный для реализации протокола Time Stamp Protocol (TSP) в соответствии с международным стандартом RFC 3161. КриптоПро TSP обеспечивает создание, проверку и управление метками времени (time stamps), которые подтверждают существование электронного документа или данных в определённый момент времени. Компонент используется в системах электронного документооборота, юридически значимого обмена данными и для обеспечения долговременного хранения электронных подписей (long-term validation).

История и развитие

Протокол TSP был разработан в конце 1990-х годов как часть инфраструктуры открытых ключей (PKI). В России необходимость в реализации данного протокола возникла с развитием электронного документооборота и принятием Федерального закона «Об электронной подписи» (№ 63-ФЗ), который требует подтверждения времени подписания документа. Компания «КриптоПро», основанная в 2000 году и являющаяся одним из ведущих разработчиков средств криптографической защиты информации (СКЗИ) в России, включила поддержку TSP в свой флагманский продуктКриптоПро CSP. Отдельный компонент КриптоПро TSP был выделен в самостоятельный модуль для гибкой настройки и развёртывания служб меток времени (Time Stamping Authority, TSA) на стороне сервера.

Первые версии КриптоПро TSP появились в середине 2000-х годов. С тех пор компонент регулярно обновляется, поддерживая новые версии стандартов и российских криптографических алгоритмов (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). На 2025 год актуальной является версия, совместимая с операционными системами Windows и Linux, а также с аппаратными модулями безопасности (HSM).

Архитектура и принцип работы

КриптоПро TSP реализует архитектуру «клиент-сервер». Компонент состоит из двух основных частей:

  • Серверная часть (TSA-сервер): Принимает запросы на создание меток времени, формирует ответы и подписывает их собственным ключом. Серверная часть может быть развёрнута как отдельное приложение или встроена в существующую PKI-инфраструктуру. Она использует криптографические функции, предоставляемые КриптоПро CSP или аппаратными модулями.
  • Клиентская часть (TSA-клиент): Встраивается в приложения (например, в офисные пакеты, системы электронного документооборота, почтовые клиенты) и отправляет запросы на TSA-сервер. Клиентская часть может быть реализована через API (CryptoAPI, Microsoft CNG, собственный интерфейс КриптоПро).

Процесс создания метки времени:

  1. Клиент вычисляет хеш-значение (дайджест) документа.
  2. Клиент отправляет на TSA-сервер запрос, содержащий этот хеш и идентификатор алгоритма хеширования.
  3. TSA-сервер проверяет запрос, добавляет к нему текущее точное время (полученное от доверенного источника времени, например, от сервера NTP или GPS-приёмника) и подписывает полученную структуру (токен метки времени) своим закрытым ключом.
  4. Клиент получает ответ — токен метки времени, который впоследствии может быть проверен любым участником обмена, имеющим доступ к сертификату TSA-сервера.

Функциональные возможности

КриптоПро TSP предоставляет следующий набор функций:

  • Создание меток времени: Поддержка протокола TSP (RFC 3161) в полном объёме.
  • Проверка меток времени: Верификация подписи TSA-сервера, целостности токена и соответствия времени.
  • Поддержка российских криптографических алгоритмов: ГОСТ Р 34.10-2012 (256 и 512 бит) и ГОСТ Р 34.11-2012 («Стрибог»).
  • Интеграция с PKI: Работа с сертификатами открытых ключей, выпущенными удостоверяющими центрами (УЦ), в том числе аккредитованными Минцифры России.
  • Долговременное хранение (Long-term validation): Возможность создания архивных меток времени, которые подтверждают действительность электронной подписи после истечения срока действия сертификата подписанта.
  • Поддержка различных форматов запросов и ответов: ASN.1, DER, Base64.
  • Логирование и аудит: Фиксация всех операций по созданию и проверке меток времени для обеспечения неотказуемости.
  • Управление ключами TSA: Генерация, хранение и ротация ключей подписи TSA-сервера.

Применение

КриптоПро TSP находит применение в следующих областях:

  • Юридически значимый электронный документооборот (ЭДО): Подтверждение времени подписания договоров, счетов, актов и других документов.
  • Электронные торги и госзакупки: Фиксация времени подачи заявок участниками.
  • Судебная практика: Предоставление доказательств существования документа на определённую дату.
  • Банковская сфера: Подтверждение времени транзакций, формирования отчётов.
  • Интеллектуальная собственность: Доказательство авторства и даты создания произведения.
  • Архивное хранение: Обеспечение долговременной проверяемости электронных подписей (например, для хранения кадровых документов).

Совместимость и интеграция

КриптоПро TSP совместим с:

  • Операционными системами: Windows (7/10/11, Server 2008/2012/2016/2019/2022), Linux (Red Hat, CentOS, Ubuntu, Astra Linux, Alt Linux и другие сертифицированные дистрибутивы).
  • Криптографическими провайдерами: КриптоПро CSP, аппаратные модули безопасности (HSM), поддерживающие российские алгоритмы.
  • Средствами разработки: API для C++, .NET, Java, а также через COM-интерфейсы.
  • Системами ЭДО: 1С-Документооборот, Directum, TESSA, СБИС, Диадок и другие.
  • Удостоверяющими центрами: Интеграция с УЦ, выпускающими сертификаты для TSA-серверов.

Лицензирование и распространение

КриптоПро TSP распространяется по коммерческой лицензии. Стоимость зависит от количества подписываемых меток времени, производительности сервера и условий поддержки. Для тестирования доступна ознакомительная версия с ограниченным сроком действия или количеством запросов. Компонент поставляется в составе пакета КриптоПро CSP (начиная с версии 4.0) или как отдельный продукт КриптоПро TSP Server.

Критика и ограничения

Основные замечания к КриптоПро TSP связаны с его привязкой к российской криптографии и экосистеме «КриптоПро»:

  • Зависимость от КриптоПро CSP: Для работы TSA-сервера требуется установка СКЗИ «КриптоПро CSP», что увеличивает стоимость внедрения и сложность администрирования.
  • Ограниченная совместимость с международными системами: Использование алгоритмов ГОСТ затрудняет интеграцию с зарубежными PKI-решениями, не поддерживающими российские стандарты.
  • Требования к доверенному времени: Для корректной работы TSA-сервер должен быть синхронизирован с точным источником времени, что может потребовать дополнительного оборудования (GPS-приёмники, серверы NTP с защитой от спуфинга).
  • Производительность: При большом количестве запросов (сотни тысяч в секунду) требуется мощное аппаратное обеспечение и оптимизация конфигурации.
  • Отсутствие поддержки некоторых международных стандартов: Например, протокол TSP в версии RFC 3161 не поддерживает некоторые расширения, появившиеся в более поздних черновиках IETF.

Альтернативы

На российском рынке существуют альтернативные решения для создания служб меток времени:

  • VipNet TSA (ИнфоТеКС): Реализация TSP в составе продуктов семейства VipNet.
  • Signal-COM TSA (Сигнал-КОМ): Специализированное решение для создания TSA-серверов.
  • Open-source реализации (например, OpenSSL с поддержкой TSP): Могут использоваться для тестирования, но не сертифицированы для работы с юридически значимыми документами в России.

Выбор конкретного решения зависит от требований к производительности, совместимости с существующей инфраструктурой и необходимости сертификации ФСТЭК или ФСБ России.

Источники

  1. RFC 3161 — Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
  2. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  3. Документация к продукту «КриптоПро TSP» на официальном сайте АО «КриптоПро».
  4. Методические рекомендации Минцифры России по применению электронной подписи.
  5. Стандарты ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →