рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
342
Также для исключения проблем с кодировкой в некоторых системах мы рекомендуем выполнить следующие действия:
1 В окне Регион (Region) на вкладке Форматы (Formats) в списке Формат (Format) выберите
Русский (Россия) (Russian (Russia)).
Рисунок 174. Настройка форматов
2 В окне Регион (Region) на вкладке Местоположение (Location) в списке Основное
расположение (Home location) выберите Россия (Russia).
Примечание. В Windows 10 версии 1809 и выше нет вкладки Location, поэтому указанный параметр настраивать не нужно.

ViPNet Client 4. Руководство пользователя |
343
Рисунок 175. Выбор текущего расположения

ViPNet Client 4. Руководство пользователя |
344
Отключение Юникода (UTF-8) для поддержки языка во всем мире
Для установки и правильной работы программы ViPNet Client в Windows 10 отключите использование Юникода:
1 В меню Пуск выберите Настройки > Время и язык > Регион и язык > Административные
языковые параметры.
2 В окне Регион на вкладке Дополнительно нажмите кнопку Изменить язык системы.
3 В окне Региональные стандарты снимите флажок Бета-версия: Использовать Юникод (UTF-8)
для поддержки языка во всем мире.
Рисунок 176. Отключение использования UTF-8
4 Перезагрузите компьютер, чтобы изменения вступили в силу.

ViPNet Client 4. Руководство пользователя |
345
E
Внешние устройства
Общие сведения
Внешние устройства предназначены для хранения контейнеров ключей
(см. глоссарий, стр. 383), которые вы можете использовать для аутентификации, формирования электронной подписи
(см. глоссарий, стр. 387) или для других целей.
На внешнем устройстве могут храниться ключи, созданные по различным алгоритмам в программном обеспечении ViPNet или в сторонних программах. Максимальное количество контейнеров ключей, которое может храниться на одном внешнем устройстве, зависит от объема памяти устройства.
Программное обеспечение ViPNet Монитор поддерживает два способа аутентификации с помощью внешнего устройства (см.
Способы аутентификации пользователя на стр. 70):
 По персональному ключу пользователя ViPNet, который хранится на устройстве. Этот способ аутентификации имеет следующие ограничения: o
Одно внешнее устройство невозможно использовать для аутентификации нескольких пользователей ViPNet. o
Одно внешнее устройство невозможно использовать для аутентификации одного пользователя на нескольких узлах ViPNet. o
Если используется этот способ аутентификации, тогда ключи электронной подписи пользователя, изданные в удостоверяющем центре на базе ПО ViPNet, должны храниться на одном устройстве с персональным ключом.
 По сертификату, который хранится на устройстве вместе с соответствующим закрытым ключом. Требования к сертификату см. в разделе
Особенности аутентификации с помощью сертификата
(на стр. 75).

ViPNet Client 4. Руководство пользователя |
346
Все операции с контейнерами ключей и внешними устройствами вы можете выполнить в программе ViPNet CSP (см.
Настройка параметров криптопровайдера ViPNet CSP
на стр. 229).
Чтобы использовать какое-либо внешнее устройство, на компьютер необходимо установить драйверы этого устройства. Перед записью ключей на устройство убедитесь, что оно отформатировано.
Список поддерживаемых внешних устройств
В следующей таблице перечислены внешние устройства, которые могут быть использованы в
ViPNet Client. Для каждого семейства устройств в таблице приведено описание, указаны условия и особенности работы с устройствами.
Таблица 16. Поддерживаемые внешние устройства
Название
семейства
устройств
в программе
ViPNet CSP
Полные названия и типы
устройств
Необходимые и рекомендуемые условия работы
с семейством устройств
ESMART Token
Смарт-карты и токены типов ESMART Token,
ESMART Token ГОСТ
На компьютере должно быть установлено ПО ESMART PKI
Client для Windows (рекомендуемая версия — 4.5 RС).
Устройства типа ESMART Token необходимо отформатировать с помощью ПО ESMART PKI Client для
Windows с профилем ViPNet2.
Перенос ключей подписи с устройства и на устройство
ESMART Token ГОСТ невозможен, так как на устройстве используется аппаратная криптография с неизвлекаемым ключом.
Infotecs
Software Token
ViPNet SoftToken — программная реализация стандарта PKCS#11
Необходимо установить компонент ViPNet SoftToken
(входит в состав ПО ViPNet OpenSSL). C помощью программы token_manager.exe на компьютере должен быть создан программный токен.
Подробную информацию о работе с программным токеном см. в документе «ViPNet SoftToken. Руководство разработчика», раздел «Использование утилиты token_manager для работы с программными токенами».

ViPNet Client 4. Руководство пользователя |
347
Название
семейства
устройств
в программе
ViPNet CSP
Полные названия и типы
устройств
Необходимые и рекомендуемые условия работы
с семейством устройств
aKey
Смарт-карты
aKey S1000,
aKey S1003,
aKey S1004 производства компании
Ak Kamal Security
На компьютере должна быть установлена библиотека akpkcs11.dll
, предоставленная компанией
Ak Kamal Security.
Устройство имеет два ПИН-кода: администратора и пользователя. Значение этих ПИН-кодов по умолчанию
— 12345678.
Перенос ключей подписи с устройств и на устройства данного семейства невозможен, так как на устройствах используется аппаратная криптография с неизвлекаемым ключом.
ViPNet HSM
Программно-аппаратный комплекс ViPNet HSM производства АО
«ИнфоТеКС»
На компьютере должно быть установлено ПО ViPNet HSM
SDK.
В программе ViPNet CSP необходимо задать параметры подключения к серверу ViPNet HSM.
JaCarta
Персональные электронные ключи и смарт-карты eToken ГОСТ,
eToken PRO (Java), JaCarta
PKI,
JaCarta LT, JaCarta SE,
JaCarta PKI/ГОСТ, JaCarta
PRO, JaCarta-2 PKI/ГОСТ,
JaCarta-2 ГОСТ, JaCarta-2
PRO/ГОСТ производства компании
«Аладдин Р.Д.»
На компьютере должно быть установлено
ПО «Единый
Клиент JaCarta»
компании «Аладдин Р.Д.» (рекомендуемая минимальная версия — 2.12).
Перенос ключей подписи с апплетов «Криптотокен» и
«Криптотокен 2 ЭП» (модели JaCarta со словом «ГОСТ» в названии) и на эти апплеты невозможен, так как на устройствах используется аппаратная криптография с неизвлекаемым ключом.
Работа с апплетом PRO через ПО «Единый Клиент JaCarta» версии 2.12 не поддерживается. Необходимо установить последнее обновление ПО «Единый Клиент JaCarta» с сайта производителя либо обратиться в службу поддержки компании «Аладдин Р.Д.».
Rutoken
Электронные идентификаторы Рутокен
ЭЦП 2.0 и Рутокен Lite
производства компании
«Актив»
На компьютере должны быть установлены драйверы
Rutoken (рекомендуемая версия — 4.8.5.0).
Перенос ключей подписи с устройств, а также на устройства Рутокен ЭЦП 2.0 невозможен, так как на устройствах используется аппаратная криптография с неизвлекаемым ключом.
Rutoken S
Электронные идентификаторы Рутокен S производства компании
«Актив»
На компьютере должны быть установлены драйверы
Rutoken (рекомендуемая версия — 4.8.5.0).

ViPNet Client 4. Руководство пользователя |
348
Название
семейства
устройств
в программе
ViPNet CSP
Полные названия и типы
устройств
Необходимые и рекомендуемые условия работы
с семейством устройств
R301 Foros
Смарт-карты и токены
R301 Форос PKCS производства компании
«СмартПарк»
На компьютере должна быть установлена библиотека foros_pkcs11.dll
(для 32-разрядной либо
64-разрядной архитектуры процессора), предоставленная компанией «СмартПарк».
Перенос ключей подписи с устройств и на устройства данного семейства невозможен, так как на устройствах используется аппаратная криптография с неизвлекаемым ключом.
SafeNet
eToken
(eToken
Aladdin)
Персональные электронные ключи
Gemalto SafeNet eToken
5100/5105, 5200/5205, 5110,
7300, смарт-карта Gemalto
SafeNet eToken 4100 производства компании
Gemalto (SafeNet)
Персональные электронные ключи
eToken PRO, смарт-карты eToken PRO производства компании
«Аладдин Р.Д.»
Если компьютер работает под управлением ОС
Windows 10, на нем должно быть установлено ПО SafeNet
Authentication Client (рекомендуемая версия — 10.6.146).
Если компьютер работает под управлением другой ОС, на нем должно быть установлено либо ПО PKI Client версии
5.1 SP1, либо ПО SafeNet Authentication Client
(рекомендуемая версия — 10.6.146).
Смарт-карта eToken PRO может использоваться с любым стандартным PC/SC-совместимым устройством считывания карт.
Примечание. Если вам необходимо работать с устройством из семейства SafeNet eToken (eToken
Aladdin), то во избежание появления ошибок при выполнении криптографических операций не устанавливайте на компьютер одновременно ПО «Единый
Клиент JaCarta» и ПО SafeNet Authentication Client. Работа с устройствами JaCarta PRO с помощью драйверов
SafeNet возможна, но не рекомендуется производителем.
Примечание. Список поддерживаемых операционных систем для каждого из приведенных устройств вы найдете на официальном веб-сайте производителя этого устройства.
Алгоритмы и функции, поддерживаемые внешними устройствами
В следующей таблице перечислены криптографические алгоритмы, поддерживаемые внешними устройствами, приведена информация о возможности использования устройств в качестве датчиков случайных чисел, а также информация о поддержке стандарта PKCS#11.

ViPNet Client 4. Руководство пользователя |
349
Примечание. Стандарт PKCS#11 (также известный как Cryptoki) — один из стандартов семейства PKCS (Public Key Cryptography Standards — криптографические стандарты ключа проверки электронной подписи), разработанных компанией RSA Laboratories. Стандарт определяет независимый от платформы интерфейс API для работы с криптографическими устройствами идентификации и хранения данных.
Таблица 17. Алгоритмы и функции, поддерживаемые внешними устройствами
Название
семейства
устройств
в программе
ViPNet CSP
Аппаратная поддержка
российских
криптографических
алгоритмов (на устройстве)
Программная поддержка
российских
криптографических
алгоритмов (в ViPNet CSP)
И
сп
оль
зо
ван
ие
Д
СЧ
в
Vi
PN
et
C
SP
Под
держ
ка
PK
CS#1
1
ESMART Token
ESMART Token — отсутствует;
ESMART Token ГОСТ —
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
(короткий ключ 256 бит)
ESMART Token —
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
ESMART Token ГОСТ — отсутствует
Да
Да
Infotecs
Software Token
Изолированная программная реализация:
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
Нет
Да
aKey
aKey S1000, aKey S1003, aKey
S1004 —
ГОСТ Р 34.10-2012;
aKey S1000, aKey S1003 —
ГОСТ Р 34.10-2001 отсутствует
Нет
Да
ViPNet HSM
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012 отсутствует
Нет
Да
JaCarta
(устройства
JaCarta PKI,
JaCarta SE,
JaCarta LT,
JaCarta PKI/ГОСТ и JaCarta-2
PKI/ГОСТ с апплетом
Laser) отсутствует
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
Нет
Да

ViPNet Client 4. Руководство пользователя |
350
Название
семейства
устройств
в программе
ViPNet CSP
Аппаратная поддержка
российских
криптографических
алгоритмов (на устройстве)
Программная поддержка
российских
криптографических
алгоритмов (в ViPNet CSP)
И
сп
оль
зо
ван
ие
Д
СЧ
в
Vi
PN
et
C
SP
Под
держ
ка
PK
CS#1
1
JaCarta
(устройства
JaCarta PKI/ГОСТ и JaCarta-2
PKI/ГОСТ с апплетом
ГОСТ,
JaCarta-2 ГОСТ)
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012 отсутствует
Да
Да
Rutoken
Рутокен ЭЦП 2.0 —
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012;
Рутокен Lite — отсутствует
Рутокен ЭЦП 2.0 — отсутствует;
Рутокен Lite —
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
ЭЦП
2.0 — да;
Lite — нет
Да
Rutoken S отсутствует
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
Нет
Да
SafeNet eToken
(eToken
Aladdin) отсутствует
ГОСТ Р 34.10-2001,
ГОСТ Р 34.10-2012
Нет
Да
Примечание. Выработка ключей шифрования (функция C_DeriveKey интерфейса
PKCS#11) поддерживается не всеми перечисленными устройствами. Для получения более подробной информации см. документацию по необходимому устройству.

ViPNet Client 4. Руководство пользователя |
351
F
Предустановленные сетевые фильтры
В таблицах перечислены сетевые фильтры, которые, в зависимости от конфигурации программы
ViPNet Client, могут быть установлены по умолчанию.
Фильтры перечислены в соответствии с очередностью их применения в программе ViPNet Client. В этом же порядке они отображаются на панели просмотра главного окна в разделах Фильтры
защищенной сети и Фильтры открытой сети.
Подробнее о сетевых фильтрах см. раздел
Общие сведения о сетевых фильтрах
(на стр. 131).
Таблица 18. Фильтры защищенной сети
Действие
фильтра
Имя фильтра
Источник
Назначение
Протоколы фильтрации пакетов
и их свойства
Фильтры специальной конфигурации «Открытый Интернет»
Разрешить
Cлужебный трафик ViPNet
InternetGatew ay
Все узлы
ViPNet: базовые службы (UDP:
2046, c 2048 на 2048, с 2050 на
2050)
ViPNet StateWatcher (TCP, dst: 2047,
5100, 10092)
ViPNet MFTP (TCP: dst:5000-5003)
Разрешить
Cлужебный трафик ViPNet
Все узлы
InternetGatewa y
ViPNet: базовые службы (UDP:
2046, c 2048 на 2048, с 2050 на
2050)
ViPNet StateWatcher (TCP, dst: 2047,
5100, 10092)
ViPNet MFTP (TCP: dst:5000-5003)

ViPNet Client 4. Руководство пользователя |
352
Действие
фильтра
Имя фильтра
Источник
Назначение
Протоколы фильтрации пакетов
и их свойства
Блокирова ть
Входящий трафик от координатора
Открытого
Интернета
InternetGatew ay
Все узлы
Все
Блокирова ть
Исходящий трафик на координатор
Открытого
Интернета
Все узлы
InternetGatewa y
Все
Предустановленные настраиваемые фильтры
Разрешить
DHCP-трафик
Все узлы
Все узлы
DHCP (UDP: c 67 на 68, с 68 на 67)
Разрешить
NetBIOS- и
WINS-трафик
Все узлы
Все узлы
NetBIOS-DGM (UDP: с 138 на 138)
NetBIOS-NC (UDP: c 137 на 137)
Разрешить
Служебный трафик ViPNet
Все узлы
Все узлы
ViPNet: базовые службы (UDP:
2046, c 2048 на 2048, с 2050 на
2050)
ViPNet StateWatcher (TCP, dst: 2047,
5100, 10092)
ViPNet MFTP (TCP: dst:5000-5003)
Разрешить
Ping
Все узлы
Все узлы
Ping (ICMP8)
Разрешить
RDP-трафик
Все узлы
Все узлы
RDP (TCP, dst:3389)
Разрешить
IGMP-трафик
Все узлы
Все узлы
IGMP (IP: 2)
Разрешить
Мультимедиа-тр афик
Все узлы
Все узлы
SIP (TCP/UDP, dst:5060)
H323 (TCP, dst:1720)
SCCP (TCP, dst:2000)
Разрешить
Весь трафик
Все узлы
Все узлы
Все
Фильтр по умолчанию
Блокирова ть
Прочий трафик
Все узлы
Все узлы
Все
Таблица 19. Фильтры открытой сети