ЭЦП Браузер плагин: настройка для разных веб-обозревателей

nnplz hsjihghxtk ryufm Новости

Huawei использует собственные недокументированные api для установки сервисов google

John Wu

(разработчик

Magisk

, популярного приложения для получения и управления правами суперпользователя в Android)

обнаружил

, что компания Huawei использовала собственные недокументированные API, чтобы дать пользователям возможность установить сервисы Google на недавно вышедшие смартфоны серии Mate 30.

В результате санкций со стороны США, смартфоны Mate 30 вышли без поддержки приложений и сервисов Google. Очень быстро был обнаружен способ обойти ограничение — достаточно скачать и установить приложение с сайта lzplay.net, после чего следовать содержащимся в нём инструкциям. Это давало доступ ко всем сервисам Google, включая Google Pay.

Джон разобрал приложение с помощью APKTool и обнаружил странные разрешения в AndroidManifest.xml:

<uses-permission android:name="com.huawei.permission.sec.MDM_APP_MANAGEMENT"/>
<uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_SYS_APP"/>
<uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP"/>
<uses-permission android:name="com.huawei.systemmanager.permission.ACCESS_INTERFACE"/>

Поиски привели его к документации, относящейся к чему-то под названием

Huawei Security Authorization SDK

. Оказалось, что Huawei встраивает в Android свой собственный набор API для управления устройствами (

MDM

, предназначается для корпораций, которым требуется защищать данные на устройствах сотрудников). Android уже имеет в своём составе такие инструменты: API

Device Administration

и

Android Enterprise

. Сравнение их с

предлагаемыми Huawei

показыват, что решение китайской корпорации позволяет более гибко управлять подконтрольными устройствами, но, в целом, все описанные возможности характерны для MDM и не вызывают подозрений.

Однако, внимательные читатели могли заметить, что два разрешения из числа используемых LZPlay не документированы:

<uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_SYS_APP"/>
<uses-permission android:name="com.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP"/>

Таким образом, в сборках Android, поставляемых Huawei, есть две недокументированные возможности, позволяющие любому доверенному приложению устанавливать системные приложения и неотключаемые приложения. Опытные пользователи Android, конечно, знают, как при разблокированном загрузчике через кастомное рекавери «прошить приложение в системный раздел», чтобы дать ему больше прав. Но наш случай совсем иной:

  1. загрузчик заблокирован и включён режим Android Verified Boot.
  2. Huawei использует для разделов system/vendor/product сжатую файловую систему EROFS, позволяющую только чтение.

Это означает, что системный фреймворк в операционной системе Huawei содержит «бэкдор», который позволяет доверенному приложению пометить обычное приложение как системное, несмотря на то, что это приложение отсутствует в /system.

Согласно документации, сторонние разработчики/компании должны подписать юридические соглашения и отправить их в Huawei, чтобы получить доступ к SDK. Для каждого проекта разработчик отправляет отдельный запрос и обоснование, а также список разрешений, которые он хочет получить. Кроме того, каждый бинарный файл APK изучается специалистами Huawei, только после этого он будет подписан специальным ключом Huawei.

Очевидно, что Huawei осведомлена о приложении LZPlay и явно одобряет его существование. Разработчик этого приложения каким-то образом узнал об этих недокументированных API, подписал юридические соглашения, прошёл все этапы проверки и получил в конце концов подпись Huawei. Единственная цель приложения — установить сервисы Google на устройство, не прошедшее сертификацию Google.

Даже если закрыть глаза на то, что такое поведение явно нарушает все мыслимые условия использования сервисов Google, подобный бэкдор всё равно не должен существовать — хотя бы с точки зрения безопасности. Системные приложения имеют расширенные права лишь по одной причине: они размещены в криптографически верифицированном разделе, доступном только для чтения. Несмотря на то, что сертификат, позволяющий превратить обычное приложение в системное, хранится у доверенной (если вы, конечно, доверяете Huawei) стороны, а также требуется, чтобы пользователь разрешил приложению быть администратором устройства, если приложение размещено в доступном для записи разделе (userdata), оно не должно рассматриваться как системное.

Анализ приложения LZPay затруднён, в связи с тем, что оно обфусцировано/зашифровано с помощью ПО китайского разработчика QiHoo Jiagu. Кроме того, самое интересное — системный фреймворк, а он доступен только на устройствах Huawei, которые у Джона Ву нет. Возможно, если его поковырять, найдутся и другие недокументированные возможности…

Вскоре после публикации статьи, сайт LZPlay был закрыт без объяснения причин. Незамедлительно последовал и ответ Google: смартфоны Mate 30 перестали проходить проверку SafetyNet, что делает невозможным использование Google Pay.

Версии browser plug-in

С 1.01.2021 действует новый стандарт формирования КЭП — ГОСТ Р 34.10-2021. С указанной даты УЦ выпускают сертификаты только по этому ГОСТу (вместо устаревшего ГОСТ Р 34.10-2001). На портале CryptoPro представлены два варианта plug-in — v.1.5 и v. 2.0. ЭЦП Браузер плагин 2.0 уже настроен под новый стандарт, но функционирует только с КриптоПро CSP версии 4.0 и выше.

Все сертификаты, предоставленные по старому стандарту, можно применять, пока не закончится срок их действия. Купив новую ЭП, обновите программу криптозащиты до актуальной версии и загрузить плагин 2.0.

Зачем нужен крипто про браузер плагин для эцп

КриптоПро CSP — сертифицированное средство криптозащиты информации (СКЗИ) — устанавливает защищенное соединение с сервером электронной площадки, обеспечивает конфиденциальность и целостность данных при передаче получателю, таким образом придает юридическую значимость электронному документообороту.

СКЗИ принимает непосредственное участие в генерации ключей, шифровании, дешифровании и проверке усиленной ЭП. Без модуля криптозащиты невозможно подписать документ цифровой подписью, поэтому обмен данными с использованием КЭП становится недоступным.

Модуль КриптоПро CSP размещен в свободном доступе на официальном портале разработчика (ООО «КРИПТО-ПРО»). В течение 3 месяцев программным продуктом можно пользоваться бесплатно в тестовом режиме (демо-версия). По окончании пробного периода необходимо приобрести годовую или бессрочную лицензию у официальных дилеров компании.

Последняя актуальная версия продукта (КриптоПро CSP 5.0) функционирует на основе обновленных алгоритмов подписи по ГОСТ 34.10-2021 и интегрируется с большинством операционных систем, в том числе, с Windows 10.

Если держатель КЭП работает на онлайн-площадках и в государственных системах (например, в ФСРАР) с веб-доступом, ему необходимо настроить браузер таким образом, чтобы он позволял выполнять операции с КЭП. В противном случае, работа с квалифицированной подписью на веб-страницах будет недоступной из-за политики безопасности операционной системы.

Чтобы «связать» СКЗИ с веб-обозревателем и беспрепятственно вести документооборот в онлайн-режиме, требуется загрузить на ПК специальный плагин для формирования ЭЦП в браузере (Browser plug-in). Этот программный компонент подключается к основной программе (СКЗИ) и позволяет расширить возможности интернет-браузера.

Как добавить крипто про эцп браузер плагин для хрома

Для работы в Google Chrome, в первую очередь, потребуется обновить его до последней версии. При загрузке Крипто Про ЭЦП Браузер плагин для Хрома появится всплывающее окно с запросом разрешения на просмотр и изменение личных данных на посещаемых веб-страницах и на соединение со смежными приложениями (кроме Chrome). Чтобы подтвердить согласие на перечисленные операции и добавить расширение в Хром, нажмите клавишу «Включить».

Как установить крипто про эцп браузер плагин

Инсталляция компонента для Windows не требует профессиональных навыков и не отличается от установки любых других программ. Сохраните загруженный с сайта исполняемый файл cadesplugin.exe. на рабочем столе и запустите процесс от имени администратора. Если программа запрашивает разрешение на внесение изменений на ПК, дайте согласие кнопкой «Да».

Установка для macOS немного отличается от той же процедуры для Windows:

  1. Загрузите архив macos-uni.tgz со страницы и распакуйте утилиту.
  2. Чтобы запустить инсталляцию, откройте в папке файл cprocsp-pki-2.0.0.dmg. и кликните на значок с надписью cprocsp-pki-2.0.0.mpkg.
  3. Ознакомьтесь с лицензионным соглашением и нажмите «Продолжить».
  4. Подтвердите согласие на инсталляцию клавишей «Установить» и дождитесь окончания процедуры (займет не более 3-5 минут).

После установки плагин автоматически добавляется в интернет-браузер.

Работоспособность загруженного модуля можно протестировать на странице проверки ЭЦП Браузер плагин. Вы увидите сообщение о загруженном плагине и кружок зеленого цвета рядом. Если при установке возникли проблемы, в окне проверки появится надпись «Плагин не загружен» (с кружком красного цвета).

Криптотуннель

Фирма Криптоком выпустила продукт МагПро КриптоТуннель. Он позволяет сделать несколько вещей, в частности, защитить сертифицированным гостовым TLS web-соединение, аутентифицироваться на сайте по сертификату и подписать текстовое сообщение или файл при передаче через web-форму квалифицированной подписью.

КриптоТуннель сделан на базе open source приложения sTunnel. Работает он по принципу порт- форвардинга. При старте КриптоТуннель начинает слушать произвольный порт на localhost. При этом у него в конфиге прописан удаленный host:port, на которые следует форвардить соединения.

Настройка крипто про эцп браузер плагин для firefox

Следующий этап подготовки — настройка веб-обозревателя. Процедура зависит от используемого браузера. Например, в Internet Explorer модуль «встраивается» автоматически, поэтому никаких дополнительных манипуляций не потребуется. После перезагрузки ПК пользователю остается оценить корректность установки, и можно переходить к работе с сертификатом.

Проверка эцп браузер плагин и устранение ошибок

Процедура проверки компонента рекомендована для любого обозревателя. Без нее пользователь не сможет оценить работоспособность и готовность модуля для создания КЭП на веб-страницах.

Расширение крипто про эцп браузер плагин для google chrome

Если при загрузке Browser plug-in расширение не было добавлено автоматически, найдите модуль CryptoPro CAdES Browser Plugin в интернет-магазине Chrome и нажмите «Установить». По завершении процесса перезапустите интернет-обозреватель.

В настройках интернет-браузера выберите вкладку «Расширения» и раздел «Дополнительные инструменты». Убедитесь, что в списке есть установленное расширение, а напротив надписи «Включено» стоит галочка.

Дополнение Крипто Про ЭЦП Браузер плагин Google Chrome подойдет для всех интернет-обозревателей на базе Chromium, в том числе Опера и Яндекс.

Вам будет интересно: КриптоПро Office Signature и другие модули

Рутокен криптотуннель

Для надежной защиты ключа КриптоТуннель следует использовать совместно с Рутокен ЭЦП Flash. При этом ключ хранится в защищенной памяти Рутокена, а сам КриптоТуннель на его Flash-памяти, откуда и запускается. Так как Рутокен ЭЦП Flash использует стандартный CCID-драйвер, то для его работы на современных ОС (начиная с Windows Vista и Mac OS X 10.7) не требуется установки какого-либо софта, а модуль поддержки Рутокен ЭЦП Flash уже входит в КриптоТуннель.

Системные требования

  • Установка плагина возможна на следующих операционных системах:  Win XP SP3, Win Vista SP2, Win 2003 SP2, Win 2008 SP2, Win 7, Win 2008 R2, Win 8, Win8.1, Win10.
  • Работает с браузерами: IE 8 — 11, Opera, Mozilla Firefox, Google Chrome, Yandex Browser

           Не работает в браузере EDGE, предустановленном по умолчанию в Windows 10.

  • Требуется предустановленная КриптоПро CSP версии не ниже 3.6 R2

Функции эцп браузер плагин 2.0

Создание цифровой подписи, расшифровка файла и другие криптографические операции, осуществляемые посредством модуля КриптоПро, требуют согласия владельца сертификата на доступ к его ключам. Если эти операции совершаются через веб-приложение, Browser plug-in запрашивает у владельца сертификата разрешение на доступ к его ключам и только после этого позволяет веб-клиенту использовать личные данные.

Подпись формируется на стороне владельца сертификата, а не на стороне сервера криптопровайдера, поэтому ключ никуда не отправляется. Если программа не установлена, операционная система не позволит браузеру использовать личные данные держателя КЭП, соответственно, создать подпись для веб-документа не получится.

Владелец ключа может добавить площадки, с которыми постоянно взаимодействует, в список доверенных веб-узлов. В этом случае веб-приложения не запрашивают подтверждение — для них разрешен автоматический доступ.

При добавлении сайта в список надежных владелец ключа должен быть полностью уверен, что процессы (скрипты), запущенные с этого ресурса, не нанесут вред компьютеру и не скомпрометируют персональную информацию. На ПК с установленным плагином для браузера можно подписывать и отправлять через интернет документы, онлайн-отчеты, заполненные на сайте и т. д. Plugin обязателен для работы:

  • на клиентских, корпоративных и партнерских сайтах;
  • на торговых интернет-площадках;
  • через онлайн-банкинг;
  • в различных ГИС;
  • в электронных офисах.

Таким образом, плагин дополняет возможности СКЗИ и позволяет реализовать все функции КЭП в веб-приложениях.

Оцените статью
Huawei Devices
Добавить комментарий