Dostawca usług kryptograficznych
W systemie Microsoft Windows dostawca usług kryptograficznych ( CSP ) to biblioteka oprogramowania, która implementuje interfejs Microsoft CryptoAPI (CAPI). Dostawcy CSP implementują funkcje kodowania i dekodowania, które mogą być wykorzystywane przez aplikacje komputerowe, na przykład do implementacji silnego uwierzytelniania użytkownika lub do bezpiecznej poczty elektronicznej.
CSP to niezależne moduły, które mogą być używane przez różne aplikacje. Program użytkownika wywołuje funkcje CryptoAPI, które są przekierowywane do funkcji CSP. Ponieważ dostawcy CSP są odpowiedzialni za wdrażanie algorytmów i standardów kryptograficznych, aplikacje nie muszą martwić się o szczegóły bezpieczeństwa. Ponadto jedna aplikacja może określić, którego CSP będzie używać w swoich wywołaniach do CryptoAPI. W rzeczywistości cała aktywność kryptograficzna jest realizowana w CSP. CryptoAPI działa tylko jako pomost między aplikacją a CSP.
CSP są implementowane zasadniczo jako specjalny typ bibliotek DLL ze specjalnymi ograniczeniami dotyczącymi ładowania i używania. Każdy CSP musi być podpisany cyfrowo przez firmę Microsoft, a podpis jest weryfikowany, gdy system Windows ładuje CSP. Ponadto po załadowaniu system Windows okresowo ponownie skanuje CSP w celu wykrycia manipulacji przez złośliwe oprogramowanie, takie jak wirusy komputerowe , lub przez samego użytkownika próbującego obejść ograniczenia (na przykład dotyczące długości klucza kryptograficznego), które mogą być wbudowane w kod CSP.
Aby uzyskać podpis, programiści CSP spoza firmy Microsoft muszą dostarczyć firmie Microsoft dokumenty, w których zobowiązują się do przestrzegania różnych ograniczeń prawnych i podają prawidłowe informacje kontaktowe. Od około 2000 roku Microsoft nie pobierał żadnych opłat za dostarczanie tych podpisów. Do celów programistycznych i testowych programista CSP może skonfigurować system Windows tak, aby rozpoznawał własne podpisy programisty zamiast podpisów Microsoftu, ale jest to dość złożona i niejasna operacja, nieodpowiednia dla użytkowników końcowych nietechnicznych.
Architektura CAPI/CSP ma swoje korzenie w czasach restrykcyjnych kontroli rządu USA nad eksportem kryptografii . Domyślny lub „podstawowy” CSP firmy Microsoft dołączony wówczas do systemu Windows był ograniczony do 512-bitowej kryptografii klucza publicznego RSA i 40-bitowej kryptografii symetrycznej, czyli maksymalnych długości kluczy dozwolonych w eksportowanym oprogramowaniu masowym w tamtym czasie. CSP wdrażające silniejszą kryptografię były dostępne tylko dla mieszkańców USA, chyba że same CSP otrzymały zgodę eksportową rządu USA. System wymagający podpisania CSP tylko po przedstawieniu wypełnionych dokumentów miał na celu zapobieganie łatwemu rozprzestrzenianiu się nieautoryzowanych CSP wdrożonych przez anonimowych lub zagranicznych deweloperów. W związku z tym zostało to przedstawione jako ustępstwo udzielone rządowi przez Microsoft w celu uzyskania zgody na eksport samego CAPI.
Po orzeczeniu sądu Bernstein przeciwko Stanom Zjednoczonym ustanawiającym komputerowy kod źródłowy jako chronioną wolność słowa i przeniesieniu kryptograficznego organu regulacyjnego z Departamentu Stanu USA do bardziej proeksportowego Departamentu Handlu , ograniczenia dotyczące długości kluczy zostały zniesione, a CSP wysłane z systemem Windows obejmują teraz kryptografię o pełnej sile. Głównym zastosowaniem dostawców CSP innych firm jest interfejs z zewnętrznym sprzętem kryptograficznym, takim jak sprzętowe moduły bezpieczeństwa (HSM) lub karty inteligentne .
CSP karty inteligentnej
Te funkcje kryptograficzne mogą być realizowane za pomocą karty inteligentnej , dlatego też karta inteligentna CSP jest sposobem firmy Microsoft na PKCS#11 . Microsoft Windows identyfikuje właściwą CSP karty inteligentnej, której należy użyć, analizując odpowiedź na zresetowanie (ATR) karty inteligentnej, która jest zarejestrowana w rejestrze systemu Windows . Instalując nowy CSP, wszystkie ATR obsługiwanych kart inteligentnych są rejestrowane w rejestrze.
Wykorzystanie CSP w ochronie hasłem MS Office
Dostawcy usług kryptograficznych mogą być wykorzystywani do szyfrowania dokumentów programów Word , Excel i PowerPoint począwszy od pakietu Microsoft Office XP . Domyślnie używany jest standardowy algorytm szyfrowania z 40-bitowym kluczem , ale włączenie CSP zwiększa długość klucza , a tym samym sprawia, że proces deszyfrowania jest bardziej ciągły. Dotyczy to tylko haseł wymaganych do otwarcia dokumentu, ponieważ ten typ hasła jest jedynym, który szyfruje dokument chroniony hasłem.