ООО Топ Кросс


 
 Удостоверяющий Центр сертификатов ключей подписи

Сопроводительная регламентирующая документация:
  • Описание применения
  • Политика применения сертификатов. Регламент
  • Компоненты, конфигурация, установка и настройка
  • Центр Регистрации. Руководство Администратора
  • Центр Сертификации. Руководство Администратора
  • Модуль разграничения доступа
  • Абонентский Пункт
  • Общие сведения

    Удостоверяющий Центр сертификатов ключей подписи TC-УЦ является полностью отечественной разработкой:

  • отвечает требованиям Доктрины информационной безопасности в плане замещения импортных технических и программных средств в российских информационных системах;
  • блогодаря сведению всех криптографических процедур в изолированный криптографический PKCS#11 токен, в УЦ могут использоваться как отечественные криптографические алгоритмы, так и зарубежные;
  • используемые отечественные криптографические механизмы и протоколы опираются на интернет драфты, разработанные отечественными компаниями, а следовательно, решения на основе подсистем TC-PKI совместимы с решениями других отечественных производителей;
  • техническая реализация основана на современных руководящих документах, стандартах и международных рекомендациях, что позволяет:
    • в одном техническом решении поддерживать неопределенно большое число совершенно изолированных, в том числе с различными криптографическими алгоритмами, издателей;
    • поддерживаются механизмы кроссирования издателей (вплоть до уровня мостового УЦ), в том числе и внешних, для образования единых зон обращения защищенных документов;
    • для систем приближенных к Real-Time предусмотрено распространение обновлений списков отозванных сертификатов (delta CRL);
    • компоненты самого УЦ для построения цепочек сертификации используют внутренний сервис OCSP, который может быть оформлен как корпоративный из состава Службы "Заверения электронных сообщений";
    • все информационные блоки при транспортировке и хранении защищены электронными цифровыми подписями, что обеспечивает целостность, авторство и неотрекаемость и упрощает процедуры разбора конфликтных ситуаций.
  • Удостоверяющий Центр сертификатов ключей подписи" (УЦ) является основой автоматизированных систем защищенного документооборота на технологии открытого распределения ключей (Public Key Infrastructure (PKI)). Техническая реализация Удостоверяющего Центра соответствует требованиям Федерального Закона РФ "Об электронной цифровой подписи" от 10.01.2002 г. при условии использования в УЦ сертифицированных ФАПСИ/ФСБ средств электронной цифровой подписи. УЦ, может выступать как ключевой компонентом для различного типа прикладных защищенных систем корпоративного уровня (защищенный документооборот, Интернет-банкинг, Билинговые системы, электронная коммерция (B2C, B2B), Интернет процессинг и.т.п.).

    Удостоверяющий Центр информационной системы выполнен как комплекс взаимосвязанных сервисов на Unix системах (FreeBSD, Linux) и обеспечивает:

    1. Регистрацию и обслуживание запросов пользователей на создание цифрового сертификата. Способ доставки информации о владельце сертификата и формат запроса определяется регламентом эксплуатации конкретного УЦ, и может быть представлен как:

      • PKCS#10. Генерация ключевой пары на рабочем месте пользователя.
      • CRMF (RFC 2511). Создание по заявлению пользователя закрытого и открытого ключей средствами УЦ.

    2. Создание цифрового сертификата пользователя и его заверение на закрытом ключе одного из издателей УЦ. Выпускаемые сертификаты могут быть использованы как персональные, сертификаты ресурса, либо сертификаты подчиненных УЦ. Созданные цифровые сертификаты могут участвовать в организации защищенного соединения по протоколу Transport Layer Security (TLS) (RFC 2246 The TLS Protocol Version 1.0.) с российскими криптографическими алгоритмами (хэш функция - ГОСТ Р34.11-94, подпись - ГОСТ Р34.10-94 (2001), шифрование и выработка имитовставки - ГОСТ 28147-89). Техническая реализация УЦ определяет самостоятельный компонент - "Криптографический Токен" (КТ), которое выполняет криптографические функции (создание ключей пользователей, вычисление и проверка ЭЦП), где создается (и никогда не покидает КТ) ключевая пара, на закрытом ключе которой и формируются ЭЦП на электронных сертификатах. Такое функциональное обособление КТ позволило абстрагироваться от поставщика криптографических средств, самих криптографических алгоритмов и уровня предъявляемых требований к криптографической подсистеме. КТ имеет интерфейс, определенный стандартом PKCS#11. В КТ реализовано:

      • Алгоритмы ЭЦП:
        • * RSA (PKCS#1, RFC 2437)
        • * DSA (FIPS 186-1)
        • ГОСТ Р 34.10-94
        • ГОСТ Р 34.10-2001
      • Хэш функции:
        • * MD5 (RFC 1321)
        • * SHA-1 (FIPS 181, RFC 3174)
        • ГОСТ Р 34.11-94
      • Алгоритм согласования ключей
        • Diffie-Hellman (X9.42, RFC 2631)

      * - При использовании токена поддерживающего указанные алгоритмы и функции, например, токен Network Security Services (NSS) из проекта Mozilla (Copyright (C) 1998-2004 The Mozilla Organization).

      Средства криптографической защиты информации (СКЗИ) или программные библиотеки защиты информации (ПБЗИ) встраиваются в КТ, образуя средство электронной цифровой подписи. КТ оснащаются абонентские пункты администраторов системы и в другие компоненты комплекса.
      Примечание: УЦ поставляется с не сертифицированным средством электронной цифровой подписи, работы по приобретению и встраиванию сертифицированных криптографических средств конкретного производителя осуществляется только Лицензиатом ФАПСИ. Использование не сертифицированных средств электронной цифровой подписи согласно Статьи N5 пункта 2 ФЗ "Об электронной цифровой подписи" влечет за собой учет рисков всех возможных убытков при эксплуатации УЦ.
      Лицензиатам ФАПСИ поставка осуществляется на сертифицированных СКЗИ через партнеров компании.

      УЦ предоставляет возможность управлять флагами использования ключа, тем самым осуществлять раздельный или совмещенный выпуск электронных сертификатов для ЭЦП и асимметричного шифрования, используемого S/MIME (RFC 2633). Электронные сертификаты соответствуют международным рекомендациям X.509 v.3 ( RFC 2459 , RFC 3039 ) и могут выдаваться в форматах/кодировках PKCS#12, DER или PEM.

    3. Ведение реестра сертификатов открытых ключей и списка отозванных сертификатов с обеспечением его актуальности и возможности свободного доступа к нему пользователей. Реализация службы реестра основана на протоколе LDAP и позволяет помимо информации о сертификате указывать дополнительные данные вплоть до размещения графических изображений - фотографий и использовать реестр (сетевой справочник) как "желтую книгу" проекта, картотеку "учетных карточек сотрудников предприятия" и т.п.

    4. Оперативное управление сертификатами (ввод в действие, приостановку и возобновление действия, аннулирование). Политика принятия решения и система разграничения доступа к административным ресурсам основана на анализе состава цифрового сертификата конкретного Администратора. Сертификаты Администраторов в своем составе содержат специальные расширения, значение которых определяет ролевой признак и уровень принятия решения. Взаимодействие с административными ресурсами происходит по защищенному соединению по протоколу TLS v1.0 с участием сертификата Администратора. Реализация TLS в УЦ опирается на доступный в сети Интернет драфт (draft-chudov-cryptopro-cptls-ХХ.txt), описывающий применение шифр-сюит, использующих российские криптографические алгоритмы.

    5. Техническую поддержку при проведении разбора конфликтных ситуаций. УЦ обеспечивает ведение заверенной связанной пары запрос – ответ, составляющих хранимые «истории» событий в УЦ. Любое событие в УЦ оформляется в виде специальной записи (в формате CMC (RFC 2797)) и имеет ЭЦП инициатора события или автора принятия решения. Данный подход позволяет, аргументировано решать задачи арбитража.

    Структурная схема УЦ

    Программный комплекс, выполняющий функции Удостоверяющего Центра сертификатов ключей подписи, разворачивается на операционных системах FreeBSD (4.X) и Linux (Master 2.2 ALT Linux с ядром 2.40.X). Блочная структура комплекса позволяет распределять отдельные компоненты на физически самостоятельных компьютерах с архитектурой X86, решая задачи оптимизации архитектуры комплекса под конкретные нагрузки реальной PKI системы.

    Взаимодействие компонент УЦ

    УЦ является программным комплексом, выполняющим функции формирования и обслуживания сертификата ключа подписи. Ключи могут создаваться как внешне на соответствующем программном обеспечении пользователя, так и средствами УЦ.

    УЦ построен по модульному принципу и содержит в своем составе следующие компоненты (подсистемы):

    • Центр регистрации (ЦР).
    • Центр сертификации (ЦС).
    • Центр арбитража (ЦА).
    • Криптографический токен (КТ), включающий средства электронной цифровой подписи.
    • Абонентский пункт (АП).
    • Служба публичного Реестра (СпР).
    • Служба технологического Реестра (СтР).

    Примечание: специальные поставки УЦ допускают объединение функций Служб технологического и публичного Реестра в единую Службу Реестра.

    В реальных условиях эксплуатации структура комплекса строится исходя из реальных требований, особенно это касается требований безопасности. Модульность комплекса позволяет удовлетворить самые жесткие требования, вплоть до: обособления центральных компонент УЦ в локальной сети, в публичной сети оставить только Службу публичного Реестра (информация в сетевом справочнике имеет ЭЦП, будь то ЭС или СОС), а взаимодействие можно организовать через off-line обновление СпР и off-line обработку запросов пользователей. Вариант исполнения не исключают наличия физически самостоятельных серверов управления базами данных, дополнительных АП администраторов и дополнительных центров регистрации, оптимизированных под реальную организационную структуру организации.

    Срок действия открытого и закрытого ключей ЭЦП определяется регламентом автоматизированной системы. Сертификат ключа подписи содержит сведения, указанные в ФЗ РФ «Об Электронной цифровой подписи» и в случае необходимости, в состав сертификата ключа подписи могут быть добавлены иные сведения, подтверждаемые соответствующими документами (характер информации регламентируется эксплуатационной документацией на систему в целом, в составе которой используется УЦ).

    Циркуляция информации между управляющими компонентами УЦ (ЦР, ЦС) осуществляется заверенными запросами в формате CMC (RFC 2797).

    Контроль за неизменностью программной среды осуществляет специализированный сервис, который конфигурируется при инсталляции УЦ и ведет рабочие журналы контроля целостности программного обеспечения (ПО).

    Криптографические токены (КТ) используются во всех (кроме СпР) компонентах УЦ, принимает запросы на выполнение криптографических процедур по универсальному интерфейсу PKCS#11. Такое функциональное обособление КТ, как криптографической компоненты УЦ, позволило абстрагироваться от поставщика средств криптографической защиты информации (СКЗИ, ПБЗИ), самих криптографических алгоритмов и уровня предъявляемых требований к криптографической подсистеме. УЦ может обслуживаться несколькими КТ.

    КТ обеспечивает:

    • Генерацию собственной ключевой пары только из специальной процедуры с консольного интерфейса компоненты.

    • Формирование ЭЦП на PKCS#10 запросе.

    • Установка сертификата и ключей в хранилище токена.

    • Генерацию по запросу пользовательского закрытого ключа и сертификата ключа подписи для созданной в КТ ключевой пары абонента.

    • Создание пользовательского сертификата ключа подписи, его заверение на закрытом ключе издателя. Открытый ключ пользователя поступает вместе с запросом на данную процедуру из ЦС.

    Криптографические алгоритмы и правила образования TLS соединения определяются типом используемого Модулем криптографического токена (КТ). На настоящий момент поставки могут содержать:

    1. Для поддержки зарубежных криптографических алгоритмов токен (в виде самостоятельной разделяемой библиотеки) Network Security Services (NSS) из проекта Mozilla (Copyright (C) 1998-2004 The Mozilla Organization). Исходные коды NSS - http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_RTM/src/nss-3.9.tar.gz
    2. Для поддержки отечественных криптографических алгоритмов токен (в виде самостоятельной разделяемой библиотеки) производства ООО «Крипто Экс» (http://www.cryptoex.ru/). Для обеспечения криптографической совместимости с продуктами сторонних разработчиков в КТ используются параметры алгоритмов, таблицы замены и правила, определяющие использование российской криптографии определенные свободнодоступными драфтами, которые опубликованы на сайте http://www.ietf.org/ под следующей лицензией:

    Acknowledgments
    
    This document was created in accordance with "Russian Cryptographic
    Software Compatibility Agreement", signed by FGUE STC "Atlas",
    CRYPTO-PRO, Factor-TC, MD PREI, Infotecs GmbH, SPRCIS (SPbRCZI),
    Cryptocom, R-Alpha.  The goal of this agreement is to achieve mutual
    compatibility of the products and solutions.
    
    Copyright (C) The Internet Society (2003).  All Rights Reserved.
    
    This document and translations of it may be copied and furnished to
    others, and derivative works that comment on or otherwise explain it
    or assist in its implementation may be prepared, copied, published
    and distributed, in whole or in part, without restriction of any
    kind, provided that the above copyright notice and this paragraph are
    included on all such copies and derivative works.  However, this
    document itself may not be modified in any way, such as by removing
    the copyright notice or references to the Internet Society or other
    Internet organizations, except as needed for the purpose of
    developing Internet standards in which case the procedures for
    copyrights defined in the Internet Standards process must be
    followed, or as required to translate it into languages other than
    English.
    

    Криптографический токен имеет ограниченный набор функций, который определен перечнем доступных механизмов интерфейса PKCS#11 и, в случае использования отечественных криптографических алгоритмов) содержат программную библиотеку защиты информации (ПБЗИ) сертифицированную ФАПСИ/ФСБ, в которой:

    • существует реализация государственных стандартов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11;
    • применяемая ключевая система обеспечивает возможность парно-выборочной связи абонентов сети (по типу «каждый с каждым») с использованием для каждой пары абонентов уникальных ключей, создаваемых на основе принципа открытого распределения ключей.

    ПБЗИ функционирует в операционных системах семейства FreeBSD, Linux, Windows 2000/XP на ПЭВМ, совместимых с IBM PC. ПБЗИ из состава КТ предназначена также для реализации функций формирования ключей шифрования и ключей ЭЦП, шифрования, имитозащиты, ЭЦП в системах обработки информации, не содержащих сведений, составляющих государственную тайну.


    Удостоверяющий Центр
    сертификатов ключей подписи
    © 2005-2012
    LLC Top Cross
    All Rights Reserved
     
     поиск
    Google

     Цифровой Секретарь
    клиентское программное обеспечение

    на технологиях открытых ключей