ООО Топ Кросс


 
 Перечень типовых технических решений (компонент) для PKI-ready Информационных Систем

I. Общие положения и отличительные особенности реализации типовых компонент ИС

Общесистемная среда серверных компонент

Общесистемная среда серверных компонент: UNIX-подобные операционные системы на основе открытых кодов, включая сертифицированные ФСТЭК по классификации уровня контроля отсутствия недекларированных возможностей (НДВ) — 4 уровень и показателю защищенности от несанкционированного доступа к информации (СВТ) — по 5 классу защищенности. Вспомогательные сервисы и службы основаны на решениях с открытым исходным кодом.

Режим работы

Техническая реализация компонент обеспечивает время реакции на изменение статуса субъекта, объекта доступа или актуальности электронного сообщения до единиц минут, т.е. приближена по этим требованиям к системам real-time.

Средства криптографической защиты информации

Предлагаемые технические решения интегрируются с любым СКЗИ, которое поддерживает интерфейс PKCS#11:

  1. Для российских криптографических алгоритмов, которые основаны на сертифицированных ФСБ СКЗИ класса защищенности КС1/КС2 и имеют интерфейс, соответствующий рекомендациям технического комитета по стандартизации ТК-26 (ПК2), дополняющий стандарт PKCS#11 в части использования отечественных криптоалгоритмов. Указанные дополнения входят в официальную редакцию версии 2.30 стандарта. В соответствии с требованиями методических рекомендаций, утвержденных в 8 центре ФСБ России 21 февраля 2008 года № 149/54-144 непосредственные работы по встраиванию криптографического интерфейса PKCS#11 в программный код компонент выполнял лицензиат ФСБ, что подтверждено соответствующими официальными документами.
  2. Для зарубежных криптографических алгоритмов. Для ключевых компонент выработки ЭЦП могут использоваться любые устройства зарубежных вендоров вплоть до аппаратных модулей безопасности Hardware Security Module (HSM) с FIPS 140-2 уровня 3, что соответствует международным требованиям к PKI-ready системам данного класса.

Соответствие международным требованиям к PKI-ready компонентам ИС

Разработчики проводили тестирование компонент по методикам National Institute of Standards and Technology (NIST) с учетом особенностей положений N 1-ФЗ "Об электронной цифровой подписи".

Совместимость

Все компоненты совместимы между собой по протоколам и представлениям информации, тем самым образуют единую доверенную среду, называемую в соответствии с международными рекомендациями Х.842 – Доверенной Третьей Стороной (ДТС), основанную исключительно на международных и отечественных рекомендациях и стандартах.

II. Возможности применения в решении задач

Идентификация субъектов и объектов информационного обмена

Удостоверяющий Центр обеспечивает однозначную связь открытого ключа и идентификационной информации о субъекте информационного взаимодействия.
Отличительные особенности:

  • Функционирует в соответствии с ФЗ-1 «Об электронной цифровой подписи».
  • Один программно-аппаратный комплекс (ПАК) поддерживает неограниченное количество независимых или связанных доверием издателей сертификатов, объединенных единым управлением и администрированием.
  • Техническая реализация снимает противоречие между принадлежностью ключа уполномоченному лицу и непрерывностью функционирования УЦ как круглосуточного сервиса. Благодаря поддержке сменного режима работы уполномоченных лиц в случае вынужденного отсутствия такого лица (отпуск, больничный, замещение обязанностей и т.п.) работа УЦ не будет нарушена.
  • Техническая реализация УЦ соответствует методикам тестирования NIST, и УЦ может быть применен фактически в любых PKI системах независимо от способа организации пространства доверия (вплоть до поддержки мостовых схем объединения) и методов ограничения доверия (ограничение политик, маппирование политик и т.п.).
  • Инфраструктура УЦ и структура сертификатов полностью соответствуют международным стандартам, что подкреплено соответствующим опытом использования УЦ в международных проектах, обеспечивающих трансграничный информационный обмен.
  • Развитая фискальная система, механизмы контроля целостности, инструменты мониторинга (включая анализ нагрузки на аппаратные платформы) и аудита: любые события в системе фиксируются в виде защищенных ЭЦП записей и группируются в «истории жизни сертификатов».
  • Весь информационный обмен между компонентами УЦ осуществляется по защищенным соединениям с взаимной аутентификацией сторон с учетом ролевых признаков субъектов взаимодействия. Реализована встроенная служба безопасного распределения кодов доступа определенных компонент (с их автоматическим контролем целостности) к криптографическим токенам в автоматическом режиме.
  • Техническую реализацию отличает модульная, масштабируемая архитектура и низкие требования к вычислительным ресурсам. В результате проводимых стресс-тестов ПАК УЦ на основе одного Celeron с 1 ГБ оперативной памяти обеспечивал жизненный цикл более 300 000 сертификатов.
  • Решение не требовательно в обслуживании, может функционировать без перезагрузки годами, что подтверждено фактическими результатами работы УЦ в рамках госструктур и крупных предприятий (например, АвтоВАЗ).

Указание дополнительной информации о субъектах информационного обмена. Работа с персональными данными.

Служба атрибутирования основана на международных рекомендациях RFC 3281. Основная функция Службы – связать сертификат открытого ключа ранее идентифицированного субъекта обмена с набором дополнительной информации, отражающей ролевые признаки субъекта в Системе, права и полномочия, дополнительные идентификационные или описывающие признаки и т.п. Состав дополнительной информации может быть произвольным и конструироваться средствами Службы. Сами данные размещаются в специальном атрибутном сертификате, условия доступу к которому определяется исключительно требованиями к системе и могут являться информацией не свободного доступа.
Основное назначение:

  • обеспечить разграничение доступа в PKI системах, управление которым осуществляется непосредственно прикладной системой, а не УЦ через содержание сертификата открытого ключа;
  • обеспечить механизм указания текущих прав и полномочий субъектов в прикладной ИС, вплоть до организации ведомственного Реестра прав и полномочий субъектов.

Техническая реализация наследует все положительные свойства и характеристики УЦ.

Защита от перлюстрации и разграничения доступа к Web-ресурсам

Служба реализована как внешний модуль к гипертекстовому серверу Apache с поддержкой защищенного протокола TLS. Служба может быть интегрирована в виде модуля для уже существующего Web-сервера или выполнена в виде отдельного прокси сервера.
Модуль предоставляет следующие возможности:

  • использование гибких механизмов задания политики разграничения доступа как к самому ресурсу, так и его частям;
  • разграничение доступа на основе любых элементов X.509 сертификатов;
  • разграничение доступа на основе атрибутных сертификатов и любых их элементов;
  • задание и использование уникальных для конкретной организации расширений к X.509 и атрибутным сертификатам;
  • настраиваемые механизмы проверки сертификатов, включая поддержку протокола OCSP и самостоятельное построение цепочки сертификации (корректность построения цепочки сертификации подтверждена соответствиям тестам NIST). Поддерживается также использование сетевого справочника (LDAP) и точек распространения списков отозванных сертификатов и обновлений (delta CRL) к ним;
  • включена поддержка кросс-сертификатов и «мостов доверия».

Использование Модуля позволяет, не вмешиваясь (а значит нет риска нарушить условия эксплуатации) в структуру готовых сложных продуктов, например, таких как Oracle E-Business Suite или аналогичных, обеспечить разграничение доступа и защиту от перлюстрации в открытых каналах связи.

Определение актуальности и управление временем действительности контента электронного сообщения

Реализация основана на международных рекомендациях RFC 3281 как Служба атрибутирования в соответствии с Х.842.

Основная функция Службы – связать электронное сообщение с некоторой меткой, обеспечивающей целостность и актуальность сообщения, что позволяет в любой момент времени проверить целостность и актуальность сообщения, а также сделать сообщение не актуальным без отзыва сертификата ключа подписи автора сообщения.
Основное назначение:

  • обеспечить соответствие требования ГОСТ Р ИСО 15489-1-2007 к электронному сообщению (документу) в части возможности его последующего использования;
  • предоставить прикладной системе механизм определения актуальности электронных сообщений являющихся выписками из различных Реестров, электронными лицензиями на абстрактные данные (включая ПО), электронными договорами и обязательствами, статистическими данными, выборками из различных баз данных и т.п.

Техническая реализация наследует все положительные свойства и характеристики УЦ.

Решение задачи актуальности выписки из различных Реестров является очень важным, поскольку позволяет не только фиксировать факт получения информации из достоверного источника в определенный момент времени, но и обеспечить возможность использования полученной информации в течении всего времени пока эта информация будет актуальной (например, в системах ведения Реестров аналогичных ЕГРЮЛ). Данное решение может быть положено в основу межведомственного, межкорпоративного электронного обмена не связанного одной системой электронного документооборота.

Выполнение проверок и заверений в доверенной внешней Службе. Организация трансграничного взаимодействия.

Служба «Заверения электронных сообщений» может выполнять функцию дополнительного сервиса в УЦ в качестве стандартизованного (RFC 3029 – DVCS, RFC 2560 – OCSP, RFC 3161 - TSP) технического решения требований Статьи 9 пункта 1 ФЗ-1, а также может быть использована как самостоятельный программный комплекс для реализации разовой или абонентской услуги по проверке и сертификации информации, проверки сертификатов и выработке квитанции, содержащей «штамп» времени.
Основные функции Службы:

  • удостоверение обладания информацией с или без ее представления сервису;
  • проверка действительности ЭЦП на конкретный момент времени;
  • проверка действительности сертификата открытого ключа (для компонент DVCS или OCSP), а также действительности атрибутного сертификата, на чем основывается определение актуальности прав и полномочий ранее идентифицированного субъекта, а также актуальности контента электронного сообщения, проверка сертификата на соответствие определённой заданной политики;
  • выработка квитанции, содержащей «штамп» времени.

Результатом выполнения той или иной функции служит образованная Сервером квитанция, которая представляет собой защищенный ЭЦП электронный документ с указанием статуса и времени проводимой операции. Данная квитанция может выступать доверенным источником для различных факто-фиксирующих систем, для продления действительности ЭЦП автора электронного документа по истечении действительности самого сертификата автора. Таким образом, квитанции могут служить технической базой для реализации электронных архивов длительного хранения.

Организация взаимодействия нескольких таких Служб позволяет создать единое пространство доверия в явно не связанных доменах, например, по причине использования различных криптографических алгоритмов. На основе данного свойства строятся системы трансграничного информационного обмена значимых электронных сообщений, защищенных ЭЦП. Примером использования данной технологии может выступать апробированная возможность обмена защищенными электронными документами между резидентами стран Евросоюза и Российской Федерации.

Техническая реализация наследует все положительные свойства и характеристики УЦ.

Оснащение рабочих мест пользователей PKI-ready систем

Оснащение пользовательских рабочих мест PKI систем требуемым программным обеспечение необходимо для интерактивной работы и/или автоматического взаимодействия со Службами. Это клиентское программное обеспечение служит для решения следующих задач:

  • Управления жизненным циклом сертификатов открытого ключа и атрибутных сертификатов.
  • Обращения к Службе «Заверения электронных сообщений» для получения квитанций и локального анализа.
  • Операции по выработке и проверки ЭЦП, построения цепочек сертификации (соответствует тестам NIST). Предоставляет набор зарегистрированных COM-объектов для простой интеграции в реальные прикладные системы, вырабатывать и проверять ЭЦП на HTML формах и HTML страницах, интеграции с пакетом MS Office.
  • Инкапсуляции прикладных протоколов в защищенный протокол TLS, что позволяет не внося изменений в ПО третьих фирм (Web-браузеров, Java-машин, LDAP-браузеров и т.п.) обеспечить защиту и взаимную авторизацию с ресурсом, а в случае использования на стороне ресурса ещё и Модуля, то и программное обеспечение ресурса не потребует модернизации.
  • Поддержки аппаратных токенов (USB-ключи, ID-card, HSM …) фактически любых вендоров.


Перечень типовых технических решений (компонент) для PKI-ready Информационных Систем © 2005-2014
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей