Система криптографической защиты информации «Шифр-PKI»

Назначение и состав системы

Система «Шифр-PKI» представляет собой универсальную иерархическую масштабируемую систему криптографической защиты данных и управления открытыми ключами.

«Шифр-PKI» содержит набор програм­мных средств построения корпоративной инфраструктуры открытых ключей (Public Key Infrastructure – PKI), которая обеспечивает доверительные взаимоотношения между корреспондентами в процессе обмена данными.

Основой доверительных отношений являются цифровые сертификаты. Сертификат однозначно связывает открытый ключ корреспондента с его именем и выдается центром сертификации ключей. Наличие сертификата, принадлежащего корреспонденту, позволяет вести с ним шифрованный обмен данными, проверять электронные цифровые подписи принятых от него сообщений и осуществлять строгую аутентификацию источника их передачи.

«Шифр-PKI» позволяет создать инфраструктуру открытых ключей, включающую следующие элементы:

• главный центр сертификации ключей (ГЦСК), обладающий самоподписанным (рутовым) сертификатом и осуществляющий выдачу цифровых сертификатов для региональных (подчиненных) центров сертификации;
• региональные центры сертификации ключей (РЦСК), обладающие сертификатом ГЦСК и осуществляющие выдачу персональных цифровых сертификатов пользователям регионов;
  
• центры регистрации (ЦР), осуществляющие передачу запросов на сертификацию в РЦСК и прием сертификатов для пользователей, территориально удаленных от места расположения РЦСК;
• средства генерации пользовательских ключей и формирования запросов на сертификацию;
• исполнительные программные комплексы (библиотеки), выполняющие шифрование и цифровую подпись данных, которые можно использовать в различных автоматизированных системах.

В зависимости от потребностей заказчика на базе средств системы «Шифр-PKI» могут быть созданы подсистемы управления ключами и сертификатами различных конфигураций:

• трехуровневая иерархическая (рис. 2), включающая главный и несколько региональных (подчиненных главному) центров сертификации ключей, в каждом регионе – несколько центров регистрации (подчиненных своему региональному центру);
• двухуровневая иерархическая (рис. 3), включающая один центр сертификации ключей и несколько центров регистрации;
• простая конфигурация, нашедшая широкое применение в системах типа «Клиент-банк» (рис. 4), состоящая из одного центра сертификации ключей.
  

Рис. 2. Трехуровневая иерархическая конфигурация

Рис. 3. Двухуровневая иерархическая конфигурация

Рис. 4. Простая конфигурация (на примере использования в системах «Клиент-банк»).

 

Средства системы «Шифр- PKI» условно разделены на две части.

Первая часть – базовый комплекс. В состав базового комплекса входят следующие элементы:

• АРМ ГЦСК;
• АРМ РЦСК;
• Модуль генерации ключей;
• Модуль криптографических функций;
• Модуль интерфейса к электроннойпочте.

Вторая часть системы «Шифр-PKI» – средства расширения функциональности следующего состава:

• Модуль-агент регионального центра сертификации ключей (ЦР);
• Модуль управления ключами клиента;
• Модуль-служба доступа к справочнику сертификатов;
• Java-модуль криптографических функций для операционных сред, отличных от Win32.

Основа системы

Все криптографические преобразования в системе «Шифр-PKI» выполняются при помощи сертифицированного программного изделия «Шифр», которое представляет собой библиотеки функций криптографических преобразований.

Краткая характеристика системы «Шифр-PKI»

Система обеспечивает:

• генерацию криптографических ключей;
• управление сертификатами открытых ключей пользователей и персонала автоматизированных систем и комплексов;
• криптографическую защиту данных в распределенных автоматизированных системах и комплексах различного назначения.

Система Шифр-PKI поддерживает ключи следующих типов:

• ключи цифровой подписи – секретные и открытые ключи стандарта ГОСТ 34310-95;
• ключи шифрования данных – симметричные ключи стандарта ГОСТ 28147-89;
• ключи управления – ключи шифрования данных, выработанные в соответствии с требованиями протокола Диффи-Хеллмана.

Генерацию криптографических ключей пользователей и персонала автоматизированных систем и комплексов осуществляют:

• Модуль генерации ключей (для исполнителей центрального офиса, филиала, где устанавливается региональный центр сертификации ключей);
• Модуль – агент регионального центра сертификации ключей (для территориально отдаленных подразделений, например ТОБО банков );
• Модуль смены ключей (для территориально отдаленных подразделений, например ТОБО банков);
• Модуль управления ключами клиента (для исполнителей – должностных лиц отдаленного клиента).

Генерация криптографических ключей в системе «Шифр-PKI» выполняется по принципу «сам для себя». Средства генерации ключей позволяют выбрать носитель (HDD, Flash, Touch Memory (iButton), смарт-карта) для сохранения секретных ключей. Секретные ключи сохраняются на носителе в зашифрованном виде. Открытые ключи в виде запроса на сертификацию передаются в сертификационный центр, где вырабатывается сертификат открытых ключей пользователя.

Управление ключами и сертификатами пользователей обеспечивают:

• АРМ главного центра сертификации ключей (в центральном офисе);
• АРМ регионального центра сертификации ключей (в центральном офисе и филиале);
• Модуль-агент регионального центра сертификации ключей (в территориально отдаленных подразделениях, например ТОБО банка);
• Модуль управления ключами клиента (у клиентов банка);
• Модуль интерфейса к электронной почте;
• Модуль- служба доступа к справочнику сертификатов.

Средства управления ключами позволяют:

• подтвердить достоверность и отправку запросов на сертификацию;
• выработать сертификат открытых ключей по полученному запросу;
• осуществить адресную рассылку сертификатов;
• вести контроль сроков действия сертификатов (ввод в действие и вывод из действия сертификатов в соответствии с назначенным сроком);
• отзывать сертификаты;
• формировать и рассылать списки отозванных сертификатов;
• прекращать действия сертификатов на основе данных списка отозванных сертификатов;
  выполнять широкий набор сервисных функций (отображение таблиц сертификатов, поиск сертификатов по различным критериям, перенос выведенных из действия сертификатов в архив, и др.).
  

Доставку ключевых и служебных сообщений в процессе управление сертификатами обеспечивает Модуль интерфейса к электронной почте, который реализует протоколы SMTP и POP3. Кроме этого, данный модуль может использоваться для раскладки ключевых сообщений по заданным каталогам, что позволяет использовать его при обмене файлами по протоколу FTP.

Исполнительными устройствами системы «Шифр-PKI» являются Модуль криптографических функций (динамические библиотеки для WIN32) и Java-модуль криптографических функций для операционных сред, отличных от Win32.

Модули криптографических функций реализованы в виде динамических библиотек (*.DLL для WIN32) или в виде Java-классов, которые легко встраиваются в программные средства автоматизированных систем и в процессе работы обеспечивают:

• ввод секретного ключа, его расшифрование и сохранение в памяти;
• остановку работы при несоответствии введенного секретного ключа хранящемуся в справочнике сертификату, либо если использование этого сертификата запрещено;
• поиск в справочнике и выбор сертификата, требуемого для выполнения криптопреобразований;
• проверку аутентичности и полномочности выбранного сертификата;
  хэширование данных;
• постановку и проверку электронной цифровой подписи;
• выработку ключей связи по протоколу Диффи-Хеллмана;
• генерацию ключей шифрования данных;
• выработку имитовставки и шифрование данных;
• расшифрование данных и контроль их целостности путем проверки имитовставки.

Особенности реализации

Система «Шифр-PKI» в эксплуатации с февраля 2002 года. В течение многих лет активного использования, вплоть до сегодняшнего дня, система подвергалась постоянному развитию, в основе которого – опыт реальной эксплуатации.

В результате многолетнего совершенствования была получена гибкая и универсальная система, позволяющая удовлетворить нужды по построению системы криптографической защиты данных любых предприятий с различным уровнем сложности организации.

1. Наличие механизма профилирования сертификатов

Профиль сертификата – это однозначно идентифицируемая, именованная совокупность общих свойств сертификатов (полномочия, назначение, срок действия, место сертификации и т.д.), позволяющая объединить сертификаты в определенную группу.

Благодаря этому, средства системы «Шифр-PKI» гибко и органично вписываются практически в любые автоматизированные системы Заказчика, будучи фактически независимыми от их технологических и функциональных свойств.

2. Удобная исполнительная часть системы

Модули криптографических функций реализованы как в виде набора динамических библиотек под Win32, так и в виде набора Java-классов, что позволяет осуществлять криптопреобразования под управлением операционных систем, отличных от семейства Win32.

Кроме этого, система включает в себя Модуль ЭЦП и направленного шифрования файлов «Шифр-F», позволяющим осуществлять ЭЦП и шифрование файлов как в интерактивном, так и в автоматическом режиме.

3. Полная автоматизации процедур управления сертификатами

Весь обмен между различными компонентами системы, начиная от отправки запроса на сертификат исполнителя, и до получения сертификата и осуществляется по электронным каналам связи, при этом все данные, передаваемые в каналах связи, защищены ЭЦП. Все процедуры по смене ключей выполняются динамически, без необходимости остановки работы автоматизированный систем.

4. Удобный механизм настройки правил рассылки сертификатов и стоп-листов

Средства системы позволяют, как Разработчику на этапе адаптации по требованиям Заказчика, так и пользователям в процессе эксплуатации, создавать и изменять правила, по которым ГЦСК и/ или РЦСК автоматически отправят выработанный сертификат (стоп-лист) заданному получателю, либо заданной группе получателей. Сертификаты (стоп-листы) рассылаются в виде ключевых сообщений.

Доставка ключевых сообщений может выполняться Модулем интерфейса к электронной почте, который входит в комплект поставки системы «Шифр-PKI», либо любыми другими транспортными средствами Заказчика.

5. Гибкая организация доступа к сертификатам открытых ключей

Исполнительные устройства системы при выполнении криптопреобразований используют сертификаты открытых ключей, которые хранятся в справочнике сертификатов.

Доступ к сертификатам в справочнике может осуществляться двумя способами:

• первый способ: прямой (разделяемый) доступ к файлу таблицы справочника сертификатов;
• второй способ: через Модуль – службу доступа к справочнику сертификатов по протоколу TCP/IP.

При этом, как уже отмечалось выше, обновление справочника осуществляется динамически без необходимости остановки.

6. Смена ключей исполнителей непосредственно на своем рабочем месте

При использовании в системе Модуля смены ключей у каждого исполнителя появляется возможность плановой смены ключей непосредственно на своем рабочем месте, по предложению модуля криптофункций.

При этом доставка запроса на сертификат в РЦСК может осуществляться через разделяемый каталог, если исполнитель и РЦСК находятся в единой локальной сети, либо по протоколу TCP/IP через Службу доступа к справочнику сертификатов, при отдаленном расположении исполнителя.

7. Легкость работы с системой

Система «Шифр-PKI» имеет интуитивно понятный пользовательский интерфейс и полностью документирована. Документация рассчитана на рядового пользователя. Система легко устанавливается и настраивается. В эксплуатации надежна и нетребовательна к ресурсам.

Предлагаемые к загрузке файлы средств системы "Шифр-PKI"

Все доступные для загрузки файлы средств системы "Шифр-PKI" v 2.42 расположены на странице "Загрузка"