Система криптографической защиты информации «Шифр-Х.509»

Назначение и краткое описание системы

Система криптографической защиты информации «Шифр-Х.509» (СКЗИ «Шифр-Х.509») предназначена для создания инфраструктуры открытых ключей (ИОК). В рамках созданной инфраструктуры обеспечивает управление криптографическими ключами и сертификатами, выработку и проверку электронной цифровой подписи (ЭЦП) электронных документов, а также шифрование информации, обрабатываемой в автоматизированных системах различного назначения.

СКЗИ «Шифр-Х.509» – это:

• полная поддержка стандартов семейства Х.509;
• соответствие техническим спецификациям форматов представления основных базовых объектов ИОК, которые утверждены совместным приказом ДСТСЗИ СБУ и Государственного департамента по вопросам связи и информатизации Минтранссвязи Украины от 11.09.2006 г. № 99/166;
• электронная цифровая подпись – ДСТУ 4145-2002, RSA (ключи – 2048 битов);
• функция хэширования данных – ГОСТ 34311-95, SHA (RFC 4634);
• шифрование данных – ГОСТ 28147-89;
• управление ключами шифрования данных ДСТУ ISO/IEC 15946-3:2006 (протокол Диффи-Хеллмана на эллиптических кривых).

Криптографические преобразования по ДСТУ 4145-2002, ГОСТ 34311-95, ГОСТ 28147-89, ДСТУ ISO/IEC 15946-3:2006 выполняются сертифицированными криптобиблиотеками на базе программного изделия «Шифр+».

СКЗИ «Шифр-Х.509» реализована в двух вариантах – «Шифр-Х.509 PRO» и «Шифр-Х.509 Lite».

«Шифр-Х.509 PRO» – полная версия системы. В части средств для Центра сертификации ключей полностью удовлетворяет требованиям приказа ДСТСЗИ СБУ от 13.01.2005.г № 3 «Правила усиленной сертификации» (с изменениями) и постановления Кабинета Министров Украины от 13.07.2004 г. № 903 «Порядок аккредитации центра сертификации ключей».

СКЗИ «Шифр-Х.509» обеспечивает гибкое и безопасное управление ключами и сертификатами по четырем схемам – традиционная; через администратора безопасности; схема для исполнителей удаленных подразделений; схема для удаленных пользователей, например, пользователей интернет-систем.

Основа системы

Исполнительная часть системы – сертифицированные библиотеки криптографических преобразований «Шифр+» (сертификат соответствия UA1.112.0185238-07).

Архитектура и состав системы

Архитектура системы Шифр-Х.509 состоит из следующих элементов (рис. 1.):

• комплекс «Центр сертификации ключей» (ЦСК) в составе:



- программное обеспечение сертификации ключей,
- программный комплекс «Центр регистрации»,
- LDAP-сервер (каталог),
- сервер OCSP,
- сервер TSP,
- программное обеспечение АРМ оператора Call-центра;

• программное обеспечение Удаленных Центров регистрации – программный комплекс «Центр регистрации»;
• программное обеспечение пользователей.

«Шифр-Х.509 PRO»	«Шифр-Х.509 Lite»
Центр сертификации ключей
Программное обеспечение сертификации ключей: АРМ администратора безопасности ЦСК; АРМ администратора сертификации ЦСК; Сервер приложений ЦСК; База данных ЦСК.	Программное обеспечение сертификации ключей АРМ Центра сертификации ключей; База данных ЦСК.
Центр регистрации ЦСК – программный комплекс «Центр регистрации»: АРМ администратора регистрации; база данных; АРМ администратора безопасности Центра регистрации; Модуль генерации ключей.	Центр регистрации ЦСК – программный комплекс «Центр регистрации»: АРМ администратора регистрации, база данных; Модуль генерации ключей.
LDAP-сервер ЦСК	LDAP-сервер ЦСК
Сервер OCSP	Сервер OCSP
Сервер TSP	Сервер TSP
АРМ оператора Call-центра	АРМ оператора Call-центра
Удаленный Центр регистрации
Программный комплекс «Центр регистрации»: АРМ администратора регистрации; база данных; АРМ администратора безопасности Центра регистрации; Модуль генерации ключей.	Программный комплекс «Центр регистрации»: АРМ администратора регистрации, база данных; Модуль генерации ключей.
Программное обеспечение пользователей
Модуль управления ключами	Модуль управления ключами
Библиотеки криптографических функций (Win 32, Java)	Библиотеки криптографических функций (Win 32, Java)
Библиотека GSS - API (Win 32)	Библиотека GSS - API (Win 32)

 

Центр сертификации ключей (ЦСК) предназначен для реализации регламентных процедур и механизмов работы, связанных с обслуживанием сертификатов открытых ключей, которые включают управление ключами ЦСК, регистрацию пользователей, сертификацию открытых ключей пользователей, распространение сертификатов, управление статусом сертификатов, распространение информации о статусе сертификатов, предоставление услуг фиксирования времени.

Удаленный центр регистрации (програм­мный комплекс «Центр регистрации») предназначен для идентификации и регистрации пользователей, которые обращаются за получением сертификатов, а также для предоставления услуг по генерации ключей пользователям, которые пожелали выполнить эту процедуру непосредственно на Центре регистрации.

LDAP-сервер (каталог) предназначен для создания справочника сертификатов ЦСК. LDAP-сервер обеспечивает хранение и предоставления доступа пользователям (по протоколу TCP/IP) к опубликованным сертификатам и спискам отозванных сертификатов, которые издаются центром сертификации ключей.

Сервер OCSP функционирует в соответствии с требованиями RFC2560 «Online Certificate Status Protocol – OCSP» и предназначен для передачи пользователям информации о статусе сертификата в режиме «on-line» по протоколу TCP\IP.

Сервер TSP функционирует в соответствии с требованиями RFC3161 «Time-Stamp Protocol - TSP» и предназначен для формирования и передачи пользователям в режиме «on-line» (TCP\IP) меток времени электронных документов.

АРМ оператора Call-центра предназначен для выполнения действий, связанных с управлением статусом сертификатов по требованию пользователей, которым эти сертификаты принадлежат.

Модуль управления ключами предназначен для выполнения пользователями самостоятельных действий по генерации ключей и получению соответствующих сертификатов.

Библиотеки криптографических функций (Win32, Java-классы) являются исполнительной частью системы, предназначены для работы в составе (под управлением) программных средств автоматизированных систем и обеспечивают цифровую подпись и шифрование данных, генерацию очередных ключей и формирование запросов на сертификаты, контроль статуса сертификатов, обработку меток времени.

Библиотека GSS – API предназначена для выполнения процедур строгой (криптографической) аутентификации при установлении соединения и шифровании обмена данными. Библиотека функционирует в рамках подсистемы Win32, реализует обобщенный прикладной программный интерфейс службы безопасности в соответствии со следующими стандартами RFC2743 (Generic Security Service Application Program Interface Version 2, Update 1) и RFC2744 (Generic Security Service API Version 2 : C-bindings).