LINEBURG


<< Пред. стр.

страница 23
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

доступ к функциям криптографических модулей CSP (Cryptographic
Service Provider). Модули CSP могут быть программными или рабо-
тающими совместно с аппаратными криптографическими устройст-
вами, они способны генерировать ключи и управлять ими, а также
реализуют разнообразные криптографические алгоритмы. В инфра-
структуре открытых ключей Windows 2000 сертификаты хранятся
и поддерживаются подсистемой CryptoAPI. Административные
средства управления сертификатами обеспечивают возможность ар-
хивирования и восстановления сертификатов и ключей.
PKI Microsoft Windows 2000 поддерживает подачу и обработ-
ку запросов на сертификаты в корпоративный УЦ или независимые
удостоверяющие.центры в соответствии со стандартами PKCS. Реа-
лизовано два метода подачи запросов: через web-страницы с помо-
щью соответствующего мастера или автоматическое получение сер-
тификатов при входе в систему и регистрации пользователя.
Пользователям Windows теперь доступно применение сертифи-
цированных средств криптографической защиты информации в соста-
ве операционной системы Windows. Средство криптографической
защиты Крипто-Про CSP, разработанное совместно компанией
Крипто-Про [147] и государственным унитарным предприятием -
научно-техническим центром «Атлас», реализовано в соответствии
с криптографическим интерфейсом корпорации Microsoft - CSP
и российскими криптографическими алгоритмами (см. раздел 8.2.2).
8.2. Программное обеспечение PKI
российских компаний
Основным препятствием для использования зарубежного про-
граммного обеспечения инфраструктур открытых ключей на рос-
сийском рынке является необходимость при выработке РК1-решений
следовать отечественным криптографическим стандартам и требо-
ваниям государственных органов, предъявляемым к средствам за-
щиты информации.




PDF created with pdfFactory Pro trial version www.pdffactory.com
8. Программные средства поддержки PKI 199


Исторически сложилось так, что инфраструктура открытых
ключей создавалась на базе зарубежных криптостандартов (RSA,
DES). Быстрое развитие технологии PKI за рубежом связано с под-
держкой со стороны таких крупных западных производителей про-
граммного обеспечения, как Microsoft Corp., RSA Security Inc.,
Entrust Technologies, IBM, Xcert Software Inc., Baltimore
Technologies, и др. Исходя из высших государственных интересов
США, крупные корпорации при поставках своих продуктов за рубеж
часто используют в них слабую криптографию (имеются в виду
и малая длина ключа - не более 128 бит и устаревшие стандарты).
Таким образом, широкое использование программного обеспечения
известных зарубежных компаний, с одной стороны, позволяет авто-
матизировать и повышает эффективность практически любого вида
деятельности, а с другой - ставит отечественных потребителей дан-
ной продукции в неравное положение (в части защиты информации)
с американскими, так как подобные программные продукты не все-
гда могут гарантировать полноценную защиту информации [40].
Правда, в последнее время некоторые западные компании стали
предлагать на российском рынке локализованные версии своих про-
граммных продуктов, в которых реализованы российские крипто-
графические алгоритмы.
Чтобы избежать правовых проблем, которые возникают при
использовании зарубежных программных продуктов, российские
разработчики направили усилия на создание программного обеспе-
чения PKI с учетом российских требований к средствам обеспечения
информационной безопасности. Несмотря на то, что пока отечест-
венный опыт развертывания PKI не велик, на рынке программных
продуктов появились программные средства российских производи-
телей для реализации PKI-решений, в частности, сертифицирован-
ное ФАПСИ средство криптографической защиты КриптоПро CSP
и программные комплексы VCERT PKI и «Вепрь».
8.2.1. Программный комплекс VCERT PKI
Программный продукт VCERT PKI является результатом со-
вместной работы компаний ЗАО «МО ПНИЭИ» и ООО
«ВАЛИДАТА» [173]. Система управления сертификатами VCERT
PKI - это многокомпонентная система, использующая инфраструк-




PDF created with pdfFactory Pro trial version www.pdffactory.com
200 __________________ Основы технологии PKl ________________


туру открытых ключей для обеспечения конфиденциальности ин-
формации, контроля целостности и подтверждения авторства элек-
тронных документов на основе использования криптографических
процедур, реализованных в соответствии с российскими стандарта-
ми (ГОСТ 28147-89, ГОСТ Р34.10-94 и ГОСТ Р34.11-94) и междуна-
родными рекомендациями.
VCERT PKI условно можно разделить на два компонента:
систему управления сертификатами - инфраструктуру открытых
ключей (ИОК) и программный интерфейс к криптографическим
функциям для РК1-приложений.
Система VCERT PKI обеспечивает защиту информации на ос-
нове реализации инфраструктуры открытых ключей с использовани-
ем международных стандартов Х.509, RFC 2459, PKCS#10, PKCS#7,
реализована на платформах Windows NT, Windows 95/98. В состав
системы входит Центр Сертификации (СА), Центр Регистрации (RA),
Справочник Сертификатов (CS) и инструментарий разработчика.
Программное обеспечение VCERT PKI реализовано по мо-
дульному принципу, в его состав входят следующие программные
комплексы и модули:
УСА (VCERT Certification Authority) — программный ком-
плекс Центр Сертификации (ЦС), предназначенный для создания на
основе информации, предоставляемой Центром Регистрации, серти-
фикатов открытых ключей, списков аннулированных сертификатов
и их бумажных копий, а также хранения эталонной базы сертифика-
тов и списков аннулированных сертификатов;
VRA (VCERT Registration Authority) — программный ком-
плекс Центр Регистрации (ЦР), предназначенный для регистрации
пользователей и обеспечения взаимодействия пользователя с Цен-
тром Сертификации;
VReferee — программный комплекс разбора конфликтных си-
туаций, предназначенный для проверки ЭЦП под электронными до-
кументами и сертификатами открытых ключей;
VCS (VCERT Certificates Store) — программный комплекс
Справочник Сертификатов, обеспечивающий администрирование
справочника сертификатов, формирование служебных сообщений на
рабочем месте пользователя, а также генерацию секретных и откры-




PDF created with pdfFactory Pro trial version www.pdffactory.com
8. Программные средства поддержки PKI ____________ 201
________


тых ключей на рабочем месте пользователя и запись их на ключевые
носители;
VPKI — программная библиотека работы с сертификатами
и другими объектами VCERT PKI, реализующая интерфейс к крип-
тографическому модулю;
VPKITest — тестовое программное обеспечение, реализован-
ное на основе программной библиотеки;
VCrvpt — программный модуль реализации криптографиче-
ских функций и генерации ключевой информации.
Программная библиотека работы с сертификатами содержит
в своем составе модули, которые в зависимости от типа операцион-
ной системы могут быть реализованы как в виде единой библиотеки,
так и в виде отдельных библиотек или исполняемых модулей.
В качестве программного модуля, реализующего криптогра-
фические функции, используется СКЗИ "Верба-OW". Криптографи-
ческий модуль VCrypt функционирует в операционных системах
Windows 95, Windows 98, Windows NT на персональных компьюте-
рах типа IBM PC/AT.
Цифровая подпись соответствует требованиям ГОСТ Р 34.10-94
"Информационная технология. Криптографическая защита инфор-
мации. Система электронной цифровой подписи на базе асиммет-
ричного криптографического алгоритма". Функция хэширования
выполнена в соответствии с требованиями ГОСТ Р 34.11-94 "Ин-
формационная технология. Криптографическая защита информации.
Функция хэширования", а алгоритм шифрования реализован в соот-
ветствии с требованиями ГОСТ 28147-89 "Системы обработки ин-
формации. Защита криптографическая".
Длины секретного и открытого ключей электронной цифровой
подписи составляют соответственно 256 бит и 512 бит (или 1024 би-
та), такие же длины имеют секретный и открытый ключи шифрова-
ния.
Вероятность того, что искажения, вносимые в зашифрованную
информацию злоумышленниками или вирусами, не будут обнару-
жены, составляет 10"9. Секретные ключи подписи могут храниться
на ключевых носителях — дискетах 3.5" , носителях Touch-Memory
или смарт-картах.




PDF created with pdfFactory Pro trial version www.pdffactory.com
202 __________________ Основы технологии PKI ________________


Система VCERT PKI обеспечивает:
• генерацию и верификацию электронных цифровых подпи
сей под файлом или областью памяти в соответствии
с ГОСТ Р34.10-94 и ГОСТ Р34.11-94;
• конфиденциальность и контроль целостности информации
посредством ее шифрования и имитозащиты в соответствии
с ГОСТ 28147-89;
• регистрацию электронных запросов пользователей на сер
тификаты открытых ключей подписи;
• формирование электронных сертификатов открытых клю
чей подписи пользователей.
Клиентское программное обеспечение VCERT PKI позволяет
пользователям на своих рабочих местах формировать запросы на
сертификаты открытых ключей, генерировать секретные и открытые
ключи подписи и шифрования, а также получать сообщения о ком-
прометации секретных ключей и информацию из справочника сер-
тификатов.
Инструментарий разработчика дает возможность встраивать
в прикладное программное обеспечение криптографические функ-
ции генерации/верификации цифровой подписи, шифрования/ рас-
шифрования информации.
8.2.2. Средство криптографической защиты информации
КриптоПро CSP
Пользователи Windows теперь могут применять сертифициро-
ванные средства криптографической защиты информации в составе
операционной системы Microsoft Windows. Средство криптографи-
ческой защиты информации КриптоПро CSP, разработанное совме-
стно компанией «Крипто-Про» и государственным унитарным пред-
приятием научно-техническим центром «Атлас», реализовано в со-
ответствии с криптографическим интерфейсом корпорации Micro-
soft - CSP (Cryptographic Service Provider) и российскими крипто-
графическими алгоритмами электронной цифровой подписи (ГОСТ
Р34.10-94), хэширования (ГОСТ Р34.11-94) и шифрования и имито-
защиты данных (ГОСТ 28147-89).




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки РК1______________203


Программный комплекс Удостоверяющий центр - Крипто-
Про УЦ позволяет в полном объеме реализовать инфраструктуру
открытых ключей.
В состав КриптоПро УЦ входят следующие компоненты (см.
рис. 8.5):
• Центр сертификации (ЦС);
• Центр регистрации (ЦР);
• АРМ администратора ЦР;
• АРМ пользователя;
• Программный интерфейс взаимодействия с УЦ.
Центр сертификации - базовый компонент подсистемы,
предназначенный для формирования сертификатов открытых клю-
чей пользователей и администраторов Удостоверяющего центра,
списков аннулированных сертификатов, хранения эталонной базы
сертификатов и САС. Центр сертификации реализован на плат-
форме Microsoft Windows 2000 Server и взаимодействует только
с Центром регистрации на базе защищенного сетевого протокола.
В программный комплекс ЦС входят базовый набор СОМ-
компонентов и интерфейс взаимодействия с сервером ЦР - SOAP
(Simple Object Access Protocol).
Базовый набор СОМ-компонентов реализует основные функ-
ции ЦС, взаимодействуя со следующими программными модулями:
• Microsoft Certificate Services - для выполнения функций
управления сертификатами пользователей;
• Microsoft Internet Information Server 5.0 - для обеспечения
SOAP-интерфейса с Центром регистрации;
CryptoAPI 2.0 - для выполнения функций проверки электрон-
ной цифровой подписи ЦР с использованием СКЗИ КриптоПро CSP.
SQAP-интерфейс взаимодействия с сервером ЦР реализован
в виде комплекса ASP-страниц, которые используют в своей работе
базовый набор СОМ-компонент ЦС,
Центр регистрации - компонент УЦ, предназначенный для
хранения регистрационных данных пользователей, запросов на сер-
тификаты, обеспечения взаимодействия пользователей и УдостовС'
ряющего центра.




PDF created with pdfFactory Pro trial version www.pdffactory.com
204 Основы технологии PKI



Центр
сертификации
Кри КриптоПро TLS
птоПр
о Т]



Администратор


Администратор

Программный интерфейс
Двусторонняя аутентификация
Шифрование трафика

Регистрация

Внешние приложения
Двусторонняя аутентификация
Шифрование трагика
Взаимодействие с Центром
Регистрации




Пользователи


Рис.8.5. Архитектура КриптоПро УЦ
Центр регистрации работает на платформе Microsoft
Windows 2000 Server и использует базу данных Microsoft SQL 2000.
ЦР взаимодействует с Удостоверяющим центром в отдельном
сегменте локальной сети на базе защищенного сетевого протокола.
Взаимодействие пользователей с Удостоверяющим центром осу-
ществляется через АРМ пользователя. ЦР является единственной
точкой входа (регистрации) пользователей в системе. Только зареги-
стрированный пользователь может получить сертификат открытого
ключа в Удостоверяющем центре.
Программное обеспечение ЦР состоит из базового набора
СОМ-компонентов, интерфейсов взаимодействия с АРМ админист-
ратора и внешними приложениями. Базовые СОМ-компоненты ЦР




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI ______________205


реализуют основную логику работы ЦР, взаимодействуя со следую-
щими программными модулями:
• Microsoft Internet Information Server 5.0 - для обеспечения
интерфейса со всеми типами пользователей системы.
• Microsoft SQL Server 2000 - для выполнения функций
управления БД ЦР, протоколирования работы ЦР.
• CryptoAPI 2.0 - для выполнения функций шифрования, ау
тентификации и проверки электронной цифровой подписи, исполь
зуя алгоритмы криптографической защиты, реализованные в составе
СКЗИ КриптоПро CSP.
Интерфейсы взаимодействия с АРМ администратора ЦР
и внешними приложениями реализуются в виде комплекта ASP-
страниц, использующих в своей работе базовые СОМ-компоненты ЦР.
Компонент АРМ Администратора ЦР предназначен для вы-
полнения организационно-технических мероприятий, связанных
с регистрацией пользователей, генерацией ключей и сертификатов
пользователей и взаимодействием с Центром регистрации. АРМ
администратора ЦР функционирует в ОС Microsoft Windows 2000
Professional. АРМ администратора взаимодействует с Центром ре-
гистрации в отдельном сегменте локальной сети на базе защищен-
ного сетевого протокола.
АРМ администратора ЦР является приложением, разрабо-
танным посредством Microsoft Management Console, и может быть
использован в интегрированной среде совместно с другими прило-
жениями администрирования, такими, как Microsoft SQL Server
Enterprise Manager, Microsoft Internet Information Server Manager и др.
АРМ администратора ЦР обеспечивает проверку состояния
и обработку запросов пользователей на регистрацию, выдачу и ан-
нулирование сертификатов открытых ключей, просмотр протоколов
работы ЦР и поиск информации в базе данных ЦР, относящейся
к зарегистрированным пользователям.
АРМ пользователя - это web-приложение, размещенное на
сервере ЦР. АРМ пользователя функционирует в ОС Microsoft
Windows 95 и выше (браузер - MS IE 5.0 и выше). АРМ пользова-
теля обеспечивает шифрование информации, передаваемой ЦР
с использованием протокола TLS с двусторонней аутентификацией.




PDF created with pdfFactory Pro trial version www.pdffactory.com
206___________________ Основы технологии PKI_________________

К основным функциям АРМ пользователя относятся:
• обеспечение взаимодействия пользователя с ЦР;
• заполнение форм запросов на сертификаты;
• выбор типа сертификата;
• проверка состояния запросов на сертификаты и статуса
сертификатов;
• генерация секретных ключей;
• получение сертификатов.
Программный интерфейс пользователя предназначен для про-
смотра персональной информации из базы данных ЦР, списка сер-
тификатов, полученных пользователем, и запросов на сертификаты
для загрузки, получения и аннулирования сертификатов.
Интеграция российских средств криптографической защиты
информации со средствами операционной системы и приложениями,
использование инфраструктуры открытых ключей позволяет поль-
зователям и разработчикам обеспечить конфиденциальность, автор-
ство и целостность информации. Применяя средство криптографи-
ческой защиты информации КриптоПро CSP, пользователи опера-
ционной системы MS Windows могут воспользоваться стандартны-
ми программными средствами корпорации Microsoft для реализации
решений, основанных на инфраструктуре открытых ключей. К этим
средствам относятся: Центр сертификации (MS Certification
Authority), Инструментарий разработчика CryptoAPI 2.0, Инстру-
ментарий разработчика CAPICOM 1.0, Certificate Enrollment Control
(xenroll), Microsoft Outlook, Microsoft Outlook Express и Microsoft
Authenticode.
8.2.3. Программный комплекс «Вепрь»
Руководствуясь требованиями «Доктрины информационной
безопасности РФ» в плане замещения зарубежных технических
и программных средств в российских информационных системах,
российская компания «Новый Адам» разработала программный
комплекс Удостоверяющий Центр «Вепрь», способный стать ба-
зовым компонентом корпоративных систем, использующих в целях
обеспечения информационной безопасности технологию PKI (в ча-
стности, систем электронного документооборота Интернет-




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI_____________207


банкинга, электронной коммерции, билинговых систем, и т.п.) [142].
Функционально Удостоверяющий Центр реализован в соответст-
вии с требованиями Федерального Закона РФ «Об электронной циф-
ровой подписи».

<< Пред. стр.

страница 23
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign