Широкополосные сети
Широкополосные сети
  Широкополосные сети
 Логин
 Пароль
Cisco

«Удостоверяющий центр»

Общие положения

Для создания инфраструктуры электронной цифровой подписи в корпоративных вычислительных сетях коммерческих и государственных организаций, обеспечивающей выполнение требований Федерального закона «Об ЭЦП», высокий уровень безопасности ее функционирования и требований к составу и техническим характеристикам программно-аппаратного комплекса «Удостоверяющий центр«, предлагается использовать программное обеспечение (ПО) технологии ViPNet с криптографическим ядром «Домен-К«, имеющее сертификаты ФАПСИ (классы КС1, КС2 — для криптографического ядра «Домен-К« и 4 класс по требованиям ФАПСИ — для персонального сетевого экрана ViPNet) и Гостехкомиссии России (класс 1В - для автоматизированных систем и 3 класс — для межсетевых экранов), в следующем составе:

ПО ViPNet [Центр управления сетью] (ЦУС) предназначено для регистрации пользователей и управления безопасностью созданной инфраструктуры ЭЦП,
ПО ViPNet [Удостоверяющий и ключевой центр] (УКЦ) предназначено для выпуска цифровых сертификатов как собственных пользователей (сотрудников организации), так и внешних пользователей (физических и/или юридических лиц), которые должны иметь возможность использовать в отношениях с организацией ЭЦП (например, в системах «клиент-банк»). ПО ЦУС и УКЦ поставляется в составе инсталляционного комплекта ViPNet [Администратор].
– ПО ViPNet [Центр регистрации] предназначено для регистрации внешних пользователей (физических и/или юридических лиц) и получения для них в УКЦ цифровых сертификатов.
– ПО ViPNet [Координатор] предназначено для выполнения функций межсетевого экрана и сервера управляющих и почтовых сообщений, через который осуществляется взаимодействие с УКЦ.
– ПО ViPNet [КриптоСервис] , предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью «Домен-К» (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи.

В качестве дополнительного ПО может быть использовано:
– ПО ViPNet [Клиент] [Монитор] — VPN и персональный сетевой экран или ПО ViPNet [Персональный сетевой экран] (сертифицирован ФАПСИ для использования в органах государственной власти) предназначено для персональной сетевой защиты компьютеров и исключения доступа к ключевой информации.
– ПО ViPNet [Клиент] [Деловая почта] — Outlook-подобное приложение, имеющее сертификат Гостехкомиссии по классу 1В и обеспечивающее все задачи, необходимые для делового корпоративного общения, Автопроцессинг файлов для автоматической подписи и доставки файлов, юридически значимые подтверждения о доставке и прочтении документов.

Данное программное обеспечение в защищенном варианте обеспечивает все необходимые механизмы использования ЭЦП с сертификатами X.509, предусмотренные Законом об ЭЦП и международными стандартами.

Алгоритмы для хэширования и подписи реализованы в соответствии со стандартами ГОСТ Р 34.10-94, Р 34.11-94, Р 34.10-2001. Алгоритм шифрования реализован в соответствии со стандартом 28147-89

ПО ViPNet [Удостоверяющий и ключевой центр] (УКЦ)

Программу ViPNet [Удостоверяющий и Ключевой Центр] можно условно разделить на две программы: Ключевой центр и Удостоверяющий центр.
Удостоверяющий центр (УЦ) предназначен для обслуживания следующих запросов: на издание сертификатов ЭЦП, на отзыв, приостановление и возобновления приостановленного действия сертификатов абонентов, сформированных на сетевых узлах или в Центрах Регистрации для внешних пользователей.

Программное обеспечение УЦ обеспечивает следующую функциональность:

1. Генерация секретных и открытых ключей Главных абонентов УЦ, сертификатами которых заверяются сертификаты пользователей. Сертификаты главных абонентов могут быть самоподписанными или заверенными вышестоящим УЦ.
2. Первое издание сертификата подписи абонентов происходит в УЦ вместе с генерацией секретного ключа для него. Дальнейшее переиздание сертификата может происходить как в УЦ одновременно с формированием нового секретного ключа (для задач, требующих централизованной генерации и распределения ключей), так и по запросу пользователя корпоративной сети, сформированного на его сетевом узле.
3. Издание и регистрация сертификатов ЭЦП по запросу абонентов сети. Запрос на сертификат представляет собой шаблон сертификата, содержащий информацию об абоненте, его новый открытый ключ подписи, предполагаемый срок действия сертификата, а также другие параметры, соответствующие стандарту X.509. Запрос может быть зарегистрирован или автоматически или в результате действий администратора УЦ. Запрос может быть отклонен. После заполнения полей сертификата сертификат через Центр управления отправляется к пользователю на компьютер.
4. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП абонентов сети. Эти действия выполняются администратором УЦ. Справочник отозванных сертификатов рассылается абонентам сети.
5. Регистрация справочников сертификатов ЭЦП главных абонентов других УЦ ViPNet. После просмотра сертификатов главных абонентов других УЦ и принятия их производится подпись такого справочника своим главным абонентом (кросс сертификация). Заверенный справочник рассылается по сети в соответствии со связями своих абонентов, и используются при проверке сертификатов ЭЦП абонентов других УЦ, приславших подписанную информацию на какой-либо узел своей сети.
6. Аналогичным образом выполняется импорт, кросс сертификация и рассылка сертификатов УЦ других производителей на основе сертифицированных СКЗИ «КриптоПро» и «Верба-О». Документы, подписанные с использованием указанных СКЗИ, будут проверены только при наличии на компьютере сертификата соответствующего УЦ, заверенного Главным абонентом своего УЦ. По соображениям безопасности УЦ ViPNet требует кросс сертификации даже для сертификатов других УЦ, в цепочке сертификатов которых содержится сертификат, которому доверяет УЦ ViPNet.
7. Регистрация справочников отозванных сертификатов ЭЦП из других УЦ ViPNet. Такие справочники поступают из других сетей автоматически, заверяются главным абонентом и рассылаются по сети в соответствии со связями абонентов сети. Импорт справочников отозванных сертификатов из УЦ других производителей не производится. Доступ к ним осуществляется в процессе проверки подписи по пути, указанному в ЭЦП.
8. Обслуживание запросов внешних пользователей. Внешний пользователь регистрируется на одном из пунктов регистрации Администратором программы ViPNet [Центр Регистрации] (ЦР). Администратор ЦР создает запрос на сертификат ЭЦП для внешнего пользователя и отсылает его в УЦ для издания сертификата. Запрос на сертификат перед отправкой в УЦ подписывается ключом подписи этого Администратора. После введения в действие сертификата внешний пользователь сможет пользоваться им (подписывать документы) на любом узле сети с установленным ПО ViPNet. Администратор ЦР может создавать запросы на отзыв, приостановление действия, возобновление действия приостановленного сертификата ЭЦП внешних пользователей.
9. Издание и регистрация сертификатов ЭЦП для внешних пользователей выполняется только по запросу из Центра регистрации. Запрос может быть зарегистрирован или отклонен. Вторичные запросы на сертификаты, если в них нет изменений, и выдача сертификатов могут обрабатываться и выдаваться автоматически. Сертификаты через ЦУС отправляется в УЦ
10. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП внешних пользователей может происходить по запросу из ЦР, или самим Администратором УЦ без запроса из ЦР. Справочники отозванных сертификатов рассылаются по узлам сети.
11. Просмотр запросов и сертификатов ЭЦП. В программе УЦ возможен просмотр любых запросов, сертификатов, действующих списков отзыва, сохранение их в файл или вывод на печать.
12. Разбор конфликтных ситуаций и экспертизы правомочности и подлинности электронных документов, подписанных ЭЦП, производится в соответствии с Документом «СКЗИ «Домен-К». Порядок разбора конфликтных ситуаций, связанных с применением ЭЦП"
13. Сервисные функции УЦ. УЦ информирует администратора об истечении сроков действия различных сертификатов за заданное число дней до этого срока путем формирования соответствующих списков. Автоматически формирует архивы информации через заданные интервалы времени при наличии изменений, что обеспечивает возможность восстановления актуальной информации. Обеспечивает различные режимы функционирования УЦ.

Ключевой центр (КЦ) обеспечивает защиту инфраструктуры ЭЦП посредством создания системы шифрования информации во всех процедурах управления инфраструктурой ЭЦП на основе симметричной схемы распределения ключей:

– Защита секретных ключей ЭЦП, распределяемых централизовано (персональные ключи связи с УКЦ), – Защита сертификатов главных абонентов сети (персональные ключи связи с УКЦ),
– Защита транспортного уровня системы, обеспечивающего работу процедур запросов и получения сертификатов, доставки других файлов инфраструктуры ЭЦП (ключи связей транспортного уровня).
– Генерацию паролей для защиты секретных ключей от несанкционированного доступа. Тип пароля может быть — случайный (пароль будет создан случайным образом из различных слов, образующих случайную легко запоминаемую фразу), собственный (можно задать по желанию, но не менее 5 символов), случайный цифровой (сформируется случайным образом из различных цифр).
– Формирование других ключей, обеспечивающих обновление симметричной ключевой информации и работу другого ПО ViPNet.

Первоначальный набор симметричных ключей выдается пользователю в составе файла ключевого дистрибутива, зашифрованного на пароле, и который пользователь получает при его первичной регистрации. В состав ключевого дистрибутива входит персональный ключ связи с УКЦ, ключ связи со своим ViPNet-координатором, первичный секретный ключ подписи и сертификат, сертификаты главных абонентов УЦ. Другая ключевая информация поступает на компьютер после инсталляции ПО ViPNet[КриптоСервис] и в процессе обновлений.

Программа может работать на IBM-совместимых компьютерах со следующей рекомендуемой конфигурацией:

– Процессор не ниже Pentium III;
– ОЗУ не менее 128 Мбайт;
– Свободное место на жестком диске не менее 1 Гбайт.
– Операционная система - Windows 98/Me/NT/2000/XP.
– ПО ViPNet [Центр управления сетью]

Программа Центра управления обеспечивает:

– Регистрацию узлов и абонентов корпоративной сети, регистрацию "Центров регистрации" внешних пользователей.
– Взаимодействие с УКЦ и пользователями при управлении сертификатами.
– Формирование защищенных справочников доступа для узлов сети и справочников связей узлов и абонентов для УКЦ при штатной эксплуатации и компрометации ключей абонентов.
– Другие функции.

Взаимодействие абонентов с УКЦ производится только через Центр управления. При этом обе программ могут устанавливаться на один компьютер. Однако для повышения уровня безопасности функционирования УКЦ предусмотрена возможность установки УКЦ и Центра управления на разных компьютерах.

ПО ViPNet [Центр управления сетью] может работать на IBM-совместимых компьютерах (стационарных или переносных) с модемом или сетевой платой со следующей рекомендуемой конфигурацией:

– Процессор — не ниже Pentium III;
– ОЗУ — не мене 128 Мбайт;
– Свободное место на жестком диске — не менее 1 Гбайт;
– Операционная система – Windows 98/Me/NT/2000/XP.

ПО ViPNet [Центр регистрации](ЦР) Программа Центр Регистрации предназначена для регистрации внешних пользователей и получения для них в УКЦ цифровых сертификатов. Право работать в данной программе определяется программой Центра управления путем регистрации узла в задаче ЦР и формирования соответствующего справочника доступа. В системе может присутствовать произвольное количество ЦР.
В Центре Регистрации при предъявлении документов внешним пользователем, подтверждающих его полномочия, создается запрос на сертификат, производится отправка его в УКЦ и осуществляется ввод в действие изданного в УКЦ сертификата. В Центре Сертификации сертификат будет либо удовлетворен, либо отклонен. Только запрос на сертификат со статусом «удовлетворен» становится сертификатом подписи, и этот сертификат может быть введен в действие. После введения в действие сертификата, внешний пользователь сможет пользоваться им (подписывать документы) на любом узле с установленным ПО ViPNet.

Программа выполняет следующие функции:

– Генерация секретного ключа подписи и сохранение его на персональном ключевом носителе внешнего пользователя.
– Ввод персональных данных для сертификата внешнего пользователя.
– Формирование запроса на сертификат.
– Подпись запроса на сертификат ключом действующего администратора ЦР.
– Отправка заверенного запроса в УКЦ (через ЦУС).
– Прием сертификатов из УКЦ (происходит автоматически).
– Просмотр запросов и принятых сертификатов.
– Ввод в действие сертификата (сохранение на персональном ключевом носителе внешнего пользователя).
– Формирование запроса на отзыв сертификата.
– Формирование запроса на приостановление сертификата.
– Формирование запроса на возобновление сертификата.
– Кроме того, программа выполняет экспорт сертификатов в различных кодировках.

Всю процедуру создания запроса на получение сертификата обеспечивает соответствующий мастер.

Секретный ключ внешнего пользователя и его сертификат заносятся на его персональный носитель. Это может быть дискета, E-Token, смарт-карта, Touch memory и другие.
Секретный ключ зашифровывается на пароле, вырабатываемом программой. Тип пароля может быть один из следующих:

– Собственный пароль,
– Случайная легко запоминаемая фраза,
– Собственный цифровой пароль,
– Случайный цифровой пароль.

ПО ViPNet [Центр регистрации] может работать на IBM-совместимых компьютерах (стационарных или переносных) с модемом или сетевой платой со следующей рекомендуемой конфигурацией:

– Процессор — не ниже Pentium III;
– ОЗУ — не менее 128 Мбайт;
– Свободное место на жестком диске — не менее 1 Гбайт;
– Операционная система – Windows 98/Me/NT/2000/XP.

ПО ViPNet [КриптоСервис]

Программа ViPNet [КриптоСервис] обеспечивает необходимую функциональность работы с электронной цифровой подписью (подпись, проверка подписи и т.д.), а также автоматизированное защищенное обновления ключей, справочников и сертификатов электронной цифровой подписи (ЭЦП). При использовании в качестве клиентского программного обеспечения - ПО ViPNet [Клиент] [Монитор] или ПО ViPNet [Клиент] [Деловая почта] установка ПО ViPNet [КриптоСервис] не требуется, так как вся требуемая функциональность содержится в указанных программах.
ПО ViPNet [КриптоСервис] содержит набор функций работы с ЭЦП, необходимых для использования другими приложениями. В качестве приложений, использующих функции ЭЦП, может использоваться «Деловая почта» системы ViPNet, программа Microsoft Outlook, различные WEB - приложения, а также любые другие программы, если в них встроен вызов криптографических функций СКЗИ «Домен-К».

Пользователь сети, используя меню программы, может в любое время создать для себя новый секретный ключ и отправить запрос в УКЦ для получения нового сертификата. Однако пользователь не может изменить поля в запросе, кроме полей сроков действия. Редактирование полей сертификата возможно только в УКЦ.

Пользователь может сменить пароль, защищающий секретные ключи. Задать тип и срок действия пароля. Назначить срок, за который программа должна сообщить ему о приближающемся сроке окончания действия его сертификата и предложить сформировать новый запрос.

ПО ViPNet [КриптоСервис] может работать на IBM-совместимых компьютерах (стационарных или переносных) с модемом или сетевой платой со следующей рекомендуемой конфигурацией:

– Процессор — не ниже Pentium II;
– ОЗУ — не менее 32-64 Мбайт;
– Свободное место на жестком диске — не менее 50 Мбайт;
– Операционная система — Windows 98/Me/NT/2000/XP.

Транспортный уровень системы ViPNet

Транспортный уровень системы ViPNet используется всеми компонентами ПО ViPNet и обеспечивает гарантированную безопасную доставку информации любого типа, в том числе всей информации, необходимой для функционирования инфраструктуры ЭЦП и обновления ключевой информации. Транспортный уровень функционирует автоматически, не требуя внимания пользователя, и использует протокол TCP/IP в качестве протокола сетевого уровня.
Любой клиентский модуль по умолчанию отправляет зашифрованный конверт с информацией на свой ViPNet [Координатор], который в свою очередь отправляет этот конверт на другой ViPNet [Координатор] или клиенту – адресату. Если конверт — многоадресный, то из исходного конверта на Координаторе создается необходимое число конвертов в соответствии с количеством доступных адресов.

При установке соединения с Координатором производится сеанс криптографической аутентификации, и затем отправка и прием имеющихся конвертов по специальному протоколу MFTP. Протокол MFTP обеспечивает сохранение «точки разрыва» при разрыве канала связи, что особенно важно на коммутируемых линиях. Кроме того, протокол MFTP на 20-30% менее избыточен, чем протокол SMTP/POP3. При необходимости можно настроить транспортный модуль для передачи информации напрямую другому узлу по протоколу MFTP или использовать почтовые сервера SMTP/POP3 или использовать сетевые каталоги локальной сети.

ПО ViPNet [Координатор]

Это многофункциональный программный модуль, который обеспечивает следующую функциональность:

– межсетевое экранирование в соответствии с требованиями Гостехкомиссии по 3 классу. За Координатор устанавливается УКЦ и ЦУС.
– выполнение функций почтового сервера для обеспечения безопасного обмена сообщениями инфраструктуры ЭЦП, управляющими сообщениями системы защиты, а также почтовыми сообщениями приложений системы ViPNet, при необходимости:
  – функции NAT (Network address translation) для VPN-соединений из локальной в общественную сеть.   – туннелирование и шифрование трафика компьютеров, установленных за ViPNet [Координатор] и взаимодействующих с компьютерами за другими ViPNet [Координаторами] или с установленным ПО ViPNet [Клиент].

Программа ViPNet [Координатор] может работать на IBM-совместимых компьютерах с требуемым числом сетевых интерфейсов (Ethernet (10/100 Мбит, оптика), ISDN, Dial Up и другие сетевые адаптеры, поддерживающие протокол IP) со следующей рекомендуемой конфигурацией:

– Процессор не ниже Pentium III;
ОЗУ не менее 128 Мбайт;
Свободное место на жестком диске не менее 1 Гбайт.
Программа работает под управлением операционных системы WINDOWS (/NT/2000/XP), Linux.

Обеспечение безопасности функционирования инфраструктуры ЭЦП в корпоративных сетях

Требуемый уровень безопасности (класс 1 В) обеспечивается использованием программного обеспечения технологии ViPNet, сертифицированного по указанному классу, а также по другим требованиям безопасности Гостехкомиссии и ФАПСИ.

К основным техническим мерам, которые гарантируют высокий уровень безопасности использования инфраструктуры ЭЦП, можно отнести следующие:

1. Весь информационный обмен, связанный с обеспечением работы инфраструктуры ЭЦП (получение сертификатов, их отзыв, приостановление, возобновление, получение и обновление справочников отозванных сертификатов, справочников сертификатов Главных абонентов сети и др.), производится в зашифрованном виде, что исключает любые стратегии модификации, подмены, навязывания ложной информации, несанкционированного доступа к передаваемой информации.
2. Весь служебный информационный обмен по ЭЦП обеспечивается специализированным защищенным транспортным модулем MFTP, входящим в состав сертифицированного продукта и использующим протокол сетевого уровня TCP по портам 5000, 5001, 5002, что позволяет путем настроек для пропуска этого протокола на межсетевых экранах исключить возможные сетевые атаки через стандартные протоколы.
3. Программное обеспечение ViPNet на клиентских станциях обеспечивает криптографический контроль целостности справочников сертификатов Главных абонентов УКЦ, что гарантирует их защиту от подмены. Все другие справочники защищены от подмены криптографическими контрольными суммами и подписью УКЦ.
4. УКЦ ViPNet производит кросс сертификацию сертификатов других удостоверяющих центров, что позволяет центральной администрации контролировать надежность других удостоверяющих центров. Подпись лица, которому сертификат выдан другим удостоверяющим центром, признается действительной, только в случае наличия на компьютере заверенного своим УКЦ сертификата этого другого удостоверяющего центра, выдавшего сертификат данному лицу.
5. Межсетевой экран ViPNet [Координатор], защищающий УКЦ, совмещен с сервером транспортного модуля MFTP. Сетевые узлы имеют возможность взаимодействовать только с координатором и не имеют возможности прямого взаимодействия с УКЦ и Центром управления, что позволяет на межсетевом экране пресечь любые сетевые атаки даже со стороны зарегистрированных пользователей.
6. Если на клиентские компьютеры возможны сетевые атаки, то для защиты криптографических модулей и ключей ЭЦП на них целесообразна установка модуля ViPNet [Клиент] или его составляющей ViPNet [Персональный сетевой экран], сертифицированной ФАПСИ для использования в органах государственной власти. Модуль ViPNet [Клиент] дополнительно к персональному сетевому экрану создает зашифрованный туннель до ViPNet [Координатора], блокируя при этом любой открытый трафик, что полностью исключает любые сетевые атаки на компьютер пользователя.

Масштабируемость решения

Центр управления и УКЦ ViPNet могут обеспечить автоматическое защищенное взаимодействие более чем с 65 000 сетевыми узлами. При этом в одном УКЦ может быть зарегистрировано более чем 65 000 абонентов сети для выдачи им сертификатов.

При этом, работа ведомственных УЦ сертифицируется Корневым Удостоверяющим центром. При необходимости легко могут быть созданы подведомственные Центры управления и УКЦ (Корпоративные УЦ) с делегированием им прав по выдаче сертификатов и автоматическим взаимодействием между собой.

        Телефония

  Интернет

  Защита информации

       ViPNet [Custom]

       Компоненты ViPNet

       Домен К

       Удостоверяющий центр

    

© 2004 - 2017 Широкополосные сети
2-067-928, 2-067-909, 2-067-937 office@infotecsrt.ru