Технические решения и перспективные проекты на инфраструктуре открытых ключей Набор взаимосвязанных программных (аппаратных) компонент. Позволяет обеспечить: защиту передаваемой по сети информации, в том числе и ЭЦП строгую взаимную аутентификацию пользователей и серверов гибкое разграничение доступа. Это реализуется использованием универсальных, ставшими стандартом де-факто, механизмов: TLS протоколов цифровых сертификатов (X.509) Инфраструктура Открытых Ключей (PKI) Легко обеспечиваются требования по информационной безопасности, предъявляемые различными прикладными системами: платежные системы, интернет-магазины, многопрофильные корпоративные Веб сервера, В2В системы, системы защищенного документооборота, и многие другие. реализуются защитные функции с помощью специального Модуля разграничения доступа для наиболее распространенного HTTP сервера Apache.
Структурная схема компонент абстрактной PKI системы
Удостоверяющий Центр сертификатов ключей подписи. УЦ построен по модульному принципу и содержит в своем составе следующие компоненты (подсистемы): Служба Реестра (Служба технологического Реестр) - сетевой справочник пользователей системы. Модуль Управления УЦ: –Центр(ы) регистрации (ЦР) –Центр сертификации (ЦС) –Центр арбитража (ЦА) Абонентский пункт (АП) Службы «Электронного нотариата». Взаимодействие компонент с криптографическими модулями (криптографические токены) осуществляется по индустриальному стандарту PKCS#11
Служба Реестра. Обеспечивает поддержку публикации (свободного доступа) и сопровождение актуального хранилища электронных сертификатов (ЭС) и списка отозванных сертификатов (СОС) созданных в рамках данного УЦ. Центр(ы) регистрации. Обеспечивает принятие, предварительную обработку внешних запросов на создание сертификатов, на изменение статуса уже действующих сертификатов. Центр сертификации. Выполняет обработку запросов с Центров Регистрации на создание ключей и сертификатов, управление статусом уже выпущенных ЭС, обеспечивает ведение базы заверенных «историй» по событиям в УЦ. Центр арбитража. Выполняет обработку запросов с АП на разбор конфликтных ситуаций. Обеспечивает ведение базы по «историям» разбора конфликтов.
Удостоверяющий Центр сертификатов ключей подписи Криптографические преобразования информации выполняются на сертифицированных ФАПСИ/ФСБ средствах криптографической защиты информации (СКЗИ) обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну. Сертификат ключа подписи содержит сведения, указанные в ФЗ«Об ЭЦП» и в случае необходимости, в состав сертификата ключа подписи могут быть добавлены иные сведения производственного характера, подтверждаемые соответствующими документами. Циркуляция информации между компонентами Модуля Управления УЦ осуществляется заверенными запросами в формате CMC (RFC 2797). Прикладные протоколы управления компонентами УЦ с АП Администраторов взаимодействия с пользователями туннелируются в криптографический протокол TLS (RFC 2246) с учетом отечественных криптографических алгоритмов. Взаимодействие компонент с СУБД осуществляется средствами ODBC, что позволяет использовать базу в сетевом режиме и фактически любого производителя.
Основные отличительные черты технического решения – Удостоверяющий центр сертификатов ключей подписи Платформа: Unix (Linux, FreeBSD) – для масштабируемых больших систем, рассчитанных на круглосуточный режим работы, поддерживается работа с несколькими Центрами Регистрации. Поддерживает одновременную работу неопределенно большого числа Уполномоченных лиц с произвольным уровнем подчиненности. Собственная служба времени (протокол NTP) – синхронизация компонент УЦ и пользователей, возможна работа с внешним эталоном времени. Поддержка кросс - связей позволяет строить помимо простых (иерархических или браузерных) еще и сетевые (с поддержкой «моста доверия») схемы распространения доверительных отношений. Поддержка deltaCRL (обновлений к регулярным спискам) - что позволяет использовать УЦ в системах приближенных к системам реального времени. Доступ к опубликованным спискам может быть осуществлен как напрямую через сетевой справочник (LDAP), так и через указание в расширениях сертификата (CRLDistributionPoint и FreshestCRL) для протокола http. Форматы/кодировки представления сертификатов и ключей: DER, PEM, PKCS#7B, PKCS#11 Object, PKCS#12. Решена «коллизия имен» (проблема «однофамильцев») – по RFC 3039 (3.1.2) в состав сертификата введен серийный номер (serialNumber) различимого имени владельца сертификата.RFC 3039 Хранимые «истории» заверенных событий в УЦ как по созданию сертификатов, так и по изменению их статуса – легко решаются задачи аудита. Использование мандатной модели доступа (сертификаты администраторов содержат специальные мандатные метки, характеризующие роль и уровень принятия решения) – построение иерархии принятия решения при управлении УЦ. Криптографические преобразование выполняют программные криптографические PKCS#11 токены, основанные на сертифицированной ФАПСИ/ФСБ ПБЗИ «Крипто-Си».
Стресс тесты УЦ и Службы «Электронного Нотариата» Поточное тестирование – способность комплекса обрабатывать большие группы запросов, идущие с постоянной интенсивностью, выявление усредненных временных характеристик. На оборудовании стенда было выпущено, размещено в Реестре и хранилищах компонент УЦ более сертификатов. Параллельное тестирование - оценить производительность комплекса при различных нагрузках вплоть до пиковых. Тест представляет собой серию из 100 групп тестов. Группа – инкрементируемое, начиная от 1 с шагом 5 число порожденных процессов. Статус OK – запросы отработаны в режиме On-line. Статус Waiting – запросы приняты к обработке УЦ и размещены в очереди. Статус Err – запросы не приняты к обработке УЦ (TLS, СУБД)
Загрузка аппаратных платформ Процессор Память Состав стенда: 5 виртуальных машин на одной (Intel(R) Celeron(R) CPU 2.40GHz)
Организационная структура Удостоверяющего центра.
Модуль разграничения доступа к HTTP контенту. Модуль выполнен как два дополнительных внешних модуля к популярному HTTP серверу Apache. Обеспечивает работу по протоколу TLS разграничение сетевого доступа к элементам контента осуществляется на основе параметров персональных X.509 сертификатов. Признаками разграничения (помимо штатных средств сервера Apache) доступа выступают: –Наличие или отсутствие сертификата открытого ключа субъекта доступа. –Наличие или отсутствие в сертификате открытого ключа субъекта доступа специальных мандатных меток (включая их уровень), определяющих тот или иной корневой каталог документов сервера. –Наличие или отсутствие в сертификате открытого ключа субъекта специальных расширений, описывающих политику использования сертификата, и определяющих доступ к разделам защищенного ресурса внутри выбранного корневого каталога документов. Совокупность идентификатора метки, ее уровня и указания политики использования позволяют описать фактически любую модель разграничения доступа.
Абонентский пункт и утилиты командной строки Абонентский Пункт: –Оснащение абонентских Пунктов Администраторов УЦ. –Поддержка стратегии «Token only» компании «Аладдин Р.Д.», eToken PRO cert (Сертификат 925 Государственной Технической Комиммии РФ). –Использование в качестве клиентского ПО. –Использование в качестве интегрируемой компоненты в системы защищенного электронного документооборота. Утилиты командной строки: –ПО обеспечение на стороне PKI клиента. –Фрагменты скриптов на стороне прикладных серверов.
«Электронный нотариат» включает несколько служб: Служба проверки и сертификации информации (по RFC Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (DVCS).) Служба проверки сертификатов (по RFC Online Certificate Status Protocol - OCSP). Служба выработки штампа времени (по RFC Time-Stamp Protocol (TSP))
Служба «Электронного нотариата» это: Создание единого домена защищенного электронного документооборота, в том числе построенном на несовместимых между собой СКЗИ, включая и RSA. Получение штампа «истинного времени» (Time Stamping), фиксирует факт наличия действительной ЭЦП на конкретный момент времени. Длительное архивное хранение электронных документов. Наличие DVC квитанций по проверке ЭЦП позволяет делать выводы о действительности ЭЦП уже после истечения времени действительности сертификата. Существуют механизмы пролонгации квитанций (выпуск квитанции на квитанцию). Проверка действительности цифрового сертификата существенно упрощает автоматизированную систему, в которой циркулируют заверенные электронные документы. Прикладные компоненты «перекладывают» функцию проверки на службу «Электронного нотариата». Подтверждение факта обладания некой информацией без ее опубликования. Данное свойство может быть использовано, например, АС проведения различных тендеров и закупок.
Следует ли нагружать сертификат открытого ключа персональной информацией? ??? Персональная информация чаще меняется чем Ф.И.О. Следовательно запускается механизм отзыва с последующим выпуском нового сертификата. ??? Организационная граница «Отдел кадров» - «Отдел режима». ??? Персональная информация станет общедоступной через Реестр УЦ. Основное логическое отличие: сертификат открытого ключа - это "электронный паспорт" длительного использования, связывающий персону и открытый ключ, а Атрибутный Сертификат - "электронный пропуск" с указанием достоверной информации (возможно короткоживущей, исчисляемой часами) требуемой для данного вида "пропуска", и назначение которого не проведение идентификационных процедур, а источник дополнительной информации об уже идентифицированном субъекте.
Структура PKI системы с использованием сервера атрибутных сертификатов (AA) Привязка внешне изданных сертификатов к специальным атрибутным сертификатам (АС), содержащим узкопрофильную информацию о пользователе. АС могут быть использованы в прикладной системе как источник дополнительной информации о пользователе и его привилегиях.
Области использования. Различными службами безопасности по разграничению доступа к ресурсам, определения уровня привилегий, эталонным источником персональной информации о субъекте для прикладного уровня и т.п. В данном контексте сертификат открытого ключа обеспечивает идентификацию субъекта, а связанный с ним АС определяет роль субъекта на прикладном уровне. –Например, в банковской системе, где сертификат открытого ключа выпущен не в УЦ банка (банк может даже и не иметь собственного УЦ), а АС содержит атрибуты счета клиента и связан с внешне изданным сертификатом открытого ключа. Для клиент-серверных решений АС могут использоваться и для субъекта и для объекта доступа. Использование АС существенно удешевляет обслуживание корпоративных ИОК - нет необходимости в содержании организационно-технической структуры определенной ФЗ "Об ЭЦП". Достаточно воспользоваться сертификатом открытого ключа, полученного в профилирующих публичных, ведомственных или иных УЦ, к которым существует доверие, и связать его с локально выпущенным АС.
Защищенный электронный документооборот. Интеграция Абонентского Пункта в промышленное решение «ДокМенеджер», компании «СофтИнтегро». Взаимодействие осуществляется через COM интерфейс к зарегистрированным в ОС Windows объектам Абонентского Пункта. Решение позволяет использовать современные технологии инфраструктуры открытых ключей для обеспечения дополнительной безопасности и подтверждения достоверности обрабатываемой в системе информации, как содержащейся в теле документа, так и сопутствующей документу, например: текст задания, назначаемого по документу (резолюции руководителя); отчет об исполнении задания, пересылаемый исполнителем контролеру; замечания, внесенные в процессе согласования/визирования организационно-распорядительных документов и пр. В последующем подпись пользователя доступна для просмотра и проверки любым другим участником документооборота.
Вопросы ?... ООО «Топ Кросс», г. Москва. WWW: Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты службы «Электронного нотариата», Клиентское ПО. ООО «КриптоЭкс», г. Москва WWW: Сертифицированное ФАПСИ/ФСБ Программная библиотека защиты информации (ПБЗИ) «Крипто-Си». ЗАО «Софтинтегро», г. Москва WWW: Система электронного документооборота - "ДокМенеджер" Используемые решения: © 2005 LLC Top CrossLLC Top Cross All Rights Reserved