Практика использования электронной цифровой подписи.Основные принципы обеспечения информационной безопасности с использованием инфраструктуры открытых. - презентация

1 Практика использования электронной цифровой подписи.Основные принципы обеспечения информационной безопасности с использованием инфраструктуры открытых ключей. Архитектура удостоверяющего центра на базе Крипто-Про CSP. Использование ЭЦП для организации защищенного электронного документооборота. Курепкин И.А., Южанин Н.С., Ротков Л.Ю., Соганов С.В

2 Цели криптографической защиты Аутентификация пользователей Авторизация доступа к ресурсам Конфиденциальность информации Целостность информации Невозможность отказа от совершенных действий

3 с одноразовым или бесконечным ключом (infinite- key cipher) Классификация алгоритмов шифрования Симметричные (с секретным, единым ключом, одноключевые, single-key). с конечным ключом (система Вернама – Vernam) Потоковые на основе генератора псевдослучайных чисел (ПСЧ) Блочные Шифры перестановки (permutation, P-блоки) Шифры замены (подстановки, substitution, S-блоки) составные (ГОСТ , DES, IDEA, RC5, B-Crypt и др.) Асимметричные (с открытым ключом, public-key) Диффи-Хеллман DH (Diffie, Hellman) Райвест-Шамир-Адлeман RSA (Rivest, Shamir, Adleman) Эль-Гамаль ElGamal

4 S Процедура создания ЭЦП сообщения ЭЦП « дайджест » документа (хэш- функция), однозначно идентифицирует содержимое документа автор документа шифрует дайджест своим персональным закрытым ключом - Z

5 Сертификат открытого ключа RFC 2459, X.509 Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING } TBSCertificate ::= SEQUENCE { version [0] EXPLICIT Version DEFAULT v1, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL -- If present, version shall be v3 } Сертификат представляет собой документ, подтверждающий принадлежность открытого ключа и дополнительных атрибутов владельцу сертификата, выданный и заверенный Удостоверяющим Центром. Версия: 3 Имя Пользователя: C=RU, org=ACME, cn=UserName Имя Издателя: C=RU, org=ACME, cn=CA Номер Сертификата: # Алгоритм ЭЦП: GOST R / R ( ) Открытый ключ пользователя Алгоритм ключа: GOST R ( ) Значение ключа: Сертификат действует с: :00:00 Сертификат действует до: :59.59 Дополнительная информация (X.509 v3 Extensions) Регламент использования сертификата: Корпорация ACME Секретный ключ действует с: :59.59 Секретный ключ действует до: :59.59 Область применения ключа: Защита почты ( ) Область применения ключа: Аутентификация клиента ( ) Атрибуты пользователя: IP, DNS, URI, RFC822, Адрес, Подпись Центра Сертификации: Алгоритм: GOST R / R ( ) Значение:

6 Инфраструктура PKI Позволяет реализовать: Защищенная электронная почта: Проверка подлинности ЭЦП с помощью открытого ключа отправителя заверенного сертификатом УЦ Проверка целостности ЭлД с помощью открытого ключа отправителя заверенного сертификатом УЦ Шифрование ЭлД открытым ключом получателя заверенным сертификатом УЦ Защита соединений в Интернете: Проверка подлинности сервера по сертификату заверенному доверенным УЦ Проверка подлинности клиента по сертификату заверенному доверенным УЦ Выработка общего секретного ключа сессии с помощью открытых ключей сервера и клиента заверенных сертификатом доверенного УЦ Контроль ПО (Authenticode) Проверка подлинности ПО с по мощью открытого ключа фирмы-производителя заверенного сертификатом УЦ Проверка целостности ПО с по мощью открытого ключа фирмы-производителя заверенного сертификатом УЦ

7 Проверка сертификата Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты

8 Службы Структура удостоверяющего центра Центр Сертификации Центр Регистрации Абоненты Служба резервного копирования Служба администрирования ЦС и ЦР Служба бесперебойного питания Обслуживающий персонал и прочие службы

9 Службы сертификации Microsoft Центр сертификации (Certification Authority) –Выдача сертификатов клиентам Генерация ключей, если нужно –Отзыв сертификатов Публикация списка отзыва сертификатов (Certificate Revocation List) –Хранение истории всех выданных сертификатов Web-сервис (Web Enrollment Support) –Запрос и получение сертификата через Web-интерфейс Отсутствие реализации отечественных криптоалгоритмов Отсутствие аутентификации пользователя при доступе к центру сертификации Трудности масштабируемости

10 СКЗИ CryptoPro CSP Позволяет использовать стандартные приложения фирмы Microsoft с надежной российской криптографией Позволяет создавать новые, надежно защищенные приложения с использованием инструментария разработки фирмы Microsoft Microsoft Certification Authority Microsoft OutlookMicrosoft Outlook ExpressMicrosoft AuthenticodeTLS/SSL для Internet ExplorerCryptoAPI 2.0CAPICOM 1.0

11 Архитектура криптографических функций Windows COM интерфейсы Certificate Services CAPICOM 1.0 Certificate Enrollment Control Smart Card Enrollment Control Интерфейс CryptoAPI 2.0 Приложения Certification Authority Outlook ExpressOutlook Authenticode Internet ExplorerIIS

12 Цели интерфейса CryptoAPI Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные. Единый интерфейс доступа к криптографическим функциям генерации ключей, формирования/проверки электронной цифровой подписи, шифрования/расшифрования данных. Не требуется детального изучения особенностей реализации того или иного алгоритма или изменения кода в зависимости от алгоритма.

13 Сертификат Х.509 CRL Х.509 Запрос на сертификат PKCS#10 Криптографические сообщения PKCS#7 Интерфейс CryptoAPI 2.0 Низкоуровневые функции обработки криптографических сообщений Low Level Message Functions Базовые функции Base Cryptography Functions Функции кодирования декодирования CryptEncodeObject CryptDecodeObject Функции работы со справочниками сертификатов Certificate Store Высокоуровневые функции обработки криптографических сообщений Simplified Message Functions Cryptographic Service Providers

14 Crypto-Pro Cryptographic Service Provider Cryptographic Service Providers Gemplus GemSAFE Card CSP v1.0 Microsoft Base DSS and Diffie-Hellman Cryptographic Provider Microsoft Base DSS Cryptographic ProviderMicrosoft Strong Cryptographic Provider Microsoft Enhanced Cryptographic Provider v1.0 Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider Microsoft Base Cryptographic Provider v1.0 Crypto-Pro GOST R Cryptographic Service Provider

15 КриптоПро CSP Операционные системы: Windows 95, Windows 95 OSR2, Windows 98, Windows 98 SE, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Whistler (beta 2). КриптоПро CSP реализует российские криптографические алгоритмы и разработано в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP). Сертификаты ФАПСИ: СФ/ от 11 марта 2001 г. СФ/ от 20 апреля 2001 г.

16 Основные функции Генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования; Возможность генерации ключей с различными параметрами в соответствии с ГОСТ Р ("Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма."); Хэширование данных в соответствии с ГОСТ Р ("Информационная технология. Криптографическая защита информации. Функция хэширования.");· Формирование электронной цифровой подписи в соответствии с ГОСТ Р (ГОСТ Р ); Шифрование данных во всех режимах, определенных ГОСТ ("Системы обработки информации. Защита криптографическая."); Имитозащита данных в соответствии с ГОСТ ; Использование пароля (пин-кода) для дополнительной защиты ключевой информации.

17 Ключевые носители дискета 3,5"; российские интеллектуальные карты (РИК) и процессорные карты MPCOS-EMV; таблетки Touch-Memory DS DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS; реестр Windows; USB ключ eToken. Реализация СКЗИ КриптоПро CSP может функционировать в двух режимах: в памяти приложения. в Службе хранения ключей, которая реализована в виде системного сервиса Windows.

18 Удостоверяющий Центр База - сервис сертификации Microsoft Основные функции: -Регистрация пользователей -Изготовление сертификатов открытых ключей -Ведение реестра сертификатов открытых ключей -Управление сертификатами открытых ключей -Предоставление владельцам сертификатов функций генерации ключей и управления личными сертификатами Обеспечивает: -Централизованное управление ключевой информацией -Распределенное управление ключевой информацией -Печать сертификатов на бумажных бланках

19 Архитектура УЦ

20 АРМ Администратора Основные функции: Регистрация пользователей Мониторинг информации, связанной с обращением сертификатов Выполнение регламентных процедур, связанных с отзывом сертификатов и публикацией списка отозванных сертификатов Аудит работы Центра Регистрации

21 Регистрация пользователей

22 Электронная почта MS Outlook (98, 2000, ХP) MS Outlook Express The BAT!

23 Контроль ПО (Authenticode).EXE.CAB.CAT.OCX.DLL.STL Сертификат Х.509 SignCode.EXE

24 Защита соединений в Интернете TLS 1.0 Аутентификация и защита трафика Internet Explorer - IIS Разграничение доступа к ресурсам сервера на основе данных аутентификации Сертификаты X.509 Аутентификация ГОСТ Р Шифрование ГОСТ Имитозащита ГОСТ Веб сервер Удостоверяющий Центр

25 Приложения CryptoAPI 2.0 КриптоПро CSP CAPICOM 1.0

26 Интеграция российских алгоритмов Интеграция российских криптографических средств с RSA Keon Интеграция на платформе Windows 2000 Официальная бета-версия для Windows 2000 Локализация версии для Windows 2000 Подготовка версии для платформы Sun Solaris

27 Использование КриптоПРО CSP в Outlook Express

28 Иерархия Удостоверяющих Центров НТЦ «Атлас» Подчиненный УЦ Нижний Новгород Москва Учебный УЦ ЦеБИСК ННГУ Корневой УЦ

29 Получение служебного сертификата Центр Сертификации Центр Регистрации SOAP TLS 1.0 Программный интерфейс ( SOAP, TLS 1.0) Администратор Пользователь Заявка на регистрацию Регистрация пользователя Служебный сертификат пользователя и сертификат УЦ Запрос на служебный сертификат Служебный сертификат

30 Получение рабочего сертификата Центр Сертификации Центр Регистрации SOAP TLS 1.0 Программный интерфейс ( SOAP, TLS 1.0) Администратор HTTP/S TLS 1.0 Пользователь Запрос на рабочий сертификат Рабочий сертификат

31 Конец презентации