Слайд 1 - ООО Топ Кросс

Технические решения и
перспективные проекты
на инфраструктуре открытых ключей
Инфраструктура
Открытых
Ключей
(PKI)
реализуются защитные функции
с помощью специального
Модуля разграничения
доступа для наиболее
распространенного HTTP
сервера Apache.
Набор взаимосвязанных программных
(аппаратных) компонент.
Позволяет обеспечить:
• защиту передаваемой по сети
информации, в том числе и ЭЦП
• строгую взаимную аутентификацию
пользователей и серверов
• гибкое разграничение доступа.
Это реализуется использованием
универсальных, ставшими
стандартом де-факто, механизмов:
• TLS протоколов
• цифровых сертификатов (X.509)
Легко обеспечиваются требования по информационной безопасности,
предъявляемые различными прикладными системами: платежные
системы, интернет-магазины, многопрофильные корпоративные Веб
сервера, В2В системы, системы защищенного документооборота, и
многие другие.
Структурная схема компонент абстрактной PKI системы
Удостоверяющий Центр
сертификатов ключей
подписи
Сертификат
ключа подписи
- DVCS (по RFC 3029)
- OCSP (по RFC 2560)
- TSP (по RFC 3161)
Служба
«Электронного
нотариата»
Квитанция
«Электронного нотариуса»
Абонентский Пункт
или утилита
командной строки
Интернет
Приложения пользователей
взаимодействующих с
ресурсом по защищенному
протоколу TLS,
формирование защищенного
ЭЦП электронных
документов
Атрибутный
сертификат
Сервер
атрибутных
сертификатов.
по RFC 3281
Абстрактные HTTP
ресурсы
с ограниченным
доступом или строгой
аутентификацией на
основе цифровых
сертификатов.
Конфиденциальная
информация о
субъекте может быть
получена из
атрибутного
сертификата
однозначно
связанного с
цифровым
сертификатом
Модуль разграничения
доступа для протокола
HTTP на технологии
ИОК
CallBack к Модулю
сервера Apache
Удостоверяющий Центр сертификатов ключей подписи.
УЦ построен по модульному
принципу и содержит в своем
составе следующие
компоненты (подсистемы):
Служба Реестра (Служба
технологического Реестр) сетевой справочник
пользователей системы.
• Модуль Управления УЦ:
– Центр(ы) регистрации (ЦР)
– Центр сертификации (ЦС)
– Центр арбитража (ЦА)
Абонентский пункт (АП)
• Службы «Электронного
нотариата».
Взаимодействие компонент с
криптографическими модулями
(криптографические токены)
осуществляется по
индустриальному стандарту
PKCS#11
Удостоверяющий Центр сертификатов ключей подписи
•
Криптографические преобразования информации выполняются на
сертифицированных ФАПСИ/ФСБ средствах криптографической
защиты информации (СКЗИ) обрабатывающих информацию, не
содержащую сведений, составляющих государственную тайну.
•
Сертификат ключа подписи содержит сведения, указанные в ФЗ«Об
ЭЦП» и в случае необходимости, в состав сертификата ключа подписи
могут быть добавлены иные сведения производственного характера,
подтверждаемые соответствующими документами.
•
Циркуляция информации между компонентами Модуля Управления УЦ
осуществляется заверенными запросами в формате CMC (RFC 2797).
•
Прикладные протоколы управления компонентами УЦ с АП
Администраторов взаимодействия с пользователями туннелируются в
криптографический протокол TLS (RFC 2246) с учетом отечественных
криптографических алгоритмов.
•
Взаимодействие компонент с СУБД осуществляется средствами ODBC,
что позволяет использовать базу в сетевом режиме и фактически
любого производителя.
Основные отличительные черты технического решения –
Удостоверяющий центр сертификатов ключей подписи
•
•
•
•
•
•
•
•
•
•
•
Платформа: Unix (Linux, FreeBSD) – для масштабируемых больших систем,
рассчитанных на круглосуточный режим работы, поддерживается работа с несколькими
Центрами Регистрации.
Поддерживает одновременную работу неопределенно большого числа Уполномоченных
лиц с произвольным уровнем подчиненности.
Собственная служба времени (протокол NTP) – синхронизация компонент УЦ и
пользователей, возможна работа с внешним эталоном времени.
Поддержка кросс - связей позволяет строить помимо простых (иерархических или
браузерных) еще и сетевые (с поддержкой «моста доверия») схемы распространения
доверительных отношений.
Поддержка deltaCRL (обновлений к регулярным спискам) - что позволяет использовать
УЦ в системах приближенных к системам реального времени.
Доступ к опубликованным спискам может быть осуществлен как напрямую через сетевой
справочник (LDAP), так и через указание в расширениях сертификата
(CRLDistributionPoint и FreshestCRL) для протокола http.
Форматы/кодировки представления сертификатов и ключей: DER, PEM, PKCS#7B,
PKCS#11 Object, PKCS#12.
Решена «коллизия имен» (проблема «однофамильцев») – по RFC 3039 (3.1.2) в состав
сертификата введен серийный номер (serialNumber) различимого имени владельца
сертификата.
Хранимые «истории» заверенных событий в УЦ как по созданию сертификатов, так и по
изменению их статуса – легко решаются задачи аудита.
Использование мандатной модели доступа (сертификаты администраторов содержат
специальные мандатные метки, характеризующие роль и уровень принятия решения) –
построение иерархии принятия решения при управлении УЦ.
Криптографические преобразование выполняют программные криптографические
PKCS#11 токены, основанные на сертифицированной ФАПСИ/ФСБ ПБЗИ «Крипто-Си».
Стресс тесты УЦ и Службы «Электронного Нотариата»
• Поточное тестирование –
способность комплекса
обрабатывать большие группы
запросов, идущие с постоянной
интенсивностью, выявление
усредненных временных
характеристик. На оборудовании
стенда было выпущено,
размещено в Реестре и
хранилищах компонент УЦ более
300’000 сертификатов.
• Параллельное тестирование оценить производительность
комплекса при различных
нагрузках вплоть до пиковых. Тест
представляет собой серию из 100
групп тестов. Группа –
инкрементируемое, начиная от 1 с
шагом 5 число порожденных
процессов.
• Статус OK – запросы отработаны в режиме On-line.
• Статус Waiting – запросы приняты к обработке УЦ и размещены в очереди.
• Статус Err – запросы не приняты к обработке УЦ (TLS, СУБД)
Загрузка аппаратных платформ
Состав стенда: 5 виртуальных машин на одной (Intel(R) Celeron(R) CPU 2.40GHz)
Память
Процессор
Организационная структура Удостоверяющего центра.
Абонентский пункт и утилиты командной строки
•
Абонентский Пункт:
–
–
–
–
•
Оснащение абонентских
Пунктов
Администраторов УЦ.
Поддержка стратегии
«Token only» компании
«Аладдин Р.Д.», eToken
PRO cert (Сертификат
№925 Государственной
Технической Комиммии
РФ).
Использование в
качестве клиентского ПО.
Использование в
качестве интегрируемой
компоненты в системы
защищенного
электронного
документооборота.
Утилиты командной
строки:
–
–
ПО обеспечение на
стороне PKI клиента.
Фрагменты скриптов на
стороне прикладных
серверов.
PKCS#11 интерфейс:
Множественность криптоядер с единым интерфейсом PKCS#11:
Аппаратные токены (ruToken, eToken, iKey), Программные токены.
ЗАПРОСЫ в УЦ:
1. Запросы на создание сертификатов
(PKCS#10, CRMF – с генерацией ключей средствами УЦ).
2. Заверенные CMC запросы управления статусом ЭС:
Приостановление-Отзыв-Восстановление.
Защищенный транспортный протокол (TLS):
1. Локальный SOCKS proxy – Туннелирование в TLS любых
прикладных протоколов из стека TCP.
2. Интеграция с подключенными токенами (выполнение
криптопроцедур, хранилище сертификатов).
Заверенные электронные документы:
1. Работа с локальными и сетевыми документами
(выработка/проверка ЭЦП).
2. Ввод в ЭЦП дополнительных расширений (виза, время.. )
3. Визуализация и печать формуляра ЭЦП –
перевод электронного документа в «бумажный» вид.
COM-технология:
- Plug-in к MS Word и Excel
- Подпись/проверка ЭЦП на HTML формах, организация
передачи на сервер заверенных документов.
- Интеграция с системами электронного документооборота
сторонних производителей.
Абонент
ский
Пункт
«Электронный нотариат»
включает несколько служб:
Запрос:
1. Удостоверение обладания информацией с или без ее
представления сервису.
2. Проверка действительности ЭЦП на конкретный момент
времени.
3. Проверка действительности сертификата открытого ключа.
4. На квитанцию «штампа времени».
Удостоверяющий
Центр
сертификатов
ключей подписи
Интернет
Служба
«Электронного
нотариата»
Сертификат
ключа подписи
Абонентский Пункт
или утилита
командной строки
Приложения пользователей
взаимодействующих с
ресурсом по защищенному
протоколу TLS,
формирование защищенного
ЭЦП электронных
документов
•
•
•
Компоненты прикладной
автоматизированной
системы могут
автоматически
формировать заявки и
получать DVC, OCSP, TSP
квитанции используя
утилиту командной строки
DVC, OCSP, TSP
Квитанции
Могут быть
использованы
приложением.
Квитанция содержит:
1. Результат проверки.
2. Метка времени.
3. ЭЦП Службы.
Прикладная система
Служба проверки и сертификации информации (по RFC 3029. Internet X.509 Public Key
Infrastructure Data Validation and Certification Server Protocols (DVCS).)
Служба проверки сертификатов (по RFC 2560. Online Certificate Status Protocol - OCSP).
Служба выработки штампа времени (по RFC 3161. Time-Stamp Protocol (TSP))
Служба «Электронного нотариата» это:
•Создание единого домена защищенного электронного
документооборота, в том числе построенном на несовместимых
между собой СКЗИ, включая и RSA.
Служба
«Электронного
нотариата»
•Получение штампа «истинного времени» (Time Stamping),
фиксирует факт наличия действительной ЭЦП на конкретный
момент времени.
•Длительное архивное хранение электронных документов.
Наличие DVC квитанций по проверке ЭЦП позволяет делать
выводы о действительности ЭЦП уже после истечения времени
действительности сертификата. Существуют механизмы
пролонгации квитанций (выпуск квитанции на квитанцию).
•Проверка действительности цифрового сертификата
существенно упрощает автоматизированную систему, в которой
циркулируют заверенные электронные документы. Прикладные
компоненты «перекладывают» функцию проверки на службу
«Электронного нотариата».
• Подтверждение факта обладания некой информацией без
ее опубликования. Данное свойство может быть использовано,
например, АС проведения различных тендеров и закупок.
Следует ли нагружать сертификат открытого ключа
персональной информацией?
??? Персональная информация чаще меняется чем Ф.И.О.
Следовательно запускается механизм отзыва с
последующим выпуском нового сертификата.
??? Организационная граница «Отдел кадров» - «Отдел
режима».
??? Персональная информация станет общедоступной
через Реестр УЦ.
Основное логическое отличие: сертификат открытого ключа - это
"электронный паспорт" длительного использования, связывающий
персону и открытый ключ, а Атрибутный Сертификат - "электронный
пропуск" с указанием достоверной информации (возможно
короткоживущей, исчисляемой часами) требуемой для данного вида
"пропуска", и назначение которого не проведение идентификационных
процедур, а источник дополнительной информации об уже
идентифицированном субъекте.
Структура PKI системы с использованием сервера атрибутных
сертификатов (AA)
Удостоверяющий
Центр
сертификатов
ключей подписи
Удаленный
доступ
Персональный
Сертификат
участвующий
при образовании
TLS
Прикладная
автоматизированная
система
Модуль разграничения
доступа для протокола HTTP
Сертификат
ключа подписи TLS
Абонентский Пункт
или утилита
командной строки
Приложения пользователей
взаимодействующих с
ресурсом по защищенному
протоколу TLS,
формирование защищенного
ЭЦП электронных
документов
Интернет
Персональный
Сертификат
извлечен
из ЭЦП
Заверенный
электронный
документ
CallBack на Запрос по
поиску соответствующего
атрибутного сертификата
Атрибутный
Сертификат
однозначно
соответствующий
персональному
сертификату
Сервер
атрибутных
сертификатов
(по RFC 3281)
Привязка внешне изданных сертификатов к специальным атрибутным сертификатам (АС), содержащим
узкопрофильную информацию о пользователе. АС могут быть использованы в прикладной
системе как источник дополнительной информации о пользователе и его привилегиях.
Области использования.
Различными службами безопасности по разграничению
доступа к ресурсам, определения уровня привилегий,
эталонным источником персональной информации о
субъекте для прикладного уровня и т.п. В данном
контексте сертификат открытого ключа обеспечивает
идентификацию субъекта, а связанный с ним АС
определяет роль субъекта на прикладном уровне.
Атрибутный
Сертификат
(АС)
– Например, в банковской системе, где сертификат
открытого ключа выпущен не в УЦ банка (банк может
даже и не иметь собственного УЦ), а АС содержит
атрибуты счета клиента и связан с внешне изданным
сертификатом открытого ключа.
Для клиент-серверных решений АС могут использоваться
и для субъекта и для объекта доступа.
Использование АС существенно удешевляет обслуживание корпоративных
ИОК - нет необходимости в содержании организационно-технической
структуры определенной ФЗ "Об ЭЦП". Достаточно воспользоваться
сертификатом открытого ключа, полученного в профилирующих публичных,
ведомственных или иных УЦ, к которым существует доверие, и связать его
с локально выпущенным АС.
Защищенный электронный документооборот.
•
Интеграция Абонентского Пункта в промышленное решение
«ДокМенеджер», компании «СофтИнтегро». Взаимодействие
осуществляется через COM интерфейс к зарегистрированным в ОС
Windows объектам Абонентского Пункта.
•
Решение позволяет использовать современные технологии
инфраструктуры открытых ключей для обеспечения дополнительной
безопасности и подтверждения достоверности обрабатываемой в
системе информации, как содержащейся в теле документа, так и
сопутствующей документу, например:
• текст задания, назначаемого по документу (резолюции
руководителя);
• отчет об исполнении задания, пересылаемый исполнителем
контролеру;
• замечания, внесенные в процессе согласования/визирования
организационно-распорядительных документов и пр.
В последующем подпись пользователя доступна для просмотра и
проверки любым другим участником документооборота.
Используемые решения:
ООО «Топ Кросс», г. Москва.
E-mail: info@top-cross.ru WWW: http://www.top-cross.ru/
Компоненты Удостоверяющего Центра сертификатов ключей
подписи, Компоненты службы «Электронного нотариата»,
Клиентское ПО.
ООО «КриптоЭкс», г. Москва
E-mail: info@cryptoex.ru WWW: http://www.cryptoex.ru/
Сертифицированное ФАПСИ/ФСБ Программная библиотека
защиты информации (ПБЗИ) «Крипто-Си».
ЗАО «Софтинтегро», г. Москва
E-mail: info@softintegro.ru WWW: http://www.softintegro.ru/
Система электронного документооборота - "ДокМенеджер"
© 2005 LLC Top Cross
All Rights Reserved
Вопросы ?...