 |
Блокхост-эцп. Инфраструктура открытых ключей. Объекты PKI
|
|
|
|
Блокхост-эцп
Система шифрования и создания электронной цифровой подписи «Блокхост-ЭЦП» выполняет операции шифрования и создания электронной подписи файловых объектов (аналог собственноручной подписи человека в электронном виде) на платформе MS Windows с использованием сертифицированного криптопровайдера КрпптоПро CSP. Дополнительно поддерживается работа и с другими встроенными в ОС MS Windows криптопровайдерами.
Электронная подпись (ЭП) - один из реквизитов электронного документа. Сама по себе ЭП - механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде. ЭП получает всё большее распространение в отечественных корпоративных информационных системах, в частности, в системах электронного документооборота, потребность в которых сегодня ощущается всё сильнее. В свою очередь, главной целью создания систем электронного документооборота (СЭД) является задача автоматизации документационного обеспечения управления (ДОУ) организаций.
Блокхост-ЭЦП устраняет проблемы, возникающие при подписи бумажных документов, и характеризует электронный документ подлинностью (подтверждение авторства документа). целостностью (документ не может быть изменён после подписания), а также неотрицанием авторства (автор впоследствии не сможет отказаться от своей подписи).
Сделав свой выбор в пользу Блокхост-ЭЦП. вы в кратчайшие сроки создадите юридически значимый электронный документооборот без значительных материальных и финансовых затрат.
Преимущества использования Блокхост-ЭЦП:
• поддержка усовершенствованной ЭП:
• наличие онлайновой проверки статуса сертификата по протоколу OCSP (Online Certificate Status Protocol):
|
|
|
• имеет сертификаты Газпромсерт и сертификаты совместимости ведущих продавцов:
• наличие службы штампов времени - TSP (Time-Stamp Protocol):
• быстрая организация юридически значимой СЭД:
• простой и понятный интерфейс;
• для участия в электронных торгах;
• для сдачи различного вида электронных отчётностей (предоставления сведений) через Интернет в основные контролирующие органы: ФНС. ПФР. ФСС. Росстат.
Последняя версия Блокхост-ЭЦП отличается поддержкой, усовершенствованной ЭЦП. Усовершенствованная ЭЦП - это структурированная запись в формате ASN. l (Х. 209: «Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN. l)»), которая содержит в себе не только все доказательства подлинности ЭЦП в электронном документе (принадлежность ЭЦП владельцу, отсутствие искажений в документе), но и подтверждение момента подписи, а также действительности сертификата ключа подписи на момент создания ЭЦП.
Блокхост-ЭЦП может осуществлять работу с электронными документами различного формата и реализует следующи|е основные функции:
• создание ЭЦП;
• добавление ЭЦП;
• заверение ЭЦП:
• проверка ЭЦП;
• шифрование файлов;
• расшифрование файлов;
• другие.
Блокхост-ЭЦП выполняет криптографические преобразования с использованием ка] встроенных в MS Windows средств криптографической защиты информации (СКЗИ). так и дополнительно устанавливаемых сертифицированных ФСБ России СКЗИ (КриптоПро CSP) В качестве ключевых носителей могут использоваться дискеты, flash-носители. еТокеи (про изводитель компания Aladdin) и niToken (производитель компания «Актив»).
Инфраструктура открытых ключей
Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) - набор средств (технических, материальных, людских и т. д. ); распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. Б основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
|
|
|
1. закрытый ключ {private key) известен только его владельцу:
2. удостоверяющий центр создает электронный
Объекты PKI
PKI реализуется, а модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента.
Основные компоненты PKI:
* Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей, УЦ является главным компонентом PKI:
1. Он является доверенной третьей стороной
2. это сервер, который осуществляет управление жизненным циклом сертификатов (но не их непосредственным использованием).
Сертификат открытого ключа (чаще всего просто сертификат) - это данные пользователя и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет закрытым ключом, который соответствует этому открытому ключу,
Регистрационным центр (РЦ) - необязательный компонент системы, предназначенный для регистрации пользователей. Для этик целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в несколькик PKI). один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного иентоа. *
Репозиторий - хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ Na 63 а Об электронной подписи к* он называется реестр сертификатов ключей подписей.
Архив сертификатов - хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия}. Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
|
|
|
Центр запросов - необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
Конечные пользователи - пользователи. Приложений или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Основные задачи:
Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:
• обеспечение конфиденциальности информации;
• обеспечение целостности информации;
• обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
• обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, (неотрекаемость, апеллируемость) - англ, non-repudiation).
• Основные функции удостоверяющего центра:
• проверка личности будущих пользователей сертификатов;
• выдача пользователям сертификатов;
• аннулирование сертификатов;
• ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.
Дополнительные функции удостоверяющего центра:
• УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат.
• По запросу, при разрешении конфликтов. УЦ может производить проверку подлинности электронной подписи владельца сертификата, выданного этим УЦ.
Сертификат - это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись центра выдачи сертификатов (УЦ). информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.
|
|
|
Причины досрочного аннулирования сертификатов:
• компрометация закрытого ключа;
• изменение информации о владельце сертификата, содержащейся в этом сертификате;
• добровольное заявление владельца сертификата;
• изменения полномочий текущего владельца сертификата.
Ключевая пара - это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то. что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).
Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации Пользователя УЦ выдает ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим,
Открытый ключ известен всем, в то время закрытый ключ хранится в тайне, владелец закрытого ключа всегда хранит ого в тайне и ни при каких обстоятельствах не дел жен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ все-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то. что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если
Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифровывания данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.
|
|
|
Подлинность электронной подписи проверяется следующим образом:
1. Получатель получает данные (зашифрованные или в открытом виде) и электронную подпись.
2. [Опциональный шаг, так как документ/сообщение/файл мог быть отправлен в открытом виде]. Данные расшифровываются с помощью либо заранее оговоренного симметричного ключа, либо с помощью закрытого ключа получателя (во втором случае данные были зашифрованы с помощью открытого ключа получателя, извлеченного из его сертификата).
3. Получатель вычисляет хеш расшифрованного документа/сообщения/файла (алгоритм хеша указан в сертификате).
4. Получатель применяет к электронной подписи алгоритм снятия подписи (алгоритм подписи указан е сертификате), в результате чего получает хеш исходного документа/сообщения/файла.
5. Получатель сравнивает хеши. Если они одинаковы - электронная подпись считается действительной, при условии, что сертификат действителен и был применен в соответствии с его политиками.
|
|
|
