Главная Контактная информация Карта сайта

Тел./факс: +7 (499) 237-2271
Английская версия
 


"Инфраструктура открытых ключей как основа комплексной безопасности электронного документооборота"

Попов Владимир Олегович - руководитель сертифицирующего центра компании Крипто Про, к.ф.м.н.

1. Электронный документооборот (ЭДО) обеспечивает взаимодействие субъектов - авторов электронных документов (ЭД) и пользователей посредством ЭД. С точки зрения безопасности базисными свойствами ЭДО являются аутентификация субъектов в системе ЭДО, авторизация и контроль целостности ЭД, конфиденциальность (опционально) ЭД.

2. В качестве механизма, обеспечивающего защитные функции ЭДО, используется криптография, базирующаяся на Инфраструктуре открытых ключей (PKI). В состав криптографической подсистемы ЭДО входят базовые криптографические алгоритмы, ключевая система, криптографические протоколы аутентификации, авторизации и контроля целостности, строящиеся на базе сертификатов открытых ключей.

Элементы ключевой системы PKI: закрытый ключ пользователя, открытый ключ пользователя, сертификат открытого ключа пользователя, закрытый ключ УЦ, открытый ключ УЦ, сертификат открытого ключа УЦ.

Основные требования к ключам: конфиденциальность закрытых ключей и защищенность секретных ключей от подмены, авторизация открытого ключа и аутентификация пользователя и открытого ключа, защита ключей от компрометации, ограничение на сроки действия закрытых и открытых ключей.

Криптографические протоколы УЦ должны обеспечивать регистрацию пользователей PKI, генерацию сертификатов открытых ключей пользователей, ведение базы сертификатов открытых ключей пользователей, ведение базы данных отозванных сертификатов открытых ключей, аутентификацию и установление защищенного канала между пользователем и УЦ.

3. Комплексная безопасность ЭДО обусловлена защитой от негативного воздействия (компрометация, подмена, изменение атрибутов и др.) на элементы PKI, перечисленные в п. 2. Специфика решения вопросов безопасности информации в ЭДО обусловлена необходимостью реализации средств защиты в универсальной аппаратно-программной среде функционирования информационной системы, вследствие чего средства защиты становятся элементами системы, обеспечивающей собственно информационные услуги.

4. Широко используемой в настоящее время для реализации PKI является аппаратно-программная платформа Intel - Microsoft. Технология, поддерживаемая фирмой Microsoft, позволяет, с одной стороны, универсализировать процедуру обращения из прикладной среды к криптографическим преобразованиям, с другой - защитить криптографические алгоритмы и криптографические ключи средствами операционной среды.

В этом направлении разработан криптопровайдер КриптоПро CSP, реализованный в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP) - и использующий российские криптографические алгоритмы.

Криптопровайдер КриптоПро CSP сертифицирован ФАПСИ, обеспечивает защитные функции:

  • авторизация и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94;
  • конфиденциальность и контроль целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • контроль целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
  • управление ключевыми элементами системы в соответствии с регламентом средств защиты;
  • сетевая аутентификация по стандарту RFC 2246 (протокол TLS), позволяющая обеспечить совместно с криптопровайдером КриптоПРО CSP взаимную аутентификацию клиента с сервером при создании сессии в общедоступной сети, контроль целостности и конфиденциальность передаваемой в созданной сессии информации.

Криптопровайдер КриптоПроCSP позволяет использовать стандартные криптогра-фические средства для реализации и использования решений, основанных на PKI, в част-ности:

- Центр Сертификации (MS Certification Authority)
- Инструментарий разработчика CryptoAPI 2.0
- Инструментарий разработчика CAPICOM 1.0
- Certificate Enrollment Control (xenroll)
- Microsoft Outlook
- Microsoft Outlook Express
- Microsoft Authenticode®

Использование криптопровайдера КриптоПро CSP позволяет решать вопросы обеспечения безопасности функционирования PKI как на уровне УЦ, так и на пользовательском уровне.

Важным элементом PKI является стандартизация криптографических параметров и форматов их представления в сертификате открытого ключа.

5. Существенным моментом в обеспечении безопасности в ЭДО является базирование PKI на протоколах обмена и защиты информации (TLS, HTTP, XML).

Протокол TLS позволяет обеспечить криптографическими средствами аутентификацию отправителя (клиента) - адресата (сервера), контроль целостности и шифрование данных информационного обмена.

Все компоненты системы PKI(интерактивные пользователи, программы без внешнего интерфейса), должны общаться между собой через глобальную сеть. Протоколы HTTP/HTTPS позволяют обеспечивать защиту передаваемого трафика межсетевыми экранами. При передаче запросов на сертификат и возвращении подписанных сертификатов и списков отзыва по протоколам HTTP/HTTPS должно использоваться расширяемое представление передаваемых через http-запросы GET или POST документов. Для этого могут быть использованы запросы и ответы в формате XML.

6. Наибольшая нагрузка по обеспечению безопасности в системе сертификации открытых ключей ложится на:

Удостоверяющий Центр (УЦ) как программный комплекс по обеспечению PKI. УЦ имеет вполне сложившуюся архитектуру с основными функциональными компонентами - Служба сертификации (Certification Services, CS), Центр регистрации (ЦР), АРМ администратора УЦ.

CS обеспечивает выпуск сертификатов и списков отозванных сертификатов, владеет закрытым ключом УЦ, работает, как правило, в автономном режиме.

ЦР (веб приложение) обеспечивает формирование ключей ЦР и пользователей, доставку сертификатов ЦР и УЦ пользователям, централизованную регистрацию пользователей в ЦР и по сети, централизованное формирование ключей и запросов на сертификаты пользователей с учетом данных регистрации, сетевой доступ пользователей к базам сертификатов и спискам отозванных сертификатов, подпись и передачу запросов на сертификаты пользователей в УЦ и другие функции по функционированию PKI.

Для выполнения требований по п.2 в УЦ должен быть реализован комплекс программных, программно-технических и организационных мер обеспечения безопасности.

ООО "КриптоПро" разработал и эксплуатирует удостоверяющий центр "КриптоПро УЦ" на договорной основе с организациями-пользователями (сайт http://ca.cryptopro.ru).

В удостоверяющем центре используется криптопровайдер "КриптоПро CSP", сертифицированный по классу защиты КС2 классификации ФАПСИ. Функционирование центра базируется на ОС MS Windows и стандартных средствах фирмы Microsoft MS CertificationAuthority, CryptoAPI 2.0, CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlock, Microsoft Outlock Express, Microsoft Autenticode®.

7. Обеспечение безопасности УЦ связано с решением следующих проблем:

  • защита закрытых ключей УЦ и пользователей от НСД;
  • доверие к системному и прикладному программному обеспечению;
  • защита функционирования УЦ от негативных воздействий по каналу связи;
  • защита функционирования УЦ от негативных воздействий внутренних нарушителей с тем или иным уровням доступа к его программно-аппаратным компонентам и ключам.

В каждом конкретном случае необходимы выбор и реализация достаточного профиля защиты. Критической является проблема хранения закрытых ключей в условиях работы в не доверенной системной среде. Пути ее решения - локализация криптографических преобразований в обособленном доверенном модуле с контролируемым взаимодействием его с CS, ролевое администрирование УЦ с разделением информации о ключах по нескольким его субъектам, разграничение доступа к компонентам системы обслуживающего персонала, исключение алгоритмическими и техническими мерами информативности о ключах по сигналам линейной передачи и ПЭМИН, организационно-технические и режимные меры по защите программно-аппаратных средств и помещений размещения УЦ.

8. Вопросы обеспечения безопасности системы PKIрешаются на основе законодательной и нормативной базы в области защиты информации.

К законодательной базе в первую очередь относятся:

  • закон РФ "Об информации, информатизации и защите информации",
  • закон РФ "Об электронной цифровой подписи".
  • государственная система сертификации продуктов защиты данных и лицензирования деятельности по представлению услуг в области защиты информации.

К нормативной базе относятся:

  • стандарты криптографической защиты данных
  • требования ФАПСИ по защите информации.
  • требования и положения Гостехкомиссии РФ к средствам защиты информации от НСД.


Члены
Гильдии Управляющих Документацией
     
О Гильдии | Новости | Контакты | Гостевая книга | Поиск

Дистанционное обучение по образовательным программам
курсов повышения квалификации
  Лицензия № 039458   Государственная аккредитация № 0210

Наши слушатели


Курсы повышения квалификации руководителей, специалистов в сфере ДОУ и электронного документооборота, секретарей-референтов 
на 2020год.
Современные технологии в работе службы ДОУ 23 - 28 ноября 2020 года
14 - 19 декабря 2020 года
Современные технологии в работе секретаря-референта, помощника руководителя
Современные технологии в работе с электронными документами


Полный перечень законодательных актов на CD
Законодательные, иные нормативные правовые акты, методические документы в сфере информации и документации до 2019 года.
Заказать
 
Все права защищены © 2001 - 2020 Гильдия Управляющих Документацией