Удостоверяющие центры в системе электронного документооборота

Размещено на http://www.allbest.ru/

Удостоверяющие центры в системе электронного документооборота

Канд. техн. наук, ст. научн. сотрудник Михалевич И.Ф.

Развитие человеческого общества на современном этапе нельзя себе представить без информационных технологий. За сравнительно короткую свою историю эти технологии сами прошли бурное развитие. Естественно, что вместе с ними развивались и технологии обеспечения безопасности информации.

Вступивший в силу с 23 января 2002 года Федеральный закон "Об электронной цифровой подписи", направлен на обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах. При соблюдении данных условий электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи гражданина или индивидуального органа юридического лица в документе на бумажном носителе. В качестве условий определены: срок действия сертификата ключа подписи, относящегося к этой электронной цифровой подписи; подтверждение подлинности электронной цифровой подписи в электронном документе; использование ЭЦП в отношениях, в которых она имеет юридическое значение. Согласно закону, ключи электронно-цифровой подписи для применения в информационной системе общего пользования могут создаваться как пользователем, так и, по его обращению, удостоверяющим центром. Порядок работы удостоверяющих центров также описан в настоящем законе. Кроме того, Федеральный закон "Об электронной цифровой подписи" определяет, что при создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи.

Создание инфраструктуры использования ЭЦП - это комплекс сложных правовых, организационных и технических задач. Предстоит не только организовать архитектуру отечественных удостоверяющих центров национальной инфраструктуры открытых ключей - Public Key Infrastructure (PKI), но и решить сложные юридические вопросы защиты интересов субъектов при их информационном взаимодействии в электронном виде.

Важнейшим структурным элементом инфраструктуры использования ЭЦП являются Удостоверяющие центры.

С организационной точки зрения Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

С технической точки зрения Удостоверяющий центр - это программно-аппаратный комплекс, представленный на рисунке 1.

Рисунок 1 - Типовая схема размещения и взаимодействия компонент Удостоверяющего центра

Центр сертификации - компонент УЦ, предназначенный для формирования сертификатов открытых ключей пользователей и администраторов Удостоверяющего центра, списков отозванных сертификатов, хранения эталонной базы сертификатов и списков отозванных сертификатов. ЦС взаимодействует только с Центром Регистрации или несколькими Центрами Регистрации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола. К функциям ЦС относятся:

Генерация ключей и сертификата открытого ключа уполномоченного лица удостоверяющего центра.

Смена ключей и сертификата открытого ключа уполномоченного лица удостоверяющего центра.

Формирование сертификата открытого ключа по запросам Центра Регистрации.

Ведение базы данных сертификатов с предоставлением доступа к ней ограниченному кругу компонентов системы.

Изменение базы данных сертификатов по запросам от Центра Регистрации. Включает в себя выполнение следующих операций:

аннулирование (отзыв) сертификата;

приостановление действия сертификата;

возобновление действия сертификата.

Формирование списка аннулированных (отозванных) сертификатов открытых ключей по запросам Центра Регистрации.

Формирование списка аннулированных (отозванных) сертификатов открытых ключей по запросам Центра Регистрации в автоматическом режиме с периодичностью, заданной в расписании.

Обеспечение уникальности следующей информации в сертификатах пользователей:

Открытый ключ сертификата;

Серийный номер сертификата.

Взаимодействие с Центрами Регистрации:

Аутентификация Центров Регистрации и определение прав доступа с использованием ключей и сертификатов открытых ключей Центров Регистрации;

Прием от Центров Регистрации запросов;

Проверка наличия подписи данной информации на ключе Центров Регистрации;

Обработка полученных от Центров Регистрации запросов;

Передача на Центры Регистрации результатов обработки запросов;

Шифрование информации, передаваемой между ЦС и ЦР в ходе сетевого взаимодействия по протоколу TLS.

Центр Регистрации - компонент УЦ, предназначенный для хранения регистрационных данных пользователей, запросов на сертификаты и сертификаты пользователей, предоставления интерфейса взаимодействия пользователей с Удостоверяющим Центром. Центр Регистрации взаимодействует с Центром Сертификации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола. Взаимодействие пользователей с Удостоверяющим центром обеспечивается за счет использования приложений ( зарегистрированного пользователя с ключевым доступом, АРМ зарегистрированного пользователя с маркерным доступом, АРМ регистрации пользователя ), предоставляемых Центром Регистрации. Центр Регистрации является единственной точкой входа (регистрации) пользователей в системе. Только зарегистрированный в Центре Регистрации пользователь может получить сертификат на свой открытый ключ в Удостоверяющем Центре. К функциям Центра Регистрации относятся:

Обеспечение аутентификации приложений и пользователей при обращении к Центру Регистрации.

Ведение Базы Данных (Реестра), содержащей информацию о пользователях и пользовательских сертификатах.

Управление шаблонами сертификатов, обеспечивающих определение области применения ключей и сертификатов открытых ключей пользователей:

Создание шаблонов;

Удаление;

Корректировка.

Обеспечение уникальности следующей информации в сертификатах пользователей:

Доменное имя пользователя.

Взаимодействие с Центром Сертификации и внешними приложениями.

Прием от приложения и передача на Центр Сертификации запросов, подпись данных запросов на ключе Центра Регистрации;

Прием от Центра Сертификации и передача приложению результатов обработки запросов;

Проверка подписи Центра сертификации на принимаемой от него информации;

Аутентификация и шифрование информации с использованием протокола TLS (TLS).

Управление режимами работы Удостоверяющего Центра по регистрации и управлению ключами и сертификатами.

Обеспечение доступа к Базе Данных внешним приложениям через SOAP- интерфейс на базе HTTP(S).

Обеспечение выполнения Центром Регистрации в автоматическом режиме следующих задач:

Оповещение пользователей по электронной почте об истечении срока действия сертификатов.

Оповещение пользователей по электронной почте о необходимости замены ключей.

Оповещение администратора о возникновении следующих критических ситуаций:

Запрос на сертификат какого-либо пользователя не удовлетворен ЦС;

Пользователь пытается осуществить более трех запросов на сертификат в день;

Пользователь пытается осуществить более чем одну смену ключа сертификата в день.

Получение списка отозванных сертификатов от соответствующего Центра Сертификации.

Получение списка отозванных сертификатов от Центров Регистрации вышестоящих по иерархии Удостоверяющих Центров.

Удаление зарегистрированных пользователей, не имеющих ни одного действующего сертификата открытого ключа.

Протоколирование работы Центра Регистрации.

АРМ Администратора ЦР предназначен для выполнения организационно - технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управления Центром регистрации. АРМ администратора взаимодействует с Центром Регистрации по локальной сети с использованием защищенного сетевого протокола. Программное обеспечение АРМа администратора является универсальным и используется для всех ролей привилегированных пользователей (администраторов, операторов и т.д.).

К основным функция АРМ администратора относятся:

Обеспечение взаимодействия с одним или несколькими Центрами Регистрации.

Обеспечение возможности выбора администратором сертификата, с помощью которого будет осуществляться взаимодействие с Центром Регистрации.

Шифрование информации передаваемой Центру Регистрации с использованием протокола TLS с двусторонней аутентификацией;

Регистрация пользователей в Центре регистрации.

Удаление зарегистрированных пользователей из Центра Регистрации, не имеющих ни одного действующего сертификата.

Генерация служебных и рабочих ключей пользователей.

Организация просмотра информации из Базы Данных Центра Регистрации, относящейся к пользователю, зарегистрированному в системе.

Создание запросов на формирование сертификатов.

Обеспечение возможности получения пользователем нескольких сертификатов.

Вывод сертификата открытого ключа пользователя на бумажный носитель.

Создание запросов на отзыв сертификатов.

Создание запросов на приостановление действия сертификатов.

Создание запросов на возобновление действия сертификатов.

Проверка состояния и обработка запросов на формирование сертификатов, поступающих от пользователей.

Проверка состояния и обработка запросов на отзыв, приостановление и возобновление действия сертификатов, поступающих от пользователей.

Просмотр протокола работы Центра Регистрации.

Публикация списков отозванных сертификатов открытых ключей пользователей.

Вывод сертификата открытого ключа Центра Сертификации (лица Удостоверяющего Центра) на бумажный носитель.

Сохранение списка отозванных сертификатов на магнитном носителе в виде файла.

Сохранение сертификата (сертификатов) Центра Сертификации на магнитном носителе в виде файла.

Вышеперечисленным требованиям удовлетворяет УЦ от компании “КриптоПРО” (www.cryptopro.ru). Компания "Крипто-Про" получила сертификат соответствия на программно-аппаратный комплекс "Удостоверяющий Центр "КриптоПро УЦ". Выданный сертификат соответствия СФ/128-0662 от 20 ноября 2003 г. удостоверяет, что "КриптоПро УЦ" соответствует требованиям к информационной безопасности удостоверяющих центров класса КС2 и может использоваться в составе технических средств удостоверяющих центров корпоративных информационных систем, предназначенных для обработки информации, не содержащих сведений, составляющих государственную тайну, с применением средств электронной цифровой подписи. Удостоверяющий центр сертифицирован в соответствии с системой сертификации РОСС RU.0001.030001. В настоящее время удостоверяющий центр "КриптоПро УЦ" эксплуатируют порядка 50 государственных и коммерческих организаций.

удостоверяющий центр автоматизированный рабочий

Литература

1. Федеральный Закон РФ «Об электронной цифровой подписи» от 23 января 2002 г.

2. Информация сайта www.cryptopro.ru

3. Сопроводительная документация к ПАК «КриптоПРО УЦ».

Размещено на Allbest.ru