Технология Удостоверяющий центров ViPNet

Особую актуальность получило в последнее время функционирование в рамках виртуальной защищенной сети Удостоверяющего центра (УЦ), основные функции и назначение которого определяются технологией открытых ключей PKI, и который совмещает в себе функции “классического” УЦ и удаленного центра регистрации пользователей как филиала УЦ.

Одним из примеров такой реализации является программно-аппаратный комплекс " Удостоверяющий центр корпоративного уровня сети ViPNet", получившем сертификат ФСБ по классу КС2 удостоверяющих центров систем документооборота.

В состав программно-аппаратного комплекса ViPNet [Удостоверяющий центр] входят:

· ПО ViPNet [Центр управления сетью] (ЦУС) предназначено для регистрации пользователей и управления безопасностью созданной инфраструктуры ЭЦП.

· ПО ViPNet [Удостоверяющий и ключевой центр] (УКЦ) предназначено для выпуска цифровых сертификатов как собственных пользователей (сотрудников организации), так и внешних пользователей (физических и/или юридических лиц), которые должны иметь возможность использовать в отношениях с организацией ЭЦП (например, в системах «клиент-банк»).

· ПО ViPNet [Центр регистрации] предназначено для регистрации внешних пользователей (физических и/или юридических лиц) и получения для них в УКЦ цифровых сертификатов.

· ПО ViPNet [Координатор] предназначено для выполнения функций межсетевого экрана и сервера управляющих и почтовых сообщений, через который осуществляется взаимодействие с УКЦ.

· ПО ViPNet [КриптоСервис], предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью «Домен-К» (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи.

Рассмотрим отдельные компонеты комплекса более подробно.

Удостоверяющий центр (УЦ) предназначен для обслуживания следующих запросов: на издание сертификатов ЭЦП, на отзыв, приостановление и возобновления приостановленного действия сертификатов абонентов, сформированных на сетевых узлах или в Центрах Регистрации для внешних пользователей.

Программное обеспечение УЦ обеспечивает следующую функциональность:

1. Генерация секретных и открытых ключей Главных абонентов УЦ, сертификатами которых заверяются сертификаты пользователей.

2. Первое издание сертификата подписи абонентов происходит в УЦ вместе с генерацией секретного ключа для него. Дальнейшее переиздание сертификата может происходить как в УЦ одновременно с формированием нового секретного ключа (для задач, требующих централизованной генерации и распределения ключей), так и по запросу пользователя корпоративной сети, сформированного на его сетевом узле.

3. Издание и регистрация сертификатов ЭЦП по запросу абонентов сети. Запрос на сертификат представляет собой шаблон сертификата, содержащий информацию об абоненте, его новый открытый ключ подписи, предполагаемый срок действия сертификата, а также другие параметры, соответствующие стандарту X.509. Запрос может быть зарегистрирован или автоматически или в результате действий администратора УЦ. Запрос может быть отклонен. После заполнения полей сертификата сертификат через Центр управления отправляется к пользователю на компьютер.

4. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП абонентов сети. Эти действия выполняются администратором УЦ. Справочник отозванных сертификатов рассылается абонентам сети.

5. Регистрация справочников сертификатов ЭЦП Уполномоченных лиц других УЦ ViPNet. После просмотра сертификатов главных абонентов других УЦ и принятия их производится подпись такого справочника своим УЛ (кросс сертификация). Заверенный справочник рассылается по сети в соответствии со связями своих пользователей, и используются при проверке сертификатов ЭЦП пользователей других УЦ, приславших подписанную информацию на какой-либо узел своей сети.

6. Регистрация справочников отозванных сертификатов ЭЦП из других УЦ ViPNet. Такие справочники поступают из других сетей автоматически, заверяются УЛ и рассылаются по сети в соответствии со связями пользвателей сети. Импорт справочников отозванных сертификатов из УЦ других производителей не производится. Доступ к ним осуществляется в процессе проверки подписи по пути, указанному в ЭЦП.

7. Обслуживание запросов внешних пользователей. Внешний пользователь регистрируется на одном из пунктов регистрации Администратором программы ViPNet [Центр Регистрации] (ЦР). Администратор ЦР создает запрос на сертификат ЭЦП для внешнего пользователя и отсылает его в УЦ для издания сертификата. Запрос на сертификат перед отправкой в УЦ подписывается ключом подписи этого Администратора. После введения в действие сертификата внешний пользователь сможет пользоваться им (подписывать документы) на любом узле сети с установленным ПО ViPNet. Администратор ЦР может создавать запросы на отзыв, приостановление действия, возобновление действия приостановленного сертификата ЭЦП внешних пользователей.

8. Издание и регистрация сертификатов ЭЦП для внешних пользователей выполняется только по запросу из Центра регистрации. Запрос может быть зарегистрирован или отклонен. Вторичные запросы на сертификаты, если в них нет изменений, и выдача сертификатов могут обрабатываться и выдаваться автоматически. Сертификаты через ЦУС отправляется в УЦ

9. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП внешних пользователей может происходить по запросу из ЦР, или самим Администратором УЦ без запроса из ЦР. Справочники отозванных сертификатов рассылаются по узлам сети.

10. Просмотр запросов и сертификатов ЭЦП.

11. Разбор конфликтных ситуаций и экспертизы правомочности и подлинности электронных документов, подписанных ЭЦП.

12. Сервисные функции УЦ.

Центр регистрации (ЦР), его основные функции:

- генерация секретного ключа подписи и сохранение его на персональном ключевом носителе внешнего пользователя;

- ввод персональных данных для сертификата внешнего пользователя (заново или на основе предыдущего сертификата);

- формирование запроса на сертификат;

- подпись запроса на сертификат ключом абонента ЦР;

- отправка заверенного запроса в Центр сертификации (в УКЦ через ЦУС);

- прием сертификатов из КЦ;

- просмотр запросов и принятых сертификатов;

- ввод в действие сертификата (сохранение на персональном ключевом носителе внешнего пользователя);

- отзыв сертификата;

- приостановление действия сертификата;

- удаление запроса на сертификат из базы данных ЦР;

- ведение журнала событий и действий пользователей ЦР.

Кроме того, программа выполняет экспорт сертификатов в различных кодировках.

Главное окно ЦР выглядит следующим образом:

 

Рис. 10

Всю процедуру создания запроса на получение сертификата обеспечивает соответствующий мастер.

Рис. 11

Секретный ключ внешнего пользователя и его сертификат заносятся на его персональный носитель. Это может быть дискета, eToken, смарт-карта, Touch memory и другие.

Секретный ключ зашифровывается на пароле, вырабатываемом программой. Тип пароля может быть один из следующих: собственный пароль, случайная легко запоминаемая фраза, собственный цифровой пароль, случайный цифровой пароль.

ПО КриптоСервис, предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи (ЭЦП) и содержит набор функций работы с ЭЦП, необходимых для встраивания во внешние приложения.

При использовании в качестве клиентского программного обеспечения - ПО ViPNet [Клиент] [Монитор] или ПО ViPNet [Клиент] [Деловая почта] установка ПО ViPNet [КриптоСервис] не требуется, так как вся требуемая функциональность содержится в указанных программах.

В качестве приложений, использующих функции ЭЦП, может использоваться «Деловая почта» системы ViPNet, программа Microsoft Outlook, различные WEB – приложения, а также любые другие программы, если в них встроен вызов криптографических функций СКЗИ «Домен-К».

Пользователь сети, используя меню программы, может в любое время создать для себя новый секретный ключ и отправить запрос в УКЦ для получения нового сертификата. Однако пользователь не может изменить поля в запросе, кроме полей сроков действия. Редактирование полей сертификата возможно только в УКЦ.

Пользователь может сменить пароль, защищающий секретные ключи. Задать тип и срок действия пароля. Назначить срок, за который программа должна сообщить ему о приближающемся сроке окончания действия его сертификата и предложить сформировать новый запрос.

 

Рис. 12. Запрос на сертификат

Для формирования запроса на сертификат требуются случайные числа. После подтверждения желания сформировать запрос будет загружена Электронная рулетка (Рис. 13). Электронная рулетка запускается один раз за сеанс работы.

 

Рис. 13.Электронная рулетка

При формировании запроса на сертификат производится проверка наличия Вашего действующего сертификата открытого ключа подписи.

После формирования, запрос на сертификат нужно отправить в УКЦ, где издается сам сертификат. Для отправки в УКЦ воспользуйтесь кнопкой Отправить запрос (Рис. 12).

 

Внимание! Запрос на сертификат отправляется с помощью модуля ViPNet [Mftp], поэтому убедитесь, что ViPNet [Mftp] запущен, т.е. в области уведомлений на панели задач находится значок транспортного модуля . Если нет, то запустите, нажав в главном окне программы ViPNet КриптоСервис кнопку .

 

Применение технологии УЦ ViPNet представлено на следующей схеме 8: