Мастер-ключи

Мастер–ключи (МК) подразделяются на 2 группы (для версий 2.8 и 3.0):

1. Основные (внутрисетевые) мастер–ключи – предназначены для формирования ключей защиты и ключей обмена СУ в рамках одной сети. Первое формирование ключей производится автоматически после установки ПО УКЦ. Последующее формирование инициируется администратором по истечении срока действия ключа. В данной группе находятся 3 типа ключей:

· Мастер персональный ключей – Предназначен для генерации персональных ключей защиты абонентов;

· Мастер ключей защиты коллективов - Предназначен для генерации ключей защиты коллективов;

· Мастер ключей обмена - Предназначен для генерации ключей обмена коллективов.

2. Межсетевые мастер–ключи – предназначены для формирования симметричных ключей обмена между СУ, зарегистрированными в разных сетях. Данные ключи формируются при необходимости установления связи между СУ, зарегистрированными в разных сетях. В УКЦ могут присутствовать межсетевые мастер – ключи 3 типов:

· Индивидуальный симметричный мастер–ключ – создается для установления связи с одной конкретной сетью - . Характеризуется номером сети, создавшей ключ N, номером сети для связи с которой предназначен M и своим серийным номером. Для передачи ключа администратор УКЦ осуществляет его экспорт. При экспорте ключ шифруется на парольном ключе экспорта. Пароль, в зависимости от настроек УКЦ, либо задается администратором, либо формируется как случайный, при экспорте ключа. Передача экспортированного ключа должна осуществляться по доверенному каналу связи. Импортирован данный ключ может быть только в ту сеть, для связи с которой он предназначен. При импорте ключа производится проверка имитовставки на парольном ключе экспорта. Если проверка успешна, то ключ перешифровывается на ключе защиты ключевого центра импортирующей сети.

· Асимметричный мастер–ключ – пара ключей для выработки общего мастер–ключа между сетями по протоколу Диффи – Хелмана с параметрами ГОСТ P 34.10–94 или ГОСТ P 34.11–94. Алгоритм и параметры выбираются администратором при формировании ключа. Характеризуется номером сети, создавшей ключ N и своим серийным номером. Секретная составляющая ключа защищается на ключе защиты ключевого центра и хранится в УКЦ. Экспорт этой части не производится. Открытая часть ключа подписывается действующим ключом подписи администратора УКЦ, создавшего мастер–ключ и передается по произвольным каналам связи в УКЦ других сетей. При импорте открытых частей асимметричных мастер–ключей из других сетей производится проверка подписи под ключом. Импорт производится только в случае успешной проверки подписи и сертификата администратора УКЦ, подписавшего ключ. В отличии от симметричных мастер–ключей срок действия ключа дополнительно ограничивается сроком действия сертификата администратора УКЦ, подписавшего данный ключ.

· Универсальный симметричный мастер–ключ - предназначен для установления связи между 2 и более сетями. Характеризуется номером сети, создавшей ключ и своим серийным номером. Методы формирования экспорта и импорта идентичны индивидуальным мастер–ключам, но импортирован ключ может быть в несколько сетей одновременно. Формировать и использовать данный ключ рекомендуется только в случае отсутствия других типов мастер–ключей для обеспечения бесперебойной генерации ключевой информации СУ или для организации временной защищенной связи в условиях отсутствия возможности обмена другими типами мастер-ключей.

 

Все МК располагаются в подкаталоге MASTERS.

 

- Основные (внутрисетевые) мастер–ключи (для версии 3.0), то есть МК Персональных ключей, МК Ключей защиты, МК Ключей обмена хранятся в одном общем файле KC_MAST.key. При импорте ключевой информации из УКЦ предыдущих версий и при смене МК Персональных ключей в этот же файл помещается предыдущая версия МК Персональных ключей, для корректного формирования обновлений. Все ключи в данном файле защищаются на ключе защиты УКЦ.

 

- Межсетевые мастер-ключи хранятся в зависимости от типов в следующих файлах:

MASTERS/i_mast.key – индивидуальные

MASTERS /u_mast.key – универсальные

MASTERS /a_mast.key – асимметричные своей сети

MASTERS /a_mast.cer – открытые части для асимметричных мастер-ключей из других сетей.

 

В составе каждого мастер-ключа хранится информация о его создании, импорте/экспорте и вводе в действие. Импорт, экспорт, ввод в действие и удаление старых версий ключа осуществляется администратором УКЦ.