Мастер-ключиМастер–ключи (МК) подразделяются на 2 группы (для версий 2.8 и 3.0): 1. Основные (внутрисетевые) мастер–ключи – предназначены для формирования ключей защиты и ключей обмена СУ в рамках одной сети. Первое формирование ключей производится автоматически после установки ПО УКЦ. Последующее формирование инициируется администратором по истечении срока действия ключа. В данной группе находятся 3 типа ключей: · Мастер персональный ключей – Предназначен для генерации персональных ключей защиты абонентов; · Мастер ключей защиты коллективов - Предназначен для генерации ключей защиты коллективов; · Мастер ключей обмена - Предназначен для генерации ключей обмена коллективов. 2. Межсетевые мастер–ключи – предназначены для формирования симметричных ключей обмена между СУ, зарегистрированными в разных сетях. Данные ключи формируются при необходимости установления связи между СУ, зарегистрированными в разных сетях. В УКЦ могут присутствовать межсетевые мастер – ключи 3 типов: · Индивидуальный симметричный мастер–ключ – создается для установления связи с одной конкретной сетью - . Характеризуется номером сети, создавшей ключ N, номером сети для связи с которой предназначен M и своим серийным номером. Для передачи ключа администратор УКЦ осуществляет его экспорт. При экспорте ключ шифруется на парольном ключе экспорта. Пароль, в зависимости от настроек УКЦ, либо задается администратором, либо формируется как случайный, при экспорте ключа. Передача экспортированного ключа должна осуществляться по доверенному каналу связи. Импортирован данный ключ может быть только в ту сеть, для связи с которой он предназначен. При импорте ключа производится проверка имитовставки на парольном ключе экспорта. Если проверка успешна, то ключ перешифровывается на ключе защиты ключевого центра импортирующей сети. · Асимметричный мастер–ключ – пара ключей для выработки общего мастер–ключа между сетями по протоколу Диффи – Хелмана с параметрами ГОСТ P 34.10–94 или ГОСТ P 34.11–94. Алгоритм и параметры выбираются администратором при формировании ключа. Характеризуется номером сети, создавшей ключ N и своим серийным номером. Секретная составляющая ключа защищается на ключе защиты ключевого центра и хранится в УКЦ. Экспорт этой части не производится. Открытая часть ключа подписывается действующим ключом подписи администратора УКЦ, создавшего мастер–ключ и передается по произвольным каналам связи в УКЦ других сетей. При импорте открытых частей асимметричных мастер–ключей из других сетей производится проверка подписи под ключом. Импорт производится только в случае успешной проверки подписи и сертификата администратора УКЦ, подписавшего ключ. В отличии от симметричных мастер–ключей срок действия ключа дополнительно ограничивается сроком действия сертификата администратора УКЦ, подписавшего данный ключ. · Универсальный симметричный мастер–ключ - предназначен для установления связи между 2 и более сетями. Характеризуется номером сети, создавшей ключ и своим серийным номером. Методы формирования экспорта и импорта идентичны индивидуальным мастер–ключам, но импортирован ключ может быть в несколько сетей одновременно. Формировать и использовать данный ключ рекомендуется только в случае отсутствия других типов мастер–ключей для обеспечения бесперебойной генерации ключевой информации СУ или для организации временной защищенной связи в условиях отсутствия возможности обмена другими типами мастер-ключей.
Все МК располагаются в подкаталоге MASTERS.
- Основные (внутрисетевые) мастер–ключи (для версии 3.0), то есть МК Персональных ключей, МК Ключей защиты, МК Ключей обмена хранятся в одном общем файле KC_MAST.key. При импорте ключевой информации из УКЦ предыдущих версий и при смене МК Персональных ключей в этот же файл помещается предыдущая версия МК Персональных ключей, для корректного формирования обновлений. Все ключи в данном файле защищаются на ключе защиты УКЦ.
- Межсетевые мастер-ключи хранятся в зависимости от типов в следующих файлах: MASTERS/i_mast.key – индивидуальные MASTERS /u_mast.key – универсальные MASTERS /a_mast.key – асимметричные своей сети MASTERS /a_mast.cer – открытые части для асимметричных мастер-ключей из других сетей.
В составе каждого мастер-ключа хранится информация о его создании, импорте/экспорте и вводе в действие. Импорт, экспорт, ввод в действие и удаление старых версий ключа осуществляется администратором УКЦ.
|