Создание и обновление ключей электронной цифровой подписи

По желанию пользователя или по истечении срока действия подписи вызывается процедура, предлагающая пользователю заменить его подпись. Новый открытый ключ передается в УКЦ для получения сертификата.

Новая подпись вступает в действие после получения из УКЦ сертификата нового открытого ключа.

Сертификаты открытых ключей ни в какие справочники не включается, за исключением общего справочника открытых ключей в УКЦ для контроля, и по сети не распространяется, так как сертификат всегда передается вместе с подписанной информацией. Такая технология значительно упрощает службу поддержки актуальных подписей.

Создание и обновление асимметричных ключей шифрования на узлах

Если на узле предусмотрено формирование асимметричных ключей шифрования (определяется настройками узла, на координаторах и в ЦУСе формирование АКШ не предусматривается), прикладная программа начинает процесс их формирования, используя сервис прикладного криптографического интерфейса.

Формируются пары АКШ для коллективов данного узла, в которых зарегистрирован текущий пользователь. Секретная часть ключа помещается на ключевую дискету текущего пользователя в зашифрованном на парольном ключе и персональном ключе пользователя виде. Шифрование на парольном ключе обеспечивает сокрытие секретного асимметричного ключа от УКЦ, а шифрование на персональном ключе обеспечивает надежность защиты. Одновременно секретный ключ сохраняется во временном подкаталоге на жестком диске в зашифрованном виде на ключе защиты коллектива. Эти ключи находятся там, пока все пользователи на этом пункте когда-нибудь не введут свой пароль. Открытый ключ рассылается в подписанном текущим пользователем виде в соответствии со связями коллективов на другие узлы.

Если два узла обменялись своими открытыми ключами и есть квитанции, подтверждающие это, шифрование информации при отправке на другой узел производится на производном ключе, зависящем от симметричного и асимметричных ключей. Этот производный ключ вычисляется как криптографическая свертка (с использованием функции хэширования) двух ключей: симметричного ключа, созданного в УКЦ, и симметричного ключа, созданного на базе асимметричных ключей по протоколу открытого распределения ключей коллективом-отправителем и коллективом-получателем.

Иначе шифрование производится на симметричном ключе или предыдущих действующих ключах, если это уже не первый цикл смены асимметричных ключей.