Скачать презентацию Технические решения и перспективные проекты на инфраструктуре открытых Скачать презентацию Технические решения и перспективные проекты на инфраструктуре открытых

7558cd86d8b69fc2b4cf851399ed81f3.ppt

  • Количество слайдов: 16

Технические решения и перспективные проекты на инфраструктуре открытых ключей Инфраструктура Открытых Ключей (PKI) реализуются Технические решения и перспективные проекты на инфраструктуре открытых ключей Инфраструктура Открытых Ключей (PKI) реализуются защитные функции с помощью специального Модуля разграничения доступа для наиболее распространенного HTTP сервера Apache. Набор взаимосвязанных программных (аппаратных) компонент. Позволяет обеспечить: • защиту передаваемой по сети информации, в том числе и ЭЦП • строгую взаимную аутентификацию пользователей и серверов • гибкое разграничение доступа. Это реализуется использованием универсальных, ставшими стандартом де-факто, механизмов: • TLS протоколов • цифровых сертификатов (X. 509) Легко обеспечиваются требования по информационной безопасности, предъявляемые различными прикладными системами: платежные системы, интернет-магазины, многопрофильные корпоративные Веб сервера, В 2 В системы, системы защищенного документооборота, и многие другие.

Структурная схема компонент абстрактной PKI системы Структурная схема компонент абстрактной PKI системы

Удостоверяющий Центр сертификатов ключей подписи. УЦ построен по модульному принципу и содержит в своем Удостоверяющий Центр сертификатов ключей подписи. УЦ построен по модульному принципу и содержит в своем составе следующие компоненты (подсистемы): Служба Реестра (Служба технологического Реестр) сетевой справочник пользователей системы. • Модуль Управления УЦ: – Центр(ы) регистрации (ЦР) – Центр сертификации (ЦС) – Центр арбитража (ЦА) Абонентский пункт (АП) • Службы «Электронного нотариата» . Взаимодействие компонент с криптографическими модулями (криптографические токены) осуществляется по индустриальному стандарту PKCS#11

Удостоверяющий Центр сертификатов ключей подписи • Криптографические преобразования информации выполняются на сертифицированных ФАПСИ/ФСБ средствах Удостоверяющий Центр сертификатов ключей подписи • Криптографические преобразования информации выполняются на сертифицированных ФАПСИ/ФСБ средствах криптографической защиты информации (СКЗИ) обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну. • Сертификат ключа подписи содержит сведения, указанные в ФЗ «Об ЭЦП» и в случае необходимости, в состав сертификата ключа подписи могут быть добавлены иные сведения производственного характера, подтверждаемые соответствующими документами. • Циркуляция информации между компонентами Модуля Управления УЦ осуществляется заверенными запросами в формате CMC (RFC 2797). • Прикладные протоколы управления компонентами УЦ с АП Администраторов взаимодействия с пользователями туннелируются в криптографический протокол TLS (RFC 2246) с учетом отечественных криптографических алгоритмов. • Взаимодействие компонент с СУБД осуществляется средствами ODBC, что позволяет использовать базу в сетевом режиме и фактически любого производителя.

Основные отличительные черты технического решения – Удостоверяющий центр сертификатов ключей подписи • • • Основные отличительные черты технического решения – Удостоверяющий центр сертификатов ключей подписи • • • Платформа: Unix (Linux, Free. BSD) – для масштабируемых больших систем, рассчитанных на круглосуточный режим работы, поддерживается работа с несколькими Центрами Регистрации. Поддерживает одновременную работу неопределенно большого числа Уполномоченных лиц с произвольным уровнем подчиненности. Собственная служба времени (протокол NTP) – синхронизация компонент УЦ и пользователей, возможна работа с внешним эталоном времени. Поддержка кросс - связей позволяет строить помимо простых (иерархических или браузерных) еще и сетевые (с поддержкой «моста доверия» ) схемы распространения доверительных отношений. Поддержка delta. CRL (обновлений к регулярным спискам) - что позволяет использовать УЦ в системах приближенных к системам реального времени. Доступ к опубликованным спискам может быть осуществлен как напрямую через сетевой справочник (LDAP), так и через указание в расширениях сертификата (CRLDistribution. Point и Freshest. CRL) для протокола http. Форматы/кодировки представления сертификатов и ключей: DER, PEM, PKCS#7 B, PKCS#11 Object, PKCS#12. Решена «коллизия имен» (проблема «однофамильцев» ) – по RFC 3039 (3. 1. 2) в состав сертификата введен серийный номер (serial. Number) различимого имени владельца сертификата. Хранимые «истории» заверенных событий в УЦ как по созданию сертификатов, так и по изменению их статуса – легко решаются задачи аудита. Использование мандатной модели доступа (сертификаты администраторов содержат специальные мандатные метки, характеризующие роль и уровень принятия решения) – построение иерархии принятия решения при управлении УЦ. Криптографические преобразование выполняют программные криптографические PKCS#11 токены, основанные на сертифицированной ФАПСИ/ФСБ ПБЗИ «Крипто-Си» .

Стресс тесты УЦ и Службы «Электронного Нотариата» • Поточное тестирование – способность комплекса обрабатывать Стресс тесты УЦ и Службы «Электронного Нотариата» • Поточное тестирование – способность комплекса обрабатывать большие группы запросов, идущие с постоянной интенсивностью, выявление усредненных временных характеристик. На оборудовании стенда было выпущено, размещено в Реестре и хранилищах компонент УЦ более 300’ 000 сертификатов. • Параллельное тестирование оценить производительность комплекса при различных нагрузках вплоть до пиковых. Тест представляет собой серию из 100 групп тестов. Группа – инкрементируемое, начиная от 1 с шагом 5 число порожденных процессов. • Статус OK – запросы отработаны в режиме On-line. • Статус Waiting – запросы приняты к обработке УЦ и размещены в очереди. • Статус Err – запросы не приняты к обработке УЦ (TLS, СУБД)

Загрузка аппаратных платформ Состав стенда: 5 виртуальных машин на одной (Intel(R) Celeron(R) CPU 2. Загрузка аппаратных платформ Состав стенда: 5 виртуальных машин на одной (Intel(R) Celeron(R) CPU 2. 40 GHz) Память Процессор

Организационная структура Удостоверяющего центра. Организационная структура Удостоверяющего центра.

Абонентский пункт и утилиты командной строки • Абонентский Пункт: – Оснащение абонентских Пунктов Администраторов Абонентский пункт и утилиты командной строки • Абонентский Пункт: – Оснащение абонентских Пунктов Администраторов УЦ. – Поддержка стратегии «Token only» компании «Аладдин Р. Д. » , e. Token PRO cert (Сертификат № 925 Государственной Технической Комиммии РФ). – Использование в качестве клиентского ПО. – Использование в качестве интегрируемой компоненты в системы защищенного электронного документооборота. • Утилиты командной строки: – ПО обеспечение на стороне PKI клиента. – Фрагменты скриптов на стороне прикладных серверов.

 «Электронный нотариат» включает несколько служб: • • • Служба проверки и сертификации информации «Электронный нотариат» включает несколько служб: • • • Служба проверки и сертификации информации (по RFC 3029. Internet X. 509 Public Key Infrastructure Data Validation and Certification Server Protocols (DVCS). ) Служба проверки сертификатов (по RFC 2560. Online Certificate Status Protocol - OCSP). Служба выработки штампа времени (по RFC 3161. Time-Stamp Protocol (TSP))

Служба «Электронного нотариата» это: • Создание единого домена защищенного электронного документооборота, в том числе Служба «Электронного нотариата» это: • Создание единого домена защищенного электронного документооборота, в том числе построенном на несовместимых между собой СКЗИ, включая и RSA. • Получение штампа «истинного времени» (Time Stamping), фиксирует факт наличия действительной ЭЦП на конкретный момент времени. • Длительное архивное хранение электронных документов. Наличие DVC квитанций по проверке ЭЦП позволяет делать выводы о действительности ЭЦП уже после истечения времени действительности сертификата. Существуют механизмы пролонгации квитанций (выпуск квитанции на квитанцию). • Проверка действительности цифрового сертификата существенно упрощает автоматизированную систему, в которой циркулируют заверенные электронные документы. Прикладные компоненты «перекладывают» функцию проверки на службу «Электронного нотариата» . • Подтверждение факта обладания некой информацией без ее опубликования. Данное свойство может быть использовано, например, АС проведения различных тендеров и закупок.

Следует ли нагружать сертификат открытого ключа персональной информацией? ? Персональная информация чаще меняется чем Следует ли нагружать сертификат открытого ключа персональной информацией? ? Персональная информация чаще меняется чем Ф. И. О. Следовательно запускается механизм отзыва с последующим выпуском нового сертификата. ? ? ? Организационная граница «Отдел кадров» - «Отдел режима» . ? ? ? Персональная информация станет общедоступной через Реестр УЦ. Основное логическое отличие: сертификат открытого ключа - это "электронный паспорт" длительного использования, связывающий персону и открытый ключ, а Атрибутный Сертификат - "электронный пропуск" с указанием достоверной информации (возможно короткоживущей, исчисляемой часами) требуемой для данного вида "пропуска", и назначение которого не проведение идентификационных процедур, а источник дополнительной информации об уже идентифицированном субъекте.

Структура PKI системы с использованием сервера атрибутных сертификатов (AA) Привязка внешне изданных сертификатов к Структура PKI системы с использованием сервера атрибутных сертификатов (AA) Привязка внешне изданных сертификатов к специальным атрибутным сертификатам (АС), содержащим узкопрофильную информацию о пользователе. АС могут быть использованы в прикладной системе как источник дополнительной информации о пользователе и его привилегиях.

Области использования. Различными службами безопасности по разграничению доступа к ресурсам, определения уровня привилегий, эталонным Области использования. Различными службами безопасности по разграничению доступа к ресурсам, определения уровня привилегий, эталонным источником персональной информации о субъекте для прикладного уровня и т. п. В данном контексте сертификат открытого ключа обеспечивает идентификацию субъекта, а связанный с ним АС определяет роль субъекта на прикладном уровне. – Например, в банковской системе, где сертификат открытого ключа выпущен не в УЦ банка (банк может даже и не иметь собственного УЦ), а АС содержит атрибуты счета клиента и связан с внешне изданным сертификатом открытого ключа. Для клиент-серверных решений АС могут использоваться и для субъекта и для объекта доступа. Использование АС существенно удешевляет обслуживание корпоративных ИОК - нет необходимости в содержании организационно-технической структуры определенной ФЗ "Об ЭЦП". Достаточно воспользоваться сертификатом открытого ключа, полученного в профилирующих публичных, ведомственных или иных УЦ, к которым существует доверие, и связать его с локально выпущенным АС.

Защищенный электронный документооборот. • Интеграция Абонентского Пункта в промышленное решение «Док. Менеджер» , компании Защищенный электронный документооборот. • Интеграция Абонентского Пункта в промышленное решение «Док. Менеджер» , компании «Софт. Интегро» . Взаимодействие осуществляется через COM интерфейс к зарегистрированным в ОС Windows объектам Абонентского Пункта. • Решение позволяет использовать современные технологии инфраструктуры открытых ключей для обеспечения дополнительной безопасности и подтверждения достоверности обрабатываемой в системе информации, как содержащейся в теле документа, так и сопутствующей документу, например: • текст задания, назначаемого по документу (резолюции руководителя); • отчет об исполнении задания, пересылаемый исполнителем контролеру; • замечания, внесенные в процессе согласования/визирования организационно-распорядительных документов и пр. В последующем подпись пользователя доступна для просмотра и проверки любым другим участником документооборота.

Используемые решения: ООО «Топ Кросс» , г. Москва. E-mail: info@top-cross. ru WWW: http: //www. Используемые решения: ООО «Топ Кросс» , г. Москва. E-mail: [email protected] ru WWW: http: //www. top-cross. ru/ Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты службы «Электронного нотариата» , Клиентское ПО. ООО «Крипто. Экс» , г. Москва E-mail: [email protected] ru WWW: http: //www. cryptoex. ru/ Сертифицированное ФАПСИ/ФСБ Программная библиотека защиты информации (ПБЗИ) «Крипто-Си» . ЗАО «Софтинтегро» , г. Москва E-mail: [email protected] ru WWW: http: //www. softintegro. ru/ Система электронного документооборота - "Док. Менеджер" © 2005 LLC Top Cross All Rights Reserved Вопросы ? . . .