Инфраструктура открытых ключей
Инфраструктура открытых ключей

Инфраструктура управления открытыми ключами (PKI)

Инфраструктура открытых ключей или ИОК (англ. PKI - Public Key Infrastructure) - технология аутентификации с помощью открытых ключей является комплексной системой, которая связывает открытые ключи с личностью пользователя посредством Удостоверяющего центра (УЦ).

Реализация механизмов электронной подписи (ЭП) в корпоративной информационной системе осуществляется посредствам развертывания инфраструктуры открытых ключей.

Решаемые задачи

  • Защита от несанкционированного доступа к персональным компьютерам, серверам и рабочим станциям.
  • Обеспечение достоверности, безопасности и целостности транзакций, электронных документов или почтовых сообщений.
  • Строгая аутентификация пользователей и программных сервисов.
  • Ведение электронной коммерции.
  • Защита электронной почты.
  • Контроль происхождения транзакции, документа или почтового сообщения.
  • Установление достоверного времени создания документа/транзакции.
  • Шифрование файлов и трафика.

Описание решения

OpenCA

Основным компонентом ИОК и автоматизированных систем, использующих электронную подпись, является удостоверяющий центр.

В основе PKI решения КонсалтИнфоМенеджмент лежит программный продукт OpenCA,  поддерживающий российскую криптографию и обеспечивающий:

  • выполнение процедуры регистрации электронных запросов от пользователей на сертификаты ключей проверки электронной подписи в Центре регистрации;
  • создание сертификатов ключей проверки электронной подписи пользователей в соответствии с рекомендациями Х.509 версии 3;
  • создание сертификатов ключей проверки электронной подписи в соответствии с требованиями документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденного приказом ФСБ России от 27.12.2011 № 795;
  • выдачу сертификата ключа проверки электронной подписи на бумажном носителе. Форма сертификата ключа проверки электронной подписи на бумажном носителе удовлетворяет требованиям документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795.

Состав решения

Удостоверяющий центр организуется посредствам развертывания на базе физического сервера или виртуальной машины операционной системы Ubuntu Linux (либо сертфицированной ФСТЭК версии SUSE Linux) и программного пакета OpenCA, который реализует полный набор функций по управлению сертификатами открытых ключей: 

  • формирование пар открытый-закрытый ключ по запросам пользователей; 
  • изготовление сертификатов открытых ключей (в том числе с использованием алгоритма ГОСТ P 34.10–2001)
  • приостановление и возобновление действия сертификатов, отзыв (аннулирование) сертификатов; 
  • ведение реестра (справочника) выпущенных сертификатов и списка отозванных сертификатов.

На сервере удостоверяющего центра функционируют следующие компоненты:

  • Центр регистрации (ЦР), предназначенный для хранения регистрационных данных пользователей, запросов на сертификаты и сертификаты пользователей.
  • Веб-интерфейс для доступа пользователей (публичный интерфейс), предназначенный для формирования пользователями заявок на получение и отзыв сертификатов, получения сертификатов, просмотра списков аннулированных сертификатов.
  • сервер LDAP, предназначенный для публикации списков аннулированных сертификатов.
  • Дополнительно может поставляться сервер штампов времени – сервер TSP, предназначенный для выдачи штампов времени (ответы сервера TSP используются для создания усовершенствованной ЭП).

Каждая из перечисленных компонент может функционировать на отдельном компьютере, то есть все компоненты удостоверяющего центра могут масштабироваться как по вертикали, так и по горизонтали.

Доступ администраторов ЦС, ЦР и LDAP осуществляется через веб-интерфейс по протоколу HTTPS в авторизованном режиме с использованием сертификатов ключей проверки ЭП. Для формирования запросов и получения сертификатов ключа проверки электронной подписи, могут использоваться любые web-браузеры.

Особенности решения

Для организации взаимодействия различных информационных систем и распространения в них доверия часто требуется совместная работа различных PKI. Например, это требуется при межкорпоративном или межведомственном информационном обмене. Такое взаимодействие строится на базе моделей доверия. Обычно используется одна из следующих моделей доверия PKI:

  • иерархическая (подчинение нескольких УЦ вышестоящему головному УЦ);
  • сетевая (объединение одноранговых инфраструктур с перекрестной (кросс-) сертификацией головных УЦ);
  • мостовая (кросс-сертификация каждого УЦ с одним выделенным УЦ-мостом).

УЦ на базе OpenCA поддерживает все перечисленные архитектуры, выполняя для внешних УЦ роли:

  • головного УЦ (обработка запросов от внешних УЦ и выпуск для них сертификатов); 
  • подчиненного УЦ (создание запросов во внешние УЦ и получение от них сертификатов); 
  • мостового УЦ (выпуск кросс-сертификатов по запросам из внешних УЦ и создание запросов на кросс-сертификаты во внешние УЦ). 

Эффект от внедрения

Реализация механизмов ЭП в составе прикладных, системных и сетевых служб обеспечивает:

  • защиту от несанкционированного доступа (НСД) к персональным компьютерам и серверам при их включении и загрузке;
  • защиту от НСД при использовании сетевых ресурсов предприятия;
  • защиту от НСД и обеспечение целостности передаваемой информации (например, деловой переписки, бухгалтерской информации, отчетов в налоговую инспекцию, пенсионный фонд и т.д.) по открытым и корпоративным каналам связи;
  • целостность и конфиденциальность архивов, баз данных, файловых серверов и т.д.

Форма обратной связи