Система электронных сертификатов

Архитектура системы (рис.

Электронная цифровая подпись-данные, добавляемые к блоку информационных данных, полученные в результате криптографического преобразования зависящего от секретного ключа и блока данных источника, которые позволяют получателю данных с использованием открытого ключа источника удостовериться в целостности блока данных и подлинности источника данных, а также обеспечить защиту от подлога со стороны получателя.

Электронные сертификаты открытых ключей ЭЦП — "электронный паспорт" пользователя, подписанный ЭЦП блок данных, содержащий сетевой идентификатор пользователя (процесса, ресурса) , его открытый ключ шифрования (при использовании шифратора с несимметричными ключами), атрибуты пользователя и параметры сертификата.

Электронные сертификаты должны отвечать X.509v3 ITU — международному стандарту, определяющему форматы электронных сертификатов открытых ключей. В состав средств системы управления сертификатами входят: >

АРМ Центра Сертификации (ЦС) >

АРМ Центра Регистрации >

Сетевой Справочник >

Сервер (приложение) >

Клиент (приложение) Рис. 45. Архитектура системы электронных сертификатов Сертификат представляет собой заверенный Центром Сертификации (Доверенным Центром) открытый ключ и набор дополнительных атрибутов

Имя Пользователя: C = RU, org=ACM?, cn=UserName Имя Издателя: C=RU, org=ACME Номер Сертификата: = 12345678 Открытый ключ пользователя

Алгоритм: GOST open key Значение ключа: 010011101001001010010101 Сертификат действует с: 01.01.1999 00:00:00 Сертификат действует до: 31.12.2003 23:59.59 Дополнительная информация (Х.509 v3 Extensions)

Регламент использования сертификата: Только для почты Х.400

Секретный ключ действует с: 31.12.1999 23:59.59

Секретный ключ действует до: 31.12.2000 23:59.59

Область применения ключа: Идентификатор 1

Область применения ключа: Идентификатор і

Область применения ключа: Идентификатор N

Права и полномочия: Администратор

Атрибуты пользователя: IP, DNS, URI, RFC822, Номер счета, Адрес,...

Подпись Центра Сертификации:

Алгоритм: GOST Р 34.10-94 sign algorithm

Значение : 010011101001001010010101

Сертификат Х.509 версии 3 описывает следующие типы дополнений:

А, Ключевая информация

Г Идентификаторы ключей пользователя и издателя сертификата Г Стандартизованные ограничения на использование ключа Сроки действия секретных ключей к Информация о политике использования сертификата

| Политика использования сертификата в определенных приложениях

| Ограничения на использование ключа, определяемые политикой безопасности ЦС X Дополнительные атрибуты

I E-Mail, IP, Х.400, DNS, WWW адреса абонента I Зарегистрированные юридические атрибуты абонента | Специфическая информация об абоненте в прикладной системе | Способы получения и обновления CRL А, Ограничения на цепочку сертификатов

| Принадлежит ли сертификат ЦС или пользователю | Ограничения на длину цепочки сертификатов

Формат электронного сертификата

Удостоверяющий центр — орган, обладающий: —

техническими средствами для выработки электронных сертификатов открытых ключей пользователей, подписанных ЭЦП центра с их последующим размещением на доступных для пользователей сети сетевых ресурсах(справочниках); —

регламентами, определяющими правила генерации и отзыва сертификатов, доступа к ресурсам и т.п., определяющим политику безопасности процедурам.

Таким образом, цифровой сертификат объединяет в единое целое идентификатор пользователя, открытый ключ пользователя (процесса, ресурса), используемый для аутентификации пользователя в системе, атрибуты пользователя и параметры сертификата, позволяющие проводить гарантированную авторизацию пользователя при доступе к ресурсам.

Целостность и авторство самого цифрового сертификата гарантируется ЭЦП Удостоверяющего центра. Открытый ключ ЭЦП Удостоверяющего центра, необходимый для проверки подлинности цифровых сертификатов пользователем, неоднократно передается по защищенному каналу связи в момент регистрации пользователя в Удостоверяющем центре вместе с секретным ключом регистрации.

Удостоверяющие центры образуют иерархическую систему, базирующуюся на Главном (Корневом) Удостоверяющем центре. Сертификаты открытых ключей ЭЦП подчиненных центров заверяются ЭЦП вышестоящего.

Система Удостоверяющих центров позволяет образовывать связи между пользователями разных кустовых Удостоверяющих центров, в соответствии с принятой в ИТКС политикой безопасности.

Конфиденциальность

Следующий после авторизации элемент доверия к системе — это способность информационной системы сохранять конфиденциальность информации и защищать ее от разглашения. Для этого в ИТКС предусматривается шифрование информации как при хранении, так и при передаче ее по каналам связи.

Технология защиты целостности и подлинности информации

Технология защиты целостности информации содержится в ответе на вопрос: "Правильно ли получено сообщение, которое было послано?" Целостность — это характеристика гарантии, что сообщение или данные надежны и не были изменены. Механизмы ее поддержки защищают данные от умышленной модификации, потери, повторной передачи, изменения последовательности или подмены. Проверка целостности необходима для определения неавторизованного использования или модификации системы, приложений, данных или сети. Один из способов обеспечить ее — присваивать специальный индикатор или контрольную метку сообщения (в его конце) или части данных (перед сообщением — до его передачи по сети).

В территориально-распределенной информационной системе ИТКС предусматриваются следующие функции по защие информации:

обеспечение целостности информации при обмене и хранении; возможность подтверждения подлинности информации по источнику происхождения (авторизация);

возможность подтверждения достоверности передачи информации по трактам обмена и по каналам связи;

возможность аутентификации связывающихся субъектов и объектов;

предупреждение отказа источника (отправителя) от сформированной (переданной) им информации.

Эти процедуры реализуются с помощью электронной цифровой подписи (ЭЦП), в основе которой лежит криптографическое кодирование информации с закрытым ключом формирования и открытыми ключевыми элементами проверки.

В первом случае это позволяет обеспечить периодический контроль целостности и индивидуальный контроль целостности на рабочих местах пользователей объектов необновляемых и обновляемых общедоступных, а также индивидуальных ресурсов, авторизации формирования, изменения, контроля подлинности информации. На транспортном уровне электронно-цифровая подпись может обеспечить аутентификацию связывающихся субъектов (объектов), подтверждение достоверности передачи информации по каналу связи.

Применение технологии ЭЦП в ИТКС поддерживается системой электронных сертификатов открытых ключей.

В ИТКС дополнительная целостность данных обеспечивается имитозащитой информации (защитой от искажения и/или навязывания ложной информации). Это дает возможность проверить, были ли данные изменены или повреждены при передаче по сети.

Участники обмена информацией нуждаются в защите от следующих угроз:

отказ отправителя от факта передачи сообщения;

фальсификация фактов получения сообщений от отправителя;

изменение получателем полученного сообщения; маскировка отправителя под другого абонента. Невозможность отказа предотвращает отказы от фактов посылки или приема сообщения или от факта выполнения некоторой операции. Она основана на уникальной подписи или идентификации, доказывающей, кто создал информацию или сообщение и что с ним случилось. В этом случае всегда можно доказать, что некоторое лицо выполнило некоторое действие.