Загальні відомості

Найменування комплексу: програмно-технічний комплекс центру сертифікації ключів (ЦСК) “ІІТ ЦСК-1”.

Призначення комплексу: реалізація ЦСК регламентних процедур та механізмів обслуговування сертифікатів відкритих ключів користувачів ЦСК (далі – користувачів), надання послуг фіксування часу, надання користувачам засобів ЕЦП та шифрування, а також засобів генерації особистих і відкритих ключів.

Технічні засоби комплексу об’єднані у ЛОМ з використанням внутрішньої комунікаційної мережі з наявністю підключення до зовнішніх комунікаційних мереж. Окремі технічні засоби комплексу ізольовані від мереж передачі даних.

Порядок експлуатації комплексу у складі ЦСК відповідає вимогам правил посиленої сертифікації.

Структурна схема комплексу наведена на рисунку.


Функції комплексу

Комплекс забезпечує реалізацію регламентних процедур та механізмів роботи ЦСК, пов'язаних з:

• обслуговуванням сертифікатів відкритих ключів (далі – сертифікатів) користувачів, що включає:
• реєстрацію користувачів;
• сертифікацію відкритих ключів користувачів;
• розповсюдження сертифікатів;
• управління статусом сертифікатів;
• розповсюдження інформації про статус сертифікатів;
• надання послуг фіксування часу;
• надання користувачам засобів ЕЦП та шифрування даних, а також засобів генерації та управління ключами.

Комплекс забезпечує виконання наступних функцій, пов'язаних з обслуговуванням ЦСК сертифікатів користувачів:

• реєстрацію користувачів, що включає:
• введення реєстраційних даних користувачів до реєстру користувачів;
• зберігання реєстру користувачів та забезпечення доступу до реєстраційних даних;
• резервне копіювання та архівування реєстру користувачів;
• зміну реєстраційних даних користувачів у реєстрі;
• видалення реєстраційних даних користувачів з реєстру;
• сертифікацію відкритих ключів користувачів, що включає:
• приймання та реєстрацію запитів користувачів на формування сертифікатів;
• зберігання запитів, отриманих від користувачів, у базі даних запитів;
• архівування бази даних запитів;
• формування сертифікатів користувачів;
• внесення сформованих сертифікатів у реєстр сертифікатів;
• зберігання реєстру сертифікатів;
• архівування реєстру сертифікатів;
• розповсюдження сертифікатів відкритих ключів користувачів, що включає:
• публікацію реєстру сертифікатів на інформаційному ресурсі ЦСК (у LDAP-каталозі та на web-сторінці);
• забезпечення доступу користувачів до реєстру сертифікатів на інформаційному ресурсі ЦСК;
• управління статусом сертифікатів відкритих ключів користувачів та розповсюдження інформації про статус сертифікатів, що включає:
• приймання та реєстрацію запитів користувачів на скасування, блокування чи поновлення сертифікатів;
• зберігання запитів, отриманих від користувачів, у базі даних запитів;
• архівування бази даних запитів;
• скасування, блокування або поновлення сертифікатів на основі запитів;
• внесення інформації про поточний статус сертифіката до реєстру сертифікатів;
• формування списків відкликаних сертифікатів користувачів;
• публікацію списків відкликаних сертифікатів на інформаційному ресурсі ЦСК;
• забезпечення доступу користувачів до списків відкликаних сертифікатів на інформаційному ресурсі ЦСК;
• забезпечення доступу користувачів до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).

Комплекс забезпечує виконання наступних функцій, пов'язаних з наданням ЦСК послуг фіксування часу:

• приймання та реєстрацію запитів користувачів на формування позначок часу;
• формування позначок часу;
• передачу сформованих позначок часу користувачам;
• внесення сформованих позначок часу у базу даних;
• зберігання сформованих позначок у базі даних;
• архівування бази даних позначок часу.

До складу комплексу входять засоби користувачів у складі:

• засобів генерації особистих і відкритих ключів користувачів, які призначені для:
• генерації особистого та відкритого ключів користувача;
• формування та передачу запиту на формування сертифіката користувача до ЦСК;
• отримання, перевірку, зберігання та використання сформованого сертифікату;
• формування та передачу запитів на блокування, скасування та поновлення сертифіката користувача до ЦСК.
• засобів ЕЦП та шифрування даних користувачів, які призначені для:
• введення та використання особистих ключів користувача;
• пошуку та інтерактивної перевірки статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
• пошуку сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
• отримання позначок часу у ЦСК (через TSP-сервер ЦСК);
• реалізації механізмів формування та перевірянні ЕЦП, а також шифрування даних користувача у системах електронної пошти, електронного документообігу тощо (шляхом використання у вигляді бібліотек та ін.).

Структура та склад комплексу

До складу комплексу входять такі технічні засоби:

• робочі станції (РС) обслуговуючого персоналу (адміністратора безпеки, системного адміністратора та адміністратора реєстрації);
• центральні сервери (сервери ЦСК);
• внутрішнє комунікаційне обладнання локальної обчислювальної мережі (ЛОМ);
• сервери взаємодії;
• міжмережний екран (МЕ) та система виявлення втручань (IDS);
• комунікаційне обладнання для підключення до зовнішніх комунікаційних мереж (ЗКМ);
• РС генерації ключів користувачів (ізольована);
• РС віддалених адміністраторів реєстрації (відокремлені).

Окремо (до складу програмно-технічного комплексу відокремленого пункту реєстрації) входить РС віддаленого адміністратора.

РС адміністратора безпеки, адміністратора сертифікації, системного адміністратора, адміністратора реєстрації, центральні сервери та сервери взаємодії мають взаємодіяти через внутрішню комунікаційну мережу на основі кабельної мережі та комутаторів і утворювати ЛОМ.

Центральні сервери, сервери взаємодії, їх ДБЖ, мережний комутатор, комутатор терміналів, МЕ, а також криптомодулі і мережні криптомодулі мають бути розміщені у екранованій шафі чи у звичайні шафі у екранованому приміщенні.

У випадку, якщо функції центральних серверів, що пов’язані з формуванням сертифікатів та списків відкликаних сертифікатів (під час яких використовується особистий ключ ЦСК) виконує РС адміністратора сертифікації, вона має бути реалізована на основі ПЕОМ у захищеному виконанні або розміщена у екранованій кабіні чи екранованому приміщенні.

Сервери можуть бути з’єднані у окрему ЛОМ з використанням власного комутатора та підключатися до комутатора РС через електричний кабель або волоконно-оптичну лінію зв’язку (ВОЛЗ). Можливе також об’єднання комутаторів серверів та РС у один спільний комутатор ЛОМ. У цьому випадку РС обслуговуючого персоналу підключають до комутатора окремими електричними кабелями чи ВОЛЗ.

Сервери взаємодії мають підключатися до зовнішньої комунікаційної мережі через зовнішній МЕ (із вбудованою IPS). Для підключення серверів взаємодії до комутатора та до МЕ мають використовуватися різні мережні адаптери.

МЕ з IPS мають підключатися до зовнішньої комунікаційної мережі через комунікаційне обладнання оператора послуг передачі даних через електричний кабель або через ВОЛЗ. У випадку використання для такого підключення ВОЛЗ, мають використовуватися або оптичні мережні порти МЕ або конвертори середовища.

Для забезпечення централізованого моніторингу роботи складових частин комплексу до його складу може входити система моніторингу. Серверна частина системи моніторингу може встановлюватися на РС системного адміністратора або на окремий сервер моніторингу, а на всі сервери та РС комплексу мають бути встановлені агенти системи моніторингу. Взаємодія сервера з агентами моніторингу здійснюється за внутрішнім протоколом, а з іншими вузлами - за стандартними протоколами моніторингу (syslog, SNMP тощо).

Комплекс взаємодіє з ПТК центрів та ІКС інших зовнішніх користувачів через сервери взаємодії.

Функціональною основою комплексу є спеціалізовані апаратні та програмні засоби КЗІ і включає:

• програмний комплекс ЦСК "ІІТ ЦСК-1";
• мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”);
• програмний комплекс віддаленого адміністратора реєстрації ЦСК “ІІТ ЦСК-1. Віддалений адміністратор реєстрації”;
• програмний комплекс користувача ЦСК “ІІТ Користувач ЦСК-1”;
• електронний ключ “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”).

Мережний криптомодуль “Гряда-301” призначений для апаратної реалізації формування ЕП і у складі центральних серверів ЦСК і забезпечує використання та захист особистого ключа ЦСК і серверів ЦСК (CMP, TSP та OCSP). Особисті ключі ЦСК та серверів ЦСК генеруються, зберігаються та використовуються тільки у середині пристрою.

У складі програмного забезпечення користувачів ЦСК може використовуватися апаратний електронний ключ “Алмаз-1К”. Електронний ключ призначений для апаратної реалізації криптографічних перетворень. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратного-програмно середовища.

Характеристики комплексу

Комплекс забезпечує функціональні характеристики, що наведені у таблиці.

Показник	Значення
Кількість користувачів, яких обслуговує комплекс	не менше 1 000 000
Кількість користувачів, які можуть зареєструватися	не менше 5 000 за добу
Кількість користувачів, які одночасно мають доступ до сервера взаємодії (LDAP-каталогу та web-сторінки)	не менше 5 000
Час обробки запитів користувачів на формування, блокування, поновлення та скасування сертифікатів сервером ЦСК	не більше 1 с (не менше 100 запитів/c)
Час обробки запитів зовнішніх користувачів на визначення статусу сертифіката	не більше 1 с (не менше 500 запитів/c)
Час обробки запитів зовнішніх користувачів на формування позначки часу	не більше 1 с (не менше 500 запитів/c)

Комплекс забезпечує функціонування та можливість надавати доступ до ЦСК користувачам цілодобово 7 днів на тиждень.

Центральні сервери та сервери взаємодії можуть функціонувати автоматизовано. Існує можливість роботи серверів у різних режимах - основний чи резервний з повним чи частковим дублюванням функцій.

Функціональні характеристики та режими експлуатації комплексу не залежать від типів та характеристик технічних засобів (РС, серверів та комунікаційного обладнання).

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:

• алгоритми шифрування за ДСТУ ГОСТ 28147:2009, ДСТУ 7624-2014 та TDEA і AES за ДСТУ ISO/IEC 18033-3:2015 в режимах, що визначені ДСТУ ISO/IEC 10116:2014;
• алгоритми електронного підпису (ЕП) за ДСТУ 4145-2002, RSA за PKCS#1 (IETF RFC 3447) та ECDSA за ДСТУ ISO/IEC 14888-3:2019;
• алгоритми гешування за ГОСТ 34.311-95, ДСТУ 7564-2014 та SHA (SHA-1 і SHA-2) за ДСТУ ISO/IEC 10118-3:2005;
• протоколи розподілу ключів за ДСТУ ISO/IEC 11770-3:2015 (пп. 11.1) та RSA за PKCS#1 (IETF RFC 3447).

Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 11770-3:2015 (пп. 11.1) та технічних специфікацій до технічних рекомендацій IETF RFC 5652, затверджених наказом Адміністрації Держспецзв’язку №687 від 27.10.2020 р., і за алгоритмом направленого шифрування RSA згідно PKCS#1 (IETF RFC 3447). Генерація ключових даних повинна здійснюватися згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.

У ключовій системі комплексу виділені дві підгрупи ключових даних:

• службові ключові дані;
• ключові дані користувачів.

До складу службових відносяться:

• особистий ключ та сертифікат ЦСК;
• особисті ключі та сертифікати серверів ЦСК (CMP, TSP та OCSP);
• особисті ключі та сертифікати адміністраторів реєстрації та віддалених адміністраторів реєстрації.

Особистий ключ ЦСК зберігається та застосовується тільки у криптомодулі, що входить до складу сервера ЦСК або РС адміністратора сертифікації.

Особистий ключ ЦСК використовується для формування ЕЦП сертифікатів та списків відкликаних сертифікатів. Сертифікат ЦСК використовується для перевірки ЕЦП, що накладається за допомогою особистого ключа ЦСК.

Особисті ключі серверів ЦСК (OCSP та TSP) використовується для формування ЕЦП від позначок часу та інформації про статус сертифікатів. Сертифікати серверів ЦСК використовується для перевірки ЕЦП, що накладається за допомогою відповідних особистих ключів серверів ЦСК.

Особисті ключі адміністраторів реєстрації та віддалених адміністраторів реєстрації призначені для формування ЕЦП запитів на формування сертифікатів, а також запитів на блокування, поновлення та скасування, а сертифікати – для перевірки ЕЦП від вказаних типів даних. Ключі віддалених адміністраторів реєстрації призначені також для шифрування даних, що передаються між РС віддаленого адміністратора реєстрації та ЦСК (CMP-сервером ЦСК).

До ключових даних користувачів відносяться особисті ключі та сертифікати користувачів. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:

• електронні диски (flash-диски);
• оптичні компакт-диски (CD);
• електронні ключі “Алмаз-1К”, Автор SecureToken, SafeNet iKey, Gemalto IDPrime, ДБОСофт iToken, Ефіт Key тощо;
• смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Автор CryptoCard, ДБОСофт Інтегра тощо;
• мережні криптомодулі “Гряда-301” (мікро-пристрій) (“ІІТ МКМ Гряда-301 (мікро-пристрій)”), мережний криптомодуль “Гряда-301” тощо;
• інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:

• формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій IETF RFC 5280;
• формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій IETF RFC 5652 (PKCS#7), IETF RFC 5126 (CAdES) та технічних специфікацій ETSI TS 102 778 (PAdES), ETSI TS 101 903 (XAdES) і ETSI TS 102 918 (ASiC);
• формати захищених даних (зашифрованих даних) - згідно технічних специфікацій до технічних рекомендацій IETF RFC 5652 та самих технічних рекомендацій IETF RFC 5652 (PKCS#7);
• формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій IETF RFC 2560;
• формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій IETF RFC 3161;
• формати особистих ключів - згідно технічних рекомендацій IETF RFC 5958 (PKCS#8) та PKCS#12;
• формати запитів на формування сертифікатів - згідно технічних рекомендацій IETF RFC 2314 (PKCS#10).

Особисті ключі захищаються на паролях згідно технічних рекомендацій RFC 8018, 5958 (PKCS#8) та PKCS#12.