Засоби та комплекси

Центр сертифікації ключів

Загальні відомості

Найменування комплексу: програмно-технічний комплекс центру сертифікації ключів (ЦСК) “ІІТ ЦСК-1”.

Призначення комплексу: реалізація ЦСК регламентних процедур та механізмів обслуговування сертифікатів відкритих ключів користувачів ЦСК (далі – користувачів), надання послуг фіксування часу, надання користувачам засобів ЕЦП та шифрування, а також засобів генерації особистих і відкритих ключів.

Технічні засоби комплексу об’єднані у ЛОМ з використанням внутрішньої комунікаційної мережі з наявністю підключення до зовнішніх комунікаційних мереж. Окремі технічні засоби комплексу ізольовані від мереж передачі даних.

Порядок експлуатації комплексу у складі ЦСК відповідає вимогам правил посиленої сертифікації.

Структурна схема комплексу наведена на рисунку.


Функції комплексу

Комплекс забезпечує реалізацію регламентних процедур та механізмів роботи ЦСК, пов'язаних з:
  • обслуговуванням сертифікатів відкритих ключів (далі – сертифікатів) користувачів, що включає:
    • реєстрацію користувачів;
    • сертифікацію відкритих ключів користувачів;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів;
    • розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання користувачам засобів ЕЦП та шифрування даних, а також засобів генерації та управління ключами.

Комплекс забезпечує виконання наступних функцій, пов'язаних з обслуговуванням ЦСК сертифікатів користувачів:
  • реєстрацію користувачів, що включає:
    • введення реєстраційних даних користувачів до реєстру користувачів;
    • зберігання реєстру користувачів та забезпечення доступу до реєстраційних даних;
    • резервне копіювання та архівування реєстру користувачів;
    • зміну реєстраційних даних користувачів у реєстрі;
    • видалення реєстраційних даних користувачів з реєстру;
  • сертифікацію відкритих ключів користувачів, що включає:
    • приймання та реєстрацію запитів користувачів на формування сертифікатів;
    • зберігання запитів, отриманих від користувачів, у базі даних запитів;
    • архівування бази даних запитів;
    • формування сертифікатів користувачів;
    • внесення сформованих сертифікатів у реєстр сертифікатів;
    • зберігання реєстру сертифікатів;
    • архівування реєстру сертифікатів;
  • розповсюдження сертифікатів відкритих ключів користувачів, що включає:
    • публікацію реєстру сертифікатів на інформаційному ресурсі ЦСК (у LDAP-каталозі та на web-сторінці);
    • забезпечення доступу користувачів до реєстру сертифікатів на інформаційному ресурсі ЦСК;
  • управління статусом сертифікатів відкритих ключів користувачів та розповсюдження інформації про статус сертифікатів, що включає:
    • приймання та реєстрацію запитів користувачів на скасування, блокування чи поновлення сертифікатів;
    • зберігання запитів, отриманих від користувачів, у базі даних запитів;
    • архівування бази даних запитів;
    • скасування, блокування або поновлення сертифікатів на основі запитів;
    • внесення інформації про поточний статус сертифіката до реєстру сертифікатів;
    • формування списків відкликаних сертифікатів користувачів;
    • публікацію списків відкликаних сертифікатів на інформаційному ресурсі ЦСК;
    • забезпечення доступу користувачів до списків відкликаних сертифікатів на інформаційному ресурсі ЦСК;
    • забезпечення доступу користувачів до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).

Комплекс забезпечує виконання наступних функцій, пов'язаних з наданням ЦСК послуг фіксування часу:
  • приймання та реєстрацію запитів користувачів на формування позначок часу;
  • формування позначок часу;
  • передачу сформованих позначок часу користувачам;
  • внесення сформованих позначок часу у базу даних;
  • зберігання сформованих позначок у базі даних;
  • архівування бази даних позначок часу.

До складу комплексу входять засоби користувачів у складі:
  • засобів генерації особистих і відкритих ключів користувачів, які призначені для:
    • генерації особистого та відкритого ключів користувача;
    • формування та передачу запиту на формування сертифіката користувача до ЦСК;
    • отримання, перевірку, зберігання та використання сформованого сертифікату;
    • формування та передачу запитів на блокування, скасування та поновлення сертифіката користувача до ЦСК.
  • засобів ЕЦП та шифрування даних користувачів, які призначені для:
    • введення та використання особистих ключів користувача;
    • пошуку та інтерактивної перевірки статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
    • пошуку сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
    • отримання позначок часу у ЦСК (через TSP-сервер ЦСК);
    • реалізації механізмів формування та перевірянні ЕЦП, а також шифрування даних користувача у системах електронної пошти, електронного документообігу тощо (шляхом використання у вигляді бібліотек та ін.).

Структура та склад комплексу

До складу комплексу входять такі технічні засоби:
  • робочі станції (РС) обслуговуючого персоналу (адміністратора безпеки, системного адміністратора та адміністратора реєстрації);
  • центральні сервери (сервери ЦСК);
  • внутрішнє комунікаційне обладнання локальної обчислювальної мережі (ЛОМ);
  • сервери взаємодії;
  • міжмережний екран (МЕ) та система виявлення втручань (IDS);
  • комунікаційне обладнання для підключення до зовнішніх комунікаційних мереж (ЗКМ);
  • РС генерації ключів користувачів (ізольована);
  • РС віддалених адміністраторів реєстрації (відокремлені).

Окремо (до складу програмно-технічного комплексу відокремленого пункту реєстрації) входить РС віддаленого адміністратора.

РС адміністратора безпеки, адміністратора сертифікації, системного адміністратора, адміністратора реєстрації, центральні сервери та сервери взаємодії мають взаємодіяти через внутрішню комунікаційну мережу на основі кабельної мережі та комутаторів і утворювати ЛОМ.

Центральні сервери, сервери взаємодії, їх ДБЖ, мережний комутатор, комутатор терміналів, МЕ, а також криптомодулі і мережні криптомодулі мають бути розміщені у екранованій шафі чи у звичайні шафі у екранованому приміщенні.

У випадку, якщо функції центральних серверів, що пов’язані з формуванням сертифікатів та списків відкликаних сертифікатів (під час яких використовується особистий ключ ЦСК) виконує РС адміністратора сертифікації, вона має бути реалізована на основі ПЕОМ у захищеному виконанні або розміщена у екранованій кабіні чи екранованому приміщенні.

Сервери можуть бути з’єднані у окрему ЛОМ з використанням власного комутатора та підключатися до комутатора РС через електричний кабель або волоконно-оптичну лінію зв’язку (ВОЛЗ). Можливе також об’єднання комутаторів серверів та РС у один спільний комутатор ЛОМ. У цьому випадку РС обслуговуючого персоналу підключають до комутатора окремими електричними кабелями чи ВОЛЗ.

Сервери взаємодії мають підключатися до зовнішньої комунікаційної мережі через зовнішній МЕ (із вбудованою IPS). Для підключення серверів взаємодії до комутатора та до МЕ мають використовуватися різні мережні адаптери.

МЕ з IPS мають підключатися до зовнішньої комунікаційної мережі через комунікаційне обладнання оператора послуг передачі даних через електричний кабель або через ВОЛЗ. У випадку використання для такого підключення ВОЛЗ, мають використовуватися або оптичні мережні порти МЕ або конвертори середовища.

Для забезпечення централізованого моніторингу роботи складових частин комплексу до його складу може входити система моніторингу. Серверна частина системи моніторингу може встановлюватися на РС системного адміністратора або на окремий сервер моніторингу, а на всі сервери та РС комплексу мають бути встановлені агенти системи моніторингу. Взаємодія сервера з агентами моніторингу здійснюється за внутрішнім протоколом, а з іншими вузлами - за стандартними протоколами моніторингу (syslog, SNMP тощо).

Комплекс взаємодіє з ПТК центрів та ІТС інших зовнішніх користувачів через сервери взаємодії.

Функціональною основою комплексу є спеціалізовані апаратні та програмні засоби КЗІ і включає:
  • програмний комплекс ЦСК "ІІТ ЦСК-1";
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”);
  • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”);
  • програмний комплекс віддаленого адміністратора реєстрації ЦСК “ІІТ ЦСК-1. Віддалений адміністратор реєстрації”;
  • програмний комплекс користувача ЦСК “ІІТ Користувач ЦСК-1”;
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”).

Криптомодуль “Гряда-61” призначений для апаратної реалізації формування ЕЦП і у складі центральних серверів чи РС адміністратора сертифікації і забезпечує використання та захист особистого ключа ЦСК. Особистий ключ ЦСК генерується, зберігається та використовується тільки у середині пристрою.

Мережний криптомодуль “Гряда-301” призначений для апаратної реалізації криптографічних перетворень у складі центральних серверів ЦСК (CMP, TSP та OCSP).

У складі програмного забезпечення користувачів ЦСК може використовуватися апаратний електронний ключ “Кристал-1”. Електронний ключ призначений для апаратної реалізації криптографічних перетворень. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратно-програмного середовища.

Характеристики комплексу

Комплекс забезпечує функціональні характеристики, що наведені у таблиці.

Показник Значення
Кількість користувачів, яких обслуговує комплекс не менше 1 000 000
Кількість користувачів, які можуть зареєструватися не менше 5 000 за добу
Кількість користувачів, які одночасно мають доступ до сервера взаємодії (LDAP-каталогу та web-сторінки) не менше 5 000
Час обробки запитів користувачів на формування, блокування, поновлення та скасування сертифікатів сервером ЦСК не більше 1 с
(не менше 100 запитів/c)
Час обробки запитів зовнішніх користувачів на визначення статусу сертифіката не більше 1 с
(не менше 500 запитів/c)
Час обробки запитів зовнішніх користувачів на формування позначки часу не більше 1 с
(не менше 500 запитів/c)

Комплекс забезпечує функціонування та можливість надавати доступ до ЦСК користувачам цілодобово 7 днів на тиждень.

Центральні сервери та сервери взаємодії можуть функціонувати автоматизовано. Існує можливість роботи серверів у різних режимах - основний чи резервний з повним чи частковим дублюванням функцій.

Функціональні характеристики та режими експлуатації комплексу не залежать від типів та характеристик технічних засобів (РС, серверів та комунікаційного обладнання).

В засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • алгоритми шифрування за ДСТУ ГОСТ 28147:2009 та TDEA і AES за ISO/IEC 18033-3:2010;
  • алгоритми ЕЦП за ДСТУ 4145-2002 та RSA за PKCS#1 (IETF RFC 3447);
  • алгоритми гешування за ГОСТ 34.311-95 та SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005;
  • протоколи розподілу ключів за ДСТУ ISO/IEC 15946-3 (пп. 8.2) та RSA за PKCS#1 (IETF RFC 3447).

Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) і вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р., та за алгоритмом направленого шифрування RSA згідно PKCS#1 (IETF RFC 3447). Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

У ключовій системі комплексу виділені дві підгрупи ключових даних:
  • службові ключові дані;
  • ключові дані користувачів.

До складу службових відносяться:
  • особистий ключ та сертифікат ЦСК;
  • особисті ключі та сертифікати серверів ЦСК (CMP, TSP та OCSP);
  • особисті ключі та сертифікати адміністраторів реєстрації та віддалених адміністраторів реєстрації.

Особистий ключ ЦСК зберігається та застосовується тільки у криптомодулі, що входить до складу сервера ЦСК або РС адміністратора сертифікації.

Особистий ключ ЦСК використовується для формування ЕЦП сертифікатів та списків відкликаних сертифікатів. Сертифікат ЦСК використовується для перевірки ЕЦП, що накладається за допомогою особистого ключа ЦСК.

Особисті ключі серверів ЦСК (OCSP та TSP) використовується для формування ЕЦП від позначок часу та інформації про статус сертифікатів. Сертифікати серверів ЦСК використовується для перевірки ЕЦП, що накладається за допомогою відповідних особистих ключів серверів ЦСК.

Особисті ключі адміністраторів реєстрації та віддалених адміністраторів реєстрації призначені для формування ЕЦП запитів на формування сертифікатів, а також запитів на блокування, поновлення та скасування, а сертифікати – для перевірки ЕЦП від вказаних типів даних. Ключі віддалених адміністраторів реєстрації призначені також для шифрування даних, що передаються між РС віддаленого адміністратора реєстрації та ЦСК (CMP-сервером ЦСК).

До ключових даних користувачів відносяться особисті ключі та сертифікати користувачів. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • оптичні компакт-диски (CD);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Avest AvestKey, Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign та БІФІТ iBank Key;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Aladdin eToken/JaCarta, Автор CryptoCard, Giesecke&Devrient StarSign та БІФІТ Інтегра;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки, що відповідають вимогам до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП, затверджених спільним наказом Міністерства юстиції України та Адміністрації Держспецзв’язку № 2782/5/689 від 27.12.2013 р.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій IETF RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій IETF RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій IETF RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій IETF RFC 3161;
  • формати особистих ключів – згідно вимог до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП та технічних рекомендацій PKCS#8 і PKCS#12.

Повернутись до списку