Найменування комплексу: комплекс захисту електронної пошти “ІІТ Захищена електронна пошта”.
Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні.
Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису,
а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується
центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.
До складу комплексу входять:
- програмні засоби КЗІ у складі:
- програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів;
- бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
- апаратні засоби КЗІ.
До складу апаратних засобів комплексу можуть входити:
- електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
- мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).
Засоби захисту електронної пошти реалізують наступні функції:
- зашифрування електронних повідомлень;
- розшифрування електронних повідомлень;
- зашифрування та підпис електронних повідомлень;
- розшифрування та перевірку електронних повідомлень;
- відображення інформації про відправника захищеного електронного повідомлення та ін.
Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у
поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.
Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook XP/2003/2007/2010/2012 та вище,
IBM Lotus Notes 5/6/7/8 та вище, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові
сервери для окремих поштових клієнтів.
Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/XP/2003 Server/7/2008
Server, Linux (SUSE/Red Hat/Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.).
Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі,
мережні криптомодулі тощо.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі
засобів поштового клієнта.
Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі
поштового сервера системи.
Електронний ключ “Кристал-1” призначений для:
- автентифікації користувача (поштового клієнта) перед початком роботи;
- зберігання та захисту особистого ключа користувача;
- апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.
Електронний ключ має електричний USB-інтерфейс для підключення.
Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою
та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.
Мережний криптомодуль “Гряда-301” призначений для:
- автентифікації поштового сервера перед початком роботи;
- зберігання та захисту особистого ключа сервера;
- апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.
Мережний криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера
безпосередньо або через комутатори локальної обчислювальної мережі.
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
- шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
- ЕЦП за ДСТУ 4145-2002;
- гешування за ГОСТ 34.311-95;
- протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до
форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р.
Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з
Адміністрацією Держспецзв’язку України.
Організацію
ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).
У комплексі використовуються дві підгрупи ключових даних:
- ключові дані ЦСК;
- ключові дані клієнтів (користувачів) та серверів.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера),
які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати
відповідно користувачів та серверів.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
- електронні диски (flash-диски);
- оптичні компакт-диски (CD);
- електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Avest AvestKey, Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign та БІФІТ iBank Key;
- смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Aladdin eToken/JaCarta, Автор CryptoCard, Giesecke&Devrient StarSign та БІФІТ Інтегра;
- криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
- інші носії та криптомодулі з бібліотеками підтримки, що відповідають вимогам до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП, затверджених спільним наказом Міністерства юстиції України та Адміністрації Держспецзв’язку № 2782/5/689 від 27.12.2013 р.
Формати ключових
даних та іншої спеціальної
інформації відповідають вимогам міжнародних стандартів, рекомендацій
та діючих нормативних документів:
- формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів,
структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених
наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних
засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
- формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
- формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених
наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
- формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус
сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
- формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та
технічних рекомендацій RFC 3161;
- формати особистих ключів – згідно вимог до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП та технічних рекомендацій PKCS#8 і PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів,
надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
- обслуговування сертифікатів клієнтів (користувачів) та серверів, що включає:
- реєстрацію клієнтів (користувачів) та серверів;
- сертифікацію відкритих ключів клієнтів (користувачів) та серверів;
- розповсюдження сертифікатів;
- управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
- надання послуг фіксування часу;
- надання (за необхідності) засобів генерації особистих та відкритих ключів.
В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.
