Засоби та комплекси

Захищена електронна пошта

Загальні відомості

Найменування комплексу: комплекс захисту електронної пошти “ІІТ Захищена електронна пошта”.

Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні.

Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису, а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.


До складу комплексу входять:
  • програмні засоби КЗІ у складі:
    • програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів;
    • бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
  • апаратні засоби КЗІ.

До складу апаратних засобів комплексу можуть входити:
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
  • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).

Опис складових частин комплексу

Засоби захисту електронної пошти реалізують наступні функції:
  • зашифрування електронних повідомлень;
  • розшифрування електронних повідомлень;
  • зашифрування та підпис електронних повідомлень;
  • розшифрування та перевірку електронних повідомлень;
  • відображення інформації про відправника захищеного електронного повідомлення та ін.

Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.

Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook XP/2003/2007/2010/2012 та вище, IBM Lotus Notes 5/6/7/8 та вище, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові сервери для окремих поштових клієнтів.

Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/XP/2003 Server/7/2008 Server, Linux (SUSE/Red Hat/Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.).

Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.

Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ. Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів поштового клієнта.

Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі поштового сервера системи.

Електронний ключ “Кристал-1” призначений для:
  • автентифікації користувача (поштового клієнта) перед початком роботи;
  • зберігання та захисту особистого ключа користувача;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.

Електронний ключ має електричний USB-інтерфейс для підключення.

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.

Мережний криптомодуль “Гряда-301” призначений для:
  • автентифікації поштового сервера перед початком роботи;
  • зберігання та захисту особистого ключа сервера;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.

Мережний криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера безпосередньо або через комутатори локальної обчислювальної мережі.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
  • ЕЦП за ДСТУ 4145-2002;
  • гешування за ГОСТ 34.311-95;
  • протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані клієнтів (користувачів) та серверів.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати відповідно користувачів та серверів.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • компакт-диски (CD-R, CD-RW, DVD-R або DVD-RW);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Технотрейд uaToken, Aladdin eToken/JaCarta, Актив ruToken, Автор SecureToken та СІС Almaz;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Aladdin та Автор;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
  • формати особистих ключів – згідно технічних рекомендацій PKCS#8.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
  • обслуговування сертифікатів клієнтів (користувачів) та серверів, що включає:
    • реєстрацію клієнтів (користувачів) та серверів;
    • сертифікацію відкритих ключів клієнтів (користувачів) та серверів;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання (за необхідності) засобів генерації особистих та відкритих ключів.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.
Повернутись до списку