Найменування комплексу: комплекс захисту електронної пошти “ІІТ Захищена електронна пошта”.
Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні.
Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису,
а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується
центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структура та склад комплексу
Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.
До складу комплексу входять:
програмні засоби КЗІ у складі:
програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів;
бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
апаратні засоби КЗІ.
До складу апаратних засобів комплексу можуть входити:
Засоби захисту електронної пошти реалізують наступні функції:
зашифрування електронних повідомлень;
розшифрування електронних повідомлень;
зашифрування та підпис електронних повідомлень;
розшифрування та перевірку електронних повідомлень;
відображення інформації про відправника захищеного електронного повідомлення та ін.
Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у
поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.
Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook, IBM Lotus Notes, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові сервери для окремих поштових клієнтів.
Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/XP/2003 Server/7/2008
Server, Linux (SUSE/Red Hat/Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.).
Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі,
мережні криптомодулі тощо.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі
засобів поштового клієнта.
Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі
поштового сервера системи.
Електронний ключ “Кристал-1” призначений для:
автентифікації користувача (поштового клієнта) перед початком роботи;
зберігання та захисту особистого ключа користувача;
апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.
Електронний ключ має електричний USB-інтерфейс для підключення.
Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою
та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.
Мережний криптомодуль “Гряда-301” призначений для:
автентифікації поштового сервера перед початком роботи;
зберігання та захисту особистого ключа сервера;
апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.
Мережний криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера
безпосередньо або через комутатори локальної обчислювальної мережі.
Характеристики комплексу
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
алгоритм ЕП за ДСТУ 4145-2002;
алгоритм гешування за ГОСТ 34.311-95;
протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).
У комплексі використовуються дві підгрупи ключових даних:
ключові дані ЦСК;
ключові дані клієнтів (користувачів) та серверів.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера),
які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати
відповідно користувачів та серверів.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
електронні диски (flash-диски);
оптичні компакт-диски (CD);
електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”) та ін.;
інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій
та діючих нормативних документів:
формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів,
надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
обслуговування сертифікатів клієнтів (користувачів) та серверів, що включає:
реєстрацію клієнтів (користувачів) та серверів;
сертифікацію відкритих ключів клієнтів (користувачів) та серверів;
розповсюдження сертифікатів;
управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
надання послуг фіксування часу;
надання (за необхідності) засобів генерації особистих та відкритих ключів.
В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.