Загальні відомості

Найменування комплексу: комплекс захисту електронної пошти “ІІТ Захищена електронна пошта”.

Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні.

Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису, а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.


До складу комплексу входять:

• програмні засоби КЗІ у складі:
• програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів;
• бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
• апаратні засоби КЗІ.

До складу апаратних засобів комплексу можуть входити:

• електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
• мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).

Опис складових частин комплексу

Засоби захисту електронної пошти реалізують наступні функції:

• зашифрування електронних повідомлень;
• розшифрування електронних повідомлень;
• зашифрування та підпис електронних повідомлень;
• розшифрування та перевірку електронних повідомлень;
• відображення інформації про відправника захищеного електронного повідомлення та ін.

Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.

Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook, IBM Lotus Notes, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові сервери для окремих поштових клієнтів.

Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/XP/2003 Server/7/2008 Server, Linux (SUSE/Red Hat/Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.).

Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.

Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ. Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів поштового клієнта.

Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі поштового сервера системи.

Електронний ключ “Кристал-1” призначений для:

• автентифікації користувача (поштового клієнта) перед початком роботи;
• зберігання та захисту особистого ключа користувача;
• апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.

Електронний ключ має електричний USB-інтерфейс для підключення.

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.

Мережний криптомодуль “Гряда-301” призначений для:

• автентифікації поштового сервера перед початком роботи;
• зберігання та захисту особистого ключа сервера;
• апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.

Мережний криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера безпосередньо або через комутатори локальної обчислювальної мережі.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:

• алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
• алгоритм ЕП за ДСТУ 4145-2002;
• алгоритм гешування за ГОСТ 34.311-95;
• протокол розподілу ключових даних (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:

• ключові дані ЦСК;
• ключові дані клієнтів (користувачів) та серверів.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати відповідно користувачів та серверів.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:

• електронні диски (flash-диски);
• оптичні компакт-диски (CD);
• електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”) та ін.;
• мережний криптомодуль “Гряда-301” (мікро-пристрій) (“ІІТ МКМ Гряда-301 (мікро-пристрій)”) та мережний криптомодуль “Гряда-301”;
• інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:

• формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
• формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
• формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
• формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
• формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
• формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:

• обслуговування сертифікатів клієнтів (користувачів) та серверів, що включає:
  • реєстрацію клієнтів (користувачів) та серверів;
  • сертифікацію відкритих ключів клієнтів (користувачів) та серверів;
  • розповсюдження сертифікатів;
  • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
• надання послуг фіксування часу;
• надання (за необхідності) засобів генерації особистих та відкритих ключів.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.