Загальні відомості

Найменування комплексу: комплекс захисту електронної пошти “ІІТ Захищена електронна пошта”.

Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні.

Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису, а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.


До складу комплексу входять:

• програмні засоби КЗІ у складі:
• програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів;
• бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
• апаратні засоби КЗІ.

До складу апаратних засобів комплексу можуть входити:

• електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
• мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).

Опис складових частин комплексу

Засоби захисту електронної пошти реалізують наступні функції:

• зашифрування електронних повідомлень;
• розшифрування електронних повідомлень;
• зашифрування та підпис електронних повідомлень;
• розшифрування та перевірку електронних повідомлень;
• відображення інформації про відправника захищеного електронного повідомлення та ін.

Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.

Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook XP/2003/2007/2010/2012 та вище, IBM Lotus Notes 5/6/7/8 та вище, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові сервери для окремих поштових клієнтів.

Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/XP/2003 Server/7/2008 Server, Linux (SUSE/Red Hat/Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.).

Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.

Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ. Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів поштового клієнта.

Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі поштового сервера системи.

Електронний ключ “Кристал-1” призначений для:

• автентифікації користувача (поштового клієнта) перед початком роботи;
• зберігання та захисту особистого ключа користувача;
• апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.

Електронний ключ має електричний USB-інтерфейс для підключення.

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.

Мережний криптомодуль “Гряда-301” призначений для:

• автентифікації поштового сервера перед початком роботи;
• зберігання та захисту особистого ключа сервера;
• апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.

Мережний криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера безпосередньо або через комутатори локальної обчислювальної мережі.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:

• шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
• ЕЦП за ДСТУ 4145-2002;
• гешування за ГОСТ 34.311-95;
• протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:

• ключові дані ЦСК;
• ключові дані клієнтів (користувачів) та серверів.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати відповідно користувачів та серверів.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:

• електронні диски (flash-диски);
• оптичні компакт-диски (CD);
• електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Avest AvestKey, Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign та БІФІТ iBank Key;
• смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Aladdin eToken/JaCarta, Автор CryptoCard, Giesecke&Devrient StarSign та БІФІТ Інтегра;
• криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
• інші носії та криптомодулі з бібліотеками підтримки, що відповідають вимогам до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП, затверджених спільним наказом Міністерства юстиції України та Адміністрації Держспецзв’язку № 2782/5/689 від 27.12.2013 р.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:

• формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
• формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
• формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
• формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
• формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
• формати особистих ключів – згідно вимог до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП та технічних рекомендацій PKCS#8 і PKCS#12.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:

• обслуговування сертифікатів клієнтів (користувачів) та серверів, що включає:
  • реєстрацію клієнтів (користувачів) та серверів;
  • сертифікацію відкритих ключів клієнтів (користувачів) та серверів;
  • розповсюдження сертифікатів;
  • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
• надання послуг фіксування часу;
• надання (за необхідності) засобів генерації особистих та відкритих ключів.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.