Впровадження засобів та комплексів криптографічного захисту інформації
ЕЦП для платформи Oracle FlexCube
Загальні відомості
Повна назва засобів: засоби електронного цифрового підпису (ЕЦП) для платформи Oracle FlexCube “ІІТ ЕЦП для Oracle FlexCube”.
Призначення засобів: забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у платформі, з використанням електронного цифрового підпису.
Зазначені функції засоби виконують шляхом застосування механізмів ЕЦП.
Для організації ключової системи (управління ключовими даними) засобів використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структура та склад засобів
Структурна схема засобів за розміщенням їх складових частин на окремих технічних засобах наведена на рисунку.
До складу засобів входять:
засоби ЕЦП для FlexCube-клієнта у складі бібліотеки користувача ЦСК для web-оглядача "ІІТ Користувач ЦСК-1. Бібліотека FlexCube (Active-X)"
(Active-X-бібліотека ЕЦП), яка включає бібліотеку користувача ЦСК "ІІТ Користувач ЦСК-1. Бібліотека підпису";
програмний комплекс сервера ЕЦП для FlexCube-сервера у складі:
web-служби ЕЦП;
бібліотеки користувача ЦСК для web-служби "ІІТ Користувач ЦСК-1. Бібліотека FlexCube (web-служба)", яка включає бібліотеку
користувача ЦСК "ІІТ Користувач ЦСК-1. Бібліотека підпису";
Програмні засоби ЕЦП реалізують логіку роботи засобів та інтегровані безпосередньо у клієнтську та серверну частини платформи Oracle FlexCube
(FlexCube-клієнта та FlexCube-сервер), через визначені у платформі Oracle FlexCube механізми та інтерфейси ЕЦП.
Програмні засоби КЗІ можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.
Active-X-бібліотека ЕЦП у складі FlexCube-клієнта, який виконується безпосередньо у web-оглядачі, призначена для забезпечення цілісності
та неспростовності авторства електронних даних та документів, що обробляються клієнтом (користувачем), шляхом формування та перевіряння ЕЦП від даних та документів на стороні клієнта.
Web-служба ЕЦП у складі сервера ЕЦП, який підключений до FlexCube-сервера та доступний за протоколом SOAP, призначена для забезпечення цілісності та
неспростовності авторства електронних даних та документів, що обробляються FlexCube-сервером, шляхом формування та перевіряння ЕЦП від даних та документів на стороні сервера.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання Active-X-бібліотекою та web-службою ЕЦП в якості базових засобів КЗІ та виконують наступні функції у їх складі:
роботу з носіями ключової інформації (зчитування особистих ключів з носіїв);
роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає:
зчитування сертифікатів та списків відкликаних сертифікатів із файлового сховища;
визначення статусу сертифіката за допомогою списків відкликаних сертифікатів;
завантаження списків відкликаних сертифікатів з веб-сторінки ЦСК (з веб-серверу ЦСК);
зашифрування та розшифрування даних;
формування та перевірку ЕЦП від даних;
захист сеансів передачі даних (захист з’єднань), що включає:
реалізацію протоколу взаємної автентифікації сторін під час встановлення сеансу захищеної передачі даних (захищеного з’єднання);
захист (шифрування та контроль цілісності) сегментів захищеної передачі даних (даних захищеного з’єднання);
інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.
Програмний комплекс віддаленого моніторингу бібліотек користувача ЦСК призначений для отримання від агента моніторингу бібліотек та
відображення інформації про стан і статистику функціонування програмних засобів та подій з журналів реєстрації. Зберігання інформації про стан
та статистику функціонування програмних засобів, а також ведення журналів реєстрації подій та надання доступу до цієї інформації засобам
віддаленого моніторингу здійснює агент моніторингу бібліотек. Інформацію про стан та статистику функціонування до агента моніторингу передають бібліотеки користувача ЦСК.
Active-X-бібліотека ЕЦП реалізована у вигляді Active-X-об’єкту у відповідності до визначених розробником платформи Oracle FlexCube специфікацій
програмних інтерфейсів та доступна FlexCube-клієнту через виклики JavaScript-функції.
Web-служба ЕЦП реалізована у відповідності до визначеної розробником платформи Oracle FlexCube специфікацій та доступна FlexCube-серверу за
протоколом SOAP через java-модулі (JAX-WS) чи PL/SQL-модулі.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі користувача платформи Oracle FlexCube.
Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі сервера платформи Oracle FlexCube.
Електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”) призначений для:
автентифікації користувача платформи Oracle FlexCube перед початком роботи;
зберігання та захисту особистого ключа користувача;
апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача платформи.
Електронний ключ має електричний USB-інтерфейс для підключення.
Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює
доступ до особистих ключів користувача з боку РС чи ПК користувача платформи Oracle FlexCube.
Мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”) призначений для:
автентифікації сервера ЕЦП перед початком роботи;
зберігання та захисту особистого ключа сервера;
апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера ЕЦП.
Мережний криптомодуль має мережний електричний інтерфейс Ethernet 100/1000 для підключення до сервера ЕЦП безпосередньо або через комутатори локальної обчислювальної мережі.
Апаратна реалізація мережного криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та
унеможливлює доступ до особистих ключів сервера з боку сервера ЕЦП.
Характеристики засобів
У засобах використовуються такі криптографічні алгоритми та протоколи:
алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
алгоритм ЕП за ДСТУ 4145-2002;
алгоритм гешування за ГОСТ 34.311-95;
протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.
Організацію ключової системи засобів виконує центр сертифікації ключів (ЦСК).
У засобах використовуються дві підгрупи ключових даних:
ключові дані ЦСК;
ключові дані користувачів та сервера ЕЦП.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для
перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів та сервера ЕЦП відносяться особисті ключі та сертифікати відповідно користувачів та сервера.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
електронні диски (flash-диски);
оптичні компакт-диски (CD);
електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”) та ін.;
інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера, надання послуг фіксування часу,
а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
обслуговування сертифікатів клієнтів користувачів та сервера, що включає:
реєстрацію користувачів та сервера;
сертифікацію відкритих ключів користувачів та сервера;
розповсюдження сертифікатів;
управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
надання послуг фіксування часу;
надання (за необхідності) засобів генерації особистих та відкритих ключів.
В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.